UNIVERSIDAD DE COLIMA UNIVERSIDAD DE COLIMA UNIVERSIDAD DE COLIMA UNIVERSIDAD DE COLIMA FACULTAD DE INGENIERA MECNICA Y ELCTRICA
EXPEDIENTE: 510 NUM. 92-5131
MORENO JIMNEZ LORENA CARMINA AVE. NIOS HROES #427 VILLA DE LVAREZ, COLIMA
Informo a usted que ha sido APROBADO por el H. CONSEJO TCNICO DE LA MAESTRA EN COMPUTACIN, como tema de titulacin para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES.
El solicitado por usted bajo el ttulo:
"LA AUDITORIA EN LA INFORMTICA (ENSAYO)"
Desarrollado bajo los siguientes puntos:
1. ANTECEDENTES 2. TERMINOLOGA DE LA AUDITORIA INFORMTICA 3. AUDITORIA INFORMTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIN DE LA AUDITORIA EN INFORMTICA 6. AUDITORIA DE LA FUNCIN DE INFORMTICA 7. EVALUACIN DE SISTEMAS 8. EVALUACIN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFA
Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRS GERARDO FUENTES COVARRUBIAS.
En cada uno de los ejemplares de titulacin que presente para examen, deber aparecer en primer termino copia del presente oficio.
H. CONSEJO TCNICO DE POSGRADO EN COMPUTACIN FACULTAD DE INGENIERA MECNICA Y ELCTRICA UNIVERSIDAD DE COLIMA
Por medio del presente conducto informo que la C. MORENO JIMNEZ LORENA CARMINA, termin su perodo de revisin de tesis. El trabajo al cual se hace mencin fue denominado:
LA AUDITORIA EN LA INFORMTICA (ENSAYO)
Cuyo contenido es el siguiente:
1. ANTECEDENTES 2. TERMINOLOGA DE LA AUDITORIA INFORMTICA 3. AUDITORIA INFORMTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIN DE LA AUDITORIA EN INFORMTICA 6. AUDITORIA DE LA FUNCIN DE INFORMTICA 7. EVALUACIN DE SISTEMAS 8. EVALUACIN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFA
El cual cumple con los requisitos necesarios para su aprobacin, por lo cual lo autorizo para su impresin.
C.c.p. Expediente
EXPEDIENTE: 510 FECHA: 05-04-2003 Acta No. :23
MORENO JIMNEZ LORENA CARMINA AVE. NIOS HROES #427 VILLA DE LVAREZ, COLIMA TEL: 01-312-3136872
En cumplimiento a lo dispuesto por los artculos 13 y 14 del reglamento de titulacin vigente, al artculo 40, inciso A del reglamento de estudios de posgrado vigente y al artculo 46 de las normas complementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingeniera Mecnica y Elctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Tcnico su tema de tesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LA AUDITORIA EN LA INFORMTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos:
1. ANTECEDENTES 2. TERMINOLOGA DE LA AUDITORIA INFORMTICA 3. AUDITORIA INFORMTICA 4. TIPOS DE AUDITORIAS, 5. PLANEACIN DE LA AUDITORIA EN INFORMTICA 6. AUDITORIA DE LA FUNCIN DE INFORMTICA 7. EVALUACIN DE SISTEMAS 8. EVALUACIN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFA
As mismo, hacemos de su conocimiento que de acuerdo con la lnea de investigacin en la cual se enmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRS GERARDO FUENTES COVARRUBIAS.
A partir de la fecha de aprobacin tendr como plazo un ao para presentar su examen de grado, en caso contrario tendr usted derecho a una prorroga nica de seis meses so pena de perder el registro de su proyecto, lo anterior bajo la consideracin del Consejo Tcnico y la aprobacin de su director de tesis.
Una vez concluidos los tramites de revisin de su documento de tesis e integrado su expediente de titulacin deber recoger el oficio que acompaara el visto bueno de su director de tesis, los cuales encabezarn cada uno de los ejemplares de sus tesis.
DEDICATORIA
Agradezco,
a mi familia por el apoyo incondicional y el aliciente que me proporcionan para seguir adelante, en particular a mi esposo el Dr. Nicandro Farias Mendoza, que formo parte importante en la culminacin de mi trabajo.
A la Universidad de Colima por brindarme la oportunidad de seguir preparndome.
A mis maestros por trasmitir sus conocimientos.
Al maestro Andrs Gerardo Fuentes Covarrubias por haberme brindado la oportunidad de trabajar con l en el desarrollo del trabajo.
CONTENIDO
INTRODUCCIN
CAPITULO 1 ANTECEDENTES
CAPITULO 2 TERMINOLOGA DE LA AUDITORIA INFORMTICA 2.1 Informtica 9 2.2 Auditoria 12 2.3 Tareas principales de la auditoria 13 2.4 Auditoria en informtica 13
CAPITULO 3 AUDITORIA INFORMTICA 3.1 Importancia de la auditoria informtica 15 3.2 Formas de llevar a cabo una auditoria informtica 15 3.3 Sntomas de necesidad de una auditora informtica 16 3.4 Herramientas y tcnicas para la auditora informtica 18 3.4.1 Cuestionarios 18 3.4.2 Entrevistas 18 3.4.3 Checklist 19 3.4.4 Trazas y/o huellas 22 3.4.5 Software de interrogacin 23
CAPITULO 4 TIPOS DE AUDITORIAS
4.1. Concepto de auditora en informtica 25 4.2. Auditoria interna y auditora contable/financiera 27 4.2.1 Definicin de control interno 27 4.2.2 Objetivos del control interno 27 4.2.3 Clases de controles internos 31 4.2.3.1 Atendiendo al momento que se acta 31 4.2.3.2 Controles de supervisin 31 4.3. Auditoria administrativa 37 4.4. Concepto de auditora con informtica 38 4.5 Concepto de auditora de programas 44 4.6 Concepto de auditoria de seguridad 45 4.6.1 Consideraciones inmediatas 45 4.6.2 Consideraciones para elaborar un sistema de seguridad integral 49 4.6.3 Etapas para implementar un sistema de seguridad 50 4.6.4 Etapas para implementar un sistema de seguridad en marcha 51 4.6.5 Beneficios de un sistema de seguridad 51 CAPITULO 5 PLANEACIN DE LA AUDITORIA EN INFORMTICA
5.1 Planeacin de la auditora en informtica 52 5.1.1 Investigacin preliminar 53 5.1.2 Personal participante 56
CAPITULO 6 AUDITORIA DE LA FUNCIN DE INFORMTICA
6.1 Recopilacin de la informacin organizacional 58 6.2 Evaluacin de la estructura orgnica 59 6.3 Evaluacin de los recursos humanos 73 6.4 Entrevistas con el personal de informtica 79 6.5 Situacin presupuestal y financiera 80
CAPITULO 7 EVALUACIN DE SISTEMAS
7.1 Evaluacin de sistemas 84 7.2 Evaluacin del anlisis 86 7.3 Evaluacin del diseo lgico del sistema 88 7.4 Evaluacin del desarrollo del sistema 93 7.5 Control de proyectos 94 7.6 Control de diseo de sistemas de informacin 96 7.7 Instructivos de operacin 99 7.8 Forma de implantacin 100 7.9 Equipo y facilidades de programacin 100 7.10 Entrevistas a usuarios 100
CAPITULO 8 EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
8.1 Controles 104 8.1.1 Controles de los datos fuente y manejo de cifras de control 104 8.1.2 Control de operacin 107 8.1.3 Controles de salida 112 8.1.4 Control de asignacin de trabajo 112 8.1.5 Control de medios de almacenamiento masivos 114 8.1.6 Control de mantenimiento 117 8.2 Orden en el centro de cmputo 124 8.3 Evaluacin de la configuracin del sistema de cmputo 125 8.4 Productividad 126
CAPITULO 9 EVALUACIN DE LA SEGURIDAD
9.1 Seguridad lgica y confidencialidad 128 9.2 Seguridad en el personal 137 9.3 Seguridad fsica 137 9.4 Seguros 144 9.5 Seguridad en la utilizacin de equipo 146 9.6 Procedimiento de respaldo en caso de desastre 150 9.7 Condiciones, procedimientos y controles para otorgar soporte a otras instituciones 155
CAPITULO 10 INFORME FINAL 10.1 Tcnicas para la interpretacin de la informacin 156 10.1.1 Anlisis crtico de los hechos 156 10.1.2 Metodologa para obtener el grado de madurez del sistema 157 10.1.3 Uso de diagramas 158 10.2 Evaluacin de los sistemas 159 10.3 Evaluacin de los sistemas de informacin 163 10.4 Controles 165 10.5 Confeccin y redaccin del informe final 167
CAPITULO 11 DIFERENTES ENFOQUES DE LA AUDITORIA 11.1 Introduccin 170
CAPITULO 12 CONCLUSIONES 202
BIBLIOGRAFA 206
ANEXOS 207
1
Introduccin
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa.
La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informtica.
El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado, como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de, realizarse la auditora, ya se haban detectado fallas.
El concepto de auditora es mucho ms que esto.
La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or.
Por otra parte, el diccionario Espaol Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definicin carece de la explicacin del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
Si consultamos el Boletn de Normas de auditora del Instituto mexicano de contadores nos dice: " La auditora no es una actividad meramente mecnica que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carcter indudable."
De todo esto sacamos como deduccin que la auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Claro est, que para la realizacin de una auditora informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una 2 Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus "negocios" de forma rpida y eficiente con el fin de obtener beneficios econmicos y reduccin de costos.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aqu algunos:
Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditora Informtica de Seguridad.
Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditora Informtica de Datos.
Un Sistema Informtico mal diseado puede convertirse en una herramienta peligrosa para la empresa: como las mquinas obedecen ciegamente a las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informtico, por eso, la necesidad de la Auditora de Sistemas. 3
La informacin es inherente a la existencia de las personas y de las sociedades. Permite conocer la realidad, interactuar con el medio fsico, apoyar en la toma de decisiones, y evaluar las acciones de individuos y grupos el aprovechamiento de la informacin propicia la mejora de los niveles de bienestar y permite aumentar la productividad y competitividad de las naciones. El importante aporte de la informacin se ha visto acrecentado por la posibilidad que ha trado consigo la informtica, surgida de la convergencia tecnolgica de la computacin, la microelectrnica y las telecomunicaciones, para producir informacin en grandes volmenes, y para consultarla y transmitirla a travs de enormes distancias. De hecho, el mundo de fin de siglo XX esta inmerso en una nueva Revolucin tecnolgica basada en la informtica. Esta encuentra su principal impulso en el acceso expedito y en la capacidad de procesamiento de informacin sobre prcticamente todos los temas y sectores. La nueva Revolucin tecnolgica ha contribuido a que culturas y sociedades se transformen aceleradamente, tanto econmica como social y polticamente, con el objetivo fundamental de alcanzar la plenitud de sus potencialidades.
En el mundo, hoy la informtica es de carcter estratgico sus aplicaciones, ya han afectado prcticamente todas las actividades humanas de la manera siguiente:
permitiendo la comunicacin instantnea de conocimiento a distancia. (por ejemplo permitir integrar grupos de personas que radiquen en distintos sitios, con afinidades o necesidades especifica, para resolver problemas que les son comunes, generando los que se denomina inteligencia colectiva, etc..) ampliando las capacidades intelectuales del hombre. estableciendo al conocimiento como factor productivo. facilitando la generacin de nuevas tecnologas y la automatizacin de procesos. permitiendo la reduccin de tiempos y costos de produccin. 4 impulsando la aparicin de nuevos productos. propiciando nuevos servicios y de mejor calidad. (en el sector publico, algunos, como los de salud, enseanza y seguridad social prestndose en mayor escala y de manera mas eficaz. las computadoras y las telecomunicaciones pueden coadyuvar en el suministro de estos servicios a comunidades marginadas, etc... todo esto se traduce a beneficios tangibles para la poblacin.) generando nuevos empleos, principalmente en los servicios (mantenimiento, instalacin y reparacin de equipo, capacitacin, etc...) modificando la composicin y estructuras de los sectores productivos. (se efientizan estructuras, se redefinen responsabilidades de los directivos y trabajadores, etc...) da lugar a la nocin del mundo como aldea global. (ya que los avances tecnolgicos que se perfilan, hacen posible la transformacin de los servicios para acercarlos a las necesidades particulares de las personas. (por ejemplo, la conexin a redes de computadoras nacionales e internacionales.)
A estos efectos se estn sumando transformaciones igualmente importantes, en el mbito social, al cambiar la manera en que se llevan a cabo innumerables actividades cotidianas. Por la magnitud de sus efectos, esta Revolucin tecnolgica es comparable a dos importantes acontecimientos histricos de desarrollo tecnolgico estratgico:
Imprenta (siglo XV) permiti una mayor comunicacin de ideas a distancia en forma impresa. impulso la generacin del conocimiento. propicio el surgimiento de la escritura y la lectura como habilidad social. motivo la evolucin cultural, social, poltica y econmica.
Revolucin Industrial (siglo XVIII)
Incremento capacidades productivas y la disponibilidad de satisfactores. Amplio opciones de empleo y de organizacin productiva. Causo desplazamiento del campo a la ciudad. Motivo desarrollo heterogneo entre las naciones redefiniendo la arquitectura del mundo.
En conclusin las sociedades que han incorporado la informtica a su forma de vida cuentan con una ventaja econmica y social invaluable en el contexto de la globalizacin debido a ello, mltiples naciones estn enfocando sus esfuerzos a disear polticas y estrategias en informtica.
5 El mundo no puede sustraerse de este contexto: los futuros niveles de bienestar y la viabilidad competitiva, dependen en gran medida de una estrategia informtica que permita aprovechar el potencial que representa esta tecnologa, haciendo de ella un instrumento eficaz que sirva para resolver problemas y para enfrentar con optimismo renovado los retos que el presente y el futuro presenten, por lo que es necesario en definitiva, para obtener un buen aprovechamiento evitar que por una falta de estndares y metodologas, y por una falta de formacin y cultura generalizada, sobre todo en los aspectos de control y de seguridad informtica, a pesar de los grandes adelantos tecnolgicos, se produzca en las reas de informtica islotes de mecanizacin y de procesos manuales difciles de controlar y caros de mantener por una falta de asimilacin de las nuevas tecnologas, por una infrautilizacin de los equipos informticos, por un descontento generalizado de los usuarios, por una obsolescencia de las aplicaciones informticas actuales, por una falta de planificacin de los Sistemas de Informacin, por falta de seguridad fsica y lgica y por soluciones planteadas parcialmente que, todo esto puede ser resueltos mediante la auditora en Informtica que es vlida para cualquier tamao de empresa y que tenindola como un ejercicio prctico y formal, brindar a sus ejecutantes, as como a los negocios, un sentimiento de satisfaccin justificado por el entendimiento y compromiso que implica asegurar la utilizacin correcta de los recursos de informtica para lograr los objetivos de la organizacin. Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo que se relaciona con el hecho de que cualquier organizacin desea mantener sus activos en las mejores condiciones posibles y salvaguardar su integridad. La funcin de del auditor en informtica no es fungir como capataz o polica del negocio, como tantas veces se ha planteado en forma sarcstica o costumbrista en las organizaciones. Este profesionista se orienta a funcionar como un punto de control y confianza para la alta direccin, adems de que se busca ser un facilitador de soluciones. Por analoga el auditor se asemeja al mdico que evala al paciente y le recomienda el tratamiento idneo para estar en ptimas condiciones de salud. Segn la situacin del enfermo, recomendar tratamientos ligeros o fuertes y estrictos. Lo importante es que el paciente sepa que puede mejorar su salud. Esa es la orientacin del auditor en informtica: conducir a la empresa a la bsqueda permanente de la "salud" de los recursos de informtica y de aquellos elementos que se relacionan con ella. No hay que pensar que este proceso cambiar la cultura organizacional de la noche a la maana, los mtodos de trabajo, la mala calidad, ni la improductividad en las reas relacionadas con la informtica; es un elemento estratgico directo que apoya la eliminacin de cada una de las debilidades mencionadas. Sin embargo ha de coexistir con el personal responsable y profesional, as como con directores ya accionistas comprometidos con la productividad, calidad y otros factores recomendados para ser empresas de clase mundial. Se espera que cada auditor sea un profesional, un experto, pero sobre todo que sea un ser sensible, humano, que entienda el contesto real del negocio. Su 6 principal objetivo es conferir la dimensin justa a cada problemtica, convirtindola en un rea de oportunidad y orientndola hacia la solucin del negocio. En los aos cuarenta empezaron a presentarse resultados relevantes en el campo de la computacin, a raz de los sistemas de apoyo para estrategias militares; posteriormente se increment el uso de las computadoras y sus aplicaciones y se diversific el apoyo a otros sectores de la sociedad: educacin, salud, industria, poltica, banca, aeronutica, comercio, etc. En aquellos aos la seguridad y control de ese medio se limitaba a proporcionar custodia fsica a los equipos y a permitir la utilizacin de los mismos al personal altamente calificado (no exista un gran nmero de usuarios, ya fueran tcnicos o administrativos). En el presente, la informtica se ha extendido a todas las ramas de la sociedad, es decir, resulta factible controlar un vuelo espacial por medio de una computadora, as como seleccionar las compras del hogar en una computadora personal con acceso a internet, por ejemplo. Esta rapidez en el crecimiento de la informtica permite deducir que los beneficios se han incrementado con la misma velocidad, algunos con mediciones tangible -como reduccin de costos e incremento porcentual en ventas- y otros con aspectos intangibles -como mejora en la imagen o satisfaccin del cliente-, pero ambos con la misma importancia para seguir impulsando la investigacin y actualizacin constante de la tecnologa. La idea de que se obtienen mayores beneficios que antes no se halla muy lejos de la realidad; no obstante, tambin es vlido afirmar que los costos han sido altos y en muchas ocasiones han rebasado los lmites esperados, ocasionando grandes prdidas y decepciones en los negocios. Las empresas y organismos interesados en que la informtica contine creciendo para beneficio de la humanidad (educacin, productividad, calidad, ecologa, etc.) desean que este incremento se controle y oriente de manera profesional: se debe obtener el resultado planeado y esperado en cada inversin de esta rama. Asegurar que las inversiones y proyectos inherentes a la funcin de informtica sean justificados y brinden los resultados esperados es una responsabilidad de quien administre dicha funcin y, de igual manera, es responsabilidad de la direccin no aprobar proyectos que no aseguren la rentabilidad de la inversin. Con el paso de los aos la informtica y los elementos tecnolgicos que la rodean han creado necesidades en cada sector social y se han tornado en un requerimiento permanente para alcanzar soluciones. El incremento persistente de las expectativas y necesidades relacionadas con la informtica, al igual que la actualizacin continua de los elementos que componen la tecnologa de este campo, obligan a las entidades que la aplican a disponer de controles, polticas y procedimientos que aseguren la alta direccin de los recursos humanos, materiales y financieros involucrados para que se protejan adecuadamente y se oriente a la rentabilidad y competitividad del negocio. Si se pregunta por qu preocuparse de cuidar esa caja etiquetada con el nombre de informtica, y la respuesta que brinde a cualquiera de las siguientes preguntas es negativa, le convendra reafirmar o considerar la necesidad de 7 asumir la responsabilidad del control y otorgamiento de seguridad permanente a los recursos de informtica? Los usuarios y la alta direccin conocen la situacin actual de la funcin de informtica en la empresa (organizacin, polticas, servicios, etc.)? Se aprueba formal y oportunamente el costo / beneficio de cada proyecto relacionado en forma directa con la informtica? La informtica apoya las reas crticas del negocio? El responsable de la informtica conoce los requerimientos actuales y futuros del negocio que necesitan apoyo de los servicios y productos de su rea ? Cada uno de los elementos del negocio conoce las polticas y procedimientos inherentes al control y seguridad de la tecnologa informtica? Existen dichas polticas y procedimientos de manera formal? Hay un plan de seguridad en la informtica? Se ha calculado el alcance e impacto de la informtica en la empresa? Hay un plan estratgico de informtica alineado al negocio? Existen responsables que evalen formal e imparcialmente la funcin de informtica? Se cuenta con un control formal de cada proyecto relativo al rea? Es importante para usted la informtica? Evala peridica y formalmente dicha funcin de la informtica? Auditan slo sistemas de informacin y no otras reas de la informacin?
Cada una de las preguntas encierra una importancia especfica para el buen funcionamiento informtico de cualquier negocio; estn interrelacionadas y la negacin de alguna es una pequea fuga de gas que, con el tiempo y un pequeo chispazo, puede ocasionar graves daos a los negocios, ya sean fraudes, proyectos cancelados con alto porcentaje de costos no recuperables, rechazo de los servicios de informtica por los usuarios clave del negocio, improductividad y baja calidad de los recursos de informtica, planes de informtica no orientados a las metas y estrategias del negocio, piratera de software, fuga de informacin hacia la competencia o proveedores, entre otros daos. La improductividad, el mal servicio y la carencia de soluciones totales de la funcin informtica fueron, son y pueden continuar siendo mal de muchas organizaciones. El problema real radica en que los proyectos prioritarios hacen gala del apoyo que obtienen de la informtica; entonces, por qu no cuidarla? Algunos de los problemas por las debilidades o fallas de la informtica son: Debilidades en la planeacin del negocio al no involucrar la informtica generan inconsistencias. Resultados negativos (improductividad, duplicidad de funciones, etc.) en el desarrollo, operacin y mantenimiento de sistemas de informacin. Falta de actualizacin del personal de informtica y tcnico donde se encuentran instalados los sistemas y las soluciones del negocio. Mnimo o nulo involucramiento de los usuarios en el desarrollo e implantacin de soluciones de informtica. Capacitacin deficiente en el usos de los sistemas de informacin, el 8 software (base de datos, procesadores de palabras, hojas de clculo, graficadores, etc.) y el hardware (equipos de cmputo, impresoras y otros perifricos, etc.). Administracin de proyectos que no es formal ni completa (no se alinea a los objetivos del negocio) Carencia de un proceso de anlisis costo / beneficio formal previo al arranque de cada proyecto de informtica. Metodologas de planeacin y desarrollo de sistemas informales no estandarizadas y en muchos casos inexistentes. Uso y entendimiento mnimo o inexistente de tcnicas formales para el desempeo de funciones en las reas de informtica: Anlisis y diseo de sistemas de informacin Entrevistas a usuarios operativos y ejecutivos Cuestionarios Modelacin de procesos Modelacin de datos Costo / beneficio, etctera. Control de proyectos. Trabajo en equipo de desempeo. Involucramiento mnimo o informal de la alta direccin en los proyectos de informtica. Proyectos de auditora o evaluacin de informtica espordicos e informales y en muchos casos inexistente. Otros. 9 2 __________________________________________________________________
Terminologa de la auditora en informtica
2.1 Informtica
La informtica se desarrolla con base en normas, procedimientos y tcnicas definidas por institutos establecidos a nivel nacional e internacional. La informtica es el campo que se encarga del estudio y aplicacin prctica de la tecnologa, mtodos, tcnicas y herramientas relacionados con las computadoras y el manejo de informacin por medios electrnicos, el cual comprende las reas de la tecnologa de informacin orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la informacin de las organizaciones fluya(entidades internas y externas de los negocios) de manera oportuna y veraz; adems es el proceso metodolgico que se desarrolla de manera permanente en las organizaciones para el anlisis, evaluacin, seleccin, implantacin y actualizacin de los recursos humanos (conocimientos, habilidades, normas, etc), tecnolgicos (hardware, software, etc.) materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones) encaminados al manejo de la informacin, buscando que no se pierdan los propsitos confiabilidad, oportunidad, integridad y veracidad entre otros propsitos.
Hardware se refiere a los componentes fsicos y tangibles de las computadoras, generalmente clasificados en cuatro grandes ramas: computadoras personales Redes (locales, abiertas, etc.) Minicomputadoras Supercomputadoras (mainframes)
Software implica la parte no fsica de las computadoras. Esto significa que es la porcin intangible de los equipos de cmputo, es decir, programas con 10 orientaciones especficas para la administracin de la informtica y el uso eficiente de los recursos de cmputo. Su clasificacin se puede resumir en los siguientes trminos: Software de aplicaciones (sistemas de informacin) Administrativos. Financieros. De manufactura. Otros. Software de paquetes computacionales (paquetera) Hojas electrnicas. Procesadores de palabras. Otros. Software de programacin Lenguajes de tercera generacin Lenguajes de cuarta generacin Software de sistemas operativos Para computadoras personales. Para minicomputadoras. Para supercomputadoras. Productos CASE (ComputerAided Software Enaineering) Para planeacin de sistemas de informacin. Para anlisis de sistemas de informacin. Para diseo de sistemas de informacin. Para todo ciclo de desarrollo e implantacin de sistemas de informacin (CDISI). Para Propsitos especficos Arquitectura. Auditora. Ingeniera. Medicina. Otras ciencias.
Sistemas de informacin: Son el conjunto de mdulos computacionales o manuales organizados e interrelacionados de manera formal para la administracin y uso eficiente de los recursos (humanos, materiales, financieros, tecnolgicos, etc.) de un rea especfica de la empresa (manufactura, administracin, direccin, etc.), con la finalidad de representar los procesos reales del negocio y orientar los procedimientos, polticas y funciones inherentes para lograr las metas y objetivos del negocio de forma eficiente. Los sistemas de informacin pueden orientarse al apoyo de los siguientes aspectos: - Niveles operativos del negocio - Niveles tcticos del negocio - Niveles estratgicos del negocio
Sistemas de informacin estratgica (SIE): Son aquellos que de manera permanente proporcionan a la alta direccin una serie de parmetros y acciones encaminadas a la toma de decisiones que apoyarn al negocio en el seguimiento 11 de la rentabilidad y competitividad respecto a la competencia.
Metodologa: Es un conjunto de etapas (fases o mdulos) formalmente estructurados, de manera que brinden a los interesados los siguientes parmetros de accin en el desarrollo de sus proyectos: Plan general y detallado. Tareas y acciones. Tiempos. Aseguramiento de calidad. Involucrados. Etapas (fases o mdulos). Revisiones de avance. Recursos requeridos. Otros. Una buena metodologa debe responder a los siguientes cuestionamientos: qu hacer?, Dnde debo hacerlo?,cmo plantearlos?, por qu aprobarlo?, cundo revisarlo?, cundo empezarlo?, quin debe hacerlo?, por qu debo hacerlo?, cmo aprobarlo?, quines deben comprometerse?, por qu revisarlo?, cundo terminarlo?, cmo justificarlo?, etctera.
Tcnicas: Es el conjunto de procedimientos y pasos ordenados que se usan con el desarrollo de un proyecto con el propsito de finalizar las etapas, fases o mdulos definidos en el proceso metodolgico. Algunas de las tcnicas generalmente aceptadas son: Anlisis estructurado Diseo estructurado Grficas de Pert Grficas de Gantt Documentacin Programacin estructurada Modulacin de datos y procesos Entrevistas Otras
Las tcnicas son el conjunto de pasos ordenados lgicamente para apoyarse en la terminacin (cmo hacerlo) de las acciones o tareas estimadas en el proyecto emanado de la metodologa.
Herramientas: Es el conjunto de elementos fsicos utilizados para llevar a cabo las acciones y pasos definidos en la tcnica. Antes del auge de las computadoras, as como de otros elementos tecnolgicos relacionados con la ingeniera, arquitectura, etc., dichas herramientas eran simples mquinas o utensilios manuales que apoyaban el desarrollo de las tareas de cada uno de los proyectos.
Herramientas de productividad: Ayudan a optimizar el tiempo de los recursos en el desarrollo de un proyecto; as mismo, se encaminan a proporcionar 12 resultados de alta calidad para apoyar el logro de las actividades administrativas relacionadas con procesos de informacin, por ejemplo; Procesadores de palabras (documentacin, entrevistas y cuestionarios entre otros) Diagramadores (diagramas de flujo, diagramas organizacionales, etc) Graficadores (estadsticas, estimacin de actividades en tiempo, costos, etctera) Productos CASE (modelacin de datos, modelacin de procesos, validacin de datos y procesos, generadores de diccionarios de datos, por citar algunos casos) Impresoras (lser, por ejemplo) Computadoras personales Otros. Las herramientas de productividad no se asocian necesariamente con inversiones elevadas en la compra de hardware y software especializado; se relacionan con los recursos mecnicos o automatizados que apoyan al personal en la obtencin de productos de calidad en niveles de productividad aceptados por los lderes de proyectos, o definidos por los estndares de trabajo del negocio.
2.2 Auditoria
Con frecuencia la palabra auditoria se ha empleado incorrectamente y se ha considerado como una valuacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha llegado a acuar la frase "tiene auditoria" como sinnimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se esta haciendo la auditoria. El concepto de auditoria es ms amplio: no slo detecta errores, sino que es un examen crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un organismo. La palabra auditora viene del latn auditorius, y de sta proviene auditor, que tiene la virtud de or, y el diccionario lo define como "revisor de cuentas auditor". El auditor tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de recursos alternativos de accin, se tome decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad, fuerza, para poder obrar" mientras que eficiencia es: "virtud y facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Boletn "C" de Normas de Auditoria del Instituto Mexicano de Contadores nos dice. "La auditoria no es una actividad meramente mecnica que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carcter indudable. La auditora requiere el ejercicio de un juicio profesional, slido y maduro, para juzgar los procedimientos que debe de seguir y 13 estimar los resultados obtenidos". As como existen normas y procedimientos especficos para la realizacin de auditorias contables, debe haber tambin normas y procedimientos para la realizacin de auditorias en informtica como parte de una profesin . Pueden estar basadas en las experiencias de otras profesiones pero con algunas caractersticas propias y siempre deteccin de errores, y adems la auditora debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solucin.
2.3 Tareas principales de la auditora
Estudiar y actualizar permanentemente las reas susceptibles de revisin. Apegarse a las tareas que desempeen las normas, polticas, procedimientos y tcnicas de auditora establecidas por organismos generalmente aceptados a nivel nacional e internacional. Evaluacin y verificacin de las reas requeridas por la alta direccin o responsables directos del negocio. Elaboracin del informe de auditora (debilidades y recomendaciones). Otras recomendadas para el desempeo eficiente de la auditora.
2.4 Auditora en informtica
La auditora en informtica se desarrolla en funcin de normas, procedimientos y tcnicas definidas por institutos establecidos a nivel nacional e internacional; por ello, nada ms se sealarn algunos aspectos bsicos para su entendimiento. As, la auditora en informtica es: a) Un proceso formal ejecutado por especialistas del rea de auditora y de informtica; se orienta a la verificacin y aseguramiento para que las polticas y procedimientos en la organizacin se realicen de una manera oportuna y eficiente. b) Las actividades ejecutadas por profesionales del rea de informtica y de auditora encaminadas a evaluar el grado de cumplimiento de polticas, controles y procedimientos correspondientes al uso de los recursos de informtica por el personal de la empresa (usuarios, informtica, alta direccin, etc.).Dicha evaluacin deber ser la pauta para la entrega del informe de auditora en informtica, el cual debe contener las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y optimizacin permanente de la tecnologa de informtica en el negocio. c) El conjunto de acciones que realiza el personal especializado en las reas de auditora y de informtica para el aseguramiento continuo de que los recursos de informtica operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta direccin o 14 niveles ejecutivos la certeza de que la informacin que circula por el rea se maneja con los conceptos bsicos de integridad, totalidad, exactitud, confiabilidad, etctera. d) Proceso metodolgico que tiene el propsito principal de evaluar los recursos (humanos, materiales, financieros, tecnolgicos, etc.) relacionados con la funcin de informtica para garantizar al negocio que dicho conjunto opere con un criterio de integracin y desempeo de niveles altamente satisfactorios, para que a su vez apoyen la productividad y rentabilidad de la organizacin.
La tecnologa de informtica, traducida en hardware, software, sistemas de informacin, investigacin tecnolgica, redes locales, base de datos, ingeniera de software, telecomunicaciones, servicios y organizacin de informtica, es una herramienta estratgica que brinda rentabilidad y ventajas competitivas a los negocios frente a sus similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado. Para darse cuenta si se est administrando de manera correcta la funcin de la informtica es necesario que se evale dicha funcin mediante evaluaciones oportunas y completas por personal calificado consultores externos, auditores en informtica o evaluaciones peridicas realizadas por el mismo personal de informtica, entre otras estrategias.
3.2 Formas de llevar a cabo una auditoria en informtica
La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la empresa, o sea, que puede optar por su disolucin en cualquier momento. Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditora Interna, debido al mayor distanciamiento entre auditores y auditados. La auditora en informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditorias convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las auditorias, especialmente cuando las consecuencias de 16 las recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costos de tal sistema. Con voz, pero a menudo sin voto, el rea de informtica trata de satisfacer lo ms adecuadamente, posible aquellas necesidades. La empresa necesita controlar su Informtica y sta; necesita que su propia gestin est sometida a los mismos procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno en informtica. En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una auditora propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de control interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas. Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados. Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa. Servir como mecanismo protector de posibles auditorias en informtica externas decretadas por la misma empresa. Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorias externas como para tener una visin desde afuera de la empresa. La auditora en informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin de auditoria puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente.
3.3 Sntomas de necesidad de una Auditoria Informtica:
Las empresas acuden a las auditorias en informtica cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:
Sntomas de descoordinacin y desorganizacin: No coinciden los objetivos de la Informtica de la empresa y de la propia 17 empresa. Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna norma importante] Sntomas de mala imagen e insatisfaccin de los usuarios: No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles. Sntomas de debilidades econmico-financiero: Incremento desmesurado de costos. Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costos y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin). Sntomas de Inseguridad: Evaluacin de nivel de riesgos Seguridad Lgica Seguridad Fsica Confidencial dad [Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales] Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia' Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, seria prcticamente intil la auditoria. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.
* Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea 18 telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.
3.4 Herramientas y Tcnicas para la Auditoria Informtica:
3.4.1 Cuestionarios:
Las auditorias en informtica se materializan recabando informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin evidencias. Para esto, suele ser lo habitual comenzar solicitando la complementacin de cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran proporcionado.
3.4.2 Entrevistas:
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas:
1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad, 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del 19 auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.
3.4.3 Checklist:
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la complementacin sistemtica de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma. Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente a travs de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica. El auditor deber aplicar el Checklist de modo que el audtado responda 20 clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de filosofa" de calificacin o evaluacin:
a. Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)
Ejemplo de Checklist de rango:
Se supone que se est realizando una auditoria sobre la seguridad fsica de una instalacin y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Clculo. Podran formularse las preguntas que figuran a continuacin, en donde las respuestas tiene los siguientes significados:
Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeo guin. La complementacin del Checklist no debe realizarse en presencia del auditado.
-Existe personal especfico de vigilancia externa al edificio?
-No, solamente un guarda por la noche que atiende adems otra instalacin 21 adyacente.
<Puntuacin: 1 >
-Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en los aledaos del Centro de Clculo?
-Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuacin: 2>
-Hay salida de emergencia adems de la habilitada para la entrada y salida de mquinas?
-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
<Puntuacin: 2>
-El personal de Comunicaciones, Puede entrar directamente en la Sala de Computadoras?
-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente salvo causa muy justificada, y avisando casi siempre al Jefe de Explotacin.
<Puntuacin: 4>
El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) 14 = 2,25 Deficiente.
b. Checklist Binaria
Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente, equivalen a 1 (uno) o 0(cero), respectivamente.
Ejemplo de Checklist Binaria:
Se supone que se est realizando una Revisin de los mtodos de pruebas de programas en el mbito de Desarrollo de Proyectos.
-Existe Normativa de que el usuario final compruebe los resultados finales de los programas? <Puntuacin: 1> -Conoce el personal de Desarrollo la existencia de la anterior normativa? <Puntuacin: 1> -Se aplica dicha norma en todos los casos? <Puntuacin: 0> -Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales? <Puntuacin: 0> 22 Obsrvese como en este caso estn contestadas las siguientes preguntas: -Se conoce la norma anterior? <Puntuacin: 0> -Se aplica en todos los casos? <Puntuacin: 0> Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la evaluacin que en los checklist binarios. Sin embargo, la bondad del mtodo depende excesivamente de la formacin y competencia del equipo auditor. Los Checklists Binarios siguen una elaboracin inicial mucho ms ardua y compleja. Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genrico del <si o no> frente a la mayor riqueza del intervalo. No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin correspondientes en las preguntas a realizar.
3.4.4 Trazas y/o Huellas:
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa. Muy especialmente, estas Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo. Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan los lmites. No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log*> de dicho Sistema, en donde se 23 recogen las modificaciones de datos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, perifricos, etc. [La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.].
*Log: El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se hace es volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la informacin que est en el Sistema o que existe dentro de la base de datos.
3.4.5 Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente <paquetes de auditora>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico. Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin. En la actualidad, los productos de software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin. Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin ms relevante para su trabajo. Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin parcial generada por la organizacin informtica de la Compaa. Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar informacin de los mencionados usuarios finales, lo cual puede realizar con suma 24 facilidad con los polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe realizarse principalmente con los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc. 25 4 __________________________________________________________________
Tipos de auditorias
4.1. Concepto de auditoria en informtica
Despus de analizar los conceptos de auditora y de informtica, los diferentes tipos de auditora, as como su interrelacin con informtica, nos hacemos las preguntas: Qu es auditora en informtica? Y cual es su campo de accin?
Auditora en informtica es la revisin y evaluacin de los controles, sistemas, procedimientos de informtica, de los equipos de computo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditora en informtica deber comprender no slo la evaluacin de los equipos de computo o de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. Ello debe incluir los equipos de computo como la herramienta que permite obtener la informacin adecuada y la organizacin especfica (departamento de computo, departamento de informtica, gerencia de procesos electrnicos, etc) que har posible el uso de los equipos de computo.
Su campo de accin ser:
A. La evaluacin administrativa del departamento de proceso electrnicos. B. La evaluacin de los sistemas y procedimientos, y de la eficacia que se tiene en el uso de la informtica. C. La evaluacin del proceso de datos y de los equipos de computo.
Para lograr los puntos antes sealados necesitas:
26 A. Evaluacin administrativa del departamento de informtica.
Esto comprende la evaluacin de:
- Los objetivos de departamento, direccin o gerencia. - Metas, planes, polticas y procedimientos de procesos electrnicos estndar. - Organizacin del rea y su estructura orgnica. - Funciones y niveles de autoridad y responsabilidad del rea de procesos electrnicos. - Integracin de los recursos materiales y tcnicos. - Direccin costos y controles presupustales. - Controles administrativos del rea de procesos electrnicos.
B. Evaluacin de los sistemas v procedimientos, y de la eficiencia que se tienen en el uso de la informacin que comprende:
- Evaluacin del anlisis de los sistemas y sus diferentes etapas - Evaluacin del diseo lgico del sistema - Evaluacin del desarrollo fsico del sistema. - Control de proyectos. - Control de sistemas y programacin - Instructivos y documentacin - Formas de implantacin - Seguridad fsica y lgica de los sistemas - Confidencialidad de los sistemas - Controles de mantenimiento y forma de respaldo de los sistemas. - Utilizacin de los sistemas.
C. Evaluacin del proceso de datos y de los equipos de computo que comprende:
- Controles de los datos fuente y manejo de cifras de control - Control de operacin - Control de salida - Control de asignacin de trabajo. - Control de medios de almacenamiento masivos. - Control de otros elementos de computo - Orden en el centro de computo - Seguridad fsica y lgica - Confidencialidad - Respaldos.
La interrelacin que debe existir entre la auditora en informtica y los diferentes tipos de auditora en la siguiente: El ncleo o centro de la informtica son los programas, los cuales pueden ser auditados por medio de la auditora de programas. Estos programas se usan 27 en la computadoras de acuerdo con la organizacin del centro de computo (personal). La auditora en informtica debe evaluar el todo (informtica, organizacin del centro de computo, computadoras y programas) con auxilio de los principios de auditora administrativa, auditora interna, auditora contable/financiera y, a su vez, puede proporcionar informacin a esos tipos de auditora, y las computadoras deben ser una herramienta para la realizacin de cualquiera de las auditorias. Como se ve, la evaluacin a desarrollar para la realizacin de la auditora en informtica deben hacerla personas con alto grado de conocimiento en informtica y con mucha experiencia en el rea.
4.2 Auditoria interna y auditoria contable/financiera
El boletn E-02 del Instituto Mexicano de Contadores, seala con respecto al control interno: "El estudio y evaluacin del control interno se efecta con el objeto de cumplir con la norma de ejecucin del trabajo que requiere que: el auditor debe efectuar un estudio y evaluacin adecuados del control interno existente, que les sirvan de base para determinar el grado de confianza que va a depositar en el, as mismo, que el permita determinar la naturaleza, extensin y oportunidad que va a dar a los procedimientos de auditoria".
4.2.1 Definicin de control interno.
"El control interno comprende el plan de organizacin y todos los mtodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su informacin financiera, promover la eficiencia operacional y provocar la adherencia a las polticas prescriptas por la administracin".
4.2.2 Objetivos del control interno.
a) Los bsicos son:
(1) La proteccin de los activos de la empresa. (2) La obtencin de informacin financiera veraz, confiable y oportuna. (3) La promocin de la eficiencia en la operacin del negocio. (4) Lograr que en la ejecucin de las operaciones se cumplan las polticas establecidas por los administradores de la empresa.
Se ha definido que los dos primeros objetivos abarcan el aspecto de controles internos contables y los dos ltimos se refieren a controles internos administrativos.
28 b) Generales
El control contable comprende el plan de organizacin y los procedimientos y registros que se refieren a la proteccin de los activos y a la confiabilidad de los activos y la confiabilidad de los registros financieros. Por lo tanto, el control interno contable est diseado en funcin de los objetivos de la organizacin para ofrecer seguridad razonable de que: las operaciones se realizan de acuerdo con las normas y polticas sealados por la administracin. Cuando hablamos de los objetivos de los controles contables internos podremos identificar dos niveles. a) Objetivos generales de control interno aplicables a todos los sistemas y b) Objetivos de control interno aplicables a ciclos de transacciones
Los objetivos generales de control aplicables a todos los sistemas se desarrollan a partir de los objetivos bsicos de control interno enumerados anteriormente, siendo ms especficos para facilitar su aplicacin. Los objetivos de control de ciclos se desarrollan a partir de los objetivos generales de control de sistema, para que se aplique a las diferentes clases de transacciones agrupadas en un ciclo. Los objetivos generales de control interno de sistema pueden resumirse a continuacin:
1. Objetivos de autorizacin.
Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o especificaciones de la administracin. Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administracin. Las transacciones deben ser vlidas para conocerse y ser sometidas oportunamente a su aceptacin. Todas aquellas que renan los requisitos establecidos por la administracin deben reconocerse como tales y procesarse a tiempo. Los resultados del procedimiento de transacciones deben comunicarse oportunamente y estar respaldados por archivos adecuados.
2. Objetivos del procesamiento y clasificacin de transacciones
Todas las operaciones deben registrarse para permitir la preparacin de estados financieros en conformidad con los principios de contabilidad generalmente aceptados o con cualquier otro criterio aplicable a los estados y para mantener en archivos apropiados los datos relativos a los activos sujetos a custodia. Las transacciones deben clasificarse en forma tal que permitan la preparacin de estados financieros en conformidad con los principios de contabilidad generalmente aceptados y el criterio de la administracin. Las transacciones deben quedar registradas en el mismo periodo contable, cuidando especialmente que se registren aquellas que afectan ms de un ciclo. 29 3. Objetivo de salvaguarda fsica.
El acceso a los activos slo debe permitirse de acuerdo con autorizaciones de la administracin.
4. Objetivo de verificacin y evaluacin.
Los datos registrados relativos a los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonables y tomar las medidas apropiadas respecto a las diferencias que existan. As mismo, deben existir controles relativos a la verificacin y evaluacin peridica de los saldos que se incluyen en los estados financieros, ya que este objetivo complementa en forma importante los mencionados anteriormente. Estos objetivos generales del control interno de sistemas son aplicables a todos los ciclos. No se trata de que se usen directamente para evaluar las tcnicas de control interno de una organizacin, pero representan un base para desarrollar objetivos especficos de control interno por ciclos de transacciones que sean aplicables a una empresa individual. El rea de informtica puede interactuar de dos maneras en el control interno. La primera es servir de herramienta para llevar a cabo un adecuado control interno y la segunda es tener un control interno del rea y del departamento de informtica. En el primer caso se lleva el control interno por medio de la evaluacin de una organizacin, utilizando la computadora como herramienta que auxiliar en el logro de los objetivos del control interno, lo cual se puede hacer por medio de paquetes de auditoria. Y esto debe ser considerado como parte del control interno con informtica. En el segundo caso se lleva a cabo el control interno de informtica. Es decir, como se seala en los objetivos del control interno, se deben proteger adecuadamente los activos de la organizacin por medio del control para que se obtengan la informacin en forma veraz, oportuna y confiable, se mejore la eficiencia de la operacin de la organizacin mediante la informtica y en la ejecucin de las operaciones de informtica se cumplan las polticas establecidas por la administracin de todo ello debe ser considerado como control interno de informtica. Al estudiar los objetivos del control interno podemos ver en primer lugar que, aunque en auditoria en informtica el objetivo es ms amplio, se deben tener en cuenta los objetivos generales del control interno aplicables a todo ciclo de transacciones. La auditoria en informtica debe tener presentes los objetivos de autorizacin, procesamiento y clasificacin de transacciones, as como los de salvaguarda fsica, verificacin y evaluacin de los equipos y de la informacin. La diferencia entre los objetivos de control interno desde un punto de vista contable financiero es que, mientras stos estn enfocados a la evaluacin de una organizacin mediante la revisin contable financiera y de otras operaciones, los objetivos del control interno a informtica estn orientados a todos los sistemas en general, al equipo de computo y al departamento de informtica, para lo cual se 30 requieren conocimientos de contabilidad, finanzas, recursos humanos, administracin, etc. Y un conocimiento profundo y experiencia en informtica. La auditoria interna debe estar presente en todas y cada una de las partes de la organizacin. Ahora bien, la pregunta que normalmente se plantea es, cul debe ser su participacin dentro del rea de informtica? Como ya vimos, la informtica es en primer lugar una herramienta muy valiosa para tener un adecuado control y un auxiliar de la auditoria interna. Pero, segn este concepto, la auditoria interna puede considerarse como un usuario del rea de informtica.
Se ha estudiado que los objetivos generales del control interno son:
Autorizacin Procesamiento y clasificacin de las transacciones Salvaguarda fsica Verificacin y evaluacin
Con base en los objetivos y responsabilidades del control interno podemos hacer otras dos preguntas: De qu manera puede participar el personal de control interno en el diseo de los sistemas? y qu conocimientos debe tener el personal de control interno para poder cumplir adecuadamente sus funciones dentro del rea de informtica? Las respuestas a estas preguntas dependern del nivel que tenga el control interno dentro de la organizacin, pero en el diseo general y detallado de los sistemas se debe incluir a personal de la contralora interna, que habr de tener conocimientos de informtica, pero no se requerir que sea especialistas ya que slo intervendrn en el diseo general del sistema, diseo de controles, sistemas de seguridad, respaldo y confidencialidad del sistema, sistemas se verificacin. Habr de comprobar que las frmulas de obtencin del impuesto sobre el producto del trabajo, el clculo del pago del seguro social, etc., pero no debern intervenir en la elaboracin de los sistemas, bases de datos o programacin. Y tendrn que comprobar que lo sealado en el diseo general sea igual a lo obtenido en el momento de implantacin, para que puedan dar su autorizacin a la corrida en paralelo. El auditor interno, en el momento de que se estn elaborando los sistemas, debe participar en estas etapas, para:
1. Asegurarse de verificar que los requerimientos de seguridad y de auditora sean incorporados, y participar en la revisin de puntos de verificacin. 2. Revisar la aplicacin de los sistemas y de control tanto con el usuario como en el centro de informtica. 3. Verificar que las polticas de seguridad y los procedimientos estn incorporados al plan en caso de desastre. 4. Incorporar tcnicas avanzadas de auditora en los sistemas de computo.
Los sistemas de seguridad no pueden llevarse a cabo a menos que existan 31 procedimientos de control y un adecuado plan en caso de desastre, elaborados desde el momento en el que se disea el sistema. El auditor interno desempea una importante funcin al participar en los planes a largo plazo y en el diseo detallado de los sistemas y su implantacin, de tal manera que se asegure de que los procedimientos de auditora y de seguridad sean incorporados a todas y cada una de las fases del sistema.
4.2.3 Clase de controles internos
4.2.3.1 Atendiendo al momento en que se acta, pueden ser:
a) Controles preventivos: establecen las condiciones necesarias para que el error no se produzca. Como ejemplos de controles preventivos tenemos la segregacin de funciones, la estandarizacin de procedimientos, las autorizaciones, los passwords, o los formularios prenumerados. b) Controles detectivos: Identifican el error pero no lo evitan, actuando como alarmas que permiten registrar el problema y sus causas. Sirven como verificacin del funcionamiento de los procesos y de sus controles preventivos. Como ejemplos tenemos la validacin de los datos de entrada, cuando se realiza con posterioridad al procesamiento de dichos datos, los totales de control, los controles cruzados, o los controles de supervisin, estos ltimos se componen de tres tipos de controles: 1. Controles de aplicaciones. 2. Controles de tecnologas de la informacin. 3. Controles de usuario c) Controles correctivos: Permiten investigar y rectificar los errores y sus causas, estn destinados a procurar que las acciones necesarias para su solventacin sean tomadas. Como ejemplos tenemos los listados de errores, las evidencias de auditoria o las estadsticas de causas de errores.
4.2.3.2. Los controles de supervisin
Son procedimientos utilizados por la direccin para poder alcanzar los objetivos del negocio y as controlarlo. Este tipo de controles proporcionan a la direccin (y por lo tanto, a los auditores) seguridad en cuanto a la fiabilidad de la informacin financiera. Dichos controles pueden estar incluido, de un modo intrnseco, en las actividades recurrentes de una entidad o consistir en una evaluacin peridica independiente, llevada a cabo normalmente por la direccin. La frecuencia de estas evaluaciones depende del juicio de la direccin. Mediante estos controles podremos detectar errores significativos y realizar un control continuo de la 32 fiabilidad y de la eficacia de los procesos informticos.
Controles de supervisin: controles de las aplicaciones
Son un conjunto de procedimientos programados y manuales diseados especialmente para cada aplicacin con el fin de cumplir con objetivos especficos de control utilizando una o ms tcnicas. Los podemos clasificar en: a) Controles sobre captura de datos: sobre altas de movimientos, modificaciones de movimientos, consultas de movimientos, mantenimiento de los ficheros. b) Controles de proceso de datos: normalmente se incluyen en los programas. Se disean para detectar o prevenir los siguientes tipos de errores (entrada de datos repetidos, procesamiento y actualizacin de ficheros o ficheros equivocados, entrada de datos ilgicos, prdida o distorsin de datos durante el proceso). c) Controles de salida y distribucin: Los controles de salida se disean para asegurarse de que el resultado del proceso es exacto y que los informes y dems salidas solo las personas que estn autorizadas, lo reciben. Para solucionar deficiencias de control de una aplicacin ser necesario retroceder a las etapas iniciales teniendo en cuenta que: 1. Los controles deben contemplar la secuencia de los procesos (manuales y programados) de una aplicacin. Muchos controles de aplicacin sern efectuados por personas, pero dependern del ordenador, siendo una combinacin de procedimientos de control programados y controles de los usuarios. Dado que muchos controles de aplicacin dependen de procedimientos contables y/o de controles programados y el correspondiente procesamiento informtico, la eficacia de los controles de las aplicaciones, y, en consecuencia, el logro de los objetivos de control de las mismas, casi siempre dependern de los controles informticos. 2. Las tcnicas aplicadas se disean para cubrir toda la vida de una transaccin o documento, desde su inicio hasta su destino final en el ordenador. 3. La extensin y rigidez de los controles pueden ser diferentes dependiendo de que los datos sean permanentes o transitorios. 4. Prestar especial consideracin al objetivo verdadero de cada control, evaluando el costo de operacin del control y las prdidas que podra generar su omisin.
Totalidad de las entradas
Las tcnicas de control utilizadas para asegurar la totalidad de las entradas son: a) Conciliacin de totales: Un ejemplo de conciliacin de totales sera comprobar que el auxiliar de proveedores coincide con el saldo de proveedores en el sistema central. Otro ejemplo sera comprobar que el saldo con el banco segn extracto bancario coincide con el saldo segn contabilidad, y si no es as buscar las partidas conciliatorias. 33
Verificacin de la secuencia numrica. Comprobar que los documentos siguen la secuencia numrica de manera establecida de manera que no falte ningn documento. Confrontacin de ficheros. Comprobacin uno por uno.
Exactitud de la entrada
Las tcnicas de control utilizadas para asegurar la exactitud de las entradas son: Conciliacin de totales. Confrontacin de ficheros. Comprobacin uno por uno. Controles de validacin o edicin: a) Prueba de existencia: la informacin introducida concuerda con informacin similar existente en un fichero maestro (como ejemplo de documento maestro de una empresa tenemos el fichero con los datos de todos nuestros clientes) o de referencia? b) Prueba de pantalla: los detalles correspondientes a un cdigo o a un nmero de partida se visualizan en pantalla para que el usuario pueda comprobar dichos detalles c) Prueba de dependencia: tienen sentido los datos introducidos? El ordenador puede comprobar una relacin predeterminada entre los datos. d) Prueba de sintaxis o de formato: se comprueba que nicamente se introduzcan datos numricos cuando el campo sea numrico o datos alfanumricos, cuando el campo sea alfanumrico. e) Prueba de razonabilidad: consiste en verificar si el valor de un dato est comprendido entre los lmites lgicos previamente definidos.
Autorizacin de las entradas
Las tcnicas de control utilizadas para asegurar la autorizacin de las entradas son: Momento de la autorizacin. Confrontacin programada. Autorizacin manual. Autorizacin en lnea Los controles sobre las entradas de datos deben contemplar procedimientos de actuacin con las transacciones errneas que son rechazadas por los controles preventivos. En sistemas de autorizacin en lnea los errores se detectan en el momento de su entrada, las medidas correctivas se pueden iniciar inmediatamente. Existen, sin embargo, ocasiones en que determinados errores pueden ser detectados en una fase posterior del proceso. Estos errores deben ser comunicados, tomndose 34 las medidas correctivas correspondientes. Con una combinacin de procedimientos programados y manuales se debe garantizar la investigacin inmediata de las causas de los rechazos, la correccin adecuada de los errores, el registro y seguimiento de las transacciones pendientes de corregir y la existencia de una nueva autorizacin de las correcciones hechas a los datos claves o sensibles. Con todos estos controles conseguiremos que todos los rechazos vuelvan a entrar en el ordenador de forma exacta y autorizada.
Totalidad y exactitud de la actualizacin
Las tcnicas de control utilizadas para asegurar la totalidad y exactitud de las actualizaciones son principalmente: Controles de totalidad y exactitud de las entradas. Conciliacin manual de los totales. Controles de proceso a proceso que incluyen: a) Totales de los ficheros b) Listados de detalle. c) Transacciones generadas por la aplicacin
En cuanto a este ltimo tipo de controles:
En toda aplicacin informtica los datos contenidos en los ficheros deben ser tratados por ciertos procesos antes de la emisin de la informacin de salida. Los ms comunes son: Clculo: Generacin de informacin utilizando datos de uno o ms ficheros en base a rutinas predeterminadas. Resumen: Acumulacin de los valores de las transacciones de un fichero para generar totales. Clasificacin: Acumulacin de totales de un fichero en base al anlisis de cuentas, cdigos o campos de las transacciones. Para este tipo de procesos, la aplicacin debe tener controles que permitan asegurar: El funcionamiento adecuado y continuo de los programas que efectan los procesos El proceso de la totalidad de las transacciones. La integridad (totalidad y exactitud) de los ficheros utilizados en los procesos. Que la generacin o versin de los ficheros procesados ha sido la correcta. La comprobacin manual de la correccin de la informacin generada por los procesos.
Segregacin de funciones
El objetivo principal de la segregacin de funciones es imposibilitar el fraude por parte de los empleados, de tal manera que un empleado que tenga la oportunidad de hurtar activos no pueda ocultar el fraude mediante la manipulacin 35 contable.
Controles de supervisin: controles de la tecnologa de la informacin:
Son el conjunto de normas y procedimientos que deben existir en todo Centro de Proceso de Datos para asegurar la confidencialidad, integridad y disponibilidad de los datos informatizados. Aseguran que los procedimientos programados dentro de un sistema informtico se diseen, implanten, mantengan y operen de forma adecuada y que solo se introduzcan cambios autorizados en los programas y en los datos. Dentro de los controles de la tecnologa de la informacin nos encontraremos con distintos tipos de controles: Controles de desarrollo e implantacin de aplicaciones. Controles de mantenimiento: destinados a asegurar que las modificaciones de los procedimientos programados estn adecuadamente diseadas, probadas, aprobadas e implantadas. Controles de explotacin. Controles de Seguridad de Programas: destinados a garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados Controles de Seguridad de Ficheros de datos: destinados a asegurar que no se puedan efectuar modificaciones no autorizadas en los archivos de datos. Controles de la Operacin Informtica: destinados a garantizar que los procedimientos programados autorizados se aplican de manera uniforme y se utilizan versiones correctas de los ficheros de datos. Controles de Conversin de ficheros: destinados a garantizar una completa y exacta conversin de los datos de un sistema antiguo a uno nuevo. Controles de Software Sistema: destinados a asegurar que se implante un software de sistema apropiado y que se encuentre protegido contra modificaciones no autorizadas. Controles de implantacin: destinados a asegurar que los procedimientos programados para los nuevos sistemas son adecuados y estn efectivamente implantados, y que el sistema est diseado para satisfacer las necesidades del usuario Si los sistemas informticos estuviesen funcionando inadecuadamente y esta situacin pudiese influir en la fiabilidad de los datos o poner en peligro otros objetivos de control, tendra conocimiento de ello la alta direccin?. A diferencia de los controles de supervisin de las aplicaciones, los controles de supervisin informticos estn relacionados con entornos informticos que generalmente cubren varias aplicaciones. Por ejemplo, los controles utilizados para supervisar la seguridad de los sistemas generalmente sern los mismos para el ciclo de ventas y para el ciclo de compras. 36 Los controles de supervisin informticos se consideran en trminos de categoras ms que de ciclos (a diferencia de los controles de supervisin de aplicaciones). A continuacin se tratan ms ampliamente algunos de los controles enumerados anteriormente:
Controles de mantenimiento: Las solicitudes para introducir modificaciones en los programas deben tramitarse de forma adecuada, adems de someterse a pruebas. La documentacin tcnica debe estar actualizada con el fin de reflejar las modificaciones de los programas. Este tipo de controles van a limitar los riesgos que comportan las modificaciones de las aplicaciones. Algunos de los riegos con los que nos podemos encontrar son: la prdida de solicitudes de cambio, que haya cambios duplicados, cambios que no se ajusten a los requerimientos del usuario, perder demasiado tiempo en la resolucin de problemas debido a la falta de documentacin tcnica o la existencia de cambios no autorizados en las aplicaciones que afecten negativamente a las operaciones y/o a la integridad de la informacin. Controles de desarrollo e implantacin de aplicaciones: La direccin del proyecto debe garantizar que el control del diseo, desarrollo e implantacin de las nuevas aplicaciones es adecuado. Es por eso que las aplicaciones deben disearse de forma adecuada para alcanzar las exigencias de control de las aplicaciones y del negocio. Y en caso de que implantemos un paquete informtico adaptado nos aseguraremos que cumple con dichas exigencias. En caso de no existir estos controles nos podemos encontrar con varios problemas: que los costos estn por encima de los presupuestados por lo que se podra producir un retraso en la entrega del proyecto, que los proyectos no se ajusten a los requerimientos del usuario, que haya errores en las aplicaciones, que conviertan de forma errnea los datos o que las aplicaciones se infrautilicen o se utilicen incorrectamente debido a la ausencia de documentacin tcnica y de formacin. Controles de seguridad informtica: La direccin debe asegurar la implantacin de polticas de control de acceso basadas en el nivel de riesgo que se derivara del acceso a los programas y a los datos. El acceso a funciones concretas dentro de las aplicaciones debe estar adecuadamente restringido para asegurar la segregacin de funciones relevantes y evitar actividades no autorizadas adems de estar restringido el acceso fsico a los ordenadores. Este tipo de controles evitarn el riesgo de fraude o de que informacin confidencial o sensible llegue a personas no autorizada dentro o fuera de la sociedad. Otro riesgo que evitaramos con la seguridad fsica sera el posible dao o destruccin de las instalaciones informticas como resultado de incendios, inundaciones o sabotajes que podran interrumpir la ejecucin de los procesos. Controles de operaciones informticas: Los procedimientos de 37 operaciones que cubren procesos diferidos o por lotes que se realizan en momentos especficos deben estar documentados, programados y mantenidos de forma adecuada. Las copias d seguridad de los programas y de los datos deben estar siempre disponibles para casos de emergencia. Las instalaciones informticas de los usuarios finales deben ser apropiadas para las necesidades del negocio y controladas para maximizar la compatibilidad y apoyar eficazmente al usuario. Con todos estos controles podremos evitar fallos en los equipos y en el software o como mnimo tendremos capacidad para recuperarnos de ellos (ya que la continuidad del negocio puede estar en juego) o sacar poco rendimiento de los sistemas informticos.
Controles de supervisin: controles de los usuarios
Son los procedimientos manuales tradicionales que se deben ejecutar sobre los documentos y transacciones antes y despus de su proceso en el ordenador para comprobar el adecuado y continuo funcionamiento de los controles de las aplicaciones.
4.3 Auditora administrativa [1 pgina 8-9]
Willian P. Leonard la define como "el examen global y constructivo de la estructura de una empresa, de una institucin, una seccin del gobierno a cualquier parte de una organismo, en cuanto a su planes y objetivos, sus mtodos y controles, su forma de operacin y sus facilidades humanas y fsicas". Se lleva a cabo una revisin y consideracin de la empresa organizacin con el fin de precisar:
Prdidas y deficiencias Mejores mtodos Mejores formas de control Operaciones ms eficientes Mejor uso de los recursos fsicos y humanos.
La auditoria administrativa debe llevarse a cabo como parte de la auditora del rea de informtica. Se ha de considerar dentro del programa de trabajo de auditora en informtica, tomando principios de la auditora administrativa para aplicarlos al rea de informtica. Se deber evaluar el departamento de informtica de acuerdo con:
a) su objetivo b) metas, planes, polticas y procedimientos c) organizacin
38 d) estructura orgnica e) funciones f) niveles de autoridad y responsabilidad
Es importante tener en cuenta los siguientes factores:
Elemento humano Organizacin (manual de organizacin) Integracin Direccin Supervisin Comunicacin y coordinacin Delegacin Recursos materiales Recursos tcnicos Recursos financieros Control
4.4 Concepto de auditoria con Informtica [1 pgina 9-16]
Los procedimientos de auditora con informtica varan de acuerdo con la filosofa y tcnica de cada departamento de auditora en particular. Sin embargo, existen ciertas tcnicas y/o procedimientos que son compatibles en la mayora de los ambientes de informtica. Estas tcnicas caen en dos categoras: mtodos manuales y mtodos asistidos por computadora.
Utilizacin de las tcnicas de auditorias asistidas por computadora.
En general, el auditor debe utilizar la computadora en la ejecucin de la auditora, ya que esta herramienta permitir ampliar la cobertura del examen, reduciendo el tiempo/costo de las pruebas y procedimientos de muestreo, que de otra manera tendra que efectuarse manualmente. Adems, el empleo de la computadora por el auditor le permite familiarizarse con la operacin del equipo en el centro de computo de la institucin. Una computadora puede ser empleada por el auditor en:
Verificacin de cifras totales y clculos para comprobar la exactitud de los reportes de salidas producidos por el departamento de informtica. Pruebas de los registros de los archivos para verificar la consistencia lgica, la validacin de condiciones y la razonabilidad de los montos de las operaciones. Clasificacin de datos y anlisis de la ejecucin de procedimientos. Seleccin e impresin de datos mediante tcnicas de muestreo y confirmaciones. Llevar a cabo en forma independiente una simulacin del proceso de 39 transacciones para verificar la conexin y consistencia de los programas de computadora.
Con fines de auditoria el auditor interno puede emplear la computadora para:
a) Utilizacin de paquetes para auditora, por ejemplo, paquetes provenientes del fabricante de equipos, firmas de contadores pblicos o compaas de software. b) Supervisar la elaboracin de programas que permitan el desarrollo de la auditora interna. c) Utilizacin de programas de auditora desarrollados por proveedores de equipo y que bsicamente verifican la eficiencia en el empleo del computador o miden la eficiencia de los programas, su operacin o ambas cosas. Todos los programas o paquetes empleados en la auditora deben permanecer bajo estricto control del departamento de auditora. Por esto, toda la documentacin, material de pruebas, listados fuente, programas fuente y objeto, adems de los cambios que se les hagan, sern responsabilidad del auditor. En aquellas instalaciones que cuentan con bibliotecas de programas catalogados, los programas de auditora pueden ser guardados utilizando contraseas de proteccin, situacin que sera aceptable en tanto se tenga el control de las instrucciones necesarias para la recuperacin y ejecucin de los programas desde la biblioteca donde estn almacenados. Si los procedimientos de control interno dentro del sistema de computo no permiten un estricto control del departamento de auditora, los programas de auditora no deberan ser catalogados. Los programas desarrollados con objeto de hacer auditora deben estar cuidadosamente documentados para definir sus propsitos y objetivos y asegurar una ejecucin continua. Cuando los programas de auditora estn siendo procesados, los auditores internos debern asegurarse de la integridad del procesamiento mediante controles adecuados como:
1. Mantener el control bsico sobre los programas que se encuentren catalogados en el sistema y llevara a cabo protecciones apropiadas. 2. Observar directamente el procesamiento de la aplicacin de auditora. 3. Desarrollar programas independientes de control que monitoreen el procesamiento del programa de auditora. 4. Mantener el control sobre las especificaciones de los programas, documentacin y comandos de control. 5. Controlar la integridad de los archivos que se estn procesando y las salidas generadas.
Tcnicas avanzadas de auditoria con informtica.
Cuando en una instalacin se encuentren operando sistemas avanzados de 40 computacin como procesamiento en lnea, bases de datos y procesamiento distribuido, se podra evaluar el sistema empleado tcnicas avanzadas de auditora. Estos mtodos requieren un experto, y por lo tanto, pueden no ser apropiados si el departamento de auditora no cuenta con el entrenamiento adecuado. Otra limitante, incluyendo el costo, puede ser la sobrecarga del sistema y la degradacin en el tiempo de respuesta. Sin embargo, cuando se usan apropiadamente, estos mtodos superan la utilizacin en una auditora tradicional.
Pruebas integrales. Consiste en el procesamiento de datos de un departamento ficticio, comparando estos resultados con resultados predeterminados. En otras palabras, las transacciones iniciadas por el auditor son independientes de la aplicacin normal, pero son procesadas al mismo tiempo. Especial cuidado se debe tener con las particiones que se estn utilizando en el sistema para prueba de la contabilidad o balances a fin de evitar situaciones anormales. Simulacin. Consiste en desarrollar programas de aplicacin para determinada prueba y comparar los resultados de la simulacin con la aplicacin real. Revisiones de acceso. Se conserva un registro computarizado de todos los accesos a determinados archivos; por ejemplo informacin de la identificacin tanto de la terminal como del usuario. Operaciones en paralelo. Consiste en verificar de la exactitud de la informacin sobre los resultados que produce un sistema nuevo que substituye a uno ya auditado. Evaluacin de un sistema con datos de prueba. Esta verificacin consiste en probar los resultados producidos en la aplicacin con datos de prueba contra los resultados que fueran obtenidos inicialmente en la pruebas del programa (solamente aplicable cuando se hacen modificaciones a un sistema). Registros extendidos. Consiste en agregar un campo de control a un registro determinado como un campo especial a un registro extra, que pueda incluir datos de todos los programas de aplicacin que forman parte del procesamiento de determinada transaccin, como en los siguientes casos. Totales aleatorios en ciertos programas. Se consiguen totales en algunas partes del sistema para ir verificando su exactitud en forma parcial. Seleccin de determinado tipo de transacciones como auxiliar en el anlisis de un archivo histrico. Por medio de este mtodo podemos analizar en forma parcial el archivo histrico de un sistema, el cual sera casi imposible de verificar en forma total. Resultados de ciertos clculos para comparaciones posteriores. Con ellos podemos comparar en el futuro los totales en diferentes fechas.
Al auditor interno, todas las tcnicas anteriores le ayudan al establecimiento de una metodologa para la revisin de los sistemas de aplicacin de un institucin, empleando como herramienta el mismo equipo de computo. Sin embargo, actualmente se desarrollan programas y sistemas de auditora que 41 eliminan los problemas de responsabilidad del departamento de auditora, al intervenir en las actividades e informacin cuyo control corresponde estrictamente al departamento de informtica, proporcionando una verdadera independencia al auditor en la revisin de los datos del sistema. El empleo de la microcomputadora en la auditora constituye una herramienta que facilita la realizacin de actividades de revisin como:
Trasladar los datos del sistema a un ambiente de control del auditor Llevar a cabo la seleccin de datos Verificar la exactitud de los clculos Muestreo estadstico Visualizacin de datos Ordenamiento de la informacin Produccin de reportes e histogramas.
Lo anterior implica una metodologa que garantiza una revisin ms extensa e independiente de los sistemas de informtica, que podra consistir en los siguientes pasos:
Seleccin de un sistema de informacin que se va a revisar. Obtencin de la documentacin de los archivos que incluye: nombre del archivo y descripcin, nombre de los campos y descripcin (longitud, tipo), codificacin empleada, etc. Trasladar el archivo de datos a una microcompurtadora con una gran capacidad de almacenamiento. Llevar a cabo con un software de auditora las verificaciones de auditora que se mencionan anteriormente. Participacin del auditor interno en el desarrollo de sistemas.
El auditor interno debe participar en el diseo general y especfico de los sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo con las polticas internas antes de que se comience la programacin del sistema. A continuacin se muestran ejemplos de las formas tradicionales de evidencia que existen en un proceso manual y las maneras en que la computadora puede cambiarlas.
Transacciones originadas por personas y accesadas a un sistema para su proceso. En las aplicaciones computarizadas pueden generarse automticamente. Por ejemplo, el sistema puede emitir automticamente una orden de reposicin cuando el inventario est a un nivel por debajo del punto de reorden. Sin la computadora se requera que una persona estuviera revisando y elaborara la orden de reposicin cuando el inventario estuviera abajo del mnimo establecido. El registro manual de la informacin necesaria para originar una transaccin. En las aplicaciones computarizadas, no se producen documentos impresos cuando la informacin es accesada a travs de una terminal. Por ejemplo, un cambio, hecho a las tarifas de nmina 42 puede ser accesado a un archivo maestro de nminas computarizado a travs de una terminal de computadora sin dejar registro impreso del cambio, aunque se debe tener una clave de seguridad para poder accesarlo y llevar un registro histrico en el que se tenga la informacin sobre la persona y terminal en la que se acceso la informacin. La revisin de transacciones por el personal, que deja constancia con sus firmas, iniciales o sellos en los documentos para indicar la autorizacin del proceso. En las aplicaciones computarizadas puede ser automtica. Por ejemplo, una venta a crdito puede ser automticamente aprobada si el lmite de crdito previamente determinado no est excedido. Otros mtodos de autorizacin electrnica incluyen el acceso mediante claves de seguridad, insertando una tarjeta de cdigos magnticos o colocando un llave de supervisin en una terminal. Anteriormente se tenan firmas donde ahora slo se tiene una clave o llave de acceso que es equivalente a la autorizacin, dejando nicamente un registro (en el mejor de los casos) de la llave de acceso utilizada, la terminal en la que se proces y la hora y da en que fue autorizada. El transporte de documentos de una estacin de trabajo a otra por personas, correo o servicios similares de un lugar del negocio a otro sitio completamente distinto. Por estos medios se moviliza un documento fsicamente. En aplicaciones computarizadas, los datos pueden ser enviados electrnicamente. La informacin es transcrita, codificado, frecuentemente condensado y entonces enviada electrnicamente por lneas de comunicaciones; y al final queda un registro de cundo recibi la informacin el receptor. Procesamiento manual. Generalmente, los documentos de las transacciones contienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones computarizadas, el proceso se efecta electrnicamente dentro de la memoria del computador mediante procedimientos programados y siguiendo reglas predeterminadas. Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabilidad de error. En las aplicaciones computarizadas, el proceso puede ser extremadamente complejo debido a la velocidad y exactitud de la computadora. Por ejemplo, una compaa puede utilizar su computadora para calcular la efectividad de cientos de posibles horarios o cdulas de produccin a fin de seleccionar el ms adecuado, mientras que en los mtodos manuales esto sera casi imposible. Mantenimiento en manuales de informacin de naturaleza fija que es necesaria para el proceso, tales como tarifas de nominas o precios de productos. En las aplicaciones computarizadas, esta informacin se almacena en medios computarizados o bien por medio de catlogos; en los mtodos manuales es difcil tener catlogos demasiado amplios. Listado de los resultados del proceso en documentos impresos, tales como cheques y reportes. Frecuentemente, estos documentos contienen resultados de procesos intermedios. En las aplicaciones 43 computarizadas, el proceso puede no dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser transferidos electrnicamente y los reportes de salida ser desplegados en pantallas de video. En algunos sistemas, la informacin rutinaria es retenida de manera que slo se recibe noticia de aquellas partidas que requieren accin. Almacenamiento de documentos de entrada, proceso y salida en registro de archivo o similares. Cuando la informacin es necesaria, puede localizarse y recobrarse manualmente del rea de almacenamiento fsica. En las aplicaciones computarizadas, la mayora de los archivos estn en medios a computarizados, como cintas y discos. Programas extractivos deben utilizarse para recobrar la informacin de tales medios, los cuales son normalmente muy rpidos y exactos; por ejemplo, en el caso de bases de datos. Uso de documentos impresos para construir el proceso. En los procesos manuales estos documentos contienen informacin fuente, firmas de autorizacin, mtodos de proceso y resultados de salida. Esta informacin usualmente es suficiente para construir la transaccin y rastrearla hacia totales de control o, a partir de stos, hasta el documento fuente. En las aplicaciones computarizadas, las pistas de auditora pueden verse fragmentadas, como frecuentemente ocurre en un ambiente de base de datos. Adems, gran parte de la informacin que servira de pista de auditora puede estar almacenada en medios computarizados. Las pistas de auditora computarizadas frecuentemente requieren entender las reglas del proceso del sistema y no siempre es obvio cuales pasos del proceso se ejecutaron, especialmente cuando el proceso computacional es complejo. Uno o ms manuales de procedimientos que contienen informacin relativa a las transacciones del sistema. Estos manuales guan a la gente en la circulacin y proceso de las transacciones. En las aplicaciones computarizadas, pueden ser listados de programas y computadora, listados de diccionarios de datos y documentacin de proveedores. Revisin de procesos por personas, generalmente supervisores, para determinar su razonabilidad, exactitud, totalidad y autorizacin. En las aplicaciones computarizadas, gran parte de este monitoreo es ejecutado automticamente mediante una lgica de programa predeterminada. Est llegando a ser ms difcil para la gente monitorear los procesos, conforme los sistemas computacionales estn ms integrados y son ms complejos y el ciclo del proceso se acorta. La divisin de tareas entre los empleados. En las aplicaciones computarizadas, la distribucin de deberes implica no slo la divisin de tareas entre los empleados, sino tambin la divisin de tareas entre los pasos del proceso automatizado. Por ejemplo, los programas computarizados pueden procesar diferentes partes de una transaccin en diversos lugares y terminales, y en ocasiones se requiere que tengan sistemas de seguridad de acceso a nivel sistema, dato o programa 44 como en el caso de los sistemas bancarios. Proceso de grandes cantidades de datos que pueden requerir la repeticin o cruzamiento de diversos elementos de la informacin. Esto es frecuentemente difcil y costoso en un sistema manual y slo se realiza cuando es necesario. En las aplicaciones computarizadas, grandes cantidades de datos pueden ser almacenadas en una base de datos. La velocidad y capacidades de proceso del computador hacen esta informacin disponible en el formato deseado. En un ambiente computarizado, son posibles los ms complejos anlisis y usos secundarios de los datos.
4.5 Concepto de auditoria de programas [1 pgina 18]
La auditora de programas es la evaluacin de la eficiencia tcnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los programas, su seguridad y confiabilidad con el objetivo de optimizarlos y evaluar el riesgo que tienen para la organizacin. La auditora de programas tiene un mayor grado de profundidad y de detalla que la auditora en informtica, ya que analiza y evala la parte central del uso de las computadoras que es el programa, aunque se puede considerar como parte de la auditora en informtica. Para lograr que la auditora de programas sea eficiente las personas que la realicen han de poseer conocimientos profundos sobre sistemas operativos, sistemas de administracin de base de datos, lenguajes de programacin, utileras, bases de datos y el equipo en que fue escrito el programa, y debern comenzar con la revisin de la documentacin del mismo. Para poder llevar a cabo una adecuada auditora de los programas se necesitan que los sistemas estn trabajando correctamente y se obtengan los resultados requeridos, ya que el cambiar el proceso del sistema en general se cambiara posiblemente los programas. Sera absurdo intentar optimizar un programa de un sistema que no est funcionando correctamente. Para optimizar los programas se deber tener pleno conocimiento y aceptacin del sistema o sistemas que usan ese programa, y disponer de toda la documentacin detallada del sistema total. Se considera como banco de datos: El conjunto de datos que guarda entre si una coherencia temtica independiente del medio de almacenamiento. La cantidad de informacin que contiene un banco de datos suele ser grande, del orden de millones de datos. Se considera como base de datos: La organizacin sistemtica de archivos de datos para facilitar su acceso, recuperacin y actualizacin, relacionados los unos con los otros y tratados como una entidad. Puede decirse que una base es un banco de datos organizados como un tipo estructurado de datos. DBMS (Dato base management system = sistema de administracin de bases de datos): Es un conjunto de programas de permiten manejar cmodamente una base de datos, o sea, "el conjunto de facilidades y herramientas de 45 actualizacin y recuperacin de informacin de una base de datos".
4.6 Concepto de auditora seguridad
Las empresas conocen, o has de conocer todos los problemas. Y cuando deciden darles una solucin global, buscando los puntos dbiles de su seguridad para atajarlos de una vez, pueden decidirse por una Auditora de Seguridad. Las auditorias son actividades muy comunes en esto entornos empresariales, especialmente las realizadas por personal externo (permitiendo un nivel obvias), y permiten conocer el nivel de seguridad y las acciones a emprender para corregir los posibles fallos. Este tipo de auditora puede durar, en funcin del tamao del sistema, desde unos pocos das, hasta varias semanas. Siempre debemos tener en cuenta que el costo de realizar una auditora de seguridad siempre es menor que el valor que pueden tener los datos internos en la empresa. La auditora de seguridad cada vez resulta ms conveniente realizarla, ya que el desarrollo de Internet es espectacular y las posibilidades del comercio electrnico son ilimitadas; esto origina una vulnerabilidad en los datos ya que cada vez existen ms personas que se dedican a cometer delitos informticos. El proceso de esta auditora generalmente comienza con un anlisis de las amenazas potenciales que enfrentan a una organizacin. Examina sistemas, polticas y prcticas de la organizacin para identificar sus vulnerabilidades. El anlisis contina con una valoracin de riesgo y concluye con un informe de valoracin y una serie de recomendaciones. Es necesario pensar en el establecimiento de polticas de seguridad, tal y como la palabra lo dice, se asemejan a los seguros de la vida cotidiana, muchas veces no se toma una decisin al respecto hasta que no se conocer un caso cercano a quien la adversidad le coge por sorpresa. Las seguridad representa un gasto que muchas veces parece intil y que se podra evitar, aunque el costo de una buena gestin de seguridad siempre es menor que el valor que pueden tener los datos internos de la empresa.
4.6.1 Consideraciones inmediatas para la auditora de la seguridad
1. Uso de la computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:
tiempo de mquina para uso ajeno. copia de programas de la organizacin para fines de comercializacin (copia pirata) acceso directo o telefnico a bases de datos con fines fraudulentos
46 evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor costo
3. Cantidad y tipo de Informacin El tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podran producir que: la informacin este en manos de algunas personas la alta dependencia en caso de perdida de datos
4. Control de programacin Se debe tener conocer que el delito ms comn est presente en el momento de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: los programas no contengan bombas lgicas los programas deben contar con fuentes y sus ultimas actualizaciones los programas deben contar con documentacin tcnica, operativa y de emergencia
5. Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente: la dependencia del sistema a nivel operativo y tcnico evaluacin del grado de capacitacin operativa y tcnica contemplar la cantidad de personas con acceso operativo y administrativo conocer la capacitacin del personal en situaciones de emergencia 6. Medios de control Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. Tambin se debe observar con detalle el sistema ya que podra generar indicadores que pueden actuar como elementos de auditora inmediata, aunque esta no sea una especificacin del sistema.
7. Rasgos del personal Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema, ya que pueden surgir: malos manejos de administracin malos manejos por negligencia malos manejos por ataques deliberados
8. Instalaciones Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar: la continuidad del flujo elctrico efectos del flujo elctrico sobre el software y hardware evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc. 47 verificar si existen un diseo, especificacin tcnica, manual o algn tipo de documentacin sobre las instalaciones
9. Control de residuos
Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja.
10. Establecer reas y prado del riesgo
Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin informtica y los medios de prevencin que se deben tener, para lo cual se debe:
a) Establecer el Costo del Sistema de Seguridad (Anlisis Costo contra Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la informacin contra el costo de un sistema de seguridad. Para realizar este estudio se debe considerar lo siguiente: clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) identificar las aplicaciones que tengan alto riesgo cuantificar el impacto en el caso de suspensin del servicio aquellas aplicaciones con un alto riesgo formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera la justificacin del costo de implantar las medidas de seguridad Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en reas de riesgo que pueden ser:
a) Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo cual es importante considerar responder las siguientes cuatro preguntas:
1. Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de la aplicacin por completo se debe definir el nivel de riesgo. 2. Qu consecuencias traera si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algn modo de cmo se soluciono este problema en el pasado. 3. Existe un procedimiento alternativo y que problemas ocasionara? Se debe verificar si el sistema es nico o es que existe otro sistema tambin computarizado de apoyo menor. Ejemplo: S el sistema principal esta diseado para trabajar en red sea tipo WAN quiz haya un soporte de apoyo menor como una red LAN o monousuario. E el caso de un sistema 48 de facturacin en red, si esta cae, quiz pudiera trabajar en forma distribuida con un mdulo menor monousuario y q tenga la capacidad de que al levantarse la red existan mtodos actualizacin y verificacin automtica. 4. Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, h consecuencias y las soluciones tomadas, considerando: Que exista un sistema paralelo al menos manual Si hay sistemas duplicados en las reas crticas (tarjetas de red teclados, monitores, servidores, unidades de disco, aire acondicionado). Si hay sistemas de energa ininterrumpida UPS. Si las instalaciones elctricas, telefnicas y de red son adecuada, (se debe contar con el criterio de un experto). Si se cuenta con un mtodo de respaldo y su manual administrativo. Una vez que se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, sealando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades.
Disposiciones que Acompaan la Seguridad
De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organizacin, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de accin para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar: Obtener una especificacin de las aplicaciones, los programas y archivos de datos. Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso. Prioridades en cuanto a acciones de seguridad de corto y largo plazo. Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los programadores no cuentes con acceso a la seccin de operacin ni viceversa. Que los operadores no sean los nicos en resolver los problemas que se presentan.
b) Higiene
Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las reas involucradas de la organizacin (centro de computo y dems dependencias), pues esto ayudar a detectar problemas de disciplina y posibles fallas en la seguridad. Tambin podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulacin de desperdicios y limita las posibilidades de accidentes. Adems es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal. 49
c) Cultura Personal
Cuando hablamos de informacin, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podra definir la existencia o no de los ms altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo.
4.6.2 Consideraciones para elaborar un sistema de seguridad integral.
Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer como desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa."
Un sistema integral debe contemplar: Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) Definir P Prcticas de seguridad para el personal: Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extintores Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros Definir elementos tcnicos de procedimientos Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energa Cableados locales y externos Aplicacin de los sistemas de seguridad incluyendo datos y archivos Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc. Consideracin de las normas ISO 14000
4.6.3 Etapas para implementar un sistema de seguridad. 50
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:
a) Plan de Seguridad Ideal (o Normativo)
Un plan de seguridad para un sistema de seguridad integral debe contemplar: El plan de seguridad debe asegurar la integridad y exactitud de los datos Debe permitir identificar la informacin que es confidencial Debe contemplar reas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administracin contra acusaciones por imprudencia
b) Consideraciones para con el personal
Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos: 1) Motivar Se debe desarrollar mtodos de participacin reflexionando sobre lo que significa la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual. 2) Capacitacin General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo. Este proceso incluye 51 como prctica necesaria la implantacin la ejecucin de planes de contingencia y la simulacin de posibles delitos. 3) Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preventivas y correctivas. 4) tica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, que tengan repercusin a nivel personal e institucional. De ser posible realizar conferencias peridicas sobre: doctrina, familia, educacin sexual, relaciones humanas, etc.
4.6.4 Etapas para implantar un sistema integral en marcha
Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos: 1. Introducir el tema de seguridad en la visin de la empresa. 2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participantes. 3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de rea. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel. 8. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad fsica.
4.6.5 Beneficios de un sistema de seguridad
Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales 52
Para nacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo; con ello podremos determinar el nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditoria para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditoria en general, la planeacin es uno de los pasos ms importantes, ya que una inadecuada planeacin repercutir en una serie de problemas, que pueden provocar que no se cumpla con la auditora o bien que no se efecte con el profesionalismo que debe tener el desarrollo de cualquier auditora. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacer desde el punto de vista de los tres objetivos: Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para lograr una adecuada planeacin, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, y con base a esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular el desarrollo de las mismas.
53
5.1.1 Investigacin preliminar
"Es necesario iniciar el trabajo de obtencin de datos con un contacto preliminar que permita una primera idea global. El objeto de este primer contacto es percibir rpidamente las estructuras fundamentales y diferencias principales entre el organismo auditar y otras organizaciones que se hayan investigado". Se debe recopilar informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es definir el objetivo y alcance del estudio, as como el programa detallado de la investigacin. Se deber observar el estado general del departamento o rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. La planeacin de la auditora debe sealar en forma detallada el alcance y direccin esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general sean justificadas por escrito (un ejemplo de formato de programa de auditora se da en anexo 1). En el caso de la auditora en informtica debemos comenzar la investigacin preliminar con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar una serie de documentos. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos:
Administracin
Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevista preliminar y solicitud de documentos para poder definir el objetivo y alcances del departamento. La eficiencia en el departamento de informtica slo se puede lograr si sus objetivos estn integrados con los objetivos de la institucin y permanentemente se adapta a los posibles cambios de stos. Esta adaptacin nicamente puede ser posible si los altos ejecutivos y los usuarios de los sistemas toman parte activa en las decisiones referentes a la direccin y utilizacin de los sistemas de informacin, y si el responsable de dicho sistema constantemente consulta y pide asesora y cooperacin a los ejecutivos y usuarios. As mismo el control de la direccin de informtica no es posible, a menos que el personal responsable aplique la misma disciplina de trabajo y los mtodos que se exigen normalmente a los usuarios. Podemos hablar de tener el control, nicamente cuando s contemplaron los objetivos, se estableci un presupuesto y se registraron correctamente los costos en el desarrollo de la aplicacin y sta contempla el nivel de servicio en trminos de calidad y tiempos mnimos de entrega de resultados de la operacin del computador. El xito de la direccin de informtica dentro de una organizacin, depende finalmente de que todas las personas responsables del mismo tomen una actitud 54 positiva respecto a su trabajo y evalen constantemente la eficiencia en su propio trabajo as como el trabajo desarrollado por su rea, estableciendo metas y estndares que incrementen su productividad. La direccin de informtica, segn las diferentes reas de la organizacin, es evaluada desde diferentes puntos de vista. Los usuarios a nivel operativo generalmente la ven como una herramienta para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccin de informtica es una funcin de servicio similar al departamento de nominas. Cada grupo de usuarios tiene su propia expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios. Los altos ejecutivos consideran a la direccin de informtica como una inversin importante, con la funcin de que participe activamente en el cumplimiento de los objetivos de la organizacin, y esperan un mximo del retorno de su inversin, que los recursos destinados a la direccin de informtica proporcionen un beneficio mximo a la organizacin y que participen en la administracin eficiente y en la minimizacin de los costos mediante informacin que permita una adecuada toma de decisiones. Esencialmente la meta principal de los administradores de la direccin de informtica, es la misma que inspira cualquier departamento de servicio; combinar un servicio adecuado con una operacin econmica. El problema estriba en balancear el nivel de servicio a los usuarios, que siempre puede ser incrementado a costa de un incremento del factor econmico o viceversa. Para poder analizar y dimensionar la estructura por auditar se debe solicitar:
a) a nivel organizacional total - Objetivos a corto y largo plazo. - Manual de la organizacin. - Antecedentes o historia del organismo. - Polticas generales. b) a nivel del rea de informtica - Objetivos a largo plazo - Manual de organizacin del rea que incluya puestos, funciones, niveles jerrquicos y tramos de mando. - Manual de polticas, reglamentos internos y lineamientos generales. - Nmero de personal y puestos en el rea. - Procedimientos administrativos del rea. - Presupuestos y costos del rea. c) Recursos materiales y tcnicos - Solicitar documentos sobre los equipos, nmeros de ellos, localizacin y caractersticas. - Estudios de vialidad. - Nmero de equipos, localizacin y las caractersticas (de los equipos instalados, por instalar y programados). - Fechas de instalacin de los equipos y planes de instalacin. 55 - Contratos vigentes de compra, renta y servicio de mantenimiento. - Contratos de seguros. - Convenios que se tiene con otras instalaciones. - Configuracin de los equipos y capacidades actuales y mximas. - Planes de expansin. - Ubicacin general de los equipos. - Polticas de operacin. - Polticas de uso de los equipos. d) Sistemas - Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. - Manual de formas. - Manual de procedimientos de los sistemas - Descripcin genrica - Diagrama de entrada, archivos, salida. - Salidas - Fecha de instalacin de los sistemas - Proyecto de instalacin de nuevos sistemas.
En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones:
Se solicita la informacin y se ve que:
1. No se tiene y se necesita. 2. No se tiene y no se necesita. 3. Se tiene la informacin pero; a) No se usa. b) Es incompleta. c) No est actualizada d) No es la adecuada. e) Se usa, est actualizada, es la adecuada y est completa.
Es el caso de que no se disponga de la informacin y se considere que no se necesita, se debe evaluar la causa por la que no es necesaria, ya que se puede estar solicitando un tipo de informacin que debido a las caractersticas del organismo no se requiera. Eso nos dar un parmetro muy importante para hacer una adecuada planeacin de la auditora. En el caso de que no se tenga la informacin pero que sea necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que tenga la informacin pero no se utilice se debe analizar por que no se usa. El motivo puede ser que est incompleta, que no est actualizada, que no sea la adecuada, etc. Hay que analizar y definir las causas para sealar alternativas de solucin, que dan por resultado la utilizacin de la informacin. En caso de que se tenga la informacin, se debe analizar si se usa, si est 56 actualizada, si es la adecuada y si est completa; de ser as, se considerar dentro de las conclusiones de la evaluacin, ya que como se dijo la auditora no slo debe considerar errores, sino tambin sealar los aciertos. Adems de concluir esta etapa no se olvide que el xito del anlisis crtico depende de las consideraciones siguientes: - Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) - Investigar las causas, no los efectos - Atender razones, no excusas - No confiar en la memoria, preguntar constantemente - Criticar objetivamente y a fondo todos los informes y los datos recabados
5.1.2 Personal participante
Una de las partes ms importantes dentro de la planeacin de la auditoria en informtica es el personal que deber participar. En este punto no veremos el nmero de personas que deber participar ya que esto estaba dado en funcin de las dimensiones de la organizacin, de los sistemas y de los equipos. Lo que deber considerarse son las caractersticas del personal que habr de participar en la auditora. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditora. En primer lugar debemos pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realizacin de la auditora se debe tener personas con las siguientes caractersticas: - Tcnico en informtica 57 - Conocimientos de administracin, contadura y finanzas. - Experiencia en el rea de informtica - Experiencia en operacin y anlisis de sistemas - Conocimientos y experiencia en psicologa industrial - Conocimientos de los sistemas ms importantes.
En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas. Una vez planteada la forma de llevar a cabo la auditora, estaremos en posibilidad de presentar la carta convenio de servicios profesionales (en caso de auditores externos) y el plan de trabajo. La carta convenio es un compromiso del auditor dirigida a su cliente para su confirmacin de aceptacin; en ella se especifican el objetivo y alcance de la auditora, las limitaciones y colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar. Una vez que se ha hecho la planeacin, se puede utilizar el formato sealado en el anexo 1, el cual servir para resumir el plan de trabajo de la auditora. Este formato de programa de auditora nos servir de base para llevar un adecuado control del desarrollo de la misma. En l figuran el organismo, la fecha de formulacin, las fases y subfases que comprenden la descripcin de la actividad, e nmero de das hbiles y el nmero de das-hombre estimados. El control de avance de la auditora lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos de que el trabajo se est llevando la cabo de acuerdo con el programa de auditora, con los recursos estimados y en el tiempo sealado en la planeacin. El hecho de contar con la informacin del avance nos permite revisar el trabajo elaborado por cualquiera de nuestros asistentes.
Auditora de la funcin de informtica [1; pg. 28-50]
6.1 Recopilacin de la informacin organizacional.
Una vez elaborada la planeacin de la auditora, la cual servir como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditora, se debe empezar la recoleccin de la informacin. Se proceder a efectuar la revisin sistematizada del rea a travs de la observacin y entrevistas de fondo en cuanto a:
a) Estructura Orgnica - Jerarquas (Definicin de la autoridad lineal, funcional y de asesora) - Estructura orgnica - Funciones - Objetivos b) Se deber revisar la situacin de los recursos humanos. c) Entrevistas con el personal de procesos electrnicos: - Jefatura - Anlisis - Programadores - Operadores - Capturistas - Personal administrativo d) Se deber conocer la situacin presupuestal y financiera en cuanto a: - Presupuesto - Recursos financieros - Recursos materiales - Mobiliario y equipo e) Se har un levantamiento del censo de recursos humanos y anlisis de situacin en cuanto a: - Nmero de personas y distribucin por reas 59 - Denominacin de puestos - Salario - Capacitacin - Conocimientos - Escolaridad - Experiencia profesional - Antigedad - Historial de trabajo - Salario y conformacin - Movimientos salariales - ndice de rotacin del personal - Programa de capacitacin (vigente y capacitacin dada en el ltimo ao) f) Por ltimo, se deber revisar el grado de cumplimiento de los documentos administrativos. - Normas y polticas - Planes de trabajo - Controles - Estndares - Procedimientos
La informacin nos servir para determinar:
- Si las responsabilidades en la organizacin estn definidas adecuadamente - Si la estructura organizacional est adecuada a las necesidades - Si el control organizacional es el adecuado - Si se tienen los objetivos y polticas adecuadas, se encuentran vigentes y estn bien definidas - Si existe la documentacin de las actividades, funciones y responsabilidades - Si los puestos se encuentran definidos y sealadas sus responsabilidades - Si el anlisis y descripcin de puestos est de acuerdo con el personal que los ocupa - Si se cumplen los lineamientos organizacionales - Si el nivel de salarios comparado con el mercado de trabajo - Si los planes de trabajo concuerdan con los objetivos de la empresa - Si se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operacin o se cuenta con "indispensables" - Si se evalan los planes y se determinan las desviaciones
6.2 Evaluacin de la estructura orgnica
Para lograr el objetivo de evaluacin de la estructura orgnica se deber solicitar el manual de organizacin de la direccin, el cual deber comprender 60 como mnimo: - Organigrama con jerarquas - Funciones - Objetivos y polticas - Anlisis, descripcin y evaluacin de puestos - Manual de procedimientos - Manual de normas - Instructivos de trabajo o guas de actividad
Tambin se deben solicitar: - Objetivos de la direccin - Polticas y normas de la direccin
El director de informtica y aquellas personas que tengan un cargo directivo deben llevar los cuestionarios sobre estructura orgnica, funciones, objetivos y polticas de los cuales se presenta un ejemplo. El cuestionario que se presenta a continuacin tiene por objeto poder conocer en primer lugar la organizacin del departamento de informtica y su dependencia dentro de la organizacin total. El departamento de informtica bsicamente puede estar dentro de alguno de estos tipos de dependencia:
a) Depende de alguna direccin o gerencia lo cual, normalmente, es la direccin de finanzas. Esto se debe a que inicialmente informtica o departamento de procesamiento electrnico de datos, nombre con que se le conoca, procesaba principalmente sistemas de tipo contable, financiero o administrativo, por ejemplo, la contabilidad la nmina, ventas o facturacin. El que informtica dependa del usuario principal normalmente se da en estructuras pequeas o bien que inician en el rea de informtica. La ventaja que tiene es que no se crea una estructura adicional para el rea de informtica y permite que el usuario principal tenga un mayor control sobre sus sistemas. La ventaja principal es que los otros usuarios son considerados como secundarios y normalmente no se les da la importancia y prioridad requerida; otra desventaja es que, como la informacin es poder, a veces hace que un rea tenga un mayor poder. Tambin, en ocasiones, sucede que el gerente o director del rea usuaria del cual depende informtica tiene muy poco conocimiento de informtica; ello ocasiona que el jefe de informtica cree una isla dentro de la gerencia y que acuerde directamente con otras gerencias usuarias, dando lugar a problemas con las lneas de autoridad. b) La segunda posibilidad es que la direccin de informtica dependa de la gerencia general; esto puede ser en lnea o bien en forma de asesora. La ventaja de alguna de estas organizaciones es que el director de informtica podr tener un nivel adecuado dentro de la organizacin, lo cual le permitir lograr una mejor comunicacin con los departamentos usuarios y, por lo tanto, proporcionarles un mejor servicio y asignar las 61 prioridades de acuerdo con los lineamientos dados por la gerencia general. La desventaja es que aumentan los niveles de la organizacin, lo que elevar el costo de la utilizacin de los sistemas de computo. c) La tercera posibilidad es que estructuras muy grandes en la que hay bases de datos, redes o bien equipos en diferentes lugares. En esta estructura se considera la administracin corporativa. La direccin de informtica depende de la gerencia general, o de departamentos de informtica dentro de las dems gerencias, las cuales reciben todas las normas, polticas, procedimientos y estndares de la direccin de informtica, aunque funcionalmente dependan de la gerencia a la cual ests adscritas. Son controladas en cuanto a sus funciones y equipo en forma centralizada por la direccin de informtica. Deben estar perfectamente definidas las funciones, organizacin y polticas de los departamentos para evitar la duplicidad de mando y el que en dos lugares diferentes se estn desarrollando los mismos sistemas o bien que slo en un lugar se programe, y no se permita usar los equipos para programar en otro lugar que no sea la direccin de informtica. Esto se puede dar en instalaciones que tengan equipo en varias ciudades o lugares, y para evitarlo se deben tener bien definidas las polticas y funciones de todas las reas. La ventaja principal de esta organizacin consiste en que se puede tener centralizada la informacin (base de datos) y descentralizados los equipos; pero se debe tener una adecuada coordinacin entre la direccin de informtica y los departamentos de informtica de las reas usuarias para evitar duplicar esfuerzos o duplicidad de mando. d) La cuarta forma de organizacin es la creacin de una compaa independiente que de servicio de informtica a la organizacin.
Cuestionario para conocer la estructura orgnica
1.1 Bases jurdicas (principalmente en el sector pblico)
Se ajusta la estructura orgnica actual a las disposiciones jurdicas vigentes? No, porqu razn? __________________________________________________________________ __________________________________________________________________
Cules son los ordenamientos legales en que se sustenta la direccin? __________________________________________________________________ __________________________________________________________________
Objetivo de la estructura
La estructura actual est encaminada a la consecucin de los objetos del rea? Explique en qu forma. __________________________________________________________________ 62
Permite la estructura actual que se lleven a cabo con eficiencia - Las atribuciones encomendadas? SI NO - Las funciones establecidas? SI NO - Las distribucin del trabajo? SI NO - El control interno? SI NO
Si algunas de las respuestas es negativa explique cul es la razn __________________________________________________________________
1.2 Niveles jerrquicos (es conveniente conocer los niveles jerrquicos para poder evaluar si son los necesarios y si bien estn bien definidos).
Los niveles jerrquicos establecidos actualmente son necesarios y suficientes para el desarrollo de las actividades del rea?
Por qu o cules son sus recomendaciones? __________________________________________________________________ __________________________________________________________________
Permiten los niveles jerrquicos actuales que se desarrolle adecuadamente la: - Operacin? - Supervisin? Los niveles actuales permiten que se tenga una gil - Comunicacin ascendente? SI NO - Comunicacin descendente? SI NO - Toma de decisiones? SI NO
Si alguna de las respuestas es negativa, explique cul es la razn. __________________________________________________________________
Se considera que algunas reas debera tener - Mayor jerarqua? SI NO - Menor jerarqua? SI NO Por qu razn __________________________________________________________________ __________________________________________________________________
1.3 Departamentalizacin
SE consideran adecuados los departamentos, reas y oficinas en que est dividida actualmente la estructura de la direccin? SI NO No, por qu razn? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________
63
El rea y sus subreas tienen delimitadas con claridad sus responsabilidades? SI NO No, qu efectos provoca esta situacin? __________________________________________________________________ __________________________________________________________________
Puesto (se debe tener cuidado de que estn bien definidas las funciones de cada puesto, ya que desafortunadamente existe mucha confusin en los nombres que se dan a los puestos dentro del medio de la informtica).
Los puestos actuales son adecuados a las necesidades que tiene el rea para llevar a cabo sus funciones? SI NO No, Por qu razn? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________
El nmero de empleados que trabajan actualmente es adecuado para cumplir con las funciones encomendadas? SI NO Solicite el manual de descripcin de puestos de: - Anlisis - Programacin - Tcnicos - Operacin - Captura - Direccin - Administracin - Otros
NOTA: (de la pregunta anterior). Pide la plantilla de personal. Especifique el nmero de personas que reportan a las personas que a su vez reportan a cada puesto. - Direccin - Subdirector - Jefes de departamento - Jefes de seccin - Jedes de rea
El nmero de personas es el adecuado en cada uno de los puestos? SI NO Por qu? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ 64
No, Cul es el nmero de personal que considerara adecuado? (seale el puesto o los puestos) __________________________________________________________________ __________________________________________________________________
1.4. Expectativas (dentro de las expectativas se pueden detectar, en algunas ocasiones, deficiencias y frustraciones de las personas).
Considera que debe revisarse la estructura actual, a fin de hacerla ms eficiente? SI NO Si, por qu razn? __________________________________________________________________ __________________________________________________________________ Cul es la estructura que propondra? __________________________________________________________________ __________________________________________________________________ De realizar una modificacin a la estructura, cundo considera que debera hacerse? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________
1.5. Autoridad
Se encuentra definida adecuadamente la lnea de autoridad? SI NO No, por qu razn? __________________________________________________________________ __________________________________________________________________
Su autoridad va de acuerdo a su responsabilidad? SI NO No, por qu razn? __________________________________________________________________ __________________________________________________________________
En su rea se han presentado conflictos por el ejercicio de la autoridad? SI NO Si, explique en que casos __________________________________________________________________ __________________________________________________________________
Existe en el rea algn sistema de sugerencias y quejas por parte del personal? SI NO
65
2. Funciones (las funciones en informtica pueden diferir de un organismo a otro, aunque se designen con el mismo nombre; por ejemplo, la funcin del programador en una organizacin puede ser diferente en otra organizacin).
2.1. Existencia Se han establecido funciones del rea? SI NO No, Por que no? __________________________________________________________________ __________________________________________________________________ Las funciones estn de acuerdo con las atribuciones legales? Si NO Por qu no estn de acuerdo? __________________________________________________________________ __________________________________________________________________ sugerencias __________________________________________________________________ __________________________________________________________________ Estn por escrito en algn documento las funciones del rea? SI NO Cul es la causa de que no estn por escrito? __________________________________________________________________ __________________________________________________________________ Cul es la forma de darlas a conocer? __________________________________________________________________ __________________________________________________________________ Quin elabor las funciones? __________________________________________________________________ __________________________________________________________________ Particip el rea en su formulacin? SI NO Por qu causas no particip? __________________________________________________________________ __________________________________________________________________ Quin las autoriz o aprob? __________________________________________________________________ __________________________________________________________________
2.2 Coincidencias (se debe tener cuidado en que se conozcan las funciones del rea). 66
Las funciones estn encaminadas a la consecucin de los objetivos institucionales e internos? SI NO Por qu no? __________________________________________________________________ __________________________________________________________________ Sugerencias __________________________________________________________________ __________________________________________________________________ Las funciones del rea estn acordes al reglamento interior? SI NO No, en qu considera que difieren? __________________________________________________________________ __________________________________________________________________ A qu nivel se conocen las funciones del rea? __________________________________________________________________ __________________________________________________________________ Conocen otras reas las funciones del rea? SI NO Por qu no? __________________________________________________________________ __________________________________________________________________ Considera que se deben dar a conocer? SI NO Por qu no? __________________________________________________________________
2.3 Adecuadas (debemos tener cuidado ya que en esta rea podemos detectar malestares del personal debido a que como las funciones no son adecuadas a las necesidades, pueden existir problemas de definicin de funciones o bien de cargas de trabajo).
Son adecuadas a la realidad las funciones? SI NO Por qu no son adecuadas? __________________________________________________________________ __________________________________________________________________ Son adecuadas a las necesidades actuales? SI NO Por qu no? __________________________________________________________________ __________________________________________________________________ Cules son sus principales limitaciones? __________________________________________________________________ __________________________________________________________________ 67
Sugerencias __________________________________________________________________ __________________________________________________________________ Estn adecuadas a las cargas de trabajo? SI NO Existen conflictos por las cargas de trabajo desequilibradas? SI NO De qu tipo? __________________________________________________________________ __________________________________________________________________ Se tiene contemplada la desconcentracin? SI NO Por que no? __________________________________________________________________ _________________________________________________________________ Cmo afecta la desconcentracin a las funciones? __________________________________________________________________ __________________________________________________________________ Qu funciones se van a desconcentrar? __________________________________________________________________ __________________________________________________________________ Particip la de informtica en su elaboracin? SI NO Por qu no? __________________________________________________________________ __________________________________________________________________
2.4 Cumplimiento (esta seccin nos sirve para evaluar el grado de cumplimiento de las funciones) Estn delimitadas las funciones? SI NO A nivel de departamento? A nivel de puesto? No, por que? __________________________________________________________________ __________________________________________________________________ Las actividades que realiza son acordes a las funciones que tiene asignadas? SI NO No, qu tipo de actividades realiza que no estn acordes a las funciones asignadas? __________________________________________________________________ __________________________________________________________________ Cul es la causa? __________________________________________________________________ __________________________________________________________________ Quin las ordena? __________________________________________________________________ __________________________________________________________________ 68
Las actividades que realiza actualmente cumplen en su totalidad con las funciones conferidas? SI NO No, cul es su grado de cumplimiento? __________________________________________________________________ __________________________________________________________________ La falta de cumplimiento de sus funciones es por: ( ) Falta de personal ( ) Personal no capacitado ( ) Cargas de trabajo excesivas ( ) Porque realiza otras actividades ( ) La forma en que las ordena Cules funciones realiza en forma: Peridica? __________________________________________________________________ Eventual? __________________________________________________________________ Sistemtica? __________________________________________________________________ Otras? __________________________________________________________________ Tienen programas y tareas encomendadas? SI NO No, por qu? __________________________________________________________________ Permiten cumplir con los programas y tareas encomendadas (necesidades de operacin)? SI NO No, por qu causas? __________________________________________________________________ Quin es el responsable de ordenar que se ejecuten las actividades? __________________________________________________________________ En caso de realizar otras actividades, quin las ordena y autoriza? __________________________________________________________________ En caso de no encontrarse el jefe inmediato, quin lo puede realizar? __________________________________________________________________
2.5 Apoyos
Para cumplir con sus funciones requiere de apoyos de otras reas? SI NO S, de qu tipo? __________________________________________________________________ Cul es el rea que proporciona el apoyo? __________________________________________________________________ 69
Se lo proporcionan con oportunidad? SI NO No, qu le ocasiona? __________________________________________________________________ No, cmo resuelve esa falta de apoyo? __________________________________________________________________ Con qu frecuencia lo solicita? __________________________________________________________________ Para cumplir con sus funciones, proporciona apoyos a otras reas? SI NO Si, qu tipo de apoyo proporciona? __________________________________________________________________ A cuntas reas? __________________________________________________________________ Cules son? __________________________________________________________________
2.6 Duplicidad Existe duplicidad de funciones en la misma rea? SI NO Si, qu conflictos ocasiona y cules funciones? __________________________________________________________________ Existe duplicidad de funciones en otras reas? SI NO Si, cules y dnde? __________________________________________________________________ Qu conflictos ocasiona? __________________________________________________________________ La duplicidad de funciones se debe a que el rea no puede realizarlas? SI NO Si, cules la razn? __________________________________________________________________ No, cul es su opinin al respecto? __________________________________________________________________ Se pueden eliminar funciones? SI NO Si, cules? __________________________________________________________________ Se pueden transferir funciones? SI NO Si, cules y adnde? __________________________________________________________________ Permite la duplicidad que se d el control interno? SI NO 70
No, porqu? __________________________________________________________________
3. Objetivos (Uno de los posibles problemas o descontentos que puede tener el personal es el desconocimiento de los objetivos de la organizacin, lo cual puede ser debido a una falta de definicin de los objetivos y provoca que no se pueda tener una planeacin adecuada).
3.1 Existencia
Se han establecido objetivos para el rea? SI NO Quin los estableci? __________________________________________________________________ Cul fue el mtodo para el establecimiento de los objetivos? __________________________________________________________________ Particip el rea en su establecimiento? SI NO Cules fueron las principales razones de la seleccin de los objetivos? __________________________________________________________________ Los objetivos establecidos son congruentes con: - Los de la direccin? SI NO - Los de la subdireccin? SI NO - Los del departamento/ oficina? SI NO - Los de otros departamentos/oficinas? SI NO Por qu no se han establecido objetivos para el rea? __________________________________________________________________ Nadie le exige establecerlos? SI NO Considera importante que se establezcan? SI NO Es responsabilidad de otra rea establecer los objetivos? SI NO Cul? __________________________________________________________________ De qu manera planea el trabajo del rea? __________________________________________________________________ Cmo afecta la operacin del rea el no tener establecidos los objetivos? __________________________________________________________________
3.2 Formales
Se han definido por escrito los objetivos del rea? SI NO En qu documento? (recabar) Por qu no estn definidos por escrito? __________________________________________________________________
71
Qu problemas se han derivado de esta situacin? __________________________________________________________________
Conocimiento
Se han dado a conocer los objetivos? SI NO A quin se han dado a conocer? __________________________________________________________________ Quin mas debera conocerlos? __________________________________________________________________ Qu mtodo se ha utilizado para dar a conocer los objetivos? __________________________________________________________________ Por qu no se han dado a conocer los objetivos? __________________________________________________________________ Considera importante que los conozca el personal? SI NO Cmo afecta la operacin del rea el hecho de que los objetivos no se hayan dado a conocer o que su conocimiento sea parcial? __________________________________________________________________
3.3 Adecuados
Abarcan los objetivos toda la operacin del rea? SI NO Qu aspectos no se cubren? __________________________________________________________________ Los objetivos son claros y precisos? SI NO Son realistas? SI NO Se pueden alcanzar? SI NO Por qu? __________________________________________________________________ Estn de acuerdo con las funciones del rea? SI NO Sealan cuales son las realizaciones esperadas? SI NO Son congruentes con los objetivos institucionales? SI NO Sirven de gua al personal? SI NO Sirven para motivar al personal? SI NO Se han establecido para el corto, mediano y largo plazo? SI NO Qu adecuaciones puede sugerir para los objetivos actuales? __________________________________________________________________
3.4 Cumplimiento
En qu grado se cumplen los objetivos? __________________________________________________________________ Existen mecanismos para conocer el grado de cumplimiento de los objetivos? SI NO S, cules? __________________________________________________________________ 72
No, de qu manera se establece el grado de cumplimiento? __________________________________________________________________ Se elabora algn reporte sobre el grado de avance en el cumplimiento de los objetivos? SI NO Para quin y con qu frecuencia (recabar) __________________________________________________________________ Quin elabora este reporte? __________________________________________________________________ Qu se hace en caso de desviacin en el cumplimiento de los objetivos? __________________________________________________________________ Qu sugerencia puede hacer para lograr el cumplimiento total de los objetivos? __________________________________________________________________
3.5 Actualizacin
Se revisan los objetivos? SI NO Por sistema? SI NO Quin revisa los objetivos? __________________________________________________________________ De qu manera se lleva a cabo la revisin? __________________________________________________________________ Participa el rea en la actualizacin de los objetivos? SI NO Cundo se hizo la ltima revisin de los objetivos? __________________________________________________________________ De qu manera se incorporan las modificaciones derivadas de las revisiones? __________________________________________________________________ Por qu no se revisan los objetivos? __________________________________________________________________ Que sugerencias tiene para que la actualizacin de los objetivos sea ms eficaz? __________________________________________________________________
4. Anlisis de organizaciones
Dentro de la estructura organizacional de la direccin de informtica no existe una evaluacin concreta y aceptada de las funciones de informtica. Las funciones que en una organizacin son consideradas como de programadores en otra pueden ser de analista o de analista programador, y en algunas organizaciones se han dividido ciertas funciones con diferentes niveles; por ejemplo, programador A, programador B, programador C.
Esto ha dado por resultado, que al no existir una definicin clara de los niveles, funciones y conocimientos se haya tomado para que las personas se 73 designen con el ttulo que ellos consideren pertinente; por ejemplo, ingeniero en sistemas (sin haber obtenido el grado), analista de sistemas o bien que en algunos pases existan escuelas que confieran grados acadmicos que no son reconocidos oficialmente. Al analizar las organizaciones debemos tener muy en cuenta si estn definidas las funciones y la forma de evaluar a las personas que ingresan a los diferentes niveles de la organizacin. Si no existe un organigrama en la organizacin, el auditor debe elaborar uno que muestre el actual plan de organizacin, ya que facilita el estudio y da una imagen general de la organizacin. Criterios para analizar organigramas: a) Agrupar funciones similares y relacionarlas entre s. b) Agrupar funciones que sean compatibles. c) Localizar la actividad cerca de la funcin a la que sirva. d) Localizar la actividad cerca o dentro de la funcin mejor preparada para realizarla. e) No asignar la misma funcin a dos personas o entidades diferentes. f) Separar las funciones de control y aquellas que sern objeto del mismo. g) Ningn puesto debe tener dos o ms lneas de dependencia jerrquica. h) El tramo de control no debe ser exagerado, ni muy numerosos los niveles jerrquicos. Cuando se estudia la estructura orgnica es importante hacer algunas anotaciones sobre las tareas asignadas a cada puesto y responder las siguientes preguntas:
Existen lneas de autoridad justificadas? Hay una extralimitacin de funciones? Hay demasiada supervisin de funcionarios? Es excesiva la supervisin en general? Hay agrupamientos ilgicos en las unidades? Hay uniformidad en las asignaciones?
6.3 Evaluacin de los recursos humanos
Se deber obtener informacin sobre la situacin del personal del rea, para lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyeccin de recursos humanos. Se presenta un ejemplo de cuestionario para obtener informacin sobre los siguientes aspectos: - Desempeo y comportamiento - Condiciones de trabajo - Ambiente - Organizacin en el trabajo - Desarrollo y motivacin - Capacitacin - Supervisin
74 Cuestionario para evaluar los recursos humanos
1. Desempeo y cumplimiento
Es suficiente el nmero de personal para el desarrollo de las funciones del rea? SI NO Se deja de realizar alguna actividad por falta de personal? SI NO Est capacitado el personal para realizar con eficacia sus funciones? SI NO Porqu no? __________________________________________________________________
Es eficaz en el cumplimiento de sus funciones? SI NO Por qu no? __________________________________________________________________
Es adecuada la calidad del trabajo del personal? SI NO Porqu no? __________________________________________________________________
Es frecuente la repeticin de los trabajos encomendados? SI NO El personal es discreto en el manejo de informacin confidencial? SI NO NO, repercusiones __________________________________________________________________
En general, acata el personal las polticas, sistemas y procedimientos establecidos? SI NO Por qu no? __________________________________________________________________
Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de trabajo? SI NO Si, que se hace al respecto? __________________________________________________________________
Respeta el personal la autoridad establecida? SI NO Por qu no? __________________________________________________________________
75
Existe cooperacin por parte del personal para la realizacin del trabajo? SI NO Por qu no? __________________________________________________________________ El personal tiene afn de superacin? SI NO Presenta el personal sugerencias para mejorar el desempeo actual? SI NO Cmo considera las sugerencias? __________________________________________________________________ Qu tratamiento se les da? __________________________________________________________________ Se toman en cuenta las sugerencias de los empleados? SI NO En qu forma? __________________________________________________________________ Cmo se les da respuesta a las sugerencias? __________________________________________________________________
2. Capacitacin (uno de los puntos que se deben evaluar con ms detalle dentro del rea de informtica es la capacitacin; esto se debe al proceso cambiante y al desarrollo de nuevas tecnologas en el rea). Los programas de capacitacin incluyen al personal de: Direccin ( ) Anlisis ( ) Programacin ( ) Operacin ( ) Administracin ( ) Captura ( ) Otros (especifique) ( ) Se han identificado las necesidades actuales y futuras de capacitacin del personal del rea? SI NO Por qu no? __________________________________________________________________ Se desarrollan programas de capacitacin para el personal del rea? SI NO Por qu? __________________________________________________________________ Apoya la superioridad la realizacin de estos programas? SI NO Se evalan los resultados de los programas de capacitacin? SI NO No, por qu? __________________________________________________________________ Solicite el plan de capacitacin para el presente ao.
76
3. Supervisin
Cmo se lleva a cabo la supervisin del personal? __________________________________________________________________ Porqu no se realiza? __________________________________________________________________ Cmo se controlan el ausentismo y los retardos del personal? __________________________________________________________________ Por qu no se llevan controles? __________________________________________________________________ Cmo se evala el desempeo del personal? __________________________________________________________________ Por qu no se evala? __________________________________________________________________ Cul es la finalidad de la evaluacin del personal? __________________________________________________________________
4. Limitantes
Cules son los principales factores internos que limitan el desempeo del personal? __________________________________________________________________
Cules son los principales factores externos que limitan el desempeo del personal del rea? __________________________________________________________________
Cul es el ndice de rotacin de personal en: - Anlisis - Operacin - Administracin - Captura - Programacin - Direccin - Tcnicos - Otros (especifique)
En trminos generales, se adapta el personal al mejoramiento administrativo (resistencia al cambio)? SI NO Cul es el grado de disciplina del personal? __________________________________________________________________
Cul es el grado de asistencia y puntualidad del personal? __________________________________________________________________ 77 Existe una poltica uniforme y consistente para sancionar la indisciplina del personal? SI NO Se lleva a efecto esta poltica? SI NO Puede el personal presentar quejas y/o problemas? SI NO S, cmo se soluciona? __________________________________________________________________
Otras reas externas presentan quejas sobre la capacidad y/o atencin del personal del rea? SI NO Qu tratamiento se les da? __________________________________________________________________ Cmo se otorgan los ascensos, promociones y aumentos salariales? __________________________________________________________________ Cmo se controla las faltas y ausentismos? __________________________________________________________________ Cules son las principales causas de faltas y ausentismo? __________________________________________________________________
5. Condiciones de trabajo (para poder trabajar se requiere que se tenga una adecuada rea de trabajo, con mayor razn en un rea donde se debe hacer un trabajo de investigacin e intelectual).
Conoce el reglamento interior de trabajo el personal del rea? SI NO Se apoyan en l para solucionar los conflictos laborales? SI NO No, por qu? __________________________________________________________________
Cmo son las relaciones laborales del rea con el sindicato? __________________________________________________________________
Se presentan problemas con frecuencia? SI NO Si en qu aspectos? __________________________________________________________________ Cmo se resuelven? __________________________________________________________________
6. Remuneraciones (normalmente las personas estn inconformes con su remuneracin; es importante evaluar que tan cierta es esta inconformidad o si est dada por otros malestares pero son sealados como inconformidad en las remuneraciones, o bien puede deberse a que se desconoce cmo se evala a la persona para poder darle una mejor remuneracin). 78
Est el personal adecuadamente remunerado con respecto a: Trabajo desempeado? SI NO Puestos similares en otras organizaciones? SI NO Puestos similares en otras reas? SI NO Si, cmo repercute? __________________________________________________________________ No, cmo repercute? __________________________________________________________________
Conseguir informacin sobre los sueldos de los mismos niveles en otras organizaciones.
Ambiente (el ambiente en el rea de informtica principalmente en programacin es muy importante para lograr un adecuado desarrollo).
El personal est integrado como grupo de trabajo? SI NO No, por qu? __________________________________________________________________ Cul es el grado de convivencia del personal? __________________________________________________________________ Cmo se aprovecha esto para mejorar el ambiente de trabajo? __________________________________________________________________
Son adecuadas las condiciones ambientales con respecto a: Espacio del rea? SI NO Iluminacin? SI NO Ventilacin? SI NO Equipo de oficina? SI NO Mobiliario? SI NO Ruido? SI NO Limpieza y/o aseo? SI NO Instalaciones sanitarias? SI NO Instalaciones de comunicacin? SI NO
7. Organizacin del trabajo
Participa en la seleccin del personal? SI NO No, Por qu? __________________________________________________________________ Qu repercusiones tiene? __________________________________________________________________ Se prevn las necesidades? __________________________________________________________________ 79
En cantidad? SI NO En calidad? SI NO No, por qu? __________________________________________________________________ Est prevista la sustitucin del personal clave? __________________________________________________________________ No, Por qu? __________________________________________________________________
8. Desarrollo y motivacin
Cmo se lleva a cabo la introduccin y el desarrollo del personal del rea? __________________________________________________________________ Por qu no se realiza? __________________________________________________________________ Cmo se realiza la motivacin del personal del rea? __________________________________________________________________ Cmo se estimula y se recompensa al personal del rea? __________________________________________________________________ Existe oportunidad de ascensos y promociones? __________________________________________________________________ Qu poltica hay al respecto? __________________________________________________________________
6.4 Entrevistas con el personal de informtica
Se debern efectuar entrevistas con el personal de procesamiento de datos, para lo cual pueden entrevistarse a un grupo de personas elegidas y sealar adems que quienes deseen externar sus opiniones lo podrn hacer en determinado lugar y hora (en algunos casos es conveniente sealar un nmero telefnico para poder hacer la reunin fuera de la direccin de informtica y hay que solicitar que las opiniones sean debidamente fundamentadas).
Ello nos servir para determinar: 1. Grado de cumplimiento de la estructura organizacional administrativa. 2. Grado de cumplimiento de las polticas y los procedimientos administrativos. 3. Satisfaccin e insatisfaccin. 4. Capacitacin. 5. Observaciones generales. 80 Gua de entrevista
1. Nombre del puesto 2. Puesto del jefe inmediato 3. Puestos a que reporta 4. Puestos de las personas que reportan al entrevistado 5. Nmero de personas que reportan al entrevistado 6. Describa brevemente las actividades diarias de su puesto 7. Actividades peridicas 8. Actividades eventuales 9. Con qu manuales cuenta para el desempeo de su puesto? 10. Cules polticas se tienen establecidas para el puesto? 11. Seale las lagunas que considere que existen en la organizacin 12. En caso de que el entrevistado mencione cargas de trabajo, cmo las establece? 13. Cmo las controla? 14. Cmo se deciden las polticas que han de implantarse? 15. Cmo recibe las instrucciones de los trabajos encomendados? 16. Con qu frecuencia recibe capacitacin y de qu tipo? 17. Sobre qu tema le gustara recibir capacitacin? 18. Mencione la capacitacin obtenida y dada a su personal durante el ltimo ao 19. Observaciones
NOTA: En caso de que sea una entrevista solicitada por el personal de informtica, tiene que ser confidencial y no podrn solicitarse las preguntas iniciales. El entrevistado deber hablar abiertamente fundamentando sus opiniones y comentarios.
6.5 Situacin presupuestal y financiera
6.5.1. Presupuestos.
Obtencin y anlisis de la situacin presupuestal del departamento. Se obtendr informacin presupuestal y financiera del departamento, as como nmero de equipos y caractersticas para hacer un anlisis de su situacin desde un punto de vista econmico. 1. Costos del departamento, desglosado por reas y controles. 2. Presupuesto del departamento, desglosado por reas. 3. Caractersticas de los equipos, nmero de ellos y contratos.
NOTA: Se debern pedir los costos, presupuestos y caractersticas de los equipos sealados en los puntos 1, 2 y 3 adems de contestar el cuestionario. 81
Cuestionarlo para la situacin presupuestal
1. Cul es el gasto total anual aproximado del rea de informtica incluyendo venta del equipo y administracin del centro de cmputo (gastos directos o indirectos). 2. Existe un sistema de contabilidad de costos por: Usuario? ( ) Por aplicacin? ( ) 3. Conocen los usuarios los costos de sus aplicaciones? Si( ) NO( ) 4. Los reportes de costo permiten la comparacin de lo gastado en la direccin de informtica contra lo presupuestado? SI( ) NO( ) 5. Cite a los principales proveedores de su direccin en materia de: Proveedor Volumen Anual Mobiliario en general Papelera Cintas, discos 6. Cules cargos adicionales se manejan por separado fuera del contrato? Utilizacin del equipo Servicio de mantenimiento Capacitacin del personal Asesora en sistemas de cmputo Gastos de instalacin del equipo impuestos federales, estatales, municipales y especiales Seguros de transporte y compra de equipo Otros especifquelos 7. Cul es la situacin jurdica del equipo? 1). Compra del equipo ( ) 2). Renta del equipo ( ) 3). Renta con opcin a compra ( ) 4). Renta de tiempo mquina ( ) 5). Maquila ( ) 6). Otro, cul? ( )
Recursos financieros
Formulacin
Quin interviene en la formulacin del presupuesto del rea? Se respetan los planteamientos presupustales del rea? SI NO No, en qu partidas no se ha respetado y en qu monto?
82
Adecuacin
Los recursos financieros con que cuenta el rea son suficientes para alcanzar los objetivos y metas establecidos? SI NO No, qu efectos se han tenido en el rea al no contar con suficientes recursos financieros?
Recursos materiales
Programacin
Existe un programa sobre los requerimientos del rea? SI NO Qu personas del rea intervienen en su elaboracin? Se respetan los planteamientos del rea? SI NO No, en qu aspectos no se respetan?
Adecuacin
Los recursos materiales se le proporcionan al rea, son suficientes para cumplir con las funciones encomendadas? SI NO No, en qu no son suficientes? Los recursos materiales se proporcionan oportunamente? SI NO Cules son las principales limitaciones que tiene el rea en cuanto a los recursos materiales? Qu sugerencias hara para superar las limitaciones actuales?
Servicios generales
Existe un programa sobre los servicios generales que requiere el rea? SI NO Los servicios generales que se proporcionan al rea, los considera: Adecuados? SI NO Suficientes? SI NO Oportunos? SI NO En caso de que alguna de las respuestas sea negativa especifique cul es la deficiencia Qu sugerencias hara para superar las limitaciones actuales?
Mobiliario y equipo
Se cuenta con el equipo y mobiliario adecuados y en cantidad suficiente para 83 desarrollar su trabajo? SI NO Por qu? Estn adecuadamente distribuidos en el rea de trabajo? Actualmente se estn dejando de realizar actividades por falta de material y equipo? SI NO Qu se hace para solucionar este problema? Conoce esta situacin el jefe de la unidad? Qu medidas se han tomado? Existe el servicio de mantenimiento del equipo? Existen medidas de seguridad? SI NO Cules? Por qu? Qu se hace con el equipo en desuso? Sobre quin recae la responsabilidad del equipo? Con qu frecuencia se renuevan el equipo y mobiliario? Se recogen opiniones y sugerencias que nos permitan establecer las medidas correctivas con las cuales lograr un mejor funcionamiento de estos recursos? 84
La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratgico para la elaboracin de los sistemas o si se estn elaborando sin el adecuado sealamiento de prioridades y de objetivos. El plan estratgico deber establecer los servicios que se prestarn en un futuro contestando preguntas como las siguientes: a) Cules servicios se implementarn? b) Cundo se pondrn a disposicin de los usuarios? c) Qu caractersticas tendrn? d) Cuntos recursos se requerirn?
La estrategia de desarrollo deber establecer las nuevas aplicaciones y recursos que proporcionar la direccin de informtica y la arquitectura en que estarn fundamentados.
- Qu aplicaciones sern desarrolladas y cundo? - Qu tipo de archivos se desarrollarn y cundo? - Qu bases de datos sern desarrolladas y cundo? - Qu lenguajes se utilizarn y en qu software? - Qu tecnologa ser utilizada y cundo se implementar? - Cuntos recursos se requerirn aproximadamente? - Cul es aproximadamente el monto de la inversin en hardware y software? En lo referente a la consulta a los usuarios, el plan estratgico debe definir los requerimientos de informacin de la organizacin.
- Qu estudios van a ser realizados al respecto? - Qu metodologa se utilizar para dichos estudios? - Quin administrar y realizar estos estudios? 85 En el rea de auditoria interna debe evaluarse cul ha sido la participacin del auditor y los controles establecidos. Por ltimo, el plan estratgico determina la planeacin de los recursos.
- Contempla el plan estratgico las ventajas de la nueva tecnologa? - Cules sern los conocimientos requeridos por los recursos humanos planeados? - Se contemplan en la estructura organizacional los nuevos niveles jerrquicos requeridos por el plan estratgico? - Cul es la inversin requerida en servicios, desarrollo y consulta a los usuarios? El proceso de planeacin de sistemas deber asegurarse de que todos los recursos requeridos estn claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) debern ser compatibles con la estrategia de la arquitectura de la tecnologa, con que se cuenta actualmente. Para identificar los problemas de los sistemas primero debemos detectar los sntomas, los cuales son un reflejo del rea problemtica; y despus de analizar los sntomas podremos definir y detectar las causas, parte medular de la auditora. Debemos aprender a reunir todos los sntomas y a distinguirlos antes de sealar las causas, evitando tomar los sntomas como causas y dejando fuera todo lo que es rumores sin fundamento. Los sistemas debemos evaluarlos de acuerdo con el ciclo de vida que normalmente siguen: 1) requerimientos del usuario, 2) estudio de factibilidad, 3) diseo general, 4) anlisis, 5) diseo lgico, 6) desarrollo fsico, 7) pruebas, 8) implementacin, 9) evaluacin, 10) modificaciones, 11) instalacin, 12) mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad. La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es susceptible de realizarse, cul es su relacin costo/beneficio y si es conductualmente favorable. Se deber solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operacin, as como los que estn en la fase de anlisis para evaluar si se considera la disponibilidad y caractersticas del equipo, los sistemas operativos y lenguajes disponibles, las necesidades de los usuarios, las formas de utilizacin de los sistemas, el costo y los beneficios que reportar el sistema, el 86 efecto que producir en quienes lo usarn y el efecto que stos tendrn sobre el sistema, y la congruencia de los diferentes sistemas. En el caso de sistemas que estn funcionando, se deber comprobar si existe el estudio de factibilidad con los puntos sealados, y comparar con la realidad lo especificado en el estudio de factibilidad. Por ejemplo, en un sistema que el estudio de factibilidad seal determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cul fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema. Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operacin, cosa que en la prctica son costos directos, indirectos y de operacin. Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operacin, la reduccin del tiempo de proceso de un sistema, mayor exactitud, mejor servicio, una mejora en los procedimientos de control, mayor confiabilidad y seguridad. Entre los problemas mas comunes en los sistemas estn los siguientes
1. Falta de estndares en el desarrollo, en el anlisis y la programacin. 2. Falta de participacin y de revisin por parte de la alta gerencia. 3. Falta de participacin de los usuarios. 4. Inadecuada especificacin del sistema al momento de hacer el diseo detallado. 5. Deficiente anlisis costo/beneficio. 6. Nueva tecnologa no usada o usada incorrectamente. 7. Inexperiencia por parte del personal de anlisis y del de programacin. 8. Diseo deficiente. 9. Proyeccin pobre de la forma en que se realizar el sistema. 10. Control dbil o falta de control sobre las fases de elaboracin del sistema y sobre el sistema en s. 11. Problemas de auditora. 12. Inadecuados procedimientos de seguridad, de recuperacin y de archivos. 13. Falta de integracin de los sistemas (elaboracin de sistemas aislados programas que no estn unidos como sistemas). 14. Documentacin inadecuada o inexistente. 15. Dificultad de dar mantenimiento al sistema, principalmente por falta de documentacin o excesivos cambios y modificaciones hechos al sistema. 16. Problemas en la conversin e implementacin. 17. Procedimientos incorrectos o no autorizados.
7.2 Evaluacin del anlisis
En esta etapa se evaluarn las polticas, procedimientos y normas que se 87 tienen para llevar a cabo el anlisis Se deber evaluar la planeacin de las aplicaciones que pueden provenir de tres fuentes principales.
1. La planeacin estratgica: agrupadas las aplicaciones en conjuntos relacionados entre si y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la organizacin, independientemente de los recursos que impliquen su desarrollo y justificacin en el momento de la planeacin. 2. Los requerimientos de los usuarios. 3. El inventario de sistemas en proceso al recopilar la informacin de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron. La situacin de una aplicacin en dicho inventario puede ser alguna de las siguientes
a) Planeada para ser desarrollada en el futuro. b) En desarrollo. c) En proceso, pero con modificaciones en desarrollo. d) En proceso con problemas detectados. e) En proceso sin problemas. f) En proceso espordicamente.
NOTA: Se deber documentar detalladamente la fuente que gener la necesidad de la aplicacin. La primera parte ser evaluar la forma en que se encuentran especificadas las polticas, los procedimientos y los estndares de anlisis, si es que se cumplen y si son los adecuados para la organizacin.
Es importante revisar la situacin en que se encuentran los manuales de anlisis y si estn acordes con las necesidades de la organizacin. En algunas ocasiones se tiene una microcomputadora, con sistemas sumamente sencillos y se solicita que se lleve a cabo una serie de anlisis que despus hay que plasmar en documentos sealados en los estndares, lo cual hace que esta fase sea muy compleja y costosa. Los sistemas y su documentacin deben estar acordes con las caractersticas y necesidades de una organizacin especfica. Se debe evaluar la obtencin de datos sobre la operacin, flujo, nivel, jerarqua de la informacin que se tendr a travs del sistema, as como sus lmites e interfases con otros sistemas. Se han de comparar los objetivos de los sistemas desarrollados con las operaciones actuales, para ver si el estudio de la ejecucin deseada corresponde al actual. La auditora en informtica debe evaluar los documentos y registros usados en la elaboracin del sistema, as como todas las salidas y reportes, la descripcin de las actividades de flujo de la informacin y de procedimientos, los archivos almacenados, su uso y su relacin con otros archivos y sistemas, su frecuencia de acceso, su conservacin, su seguridad y control, la documentacin propuesta, las entradas y salidas del sistema y los documentos fuentes a usarse.
88
Con la informacin obtenida podremos contestar a las siguientes preguntas:
1. Se est ejecutando en forma correcta y eficiente el proceso de informacin? 2. Puede ser simplificado para mejorar su aprovechamiento? 3. Se debe tener una mayor interaccin con otros sistemas? 4. Se tiene propuesto un adecuado control y seguridad sobre el sistema? 5. Est en el anlisis la documentacin adecuada?
7.3 Evaluacin del diseo lgico del sistema
En esta etapa se debern analizar las especificaciones del sistema. Qu deber hacer?, Cmo lo deber hacer?, secuencia y ocurrencia de los datos, el proceso y la salida de reportes Una vez que hemos analizado estas partes, se deber estudiar la participacin que tuvo el usuario en la identificacin del nuevo sistema, la participacin de auditora interna en el diseo de los controles y la determinacin de los procedimientos de operacin y decisin. Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo que realmente se est obteniendo: como en el caso de la administracin en la cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se est obteniendo. Los puntos a evaluar son: a) Entradas b) Salidas c) Procesos d) Especificaciones de datos e) Especificaciones de proceso f) Mtodos de acceso g) Operaciones h) Manipulacin de datos (antes y despus del proceso electrnico de datos) i) Proceso lgico necesario para producir informes identificacin de archivos, tamao de los campos y registros Proceso en lnea o lote y su justificacin j) Frecuencia y volmenes de operacin k) Sistemas de seguridad I) Sistemas de control m) Responsables n) Nmero de usuarios
Dentro del estudio de los sistemas en uso se deber solicitar: 1) Manual del usuario 2) Descripcin de flujo de informacin 3) Descripcin y distribucin de informacin 89 4) Manual deformas 5) Manual de reportes 6) Lista de archivos y especificacin
Lo que debemos determinar en el sistema:
En el procedimiento: Quin hace, cundo y cmo? Qu formas se utilizan en el sistema? Son necesarias, se usan, estn duplicadas? El nmero de copias es el adecuado? Existen puntos de control o faltan?
En la grfica de flujo de informacin: Es fcil de usar? Es lgica? Se encontraron lagunas? Hay faltas de control?
En las formas de diseo: Cmo est usada la forma en el sistema? Qu tan bien se ajusta la forma al procedimiento? Cul es el propsito, por qu se usa? Se usa y es necesaria? El nmero de copias es el adecuado? Quin lo usa?
Lo que debemos revisar en las formas de diseo:
Numeracin. Est numerada la forma? Es necesaria su numeracin? Est situada en un solo lugar fcil de encontrar? Cmo se controlan las hojas numeradas y su utilizacin? Ttulo. Da el ttulo de la forma una idea clara sobre su funcin bsica? Espacio. Si la forma est mecanografiada: hay suficiente espacio para escribir con mquina rpidamente, con exactitud y eficiencia? Si la forma se llena a mano: hay el espacio adecuado para que se escriba en forma legible? Tabulacin. Si la forma est mecanografiada: permite su tabulacin llenarla uniformemente? Es la tabulacin la mnima posible?
90 Una excesiva tabulacin disminuye la velocidad y eficiencia para llenarla. Adems le da una apariencia desigual y confusa. Zonas. Estn juntos los datos relacionados entre s? Si los datos similares estn agrupados por zonas, todas las personas que usan la forma ahorran tiempo. La informacin similar reunida por zonas, hace ms fcil su referencia, se mecanografa ms eficientemente y se revisa con ms rapidez. Posteriormente se debe verificar que las zonas de las formas que sean utilizadas para captura estn situadas de manera congruente con el diseo de las pantallas de captura. Rayado. Da la forma una apariencia desordenada y difcil de entender por el uso confuso y excesivo de lneas delgadas, gruesas o de doble raya? Instrucciones. Le dice la forma al usuario cmo debe llenarla? Formas autoinstructivas o que suministran la informacin de cmo llenarlas permiten que el personal nuevo y los otros trabajen con supervisin y errores mnimos. De no ser as existe un manual de llenado de formas, se debe revisar si las instrucciones son claras, si son congruentes con la forma y si son excesivas, ya que un diseo excesivo de instrucciones pueda provocar confusin y hacer que sea poco clara. Firmas. Existe suficiente espacio para una firma legible? Est el espacio debidamente identificado respecto a la firma que necesita? La firma se utiliza como un mero tramite o realmente controla la persona que firma lo que se est firmando? Nombres. Usa la forma los nombres de los puestos, en lugar del nombre del individuo? No es conveniente imprimir nombres de personas debido a la rotacin de personal. Encabezados ambiguos. Se indica con exactitud qu fechas, qu nmeros, o qu firmas se requieren? Se deben evitar encabezados dudosos o ambiguos. Rtulos. Son demasiados llamativos? Son demasiado discretos? Existe un adecuado contraste entre los rtulos y los textos respecto a su tamao, color y ubicacin para que los datos solicitados sean identificados fcilmente? Ubicacin de los rtulos. Estn los rtulos o encabezados debajo de la lnea en donde se debe mecanografiar? Esto causa prdida de tiempo, porque la mecangrafa tiene que mover el carro para ver el rtulo y acomodarlo nuevamente para escribir la informacin deseada.
91 Casilleros. Se usan pequeos espacios enmarcados ( ) para con una sola indicacin reducir escritos largos o repetitivos?, Los espacios son suficientes o excesivos? Tipo de papel. Son el peso y calidad del papel apropiado para esa forma? Use papel ms pesado y de mejor calidad para aquellas formas que requieren un manejo excesivo. Use papel de menor peso con formas que se usen poco, para reducir costo y espacio en los archivos. Tamaos estndar. Tiene la forma un tamao estndar? El tamao estndar se ajusta a sobres y archivos estndar. Adems reduce existencias de papel, manejo y tiempo y costo de impresin. Se debe considerar que el costo del papel que no es de tamao estndar es considerablemente mayor que el de tamao estndar. Color. Permite el contraste del color del papel una lectura eficiente? Las formas en colores como el anaranjado, el verde, el azul, el gris, etc., en tonos obscuros, son difciles de leer porque no ofrecen suficiente contraste entre la impresin (NEGRO) y el papel. Ciertos colores brillantes cansan la vista. Se debe tener cuidado tanto en el color del papel como en el color de la tinta. Las copias deben estar identificadas de acuerdo con el color.
Anlisis de informes
Una vez que se ha estudiado los formatos de entrada debemos analizar los informes para posteriormente evaluarlos con la informacin proporcionada por la encuesta a los usuarios. Despus de describir el contenido de los informes se debe tener el anlisis de datos e informacin.
Ruido, redundancia, Entropa
En la auditora de sistemas hay que estudiar la redundancia, el ruido y la entropa que tiene cada uno de los sistemas. En primer lugar, debemos considerar como comunicacin "La transferencia de informacin del emisor al receptor de manera que ste la comprenda", Koontz/O'Donnell/ Weihrich; Administracin, Mc Graw Hill. El ruido es todo aquello que interfiere en una adecuada comunicacin; no solamente los sonidos sino todo aquello que impida la adecuada comunicacin, y Koontz/O'Donnell/WeiHrich definen el ruido como "Cualquier cosa (sea en el emisor, en la transmisin o en el receptor) que obstaculiza la comunicacin"; as, por ejemplo; si una persona se encuentra jugando, sin hacer necesariamente algn sonido, en el momento que otra est hablando, se considera como tipo de ruido para el sistema.
En el caso de un sistema computarizado el error en la captura, una pantalla de la terminal demasiado llena de informacin y poco entendible o un reporte 92 inadecuado se deben considerar como ruido en el sistema, ya que impide una buena comunicacin de la informacin. La redundancia es toda aquella duplicidad que tiene el sistema con la finalidad de que, en caso de que exista ruido, esta redundancia permita que la informacin llegue al receptor en forma adecuada. Podemos enviar un mensaje de la forma siguiente: Lleg por avin el da martes 31 de octubre de 1988 del presente ao, a las 16:00 hrs. de la tarde a la ciudad de Cancn, Quintana Roo, Mxico. En el mensaje anterior tenemos excesiva redundancia debido a que el 31 de octubre de 1988 es martes y si estamos en 1988 es del presente ao. Las 16:00 hrs. siempre es de la tarde y la ciudad de Cancn est slo en el estado de Quintana Roo, Mxico. Y en cambio puede ser incompleta ya que no especifica la lnea area ni el vuelo en que llegar. La redundancia anterior puede ser conveniente en el caso de que se necesiten cerciorarse de que la informacin se recibe correctamente y esto estar en funcin de lo delicado que sea la informacin y del riesgo que se corre en caso de una prdida total o parcial de la misma. Un ejemplo de redundancia dentro de las mquinas es el bit de paridad, el cual permite que en caso de prdida de un bit, se pueda recuperar la informacin que contiene el byte. La redundancia es una forma de control que permite que, si existe ruido, la comunicacin pueda llevarse a cabo en forma eficiente, y deber haber mayor redundancia entre ms arriesgada, costosa o peligrosa sea la prdida de informacin; pero a su vez debemos estar conscientes que el exceso de redundancia puede provocar ruido. Esto se da, por ejemplo, en el caso de que un profesor desee ser tan claro que se dedique a dar demasiados ejemplos; puede provocar ruido en el sentido que llegue a confundir o aburrir a sus alumnos y el nmero excesivo de ejemplos impida una adecuada comunicacin. En la auditora se debe considerar que todo sistema ha de ofrecer un nmero adecuado de redundancia segn su nivel de importancia, de modo que permita una buena comunicacin aun en el caso de que exista ruido, pero sin ser la redundancia de tal magnitud que a su vez provoque ruido. Tambin debemos considerar que con un mayor control y redundancia, se incrementa tambin el costo de los sistemas. Hay que tener un adecuado nivel de control y redundancia que no sea de tal magnitud que provoque ruido o bien que no sea demasiado costoso en relacin con el nivel de seguridad que requiere el sistema.
Entropa
El diccionario la define como: "Cantidad de energa que por su degradacin no puede aprovecharse", Nuevo Diccionario Espaol Ilustrado SOPENA.
La entropa en un sistema, por ejemplo de un motor, es el calor que genera, el cual es energa que por sus caractersticas no puede aprovecharse. En el caso del sistema llamado motor se utiliza esta entropa; por ejemplo, en la calefaccin del automvil o bien para calentar el aire y la gasolina que entra al motor (en el 93 caso de motores turbo). En un sistema computarizado debemos procurar reducir al mximo esta entropa, y una de las formas de reducirla es interconectar sistemas, en tal forma que esa cantidad de energa no usada en un sistema pueda ser utilizada en otro sistema. Por ejemplo, al capturar el catlogo de clientes para el sistema de cobranzas, con un poco de informacin adicional lo podemos utilizar en contabilidad.
Matriz de recepcin y distribucin de documentos
Una forma objetiva de evaluar la informacin que se encuentra en un sistema es emplear la matriz de recepcin y distribucin de documentos, en la cual se define de modo grfico la distribucin de documentos y los resultados obtenidos en un proceso.
Matriz de entrada/salida
Otra forma de analizar la informacin es recurrir al impacto de los datos en entrada/salida, la cual puede ser establecida por medio de la matriz de entrada/salida en que se ve en forma objetiva cmo la informacin est dentro del sistema y puede detectar la redundancia, analizar informacin faltante y optimizar los reportes que se obtienen. La matriz de entrada/salida puede, por ejemplo darnos la imagen de los reportes que con pequeas diferencias son iguales (redundantes), de la informacin que puede pedir el usuario pero que no es posible proporcionar debido a que no se captur, de los datos que son capturados pero que no se utilizan, as como los posibles reportes adicionales que se pueden obtener si el usuario llegase a solicitarlos. Esta matriz es muy importante en el caso de que tengamos un programa generadores de reportes en el que los usuarios elaboran directamente sus reportes, ya que se pueden hacer reportes en forma indiscriminada provocando duplicidad y "reportitis" (tendencia a generar reportes sin tener una adecuada justificacin) o bien informes que deben ser obtenidos por medio de pantallas para no utilizar papel y para una forma ms adecuada de utilizacin.
7.4 Evaluacin del desarrollo del sistema
En esta etapa del sistema se debern auditar los programas, su diseo, el lenguaje utilizado, interconexin entre los programas y caractersticas del hardware empleado (total o parcial) para el desarrollo del sistema.
Como se analiz en la auditoria de los programas, es conveniente hacer la evaluacin cuando el sistema ya se implement y se encuentra trabajando correctamente. Al evaluar un sistema de informacin se tendr presente que todo sistema debe proporcionar informacin para planear, organizar y controlar de manera 94 eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma ms econmica posible. De ese modo contar con los mejores elementos para una adecuada toma de decisiones. Al tener un proceso distribuido, es preciso considerar la seguridad del movimiento de la informacin entre nodos. El proceso de planeacin de sistemas debe definir la red ptima de comunicaciones, recordando que el plan de aplicaciones proporciona informacin de la ubicacin planeada de las terminales, los tipos de mensajes requeridos, el trfico esperado en las lneas de comunicacin y otros factores que afectan el diseo. Es importante considerar las variables que afectan a un sistema: ubicacin en los niveles de la organizacin, el tamao y los recursos que utiliza. Las caractersticas que deben evaluarse en los sistemas son: Dinmicos (susceptibles de mortificarse). Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo). Integrados (un slo objetivo). En l habr sistemas que puedan ser interrelacionados y no programas aislados. Accesibles (que estn disponibles). Necesarios (que se pruebe su utilizacin). Comprensibles (que contengan todos los atributos). Oportunos (que est la informacin en el momento que se requiere). Funcionales (que proporcionen la informacin adecuada a cada nivel). Estndar (que la informacin tenga la misma interpretacin en los distintos niveles). Modulares (facilidad para ser expandidos o reducidos). Jerrquicos (por niveles funcionales). Seguros (que slo las personas autorizadas tengan acceso). nicos (que no duplique informacin).
7.5 Control de proyectos
Debido a las caractersticas propias del anlisis y la programacin, es muy frecuente que la implantacin de los sistemas se retrase y se llegue a suceder que una persona lleva trabajando varios aos dentro de un sistema o bien que se presenten irregularidades en las que los programadores se ponen a realizar actividades ajenas a la direccin de informtica. Para poder controlar el avance de los sistemas, ya que sta es una actividad intelectual de difcil evaluacin, se recomienda que se utilice la tcnica de administracin por proyectos para su adecuado control.
Qu significa que un sistema sea liberado en el plazo establecido y dentro del presupuesto? Pues sencillamente que el grado de control en el desarrollo del mismo es el adecuado o tal vez el ptimo. Pero esto no se consigue gratuitamente o porque la experiencia o calidad del personal de desarrollo sea alta, sino porque existe un grado de control durante su desarrollo que le permite obtener esta cualidad. Cabe preguntar aqu: quin es el elemento adecuado para proporcionar 95 este grado de control? Para poder tener una buena administracin por proyectos se requiere que el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisado peridicamente (semanal, mensual o bimestralmente) para evaluar el avance respecto a lo programado. La estructura estndar de la planeacin de proyectos deber incluir la facilidad de asignar fechas predefinidas de terminacin de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisin, las cuales tendrn diferentes niveles de detalle. Son necesarias las reuniones a nivel tcnico que requieran la participacin del personal especializado de la direccin de informtica para definir la factibilidad de la solucin y los resultados planeados. Son muy importantes las reuniones con los usuarios finales, para verificar la validez de los resultados esperados y, finalmente, se deben planear. La evaluacin de proyectos y su control puede realizarse de acuerdo con diferentes autores y a manera de ejemplo presentamos el siguiente.
Cuestionario para la evaluacin de proyectos,
Existe una lista de proyectos de sistema de procesamiento de informacin y fechas programadas de implantacin que puedan ser considerados como plan maestro? Est relacionado el plan maestro con un plan general de desarrollo de la dependencia? Ofrece el plan maestro la atencin de solicitud? Asigna el plan maestro un porcentaje del tiempo total de produccin al reproceso o fallas de equipo? Poner la lista de proyectos a corto plazo y a largo plazo. Poner una lista de sistemas en proceso periodicidad y usuarios. Quin autoriza los proyectos? Cmo se asignan los recursos? Cmo se estiman los tiempos de duracin? Quin interviene en la planeacin de los proyectos? Cmo se calcula el presupuesto del proyecto? Qu tcnicas se usan en el control de los proyectos? Quin asigna las prioridades? Cmo se asignan las prioridades? Cmo se controla el avance del proyecto? Con qu periodicidad se revisa el reporte de avance del proyecto? Cmo se estima el rendimiento del personal? Con que frecuencia se estiman los costos del proyecto para compararlo con lo presupuestado? Qu acciones correctivas se toman en caso de desviaciones? Qu pasos y tcnicas siguen en la planeacin y control de los proyectos? Enumrelos secuencialmente. ( ) Determinacin de los objetivos. ( ) Sealamiento de las polticas. 96 ( ) Designacin del funcionario responsable del proyecto. ( ) Integracin del grupo de trabajo. ( ) Integracin de un comit de decisiones. ( ) Desarrollo de la investigacin. ( ) Documentacin de la investigacin. ( ) Factibilidad de los sistemas. ( ) Anlisis y valuacin de propuestas. ( ) Seleccin de equipos.
Se llevan a cabo revisiones peridicas de los sistemas para determinar si an cumplen con los objetivos para los cuales fueron diseados? De anlisis SI NO De programacin SI NO Observaciones Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el departamento de informtica podra satisfacer las necesidades de la dependencia, segn la situacin actual. Como ejemplo de formato de control de proyectos vase en el anexo 3, del calendario de actividades vanse los anexos 4 y 5, del reporte de los responsables del sistema, vase el anexo 6, del control de programadores, vanse los anexos 7 y 8, de planeacin de la programacin, vanse los anexos 9 y 10, de los informes de avance de programacin, vase el anexo 11, de control de avance de programacin vanse los anexos 12, 13 y 14.
7.6 Control de diseo de sistemas de programacin
El objetivo es asegurarse de que el sistema funcione conforme a las especificaciones funcionales, a fin de que el usuario tenga la suficiente informacin para su manejo, operacin y aceptacin. Las revisiones se efectan en forma paralela desde el anlisis hasta la programacin y sus objetivos son los siguientes: En la etapa de anlisis. Identificar inexactitudes, ambigedades y omisiones en las especificaciones. En la etapa de diseo. Descubrir errores, debilidades, omisiones antes de iniciar la codificacin. En la etapa de programacin. Buscar la claridad, modularidad y verificar con base en las especificaciones.
Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan: si se descubren en el momento de programacin ser ms alto el costo que si se detectan en la etapa de anlisis. Las pruebas del sistema tratan de garantizar que se cumplan los requisitos de las especificaciones funcionales, verificando datos estadsticos, transacciones, reportes, archivos, anotando las fallas que pudieran ocurrir y realizando los ajustes necesarios. Los niveles de prueba pueden ser agrupados en mdulos, programas 97 y sistema total. Esta funcin tiene una gran importancia en el ciclo de evaluacin de aplicaciones de los sistemas de informacin y busca comprobar que la aplicacin cumple las especificaciones del usuario, que se haya desarrollado dentro de lo presupuestado, que tenga los controles necesarios y que efectivamente cumpla con los objetivos y beneficios esperados. Un cambio hecho a un sistema existente, como la creacin de uno nuevo, presupone necesariamente cambios en la forma de obtener la informacin y un costo adicional. Ambos debern ser evaluados. Se debe evaluar el cambio (si lo hay) de la forma en que se ejecutan las operaciones, se comprueba si mejora la exactitud de la informacin generada, si la obtencin de los reportes efectivamente reduce el tiempo de entrega o si es ms completa. Se determina cunto afecta las actividades del personal usuario o si aumenta o disminuye el personal de la organizacin, as como los cambios entre las interacciones entre los miembros de la organizacin. A fin de saber si aumenta o disminuye el esfuerzo realizado y su relacin costo/beneficio para generar la informacin destinada a la toma de decisiones, con objeto de estar en condiciones de determinar la productividad y calidad del sistema. El analista deber proporcionar la descripcin del funcionamiento del sistema funcional desde el punto de vista del usuario, indicando todas las interrelaciones del sistema, la descripcin lgica de cada dato, las estructuras que esto forman, el flujo de informacin que tiene lugar en el sistema. Lo que el sistema tomara como entrada, los procesos que ser realizados, las salidas que deber proporcionar, los controles que se efectuarn para cada variable y los procedimientos.
Cuestionarios para la evaluacin del diseo y prueba de los sistemas
Quienes intervienen al disear Usuario. Analista. Programadores operadores. Gerente de departamento. Auditores internos. Asesores. Otros. Los analistas son tambin programadores? SI( ) NO( ) Qu lenguaje o lenguajes conocen los analistas? Cuntos analistas hay y qu experiencia tienen? Qu lenguaje conocen los programadores? Cmo se controla el trabajo de los analistas? Cmo se controla el trabajo de los programadores? Indique qu pasos siguen los programadores en el desarrollo de un programa: ( ) Estudio de la definicin ( ) Discusin con el analista ( ) Diagrama de bloques 98 ( ) Tabla de decisiones ( ) Prueba de escritorio ( ) Codificacin ( ) Compilacin ( ) Elaborar datos de prueba ( ) Solicitar datos al analista ( ) Correr programas con datos ( ) Revisin de resultados ( ) Correccin del programa ( ) Documentar el programa ( ) Someter resultados de prueba ( ) Entrega del programa Es enviado a captura o los programadores capturan? Quin los captura? Qu documentacin acompaa al programa cuando se entrega?
Es muy frecuente que el programador no libere un sistema, esto es, que contine dndole mantenimiento al sistema y sea el nico que lo conozca. Ello puede deberse a amistad con el usuario, falta de documentacin, mal anlisis preliminar del sistema, resistencia a cambiar a otro proyecto o bien a una situacin que es muy grave dentro del rea de informtica: la aplicacin de "indispensables" que son los nicos que tienen la informacin y, por lo tanto, son inamovibles. Qu sucede respecto al mantenimiento o modificacin de un sistema cuando el sistema no ha sido bien desarrollado (analizado, diseado, programado, probado) e instalado? La respuesta es sencilla: necesitar cambios frecuentes por omisiones o nuevos requerimientos. En el caso de sistemas, muchas organizaciones estn gastando cerca del 80% de sus recursos de cmputo en mantenimiento. El mantenimiento excesivo es consecuencia de falta de planeacin y control del desarrollo de sistemas; la planeacin debe contemplar los recursos disponibles y tcnicas apropiadas de desarrollo. El control por su parte debe tener como soporte el establecimiento de normas de desarrollo que han de ser verificadas continuamente en todas las etapas del desarrollo de un sistema. Estas normas no pueden estar aisladas, primero, del contexto particular de la direccin de informtica (ambiente) y, segundo, de los lineamientos generales de la organizacin, para lo cual es necesario contar con personal en desarrollo que posea suficiente experiencia en el establecimiento de normas de desarrollo de sistemas. Estas mismas caractersticas deben existir en el personal de auditora de sistemas. Es poco improbable que un proyecto llegue a un final feliz cuando se ha iniciado sin xito. Difcilmente estaremos controlando realmente el flujo de la informacin de un sistema que desde su inicio ha sido mal analizado, mal diseado, mal programado e incluso mal documentado. El excesivo mantenimiento de los sistemas generalmente ocasionado por un mal desarrollo, se inicia desde que el usuario establece sus requerimientos (en ocasiones sin saber qu desea) hasta la instalacin del mismo, sin que se haya establecido un plan de prueba del sistema para medir su grado de contabilidad en 99 la operacin que efectuar. Para verificar si existe esta situacin, se debe pedir a los analistas y a los programadores las actividades que estn desarrollando en el momento de la auditora y evaluar si estn efectuando actividades de mantenimiento o de realizacin de nuevos proyectos. En ambos casos se deber evaluar el tiempo que llevan dentro del mismo sistema, la prioridad que se le asign y cmo est en el tiempo real en relacin al tiempo estimado en el plan maestro. El que los analistas, los programadores o unos y otros tengan acceso en todo momento a los sistemas en operacin puede ser un grave problema y ocasionar fallas de seguridad.
7.7 Instructivos de operacin
Debemos evaluar los instructivos de operacin de los sistemas para evitar que los programadores tengan acceso a los sistemas en operacin y el contenido mnimo de los instructivos de operacin.
El instructivo de operacin deber comprender:
Diagrama de flujo por cada programa. - Diagrama particular de entrada-salida - Mensaje y su explicacin - Parmetros y su explicacin - Diseo de impresin de resultados - Cifras de control - Frmulas de verificacin - Observaciones - instrucciones en caso de error - Calendario de proceso y resultados
7.8 Forma de implantacin
La finalidad de evaluar los trabajos que se realizan para iniciar la operacin de un sistema, esto es, la prueba integral del sistema, adecuacin, aceptacin por parte del usuario, entrenamiento de los responsables del sistema, etc.
Indica cules puntos se toman en cuenta para la prueba de un sistema:
Prueba particular de cada programa ( ) Prueba por fase validacin, actualizacin ( ) Prueba integral del paralelo ( ) Prueba en paralelo sistema ( ) Otro (especificar) ( )
100 7.9 Equipo y facilidades de programacin
La seleccin de la configuracin de un sistema de cmputo incluye la interaccin de numerosas y complejas decisiones de carcter tcnico. El impacto en el rendimiento de un sistema de cmputo debido a cambios trascendentales en el sistema operativo o en el equipo puede ser determinado por medio de un paquete de pruebas (benchamark) que haya sido elaborado para este fin en la direccin de informtica. Es conveniente solicitar pruebas y comparaciones entre equipos (benchamark) para evaluar la situacin del equipo y del software en relacin a otros que se encuentran en el mercado.
7.10 Entrevistas a usuarios
La entrevista se deber llevar a cabo para comparar datos proporcionados y la situacin de la direccin de informtica desde el punto de vistas de los usuarios. Su objeto es conocer la opinin que tienen los usuarios sobre los servicios proporcionados, as como la difusin de las aplicaciones de la computadora y de los sistemas en operacin. Las entrevistas se debern hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los ms importantes como de los de menor importancia, en cuanto al uso del equipo. Desde el punto de vista del usuario los sistemas deben: 1) Cumplir con los requerimientos totales del usuario. 2) Cubrir todos los controles necesarios. 3) No exceder las estimaciones del presupuesto inicial. 4) Sern fcilmente modificables.
Para que un sistema cumpla con los requerimientos del usuario, se necesita una comunicacin completa entre usuario y el responsable del desarrollo del sistema; en ella se deben definir claramente los elementos con que cuenta el usuario, las necesidades de proceso de informacin y los requerimientos de informacin de salida, almacenada o impresa. En esta misma etapa debi haberse definido la calidad de la informacin que ser procesada por la computadora, establecindose los riesgos de la misma y la forma de minimizarlos. Para ello se debieron definir los controles adecuados, establecindose adems los niveles de acceso a la informacin, es decir, quin tiene privilegio de consultar, modificar o incluso borrar informacin. Esta etapa habr de ser cuidadosamente verificada por el auditor interno especialista en sistemas y por el auditor en informtica, para comprobar que se logr una adecuada comprensin de los requerimientos del usuario y un control satisfactorio de informacin. Para verificar si los servicios que se proporcionan a los usuarios son los 101 requeridos y se estn proporcionando en forma adecuada, cuando menos ser preciso considerar la siguiente informacin: Descripcin de los servicios prestados. Criterios de evaluacin que utilizan los usuarios para evaluar el nivel del servicio prestado. Reporte peridico del uso y concepto del usuario sobre el servicio. Registro de los requerimientos planteados por el usuario. Con esta informacin se puede comenzar a realizar la entrevista para determinar si los servicios proporcionados y planeados por la direccin de informtica cubren las necesidades de informacin de la organizacin.
Gua de cuestionario para la entrevista con el usuario
Considera que la direccin de informtica le da los resultados esperados? SI ( ) NO ( ) Porqu? Cmo considera usted, en general y el servicio proporcionado por la direccin de informtica? 1. Deficiente 2. Aceptable 3. Satisfactorio 4. Excelente Por qu? Cubre sus necesidades de procesamiento? 1. No las cubre 2. Parcialmente 3. La mayor parte 4. Todas Por qu?
Cmo considera la calidad del procesamiento que se le proporciona? 1. Deficiente 2. Aceptable 3. Satisfactorio 4. Excelente Por qu? Hay disponibilidad de procesamiento para sus requerimientos? 1. Generalmente no existe 2. Hay ocasionalmente 3. Regularmente 4. Siempre Por qu? Conoce los costos de los servicios proporcionados? Que opina del costo del servicio proporcionado por el departamento de procesos electrnicos? 1. Excesivo 2. Mnimo 102 3. Regular 4. Adecuado al servicio 5. No lo conoce Por qu? Son entregados con puntualidad los trabajos? 1. Nunca 2. Rara vez 3. Ocasionalmente 4. Generalmente 5. Siempre Por qu? Qu Piensa de la presentacin de los trabajos solicitados? 1. Deficiente 2. Aceptable 3. Satisfactoria 4. Excelente Por qu? Qu piensa de la atencin brindada por el personal de procesos electrnicos? 1. Insatisfactoria 2. Satisfactoria 3. Excelente Por qu? Qu piensa de la asesora que se imparte sobre informtica? 1. No se proporciona 2. Es insuficiente 3. Satisfactoria 4. Excelente Por qu?
Qu piensa de la seguridad en el manejo de la informacin proporcionada para su procesamiento? 1. Nula 2. Riesgosa 3. Satisfactoria 4. Excelente 5. Lo desconoce Por qu? Existen fallas de exactitud en los procesos de informacin? Cules? Cmo utiliza los reportes que se le proporcionan? Cules no utiliza? De aquellos que no utiliza por qu razn los recibe? Qu sugerencias presenta en cuanto a la eliminacin de reportes: modificacin, fusin, divisin de reporte? Se cuenta con un manual del usuario por sistema? Si ( ) NO( ) 103 Es claro y objetivo el manual del usuario? SI ( ) NO( ) Qu opinin tiene sobre el manual? NOTA: Pida el manual del usuario para evaluarlo Quin interviene de su departamento en el diseo de sistemas? En qu sistemas tiene actualmente su servicio de computacin? Qu sistemas deseara que se incluyeran? Observaciones: 104 8 __________________________________________________________________
Evaluacin del proceso de datos y de los equipos de cmputo [1; pg. 76-99 ]
8.1 Controles
Los datos son uno de los recursos ms valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados y auditados con el mismo cuidado que los dems inventarios de la organizacin, por lo cual se debe tener presente: a) La responsabilidad de los datos es compartida conjuntamente por alguna funcin determinada de la organizacin y la direccin de informtica. b) Un problema que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poder determinar los propietarios o usuarios posibles (principalmente en el caso de redes y banco de datos) y la responsabilidad de su actualizacin y consistencia. c) Los datos debern tener una clasificacin estndar y un mecanismo de identificacin que permita detectar duplicidad y redundancia dentro de una aplicacin y de todas las aplicaciones en general. d) Se deben relacionar los elementos de los datos con las bases de datos donde estn almacenados, as como los reportes y grupos de procesos donde son generados.
8.1.1 Control de los datos fuente y manejo de cifras de control.
La mayora de los delitos por computadora son cometidos por modificaciones de datos fuente al: Suprimir u omitir datos, Adicionar datos, Alterar datos Duplicar procesos
105 Esto es de suma importancia en caso de equipos de cmputo que cuentan con sistemas en lnea, en los que los usuarios son los responsables de la captura y modificacin de la informacin al tener un adecuado control con sealamiento de responsables de los datos (uno de los usuarios debe ser el nico responsable de determinado dato), con claves de acceso de acuerdo a niveles. El primer nivel es el que puede hacer nicamente consultas. El segundo nivel es aquel que puede hacer captura, modificaciones y consultas y el tercer nivel es el que slo puede hacer todo lo anterior y adems puede realizar bajas. NOTA: Debido a que se denomina de diferentes formas la actividad de transcribir la informacin del dato fuente a la computadora, en el presente trabajo se le denominar captura o captacin considerndola como sinnimo de digitalizar (capturista, digitalizadora). Lo primero que debemos evaluar es la entrada de la informacin y que se tengan las cifras de control necesarias para determinar la veracidad de la informacin.
Gua de cuestionario para el control de datos fuente
Existen normas que definan el contenido de los instructivos de captacin de datos? Indique el porcentaje de datos que se reciben en el rea de captacin y verifique si contiene su instructivo correspondiente. Indique el contenido de la orden de trabajo que se recibe en el rea de captacin de datos: Nmero de folio ( ) Nmero(s) de formatos) ( ) Fecha y hora de Nombre, del departamento, Recepcin ( ) Usuario ( ) Nombre del documento ( ) Nombre responsable ( ) Volumen aproximado Clave de cargo de registros ( ) (nmero de cuenta) ( ) Nmero de registros ( ) Fecha y hora de entrega de Clave del capturista ( ) documentos y registros captados ( ) Fecha estimada de entrega ( )
Indique cul(es) control(es) interno(s) existe(n) en el rea de captacin de datos:
Firmas de autorizacin ( ) Recepcin de trabajos ( ) Control de trabajos atrasados ( ) Revisin del documento ( ) Avance de trabajos ( ) Fuente (legibilidad, verificacin de datos completos, etc.) ( ) Verificacin ( ) Prioridades de captacin ( ) Errores por trabajo ( ) Produccin de trabajo ( ) 106 Correccin de errores ( ) Produccin de cada operador ( ) Entrega de trabajos ( ) Verificacin de cifras de control de entrada con las de salida ( ) Costo mensual por trabajo ( ) Existe un programa de trabajo de captacin de datos? a) Se elabora ese programa para cada turno? SI NO ( ) Diariamente ( ) Semanalmente ( ) Mensualmente b) La elaboracin del programa de trabajo se hace: ( ) Internamente ( ) Se les sealan a los usuarios las prioridades ( ) Se les seala a los usuarios la posible fecha de entrega c) El programa de trabajo es congruente con el calendario de produccin? SI NO d) Indique el contenido del programa de trabajo de captaciones. Nombre de usuario Clave de trabajo Fecha programada Recepcin Hora programada de recepcin Volumen estimado de registros por trabajo Fecha programada de entrega Hora programada de entrega e) Qu accin(es) se toma(n) si el trabajo programado no se recibe a tiempo? Cuando la carga de trabajo supera la capacidad instalada se requiere: ( ) Tiempo extra ( ) Se subcontrata Quin controla las entradas de documentos fuente? En qu forma las controla? Qu cifras de control se obtienen? Sistema Cifras que se obtienen observaciones Qu documentos de entrada se tienen? Sistemas Documentos ** Departamento que proporciona el documento ** Periodicidad ** Observaciones Se anota qu persona recibe la informacin y su volumen? SI NO Se anota a qu capturista se entrega la informacin, el volumen y la hora? SI NO Se verifica la calidad de la informacin recibida para su captura? SI NO
Se revisan las cifras de control antes de enviarlas a captura? SI NO Para aquellos procesos que no traigan cifras de control se han establecido 107 criterios a fin de asegurar que la informacin es completa y vlida? SI NO Existe un procedimiento escrito que indique cmo tratar la informacin invlida? (Sin firma, ilegible, no corresponden las cifras de control). En caso de resguardo de informacin de entrada en sistemas, se custodian en un lugar seguro. Si se queda en el departamento de sistemas, por cunto tiempo se guarda? Existe un registro de anomalas en la informacin debido a mala codificacin? Existe una relacin completa de distribucin de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen? Se verifica que las cifras de las validaciones concuerden con los documentos de entrada? Se hace una relacin de cundo y a quin fueron distribuidos los listados? Se controlan separadamente los documentos confidenciales? Se aprovecha adecuadamente el papel de los listados inservibles? Existe un registro de los documentos que entran a captura? Se hace un reporte diario, semanal o mensual de captura? Se hace un reporte diario, semanal o mensual de anomalas en la informacin de entrada? Se lleva un control de la produccin por persona? Quin revisa este control? Existen instrucciones escritas para capturar cada aplicacin o, en su defecto existe una relacin de programas?
8.1.2 Control de operacin
La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso en la computadora. Los instructivos de operacin proporcionan al operador informacin sobre los procedimientos que debe seguir en situaciones normales y anormales en el procesamiento, y si la documentacin es incompleta o inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo conducente, generando probablemente errores, reprocesos, desperdicio de tiempo de mquina, se incrementan, pues, los costos del procesamiento de datos. El objetivo del presente ejemplo de cuestionario es sealar los procedimientos e instructivos formales de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos.
Existen procedimientos formales para la operacin del sistema de computo? SI ( ) NO( ) Esos procedimientos describen detalladamente tanto la organizacin de la sala de maquinas como la operacin del sistema de cmputo? 108 SI ( ) NO( ) Estn actualizados los procedimientos? SI ( ) NO ( ) Indique la periodicidad de la actualizacin de los procedimientos: ( ) Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo Observe la forma en que est operando la mquina, como se distribuyen los trabajos en lotes?,cul es el lmite de trabajos en lotes y si se tiene un adecuado orden y control en los procesos por lotes? SI ( ) NO ( ) Indique el contenido de los instructivos de operacin para cada aplicacin: ( ) Identificacin del sistema ( ) Identificacin del programa ( ) Periodicidad y duracin de la corrida ( ) Especificacin de formas especiales ( ) Especificacin de cintas de impresora ( ) Etiquetas de archivos de salida, nombre archivo lgico y fechas de creacin y expiracin ( ) Instructivo sobre materiales de entrada y salida ( ) Altos programados y las acciones requeridas ( ) Instructivos especficos a los operadores en caso de falla del equipo ( ) Puntos de reinicio, procedimientos de recuperacin para proceso de gran duracin ( ) Identificacin de todos los dispositivos de la mquina a ser usados ( ) Especificaciones de resultados (cifras de control, registros de salida por archivo, etc.) Existen rdenes de proceso para cada corrida en la computadora (incluyendo pruebas, compilaciones y produccin)? SI ( ) NO( ) Son suficientemente claras para los operadores estas rdenes? SI ( ) NO( ) Existe una estandarizacin de las rdenes de proceso? Si ( ) NO( ) Existe un control que asegure, la justificacin de los procesos en el computador? (Que los procesos que se estn trabajando estn autorizados y tengan una razn de ser procesados). SI ( ) NO ( )
Cmo programan los operadores los trabajos dentro de la sala de mquinas? ( ) Primero que entra, primero que sale ( ) Se respetan las prioridades ( ) Otra (especifique) Los retrasos o incumplimientos con el programa de operacin diaria, se revisa y analiza? 109 SI ( ) NO( ) Quin revisa este reporte en su caso? Cmo controlan los operadores las versiones correctas y cmo se identifican las que son de prueba? Analice la eficiencia con que se ejecutan los trabajos dentro de la sala de mquinas, tomando en cuenta equipo y operador, a travs de inspeccin visual, y describa sus observaciones: Existen procedimientos escritos para la recuperacin del sistema en caso de las fallas? Cmo se acta en caso de errores? Existen instrucciones especficas para cada proceso, con las indicaciones pertinentes? Se tienen procedimientos especficos que indiquen al operador qu hacer cuando un programa interrumpe su ejecucin u otras dificultades en proceso? Puede el operador modificar los datos de entrada? Se prohibe a analistas y programadores la operacin de la mquina? Puede el operador de mesa de control operar la mquina? Se prohbe al operador modificar informacin de archivos o biblioteca de programas? El operador realiza funciones de mantenimiento diario en dispositivos que as lo requieran? Las intervenciones de los operadores: Son muy numerosas? SI( ) NO( ) Se limitan los mensajes esenciales Si( ) NO( ) Otras (especifique) SI( ) NO( ) Se tiene un control adecuado sobre los sistemas y programas que estn en operacin? Si ( ) NO( ) Cmo se controlan los trabajos dentro de la sala de mquinas Se rota al personal del control de informacin con los operadores procurando un entrenamiento cruzado y evitando la manipulacin fundamental de datos?. SI( ) NO ( )
Cuentan los operadores con una bitcora para mantener registros de cualquier evento y accin tomada por ellos?. ( ) SI ( ) Por mquina ( ) Escrita manualmente ( ) NO Verificar que exista un registro de funcionamiento que muestra el tiempo de paros y mantenimiento o instalaciones de software. Existen procedimientos para evitar las corridas de programas no autorizados? SI( ) NO( ) Existe un plan definido para el cambio de turno de operacin que evite el descontrol y discontinuidad de la operacin? 110 Verificar que sea razonable el plan para coordinar el cambio de turno. Se hacen inspecciones peridicas de muestreo?. Si( ) NO ( ) Enuncie los procedimientos mencionados en la pregunta anterior: Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc., fuera de la sala de mquinas?. SI( ) NO ( ) Se controla estrictamente acceso a la documentacin de programas o de aplicaciones rutinarias? SI( ) NO( ) Cmo? Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificacin de seguridad de operador. Existen procedimientos formales que se deban observar antes de que sean aceptados en operacin , sistemas nuevos o modificaciones a los mismos?. SI( ) NO( ) Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI( ) NO( ) Durante cunto tiempo? Qu precauciones se toman durante el periodo de implantacin? Quin da la aprobacin formal cuando las corridas de prueba de un sistema modificado o nuevo estn acordes con los instructivos de operacin? Se catalogan los programas liberados para produccin rutinaria? SI( ) NO( ) Mencione qu instructivos se proporcionan a las personas que intervienen en la operacin rutinaria de un sistema. Indique qu tipo de controles tiene sobre los archivos magnticos de los archivos de datos, que aseguren la utilizacin de los datos precisos en los procesos correspondientes.
Existe un lugar para archivar las bitcoras del sistema del equipo de cmputo? SI( ) NO( ) Indique cmo est organizado este archivo de bitcora. ( ) Por fecha ( ) Por fecha y hora ( ) Por turno de operacin ( ) Otros Cul es la utilizacin sistemtica de las bitcoras? Adems de las mencionadas anteriormente, qu otras funciones o reas se encuentran en la sala de mquinas actualmente? Verifique que se lleve un registro de utilizacin del equipo diario, sistemas en lnea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo. Se tiene inventario actualizado de los equipos y terminales con su localizacin? SI( ) NO( ) 111 Cmo se controlan los procesos en lnea? Se tienen seguros sobre todos los equipos? SI( ) NO( ) Con qu compaa? NOTA: Solicitar plizas de seguros y verificar tipo de seguro y montos. Cmo se controlan las llaves de acceso (password)?
Instructivos de operacin
Se debe verificar que el instructivo de operacin contenga los siguientes datos: Diagrama particular de entrada/salida ( ) Mensajes y su explicacin ( ) Parmetros y su explicacin ( ) Diseo de impresin de resultados ( ) Cifras de control ( ) Frmulas de verificacin ( ) Observaciones ( ) Instrucciones de caso de error ( ) Calendario de proceso y de entrega de resultados ( ) 112
8.1.3 Controles de salida
Se tienen copias de los archivos en otros locales? Dnde se encuentran esos locales? Qu seguridad fsica se tiene en esos locales? Qu confidencialidad se tiene en esos locales? Quin entrega los documentos de salida? En qu forma se entregan? Qu documentos?
Sistema Documentos A quien se entrega Periodicidad Observaciones Comentarios
Qu controles se tienen?
Sistema Control Observaciones Comentarios
Se tiene un responsable (usuario) de la informacin de cada sistema? Cmo se atienden solicitudes de informacin a otros usuarios del mismo sistema? Se destruye la informacin no utilizada, o bien que se hace con ella? Destruye ( ) Vende ( ) Tira ( ) Otro________________
8.1.4 Control de asignacin de trabajo
Esta parte se relaciona con la direccin de las operaciones de la computadora en trminos de la eficiencia y satisfaccin del usuario. Esta seccin debe ser comparada con la opinin expresada por el usuario. La funcin clave del programador de cargas de mquina est relacionada con el logro eficiente y 113 efectivo que: - Satisfaga las necesidades de tiempo del usuario. - Sea compatible con los programas de recepcin y transcripcin de datos. - Permiten niveles efectivos de utilizacin de los equipos y sistemas de operacin. - Es gil la utilizacin de los equipos en lnea. La experiencia muestra que los mejores resultados se logran en organizaciones que utilizan sistemas formales de programacin de actividades, los cuales intentan balancear los factores y medir resultados. Se debern evaluar los procedimientos de programacin de cargas mquina para determinar si se ha considerado atenuar los picos de los procesos, generados por cierres mensuales, y poder balancear las cargas de trabajo de batch y lnea, dando prioridad a los procesos en lnea.
Opera la sala de mquinas en base a programas de trabajo? SI( ) NO( ) Indique los periodos que abarcan los programas de trabajo: Indique el puesto o departamento responsable de la elaboracin de los programas de trabajo: Se cambian frecuentemente los programas de trabajo? Si( ) NO( ) Cul es la causa principal? Se comunica oportunamente a los usuarios las modificaciones a los programas de trabajo? SI( ) NO( ) Dentro del programa de trabajo de la mquina, se tiene previstas?: Demandas inesperadas? ( ) Fallas de la mquinas? ( ) Soporte de los usuarios ( ) Manteniendo preventivo ( ) Otras (especifique) Con qu frecuencia se asigna la computadora, en su totalidad, para una sola aplicacin (la de mayor utilizacin)? Especifique los elementos que sirven como base para programar las cargas de mquina.
Se deber procurar que la distribucin fsica del equipo sea funcional, que la programacin de las cargas de mquina satisfaga en forma eficaz al usuario; se tendr cuidado con los controles que se tengan para la utilizacin de equipo y que el mantenimiento satisfaga las necesidades del equipo.
8.1.5 Control de medios de almacenamientos masivos
114 Los dispositivos de almacenamiento representan, para cualquier centro de cmputo, archivos extremadamente importantes cuya prdida parcial o total podra tener repercusiones muy serias, no slo en la unidad de informtica, sino len la dependencia de la cual se presta servicio. Una direccin de informtica bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, adems de mantener registros sistemticos de la utilizacin de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de informacin), principalmente en el caso de las cintas. Adems se deben tener perfectamente identificados los carretes para reducir la posibilidad de utilizacin errnea o destruccin de la informacin. Un manejo adecuado de estos dispositivos permitir una operacin ms eficiente y segura, mejorando adems los tiempos de proceso. El cuestionario puede ser extensivo a todo tipo de cintas y disquetes.
Control de almacenamiento masivo
Objetivos
El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento bsico de la direccin. Los locales asignados a la cintoteca y discoteca tienen: ( ) Aire acondicionado ( ) Proteccin contra el fuego (sealar que tipo de proteccin) ( ) Cerradura especial ( ) Otra Tienen la cintoteca y discoteca proteccin automtica contra el fuego? SI( ) NO( ) (sealar de que tipo) Qu informacin mnima contiene el inventario de la cintoteca y la discoteca? ( ) Nmero de serie o carrete ( ) Nombre o clave del usuario ( ) Nombre del archivo lgico ( ) Nombre del sistema que lo genera ( ) Fecha de generacin del archivo ( ) Fecha de expiracin del archivo ( ) Nmero de volumen ( ) Otros Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? Si( ) NO( )
En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? SI( ) NO( ) 115 Qu tan frecuentes son estas discrepancias? Cuntas veces al mes? Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta o disco, el cual fue inadvertidamente destruido? SI( ) NO( ) Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso? Si( ) NO( ) Cmo? Existe un control estricto de las copias de estos archivos? SI( ) NO( ) Qu medio se utiliza para almacenarlos? ( ) Mueble con cerradura ( ) Bveda Otro (especifique) Este almacn est situado: ( ) En el mismo edificio de la direccin de informtica ( ) En otro lugar Cul? Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan stos? SI( ) NO( ) Se certifica la destruccin o baja de los archivos defectuosos? SI( ) NO( ) Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI( ) NO( ) Se tiene un responsable, por turno, de la cintoteca y discoteca? SI( ) NO( ) Se realizan auditorias peridicas a los medios de almacenamiento? SI( ) NO( ) Con qu periodicidad? Qu medidas se toman en caso de extravo de algn dispositivo de almacenamiento? Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? Si( ) NO( ) Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales? SI( ) NO( ) Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolvern? SI( ) NO( ) Se lleva control sobre los archivos prestados por la instalacin? Si( ) NO( ) En caso de prstamo, con qu informacin se documentan? ( ) Nombre de la institucin a quien se hace el prstamo. ( ) Fecha de recepcin 116 ( ) Fecha en que se debe devolver ( ) Archivos que contiene ( ) Formatos ( ) Cifras de control ( ) Cdigo de grabacin ( ) Nombre del responsable que los prest Otros Indique qu procedimiento se sigue en el reemplazo de las cintas que contiene los archivos maestros: Se conserva la cinta maestra anterior hasta despus de la nueva cinta? Si( ) NO( ) El cintotecario controla la cinta maestra anterior previendo su uso incorrecto o su eliminacin prematura? Si( ) NO( ) La operacin de reemplazo es controlada por el cintotecario? Si( ) NO( ) Se utiliza la poltica de conservacin de archivos hijo-padre-abuelo? SI( ) NO( ) En los procesos que manejan archivos en lnea, existen procedimientos para recuperacin de archivos? Si( ) NO( ) Estos procedimientos los conocen los operadores? SI( ) NO( ) Cmo los consigue? Con qu periodicidad se revisan estos procedimientos? ( ) Mensual ( ) Anual ( ) Semestral ( ) Otra Existe un responsable en caso de falla? Si( ) NO( ) Explique qu polticas se siguen para la obtencin de archivos de respaldo: Existe un procedimiento para el manejo de la informacin de la cintoteca? Si( ) NO( ) Lo conoce y lo sigue el cintotecario? Si( ) NO( ) Se distribuyen en forma peridica entre los jefes de sistemas y programacin informes de archivos para que liberen los dispositivos de almacenamiento? SI( ) NO( ) Con qu frecuencia?
8.1. 6 Control de mantenimiento
117
Como se sabe existen bsicamente tres tipos de contrato de mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez puede dividirse en aquel que incluye las partes dentro del contrato y el que no incluye partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente el ms caro, pero se deja al proveedor la responsabilidad total del mantenimiento a excepcin de daos por negligencia en la utilizacin de los equipos. (Este tipo de mantenimiento normalmente se emplea en equipos grandes.) El segundo tipo de mantenimiento es "por llamada", en el cual en caso de descompostura se le llama al proveedor y ste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo (casi todos los proveedores incluyen, en la cotizacin de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye refacciones. El tercer tipo de mantenimiento es el que se conoce como "en banco", y es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y ste hace una cotizacin de acuerdo con el tiempo necesario para su compostura ms las refacciones ( este tipo de mantenimiento puede ser el ms adecuado para computadoras personales). Al evaluar el mantenimiento debemos primero analizar cul de los tres tipos es el que ms nos conviene y en segundo lugar pedir los contratos y revisar con detalles que las clusulas estn perfectamente definidas en las cuales se elimine toda la subjetividad y con penalizacin en caso de incumplimiento, para evitar contratos que sean parcialmente hacia el proveedor.
Para poder exigirle el cumplimiento del contrato se debe tener un estricto control sobre las fallas, frecuencia, y el tiempo de reparacin Para evaluar el control que se tiene sobre el mantenimiento y las fallas se pueden utilizar los siguientes cuestionarios:
Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia de contrato). Existe un programa de mantenimiento preventivo para cada dispositivo de sistema de computo? SI( ) NO( ) Se lleva a cabo tal programa? SI( ) NO( ) Existen tiempos de respuesta y de compostura estipulados en los contratos? SI( ) NO( ) Si los tiempos de reparacin son superiores a los estipulados en el contrato, qu, acciones correctivas se toman para ajustarlos a lo convenido? Solicite el plan de mantenimiento preventivo que debe ser proporcionado por proveedor 118 Existe algn tipo de mantenimiento preventivo que pueda dar el operador autorizado por el proveedor? SI( ) NO( ) Cul? Cmo se notifican las fallas? Cmo se les da seguimiento?
Control de fallas
Se mantienen registros actualizados de las fallas de los dispositivos del sistema de cmputo y servicios auxiliares (aire acondicionado, sistema de energa ininterrumpida, etc.)? SI( ) NO( ) (Solicitar los registros de los ltimos seis meses) Es posible identificar por medio de estos registros, los problemas ms recurrentes o fallas mayores que afectan en forma determinante el funcionamiento de la sala de mquinas? Si( ) NO( ) Cmo se identifican? Tiempo de respuesta promedio que ha tenido con el contrato de mantenimiento (tiempo de respuesta es el periodo entre la notificacin o aviso de la existencia de un problema o la llegada del personal tcnico que realiz las reparaciones del equipo). Cules son las actitudes de los ingenieros de servicio que mantienen sus equipos? Cul considera que es la competencia tcnica de los ingenieros de servicio que dan mantenimiento a sus equipos? Por qu? Cul es el tiempo promedio que toma el investigar y resolver el problema? Cul es la disponibilidad de refacciones necesarias para dar mantenimiento a sus equipos? Cul es la efectividad del proveedor para resolver sus problemas de mantenimiento? Cules son las medidas de mantenimiento preventivo realizadas al dar servicio a su equipo? Cul es en general la calidad de los servicios ofrecidos bajo su "CONTRATO DE MANTENIMIENTO"?
Evaluacin del mantenimiento
Cuando se evala la capacidad de los equipos, no se debe olvidar que la capacidad bruta disponible se deber disminuir por las actividades de mantenimiento preventivo, fallas internas y externas no previstas y mantenimiento 119 e instalacin de nuevos sistemas. El enfoque de esta seccin se orienta a evaluar, a travs de los controles que se tengan en la direccin, la utilizacin del sistema de cmputo. Un control adecuado permitir sustentar slidamente cualquier solicitud de expansin de la configuracin presente. Indique los registros que se llevan de la utilizacin del sistema de cmputo (especificando la periodicidad). ( ) Tiempo de uso del procesador central ( ) Tiempo de compilacin y prueba de programas ( ) Tiempo dedicado a produccin ( ) Tiempo dedicado a mantenimiento correctivo del sistema operativo ( ) Tiempo dedicado a mantenimiento preventivo ( ) Tiempo de operacin del sistema de cmputo ( ) Tiempo de falla de los dispositivos del sistema de cmputo ( ) Tiempo de uso de cada unidad de cinta ( ) Tiempo ocioso ( ) Tiempo de uso de terminales (promedio por terminal) ( ) Tiempo de uso de impresora ( ) Tiempo de reproceso ( ) Tiempo de la computadora utilizado en demostraciones ( ) Tiempo de falla por servicios auxiliares ( ) Nmero de programas corridos por compilador ( ) Nmero de programas objeto ejecutados
Anote los siguientes datos:
( ) Tiempo promedio dJoperaciones por da Hrs. ( ) Nmero promedio de compilaciones por da ( ) Nmero promedio de programas corridos por da ( ) Tiempo promedio de respuesta para compilaciones, horas ( ) Tiempo promedio de respuesta para programas de produccin con cintas Hrs. ( ) Tiempo promedio de respuesta para programas de produccin Hrs. ( ) Nmero promedio al da que se consideran como horas de produccin ( ) Nmero promedio de trabajos en cola de espera de ejecucin en horas pico ( ) Nmero promedio de trabajos en cola de espera de impresin en horas pico ( ) Nmero promedio de trabajos de ejecucin en horas pico
Anote los porcentajes de tiempo por turno de operacin que se dedica a:
120 turno 1 er. 2. 3er. Compilacin Prueba Produccin Evale la relacin de uso de impresora con respecto a la mezcla de trabajo. Estudie la frecuencia de cambio de papel y determine si se debe: a) Incrementar el nmero de impresora b) Restaurar las cargas de trabajo c) Utilizar salida a microfilm d) Utilizar impresora de mayor velocidad (lser) e) Es excesivo el volumen de impresin? Si( ) NO( ) En caso de contestar si, seale las causas: ( ) Reportes muy largos ( ) Reportes no utilizados ( ) Procesos en lote que deban estar en lnea Otros (especificar cules) f) Especificar si existen procesos que deban cambiarse de batch a lnea a viceversa
Evale la utilizacin del sistema de cmputo a travs de las siguientes relaciones: Si________________tiempo ocioso excede el 35% Tiempo disponible El equipo instalado est sobrado de capacidad para la carga de trabajo actual: Si________________ tiempo de prueba de programas en mayor al 30% Tiempo de uso de procesador central Se puede concluir que los procedimientos de depuracin de programas son pobres (excepto en instalaciones nuevas): Si_________________ tiempo de mantenimiento al sistema operativo sobrepasa el 5% Tiempo total disponible del sistema de cmputo Se deber exigir al proveedor que mejore la calidad de soporte al sistema operativo: Si__________________tiempo de falla del sistema de computo es mayor al 5% Tiempo disponible Nota: stos son solamente ejemplos de factores que pueden obtenerse, los cuales pueden ser ampliados, y los porcentajes dependern del tipo de equipo y la experiencia que se tenga. El servicio de mantenimiento correctivo que proporciona el proveedor es muy pobre y deber revisarse las clusulas del contrato relativas a este rengln. ( ) Nmero total de trabajos procesados ( ) Nmero de programas corridos por usuarios y departamentos de la direccin de informtica 121 ( ) Detalle de programas con terminacin anormal especificado la causa (por departamento y usuario) ( ) Tiempo de uso de los diversos equipos de captura por equipo y por usuario ( ) Nmero de lneas impresas en cada impresora ( ) Otros
Esta seccin est orientada a revisar las acciones que realiza la direccin de informtica para evaluar, mantener y auditar los sistemas implantados.
Indique qu tipo de evaluacin se realiza a los sistemas implantados:
Ninguna ( ) De objetivos ( ) Econmica ( ) De oportunidad ( ) De beneficios ( ) De operacin ( ) Otros (especificar) ( )
Indique qu instructivos se elaboran:
De codificacin ( ) De captacin ( ) Del usuario ( ) De operacin ( ) Otros (especificare ( ) Qu porcentaje del personal de programacin se dedica a dar mantenimiento a los sistemas existentes? El responsable del rea de produccin formula las estadsticas de utilizacin de equipos, mostrando la frecuencia de fallas de los mismos y las estadsticas de produccin por aplicacin? (detalle cmo se realiza y d un ejemplo) En qu porcentaje se cumplen los calendarios de produccin? Indique las estadsticas de elaboracin de programas que se llevan en el rea de informtica:
Por programador ( ) Por sistemas ( ) Por programa ( ) Por toda el rea ( ) Otras (especificar) ( ) De las unidades de entrada/salida instaladas, proporciones los siguientes datos: Nmero Nmero Utilizacin Velocidad De de Dispositivos unidades (Inventario) impresas por da 122 Terminales Unidades de cinta Impresoras Otras(especificar) Se deber controlar el uso que se le da al equipo de computo, evitando; Tiempo de Impresora Utilizacin Promedio de h/da nmero de Pginas impresas por da - Programadores que utilizan la computadora para conocer sus errores, sin hacer pruebas de escritorio. En este caso estn los programadores que no saben qu instruccin poner, y en lugar de consultar su manual o hacer pruebas de escritorio, mandan compilar el programa hasta encontrar la opcin o rutina correcta. - Utilizacin del equipo o del tiempo de los programadores para aplicaciones ajenas a la organizacin. - Personal de la direccin de informtica que utiliza la computadora para trabajos personales, trabajos no autorizados o juegos. - Programas que, por estar mal elaborados (generalmente cuando se usan grandes archivos), degradan la mquina. Degradacin del equipo por fallas en equipos perifricos. La computadora puede considerarse como un proceso en lnea el cual al fallar alguna de las unidades principales (memoria, unidad central) no permite la utilizacin del resto del equipo. Pero existen unidades secundarias (cintas, impresoras, terminales, discos) que al fallar provocan que se vea reducida la posibilidad de utilizacin del equipo.
Por ejemplo, si tenemos una impresora y se descompone un alto porcentaje de utilizacin del equipo se ve disminuida aunque para el proveedor slo considere que una unidad secundaria fue la daada. Lo mismo sucede si se tienen dos unidades de disco y se descompone una (en caso de tener solo una unidad de discos la falla es total). Para controlar este tipo de degradacin se puede tener un reporte que contenga:
1. Dispositivo que integra la configuracin del equipo (por ejemplo, cinta, disco, impresora). 2. Nmero del dispositivo, si tenemos por ejemplo 2 cintas, se anota 1 y 2 dependiendo de cul fue la que fall. 3. Tipo de falla. Se anotar una buena descripcin del tipo de falla, para lo cual se puede elaborar un catlogo. 4. Porcentaje de degradacin. Este dato debern anotarlo los responsables de la direccin de informtica basndose en la experiencia y en las implicaciones que tenga en el sistema total (por ejemplo, si se tienen 2 unidades de disco la degradacin es del 50%, si se descomponen las dos es el 100% y si se tiene solo una, o sea el 100%, en el caso de la 123 impresora si se tiene solo una puede ser el 66.6% etc.) 5. Nmero de horas en las que dur la falla, desde el momento de la descompostura hasta el momento en que la entrega reparada el proveedor. 124
8.2 Orden en el centro de cmputo
Una direccin de informtica bien administrada debe tener y observar reglas relativas al orden y cuidado de la sala de mquinas. Los dispositivos del sistema de cmputo, los archivos magnticos, pueden ser daadas si se manejan en forma inadecuada y eso puede traducirse en prdidas irreparables de informacin o en costos muy elevados en la reconstruccin de archivos. Se deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro de la sala de mquinas. Indique la periodicidad con que se hace la limpieza de la sala de mquinas y de la cmara de aire que se encuentra abajo del piso falso y los ductos de aire:
( ) Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( ) No hay programa ( ) Otro (especifique)
Existe un lugar asignado a las cintas y discos magnticos? Se tiene asignado un lugar especfico para papelera y utensilios de trabajo? SI( ) NO( )
Son funcionales los muebles asignados para la cintoteca y discoteca? Si( ) NO( )
Se tienen disposiciones para que se acomoden en su lugar correspondiente, despus de su uso, las cintas, los discos magnticos, la papelera, etc? SI( ) NO( )
Indique la periodicidad con que se limpian las unidades de cinta: Al cambio de turno ( ) Cada semana ( ) Cada da ( ) Otra (especificar) ( )
Existen prohibiciones para fumar, tomar alimentos y refrescos en la sala de mquinas? SI( ) NO( )
Se cuentan con carteles en lugares visibles que recuerdan dicha prohibicin? SI( ) NO( )
Mencione los casos en que personal ajeno al departamento de operacin opera el sistema de cmputo: 125
8.3 Evaluacin de la configuracin del sistema de cmputo
Los objetivos son evaluar la configuracin actual tomando en consideracin las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalacin y revisar las polticas seguidas por la unidad de informtica en la conservacin de su programoteca.
Esta seccin est orientada a: a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cmputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y largo plazo. b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso c) Evaluar la utilizacin de los diferentes dispositivos perifricos.
De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de computo, existe equipo: Con poco uso? SI( ) NO( ) Ocioso? SI( ) NO( ) Con capacidad superior a la necesaria? SI( ) NO( ) Describa cul es:
El equipo mencionado en la pregunta anterior puede reemplazarse por otro ms lento y de menor costo? SI( ) NO( )
Si la respuesta a la pregunta anterior es negativa, el equipo puede ser cancelado? SI( ) NO( )
De ser negativa la respuesta a la pregunta anterior, explique las causas por las que no puede ser cancelado o cambiado.
El sistema de cmputo tiene capacidad de teleproceso? SI( ) NO( )
Se utiliza la capacidad de teleproceso? SI( ) NO( )
En caso negativo, exponga los motivos por los cuales no utiliza el teleproceso.
126 Se ha investigado si ese tiempo de respuesta satisface a los usuarios? SI( ) NO( )
Indique si existen polticas, para aplicaciones soportadas por teleproceso, para fijar: El tamao mximo de programas SI( ) NO( ) Nmero de archivos SI( ) NO( ) Tamao mximo para cada archivo SI( ) NO( ) Nivel de acceso SI( ) NO( )
La capacidad de memoria y de almacenamiento mximo del sistema de cmputo es suficiente para atender el proceso por lotes y el proceso remoto? Si( ) NO( )
8.4 Productividad
El objetivo es evaluar la eficiencia con que opera el rea de captacin y produccin. Verifique que se cuente con una descripcin completa de los trabajos que se corren y la descripcin de las caractersticas de carga. Verifique la existencia de un pronstico de cargas o trabajos que se efectuarn durante el ao, con el objeto de que se prevean los picos en las cargas de trabajo y se pueda distribuir adecuadamente estas cargas. Se tiene un programa de trabajo diario? semanal? en el ao? En caso de que no se tenga la programacin diaria, cmo se realiza la produccin? Verifique que se contemplen dentro de los planes de produccin periodos de mantenimiento preventivo. Verifique que se disponga de espacio y tiempo para realizar corridas especiales, corridas de prueba de sistemas en desarrollo y corridas que deben repetirse.
Verifique que se tengan definidos el espacio y tiempo para el respaldo de la informacin. Se tiene una programacin del mantenimiento previo? Se tiene un plan definido de respaldo de la informacin? Se contempla dentro del plan tiempo para realizar corridas de pruebas? Se revisa el cumplimiento de los programas de produccin establecidas? Verifique que se tenga conocimiento de los prximos sistemas que estarn en produccin, con el objeto de que se les programe su incorporacin. Quin revisa estos planes? Se cumplen generalmente estos planes? Si no, explique por qu Se repiten con frecuencia corridas por anomalas?
127 Indique los estndares de produccin que se tienen en la direccin de informtica.
Por tipo de equipo ( ) Por formato de captacin ( ) Por formato y equipo de captacin ( )
Existen ndices de error aceptables para cada tipo de trabajo? Cundo fue la ltima revisin de esos estndares? El personal de captacin conoce esos estndares?
Indique los medios utilizados para medir la eficiencia de los operadores de captacin: ( ) Estadsticas mensuales de produccin por trabajo y por operador ( ) Estadsticas mensuales de error por trabajo y por operador ( ) Estadsticas mensuales de produccin por trabajo ( ) Estadsticas mensuales de error por trabajo ( ) Estadsticas de produccin por trabajo y operador por hora ( ) Otros(especificar)
Indique qu medida(s) se toma(n) cuando el rendimiento para un trabajo est abajo del estndar: ( ) Se analiza el documento fuente con objeto de redisearlo ( ) Se consulta a los operadores sobre los problemas observados en el trabajo ( ) Se revisan los instructivos de capacitacin ( ) Se capacitan a los operadores sobre el manejo del equipo ( ) Se imparten plticas sobre el trabajo ( ) Otros
Se tienen incentivos para el personal que tenga un rendimiento superior al estndar? Cada cundo se imparten cursos de capacitacin sobre la operacin del equipo? Observe los niveles de iluminacin y ruido y corrija cuando estn fuera del rango estipulado en los estndares.
Analice si el rea de trabajo es adecuada para efectuar la captacin. Se registran los tiempos de respuesta a las solicitudes? Si( ) NO( )
Las computadoras son un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizado o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. Ante esta situacin, en el transcurso del siglo XX, el mundo ha sido testigo de la transformacin de algunos aspectos de seguridad y de derecho. Imagnese que, por una u otra razn, el centro de computo a las libreras sean destruidos o usados inapropiadamente, cunto tiempo pasara para que esta organizacin estuviese nuevamente en operacin? El centro de cmputo puede ser el activo ms valioso y al mismo tiempo el ms vulnerable. En la situacin actual de criminologa, los delitos de "cuello blanco" han incluido la modalidad de los delitos hechos mediante la computadora o los sistemas de informacin de los cuales el 95% de los detectados han sido descubiertos por accidentes y la gran mayora no han sido divulgados para evitar dar ideas a personas mal intencionadas. Es as como la computadora ha modificado las circunstancias tradicionales del crimen; muestra de ello son los fraudes, falsificaciones y venta de informacin hechos a las computadoras o por medio de computadoras. Durante mucho tiempo se consider que los procedimientos de auditora y seguridad eran responsabilidad de la persona que elabora los sistemas sin considerar que son responsabilidad del usuario y del departamento de auditora interna.
129 Entre los crmenes ms conocidos (muchos de ellos no son identificados o divulgados para evitar repercusiones) estn el del Banco Wells Fargo Co. ($21.3 millones de dlares), en el cual se evidenci que la proteccin de los archivos es todava inadecuada, y la publicada el 17 de septiembre de 1987 en la que dos alemanes entraron a los archivos confidenciales de la NASA. Otro de los delitos que se han cometido en los bancos estn en insertar mensajes fraudulentos o bien transferir dinero de una cuenta, otra, con la consecuente ganancia de los intereses.
Existe tambin el caso de un muchacho de 15 aos que entr a la computadora de la Universidad de Berkeley en California y destruy los archivos, y el estudiante de la escuela Dalton en Manhattan que entr a la red canadiense, identificndose como un usuario de alta prioridad y tom el control de los sistemas de una embotelladora de Canad. Ejemplos como stos existen muchos y la mayora de ellos no se dan a conocer para no dar ideas a personas que puedan cometer delitos o bien para evitar problemas de publicidad negativa.
En la actualidad, y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco.
Se trata de pequeas subrutinas escondidas en los programas que se activan cuando se cumple alguna condicin; por ejemplo, haber obtenido una copia en forma ilegal, y puede ejecutarse en una fecha o situacin predeterminada. El virus normalmente los ponen los diseadores de algn tipo de programa (software) para "castigar" a quienes lo roban o copian sin autorizacin o bien por alguna actitud de venganza en contra de la organizacin. (En la actualidad existen varios productos para detectar los virus.)
Existen varios tipos de virus pero casi todos actan como "caballos de Troya", es decir, se encuentran dentro de un programa y actan a determinada indicacin.
Un ejemplo es la destruccin de la informacin de la compaa USPA & IRA de Forth Worth; cuando despidieron a un programador en 1985, ste dej una subrutina que destrua mensualmente la informacin de las ventas. Este incidente provoc el primer juicio en Estados Unidos contra una persona por sabotaje a la computadora.
Existe otro caso conocido como el virus de Navidad, en el cual el empleado de una compaa multinacional elabor un programa que automticamente entraba al correo electrnico internacional y dejaba un mensaje de felicidades. Al momento en que la persona que reciba el mensaje entraba a su correo electrnico (para lo que deba teclear su llave de seguridad) encontraba un mensaje de felicitacin por la Navidad. Automticamente el programa tomaba el 130 directorio del usuario, enviaba mensajes idnticos a todas las personas que se encontraban en el directorio. Esto, que aparentemente tuvo buenas intenciones, gener mensajes en forma exponencial bloqueando toda la red internacional de la compaa.
Otro virus es el conocido como Pakistan, debido a que fue elaborado por estudiantes pakistanes de 19 a 26 aos. Este virus fue introducido en un paquete de computadoras personales y fue copiado para todo turista que comprara el paquete en Pakistn como una forma de "escarmiento" para los que adquiran esa copia pirata.
Durante una convencin de Makintosh en Montreal, un estudiante introdujo un virus para probar sus conocimientos. En este caso apareca un mensaje y destrua la informacin. Debido a un descuido este virus fue distribuido mundialmente.
stos son solamente algunos ejemplos de virus que existen, los cuales tambin pueden ser activados como si fueran "bomba de tiempo", en una fecha determinada y pueden causar la destruccin de la informacin, el que suene la bocina de la computadora en forma constante o que aparezca un carcter en la pantalla que se mueve por todo el video.
Al auditar los sistemas, se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus.
El crecimiento de los fraudes por computadora ha hecho patente que la potencialidad de los crmenes crece en forma ms rpida que en los sistemas de seguridad (se considera que en los Estados Unidos se cometieron anualmente crmenes, denunciados o no, por ms de tres mil millones de dlares).
Los motivos de los delitos por computadora normalmente son por: Beneficio personal Beneficios para la organizacin Sndrome de Robin Hood (por beneficiar a otras personas) Jugando a jugar Fcil desfalcar El departamento es deshonesto Odio a la organizacin (revancha) El individuo tiene problemas financieros La computadora no tiene sentimientos ni delata Equivocacin de ego (deseo de sobresalir en alguna forma) Mentalidad turbada
131 Se considera que hay en cuatro factores que han permitido el incremento en los crmenes por computadora. Estos factores son: 1. El aumento del nmero de personas que se encuentran estudiando computacin. 2. El aumento del nmero de empleados que tienen acceso a los equipos. 3. La facilidad en el uso de los equipos de cmputo. 4. El incremento en la concentracin del nmero de aplicaciones y, consecuentemente, de la informacin.
Estos cuatro factores, aunque son objetivos de todo centro de cmputo, tambin constituyen una posibilidad de uso con fines delictivos.
El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos al de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos. Estos delitos pueden ser cometidos por personas que no desean causar un mal, por ejemplo, un muchacho de 15 aos que desde la computadora se conect al banco de datos de la Universidad de Berkeley California y destruy archivos de investigacin muy valiosa que se estaba procesando.
Otro ejemplo publicado en 1980 fue el caso de un estudiante de Dalton School que, usando la computadora de su clase, entr a la red canadiense de comunicacin de datos (Canadian Data Comunication Network), y destruy archivos de los clientes. El estudiante utiliz una rutina muy simple para entrar a la red y obtener una prioridad muy alta; sta rutina era tan simple que los expertos se quedaron sorprendidos.
En el caso de compaas que tienen altos gastos de envo de publicidad por correo, cunto podra costarles que la competencia adquiera su lista de clientes?, o bien que la informacin sea cambiada o daada?. Cabe mencionar aqu una compaa que vende enciclopedias en los Estados Unidos; uno de sus empleados vendi a la competencia una cinta con la lista de clientes; la prdida se estim en 3 millones de dlares.
En la actualidad las compaas cuentan con grandes dispositivos para seguridad fsica de las computadoras y se tiene la idea que los sistemas no pueden ser violados si no se entra al centro de cmputo, olvidndose del uso de terminales y de sistemas remotos de teleproceso. Se piensa, como en el caso de la seguridad de incendio o robo, que "eso no me puede suceder a m o es poco probable que suceda aqu".
Algunos gerentes creen que las computadoras y sus programas son tan complejos que nadie fuera de su organizacin los va a entender y no les van a servir; pero en la actualidad existe un gran nmero de personas que pueden captar y usar la informacin que contiene un sistema y considerar hacer esto como un segundo ingreso. 132
En forma paralela al aumento de los fraudes hechos a los sistemas computarizados, se han perfeccionado los sistemas de seguridad tanto fsica como lgica; pero la gran desventaja del aumento en la seguridad lgica es que se requiere consumir un nmero mayor de recursos de cmputo para lograr tener una adecuada seguridad, lo ideal es encontrar un sistema de acceso adecuado al nivel de seguridad requerido por el sistema con el menor costo posible. En los desfalcos por computadora (desde un punto de vista tcnico), hay que tener cuidado con los "caballos de troya" que son programas a los que se les encajan rutinas que sern activadas con una seal especfica.
El tipo de seguridad puede comenzar desde la simple llave de acceso (contrasea o password) hasta, sistemas ms complicados, pero se debe evaluar que, cuando ms complicados sean los dispositivos de seguridad, resultan ms costosos. Por lo tanto, se debe mantener una adecuada relacin de seguridad- costo en los sistemas de informacin.
Los sistemas de seguridad normalmente no consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones. La introduccin de informacin confidencial a la computadora puede provocar que este concentrada en las manos de unas cuantas personas y una alta dependencia en caso de prdida de los registros. El ms comn de estos delitos est dado en el momento de programacin, en el cual por medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, en un sistema de nmina al momento de programarlo se puede incluir una rutina que verifique si se tiene dentro del archivo de empleados el registro federal de causantes del programador. En caso de existir, contina el proceso normalmente, si no existe significa que el programador que elabor el sistema renunci o fue despedido y en ese momento borra todos los archivos. Esta rutina, aunque es fcil de detectar puede provocar muchos problemas en caso de que no se tenga los programas fuente o bien no se encuentre debidamente documentado. Tambin en el caso de programadores honestos, en ocasiones en forma no intencional, pueden tener fallas o negligencia en los sistemas. La dependencia con ciertos individuos clave, algunos de los cuales tienen un alto nivel tcnico, comnmente pone la organizacin en manos de unas cuantas personas, las cuales suelen ser las nicas que conocen los sistemas debido a que no los documentan.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes. Sin embargo, los paquetes de control de acceso basados en contraseas pueden ser eludidos por delincuentes sofisticados en computacin y no podra dependerse de esos paquetes por s solos para brindar seguridad adecuada. 133
El sistema integral de seguridad debe comprender: Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes (incendio, terremoto etc.) Prcticas de seguridad del personal Plizas de seguros Elementos tcnicos y procedimientos de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales) Aplicacin de sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeacin de programas de desastre y su prueba
Uno de los puntos que se debe auditar con ms detalle es el de tener las cifras de control y el medio adecuado que nos permita conocer en el momento que se produce un cambio o un fraude en el sistema. Otro ejemplo es en el caso de la contabilidad en forma manual. Se tienen una serie de indicadores (volumen de operaciones, cantidades, etc.) que nos permiten auditar en forma rpida y eficiente al sistema; este tipo de indicadores deben ser incluidos dentro del sistema computarizado, logrando en lo posible que el mismo sistema y la computadora "acte" como su propio auditor.
Los accidentes pueden surgir por un mal manejo de la administracin, por negligencia o bien por ataques deliberados hechos por ladrones, fraudes sabotajes o bien por situaciones propias de la organizacin (huelgas). El poder trabajar con la posibilidad de que ocurra un desastre debe ser algo comn, aunque se debe evitar en lo ms posible y planear de antemano las medidas en caso de que esto ocurra.
Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgo, con un gran impacto en la organizacin o en la comunidad, si es que el servicio se interrumpe cierto periodo; otras pueden fcilmente continuar sin afectar grandemente a la organizacin por medio de utilizacin de mtodos manuales.
Se debe evaluar el nivel de riesgo que puede tener la informacin para poder hacer un adecuado estudio costo/beneficio entre el costo por prdida de informacin y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente:
Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) identificar aquellas aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo
134
Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.
La justificacin del costo de implantar las medidas de seguridad
Para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo debemos preguntarnos lo siguiente:
Qu sucedera si no se puede usar el sistema?
Si la contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de alto riesgo.
Por ejemplo, si vemos el sistema de reservaciones de boletos de avin, ste es un sistema de alto riesgo, de menor riesgo podra ser la nmina y por ltimo la contabilidad (en periodos normales, no en periodos de entrega de informacin contable).
La siguiente pregunta es: Qu implicaciones tiene el que no se tenga el sistema, y cunto tiempo podramos estar sin utilizarlo?
En el caso de reservaciones no se pueden trabajar si no se tiene el sistema y no podemos estar sin l ms que unos minutos. En el caso de la nmina depende de cundo se debe entregar (semanal, quincenal, mensualmente), lo mismo que la contabilidad.
Existe un procedimiento alterno y qu problemas nos ocasionara? En las reservaciones, el procedimiento alterno de utilizar otro sistema ajeno a la compaa no es posible debido a las redes y a los bancos de datos, y el procedimiento alterno consistira en que slo se reciban reservaciones en una oficina o bien que se estn comunicando por telfono para que una oficina concentre las reservaciones. Ello provocara una gran ineficiencia y un psimo servicio. Al terminar la emergencia se deben dar de alta al sistema las reservaciones captadas manualmente.
En la nmina se puede hacer manual (lo cual puede ser muy complicado) o bien pagar lo mismo que la nmina anterior, lo que provocara reclamos por parte del personal al que se le pague menos, y despus de la emergencia procesar la nmina nueva y sacar un programa de diferencias que permita pagar la diferencia de ms o de menos y ajustar los impuestos. En caso de contar con respaldos se puede tener como procedimiento alterno procesarlo en otro sistema.
En la contabilidad puede obtenerse en forma manual o bien, en caso de tener respaldo, procesarse en otro sistema.
Qu se ha hecho para un caso de emergencia? En el caso de sistemas 135 como el de reservaciones, de bancos o casas de bolsa, el nico procedimiento para evitarlos es tener sistemas simultneos (tndem o en paralelo) que permitan pasar de un equipo a otro en forma instantnea, disponer de sistemas duplicados en reas crticas (aires acondicionados, discos, etc.) y tener sistemas de energa no interrumpible (no break), ya que debido a su alto riesgo son los que deben tener mayor seguridad.
En la nmina existe un riesgo intermedio ya que, aunque se puede pagar con la nmina anterior, quizs surjan grandes problemas con el personal, y utilizando otro sistema se debe tener mucho cuidado con los respaldos, su actualizacin y probar constantemente los sistemas alternos para estar seguros de que pueden utilizarse.
En el caso de contabilidad, el riesgo es menor pero tambin se debe tener cuidado de hacer los respaldos y la posibilidad de utilizacin de otros equipos.
Una vez que hemos definido el grado de riesgo, hay que elaborar una lista de los sistemas con las medidas preventivas que se deben tomar, as como las correctivas en caso de desastre sealndole a cada uno su prioridad.
En caso de desastre se procurar trabajar los sistemas de acuerdo con sus prioridades, ya que no se podrn trabajar los sistemas en otra instalacin, en la misma forma que se venan trabajando en la instalacin original.
Hay que tener mucho cuidado con la informacin que sale de la oficina, su utilizacin y que sea borrada al momento de dejar la instalacin que est dando respaldo.
Segn una de las 8 grandes firmas estadounidenses de contadores pblicos, los planes de seguridad deben asegurar la integridad y exactitud de los datos; permitir identificar la informacin que sea confidencial, de uso exclusivo o delicada en alguna otra forma; proteger y conservar los activos de desastres provocados por la mano del hombre y de actos abiertamente hostiles; asegurar la capacidad de la organizacin para sobrevivir accidentes; proteger a los empleados contra tentaciones o sospechas innecesarias y la administracin contra cargos por imprudencia.
Para clasificar la instalacin en trminos de riesgo se debe:
a) Clasificar los datos, informacin y programas que contiene informacin confidencial que tenga un alto valor dentro del mercado de competencia, organizacin, e informacin que sea de difcil recuperacin. b) Identificar aquella informacin que tenga un gran costo financiero en caso de prdida o bien que pueda provocar un gran impacto en la toma de decisiones. 136 c) Determinar la informacin que tenga una prdida en la organizacin y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa informacin.
Un ejemplo de alto riesgo puede ser la informacin confidencial de tipo nacional o bien la informacin sobre el mercado y la publicidad de una compaa. Un ejemplo de riesgo medio es la nmina, la cual puede ser hecha a mano, utilizar procedimientos alternos o bien un adecuado sistema de respaldos. Un ejemplo de bajo riesgo pueden ser los balances, los cuales pueden ser reestructurados con cierta facilidad, salvo el caso de los das de presentacin con fines fiscales.
Para cuantificar el riesgo es necesario que se efecten entrevistas con los altos niveles administrativos que sean directamente afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que les puede causar este tipo de situaciones.
Para evaluar las medidas de seguridad se debe: Especificar la aplicacin, los programas y archivos Las medidas en caso de desastre, prdida total, abuso y los planes necesarios La prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo.
En cuanto a la divisin del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependern del riesgo que tenga la informacin y del tipo y tamao de la organizacin.
a) El personal que prepara la informacin no debe tener acceso a la operacin. b) Los analistas y programadores no deben tener acceso al rea de operacin y viceversa. c) Los operadores no deben tener acceso irrestringido a las libreras ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librera y de operacin. d) Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados. e) Al implantar sistemas de seguridad, puede reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia. f) Otro de los puntos que hay que evaluar y revisar en forma visual es el orden y limpieza, no tan slo en la sala de cmputo, lo cual es esencial, sino tambin en las oficinas ya que una inadecuada limpieza en el trabajo refleja problemas de disciplina y crea posibilidades de fallas en la seguridad, adems de que perjudica el desarrollo normal del trabajo.
137
9.2 Seguridad en el personal
Un buen centro de cmputo depende, en gran medida, de la integridad, estabilidad y lealtad de personal, por lo que al momento de reclutarlo es conveniente hacerle exmenes psicolgicos, mdicos y tener muy en cuenta sus antecedentes de trabajo.
Se deben considerar los valores sociales y, en general, su estabilidad ya que normalmente son personas que trabajan bajo presin y con mucho estrs, por lo que importan mucho su actitud y comportamiento.
En los equipos de cmputo es normal que se trabajen horas extras, con gran presin y que no haya una adecuada poltica de vacaciones debido a la dependencia que se tiene con algunas personas, lo cual va haciendo que se crean "indispensables", que son muy difciles de sustituir y que ponen en gran riesgo la organizacin. Se debe verificar que existan adecuadas polticas de vacaciones (lo cual nos permite evaluar la dependencia con algunas personas, y evitar esta dependencia) y de reemplazo. La adecuada poltica de reemplazo en caso de renuncia de alguna persona permitir que, en caso necesario, se pueda cambiar a una persona sin arriesgar el funcionamiento de la organizacin.
Tambin se deben tener polticas de rotacin de personal que disminuyan la posibilidad de fraude, ya que un empleado puede estar haciendo otra actividad en un mes y sera muy arriesgado cometer un fraude, sabiendo que la nueva persona que est en su lugar puede detectarlo fcilmente. Esto se debe hacer principalmente en funciones de alto nivel de confianza, aunque impliquen un alto costo. Este procedimiento de rotacin de personal nos permita adems, detectar los indispensables y eliminarlos.
Se deber tambin evaluar la motivacin del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad y disminuir la posibilidad de ataques intencionados a la organizacin.
El programador honesto en ocasiones elabora programas que ponen en peligro la seguridad de la empresa, ya que no se consideran procedimiento de auditora dentro de los programas tales que excluyan las posibilidades de fraude.
9.3 Seguridad fsica
El objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundacin, huelgas, disturbios, sabotaje, 138 etc. y continuar en un medio de emergencia hasta que sea restaurado el servicio completo.
En el pasado se acostumbraba poner los equipos de cmputo en un lugar visible, con grandes ventanales, y constituan el orgullo de la organizacin, por lo que se consideraba necesario que estuviese a la vista del pblico y con una gran cantidad de invitados a visitarlos. Esto ha cambiado de modo radical, principalmente por el riesgo de terrorismo o sabotaje. Pensemos que una persona que desea perjudicar a la organizacin querr daar su cerebro o centro de informacin, por lo que en la actualidad se considera extremadamente peligroso tener el centro de computo en las reas de alto trfico de personas o bien en la calle en un alto numero de invitados.
Otras de las precauciones referentes al material y construccin del edificio del centro de computo es que existen materiales que son altamente inflamables, que despiden humo sumamente txicos o bien paredes que no queda perfectamente selladas y despiden polvos (ejemplo, el tiro) planchado).
Tambin en lo posible se debe tomar precauciones en cuanto a la orientacin del centro de computo (por ejemplo, centro de computo sumamente caluroso a los que todo el da le esta dando el sol) y se deben evitar en lo posible las grandes ventanas, los cuales adems permite la entrada del sol pueden ser arriesgados para la seguridad del centro de computo.
Entre las precauciones que se deben revisar estn: - Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas de polvo y se habr de contar con detectores de humo que indiquen la posible presencia de fuego. - En las instalaciones de alto riesgo se debe tener equipos de fuente no interrumpible, tanto en la computadora corno en la red y los equipos de teleproceso. - En cuanto a los extintores, se debe revisar en nmero de stos, su capacidad, fcil acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder que no se encuentren recargados o bien que sean de difcil acceso de un peso tal que sea difcil el utilizarlos. - Estos es comn en lugares en donde se encuentran trabajando hombre y mujeres y los extintores estn a tal altura o con un peso tan grande que una mujer no pueda utilizarlo. - Otro de los problemas es la utilizacin de extintores inadecuados que pueden provocar mayor perjuicio a las mquinas (extintores lquidos) o que producen gases txicos. - Tambin debe ver si el personal sabe usar los equipos contra incendio y si ha habido prcticas en cuanto a su uso. - Se debe verificar que existan suficientes salidas de emergencia y que estn debidamente controladas Para evitar robos por medio de estas salidas. 139 - Los materiales ms peligro son las cintas magnticas que, al quemarse producen gases txicos y el papel carbn es altamente inflamable.
Cuestionario para la evaluacin fsica
Se han adoptado medidas d seguridad en la direccin de informtica? SI( ) NO ( ) Existe una persona responsable de la seguridad? SI( ) NO ( ) Se ha dividido la responsabilidad para tener un mejor control de la seguridad ? SI( ) NO ( ) Existe personal de vigilancia en la institucin de seguridad? SI( ) NO ( )
La vigilancia se contrata: a) Directamente? b) Por medio de empresas que venden ese servicio?
Existe una clara definicin de funciones entre los puestos clave? SI( ) NO( ) Se investiga a los vigilantes cuando son contratados directamente? SI( ) NO( ) Se controla el trabajo fuera de horario? SI( ) NO( ) Se registran las acciones de los operadores para evitar que realicen alguna que pueda daar el sistema? SI( ) NO( ) Existe vigilancia en el cuarto de mquinas las 24 horas? SI( ) NO( )
A la entrada del cuarto de mquinas existe a) Vigilante? b) Recepcionista? c) Tarjeta de control de acceso? d) Nadie?
Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? SI( ) NO ( ) Se ha instruido a estas personas sobre qu medidas tomar en caso de que alguien pretenda entrar sin autorizacin? SI( ) NO( )
140
El edificio donde se encuentra la computadora est situado a salvo de: a) Inundacin? b)Terremoto? c) Fuego? d) Sabotaje?
El centro de cmputo da al exterior? SI( ) NO( )
Describa brevemente la construccin del centro de cmputo, de preferencia proporcionando planos y material con que fue construido y equipo (muebles, sillas, etc.) dentro del centro.
Tiene el cuarto de mquinas una instalacin de escaparate y, si es as, pueden ser rotos los vidrios con facilidad? SI( ) NO( )
Existe control en el acceso a este cuarto a) Por identificacin personal? b) Por tarjeta magntica? c) Por claves verbales? d) Otras?
Son controladas las visitas y demostraciones en el centro de cmputo? SI( ) NO( )
Cmo son controladas? Se registra el acceso al cuarto de personas ajenas a la direccin de informtica? SI( ) NO( )
Existe alarma para a) Detectar fuego (calor o humo) en forma automtica? b) Avisar en forma manual la presencia del fuego? c) Detectar una fuga de agua? d) Detectar magnetos? e) No existe Estas alarmas estn a) En el cuarto de mquinas? b) En la cintoteca y discoteca? Existe alarma para detectar condiciones anormales del ambiente? a) En el cuarto de mquinas b) En la cintoteca y discoteca c) En otros lados Cules?
141
La alarma es perfectamente audible? SI( ) NO( ) Esta alarma tambin est conectada a) Al puesto de guardias? b) A la estacin de bomberos? c) A ningn otro lado? d) Otro Existen extintores de fuego a) Manuales? b) Automticos? c) No existen Se ha adiestrado el personal en el manejo de los extintores? SI( ) NO( )
Los extintores, manuales o automticos, funcionan a base de TIPO SI NO a) Agua? b) Gas? c) Otros
Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI( ) NO( )
NOTA: verifique el nmero de extintores y su estado. Si es que existen extintores automticos, son activados por los detectores automticos de fuego? SI( ) NO( ) Si los extintores automticos son a base de agua, se han tomado medidas para evitar que el agua cause ms dao que el fuego? SI( ) NO( ) Si los extintores automticos son a base de gas, se han tomado medidas para evitar que el gas cause ms dao que el fuego? SI( ) NO
Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos, para que el personal a) Corte la accin de los extintores por tratarse de falsas alarmas? b) Pueda cortar la energa elctrica? c) Pueda abandonar el local sin peligro de intoxicacin? d) Es inmediata su accin?
Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? SI( ) NO ( )
142
Saben qu hacer los operadores del cuarto de mquinas en caso de que ocurra una emergencia ocasionada por fuego? SI( ) NO( ) El personal ajeno a operacin sabe qu hacer en el caso de una emergencia (incendio)' SI( ) NO Existe salida de emergencia? SI( ) NO( )
Esta puerta slo es posible abrirla: a) Desde el interior? b) Desde el exterior? c) Ambos lados
Se revisa frecuentemente que no este abierta o descompuesta la cerradura de esta puerta y las ventanas, si es que existen SI( ) NO( ) Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI( ) NO( )
Se han tornado medidas para minimizar la posibilidad de fuego: a) Evitando artculos inflamables en el cuarto de mquinas? b) Prohibiendo fumar a los operadores en el interior? c) Vigilando y manteniendo el sistema elctrico? d) No se ha previsto
Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del cuarto de mquinas para evitar daos al equipo? SI( ) NO( ) Se limpia con frecuencia el polvo acumulado debajo del piso falso? SI( ) NO( )
Se controla el acceso y prstamo en la: a) Discoteca? b) Cintoteca? c) Programoteca?
Explique la forma como se ha clasificado la informacin vital, esencial , no esencial etc. Se cuenta con copias de los archivos en lugares distintos a la de la computadora SI ( ) NO( ) Explique la forma en que estn protegidas fsicamente estas copias (bveda, caja de seguridad, etc. que garantice su integridad en caso de incendio, inundacin, terremoto etc.) 143
Se tienen establecidos procedimientos de actualizacin a estas copias? SI( ) NO( )
Indique el nmero de copias que se mantienen de acuerdo con la forma en que se clasifique la informacin. 0 2 1 3
Existe departamento de auditora interna conoce todos los aspectos de los sistemas?. SI( ) NO( ) Este departamento de auditoria interna conoce todos los aspectos de los sistemas?. SI( ) NO( ) Qu tipos de controles ha propuesto? Se cumplen? SI( ) NO( ) Se auditan los sistemas en operacin? SI( ) NO( )
Con qu frecuencia? a) Cada seis meses b) Cada ao c) Otra (especifique)
Cundo se efectan modificaciones a los programas, a iniciativa de quin es? a) Usuario b) Director de informtica c) Jefe de anlisis y programacin d) Programador e) Otras (especifique)
La solicitud de modificaciones a los programas se hacen en forma: a) Oral? b) Escrita?
En caso de ser escrita solicite formatos. Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados? SI( ) NO( ) Existe control estricto en las modificaciones? SI( ) NO( ) Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI( ) NO( ) Si se tienen terminales conectadas, se han establecido procedimientos de 144 operacin? SI( ) NO( ) Se verifica identificacin: a) De la terminal b) Del usuario c) No se pide identificacin
Se ha establecido qu informacin puede ser accesada y por qu persona? SI( ) NO( ) Se ha establecido un nmero mximo de violaciones en sucesin para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI( ) NO( ) Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar las tendencias mayores? SI( ) NO( ) Existen controles y medidas de seguridad sobre las siguientes operaciones?, Cules son? ( ) Recepcin de documentos ( ) Informacin confidencial ( ) Captacin de documentos ( ) Cmputo electrnico ( ) Programas ( ) Discotecas y cintotecas ( ) Documentos de salida ( ) Archivos magnticos ( ) Operacin del equipo de computacin
En cuanto al acceso de personal ( ) Identificacin del personal ( ) Polica ( ) Seguros ( ) Cajas de seguridad ( ) Otras lesoecifiauel
9.4 Seguros
Los seguros de los equipo en algunas ocasiones se dejan en segundo termino aunque son de gran importancia. Existe un gran problema en la obtencin de seguros ya que a veces el agente de seguros es una persona que conoce mucho de seguros, riesgos comerciales, riesgos de vida, etc. Pero muy poco sobre computadoras, y el personal de informtica conoce mucho sobre computacin y muy poco sobre seguros.
145
Se tiene poco conocimiento de los riesgos que entraa la computacin, ya que muchas veces el riesgo no es claro para los vendedores de seguros, debido a lo nuevo de la herramienta y la poca experiencia existe sobre desastres.
Como ejemplo de lo anterior tenemos las plizas de seguro contra desastres, ya que algunos conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual hace, que se duplique el seguro o bien sobreviene desastres que no son normales en cualquier otro tipo de ambiente.
Se debe verificar las fechas de vencimiento de las plizas, puede suceder que se tenga la pliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos.
El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que pueda ser unidades de disco duro) por lo que tal vez convenga tener dos o ms plizas por separado, cada una con las especificaciones necesarias.
Debemos tomar en cuenta que existen riesgos que son difciles de evaluar y de asegurar como el caso de negligencia.
El costo de los equipos puede variar, principalmente en aquellos pases que tienen grandes tasas de inflacin o de devaluacin, por lo que los seguros deben estar a precio de compra (valor de adquisicin de nuevo equipo con iguales caractersticas) y no a precio al momento de contratacin del seguro.
El seguro debe cubrir tanto daos causados por factores externos (terremoto, inundacin, etc.) como por factores internos (daos ocasionados por negligencia de los operadores, daos debidos al aire acondicionado, etc.)
Tambin se debe asegurar la prdida de los programas (software), de la informacin, de los equipos y el costo de recuperacin de lo anterior.
En el caso de los programas se tendr en cuenta en el momento de asegurarlos el costo de elaborarlos en determinado equipo, el costo de crearlos nuevamente y su valor comercial. En el caso del personal, se pueden tener fianzas contra robo, negligencia, daos causados por el personal, sabotaje, acciones deshonestas, etc.
Es importante que la direccin de informtica est preparada para evitar en lo posible el dao fsico al personal, oficinas, equipo de cmputo, as como al sistema de operacin. Adems deber tener cuidado de que existan normas y prcticas eficaces.
146
9.5 Seguridad en la utilizacin del equipo
En la actualidad los programas y los equipos son altamente sofisticados y slo algunas personas dentro del centro de cmputo conocen al detalle el diseo, lo que puede provocar que puedan producir algn deterioro a los sistemas si no se toman las siguientes medidas:
1) Se debe restringir el acceso a los programas y a los archivos. 2) Los operadores deben trabajar con poca supervisin y sin la participacin de los programadores, y no deben modificar los programas ni los archivos. 3) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. Como ejemplo de los problemas ocasionados por un mal uso de los respaldos est el de una instalacin en que al mismo tiempo que estaba capturando la informacin para el archivo maestro, el programador haca pruebas y cambios a los programas. El capturista capturaba el 15 de enero y en ese momento el programador deseaba que pusieran en el mismo usuario que el capturista la informacin del 13 de enero. El capturista continuaba capturando pero ya no en los archivos del 15 sino del da 13, y cuando volvan nuevamente a poner la informacin del da 15 descubra que haba informacin que haba capturado pero no la encontraba. 4) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales. 5) En los casos de informacin confidencial debe usarse, de ser posible, en forma codificada o criptografiada. 6) Se debe realizar peridicamente una verificacin fsica del uso de terminales y de los reportes obtenidos. 7) Se debe monitorear peridicamente el uso que se les est dando a las terminales. 8) Se deben hacer auditoras peridicas sobre el rea de operacin y la utilizacin de las terminales. 9) El usuario debe ser responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto slo se lograr por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseo general del sistema. 10) Debe existir una perfecta divisin de responsabilidades entre los capturistas de datos y los operadores de computadora, y entre los operadores y las personas responsables de las libreras. 11) Deben existir registros que reflejen la transferencia de informacin entre las diferentes funciones de un sistema. 147 12) Debe controlarse la distribucin de las salidas (reportes, cintas, etc.). 13) Se deben guardar copias de los archivos y programas en lugares ajenos al centro de cmputo y en las instalaciones de alta seguridad; por ejemplo: los bancos. 14) Se debe tener un estricto control sobre el transporte de discos y cintas de la sala de cmputo al local de almacenaje distante. 15) Se deben identificar y controlar perfectamente los archivos. 16) Se debe tener estricto control sobre el acceso fsico a los archivos. 17) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versin. Esto nos servir para identificar el nmero de veces que se ha compilado o corrido un programa, y nos permitir costear en el momento que se encuentre un sistema en produccin.
Tambin evitar que el programador ponga nombres que no signifiquen nada y que sean difciles de identificar, lo que evitar que el programador utilice la computadora para trabajos personales.
Otro de los puntos en los que hay que tener seguridad es en el manejo de informacin; por ejemplo, existe un gran robo de informacin confidencial por medio de fotocopiado, se da el caso de compaas en que sus competidores han conocido los planes confidenciales por medio del desperdicio de papel o bien el caso de una compaa que elabor una serie de polticas de personal sumamente confidenciales y en que los operadores y, consecuentemente, toda la compaa conoci la informacin al momento de obtener los listados por medio de la computadora. Lo ms drstico en este caso es que los listados que se obtuvieron eran planes, que servirn como alternativas de solucin, pero que no haban sido autorizados. Para controlar este tipo de informacin se debe: 1. Cuidar que no se obtengan fotocopias de informacin confidencial sin la debida autorizacin. 2. Slo el personal autorizado debe tener acceso a la informacin confidencial. 3. Controlar los listados tanto de los procesos correctos como aquellos procesos con terminacin incorrecta. 4. Controlar el nmero de copias, y la destruccin de la informacin y del papel carbn de los reportes muy confidenciales.
El factor ms importante de la eliminacin de riesgos en la programacin es que, todos los programas y archivos estn debidamente documentados, por lo cual se debe considerar la necesidad de tener un alto grado de seguridad desde el momento de hacer el diseo preliminar del sistema, siguiendo uno de los pasos del diseo detallado y de la programacin. 148 El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas, programas, archivos y documentacin necesarios para que pueda funcionar el plan de emergencia.
En los sistemas de cmputo en que se tiene sistemas en tiempo real, bases de datos y red de computadoras se deben tomar medidas de alta seguridad en cuanto a:
- Equipo, programas y archivos - Control de aplicaciones por terminar (definir qu aplicaciones se pueden correr en una terminal especfica) - Definir una estrategia de seguridad de la red y de respaldos - Requerimientos fsicos - Estndar de aplicaciones y de control - Estndar de archivos - Auditora interna en el momento del diseo del sistema, su implantacin y puntos de verificacin y control
Seguridad al restaurar el equipo
En un mundo que depende cada da ms de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falla o siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao causado, lo que permitir recuperar en el menor tiempo posible el proceso perdido. Tambin se debe analizar el impacto futuro en el funcionamiento de la organizacin y prevenir cualquier implicacin negativa.
En todas las actividades relacionadas con las ciencias de la computacin, existe un riesgo aceptable; y es necesario analizar y entender estos factores para establecer los procedimientos que permitan eliminarlos al mximo y, en caso que ocurran, poder reparar el dao y reanudar la operacin lo ms rpidamente posible.
En una situacin ideal, se deberan elaborar planes para manejar cualquier contingencia que se presente.
Analizando cada aplicacin se deben definir planes de recuperacin y reanudacin, para asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. Las acciones de recuperacin disponibles a nivel operativo pueden ser algunas de las siguientes:
- En algunos casos es conveniente no realizar ninguna accin y reanudar el proceso. - Mediante copias peridicas de los archivos se puede reanudar un proceso a partir de una fecha determinada. - El procesamiento anterior complementado con un registro de las 149 transacciones que afectaron los archivos permitir retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo y a partir de l reanudar el proceso. - Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de emergencia. - Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones.
Cualquier procedimiento que se determine que es el adecuado para un caso de emergencia deber ser planeado y probado previamente.
Este grupo de emergencia deber tener un conocimiento de los posibles procedimientos que pueda utilizar, adems de un conocimiento de las caractersticas de las aplicaciones, tanto desde el punto tcnico como de su prioridad, el nivel de servicio planeado y su influjo en la operacin de la organizacin.
Adems de los procedimientos de recuperacin y reinicio de la informacin, se deben contemplar los procedimientos operativos de los recursos fsicos como hardware y comunicaciones planeando la utilizacin de equipos que permitan seguir operando en caso de falla de la corriente elctrica, caminos alternos de comunicacin y utilizacin de instalaciones de cmputo similares. Estas y otras medidas de recuperacin y reinicio debern ser planeadas y probadas previamente como en el caso de la informacin.
Con frecuencia un problema en algn programa, un error en los datos, un error de operacin o una falla del equipo hacen que una corrida en la mquina aborte antes de terminar el proceso. Generalmente cuando esto sucede, no se puede iniciar el trabajo donde se produjo la interrupcin.
El objetivo del siguiente cuestionario es evaluar los procedimientos de restauracin y repeticin de procesos en el sistema de cmputo:
Existen procedimientos relativos a la restauracin y repeticin de procesos en el sistema de cmputo? SI( ) NO( )
Enuncie los procedimientos mencionados en la pregunta anterior Cuentan los operadores con alguna documentacin en donde se guarden las instrucciones actualizadas para el manejo de restauraciones? SI( ) NO( )
En el momento en que se hacen cambios o correcciones a los programas y/o archivos se deben tener las siguientes precauciones: 1. Las correcciones de programas deben ser debidamente autorizadas y probadas. Con esto se busca evitar que se cambien por nueva versin que antes no ha sido perfectamente probada y actualizada. 150 2. Los nuevos sistemas deben estar adecuadamente documentados y probados. 3. Los errores corregidos deben estar adecuadamente documentados y las correcciones autorizadas y verificadas.
Los archivos de nuevos registros o correcciones ya existentes deben estar documentados y verificados antes de obtener reportes.
Los datos de entrada deben estar debidamente probados y verificados contra la entrada de datos durante el procesamiento. Uno de los fraudes ms comunes se comete durante el periodo en el cual ya se obtuvieron las cifras de control pero no se han emitido los reportes definitivos; por ejemplo, la obtencin de cheques. Esto se puede hacer si es que se permite que se metan datos en el periodo previo a la obtencin de los reportes definitivos, y si no se tiene control sobre estos datos introducidos posteriormente a las cifras de control.
9.6 Procedimiento de respaldo en caso de desastre
Se debe establecer en cada direccin de informtica un plan de emergencia, el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimiento como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo.
Algunas compaas se resisten a tener un plan para casos de desastre o emergencia, considerando que esto es imposible. Eso puede ser cierto en los sistemas en lnea o en tiempo real, ya que un sistema en lnea difcilmente puede ser usado en otro equipo y lo nico que queda es tener una alta seguridad en los equipos o bien computadoras en forma de "tndem".
El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia se tenga la seguridad que funcionar.
La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se han de utilizar respaldos (posiblemente en otras instituciones). Hay que cambiar la configuracin y, posiblemente se tengan que usar algunos mtodos manuales, no slo simulando un ambiente ficticio cercano a la realidad sino considerando que la emergencia existe.
Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el respaldo; en efecto, aunque el equipo de cmputo sea aparentemente el mismo, puede haber diferencias en la configuracin, el sistema operativo, en discos, etc.
151
Las revisiones al plan se deben realizar cuando se haya efectuado algn cambio en la configuracin del equipo o bien en periodos semestrales. Una de las principales objeciones al plan de emergencia es su costo; pero como en el caso de un seguro contra incendio, slo podemos evaluar sus ventajas si desafortunadamente el desastre ocurre.
El plan de emergencia, una vez aprobado, se distribuye entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direccin de informtica.
En virtud de la informacin que contiene el plan de emergencia, se considerar como confidencial o de acceso restringido.
La elaboracin del plan y de los componentes puede hacerse en forma independiente de acuerdo con los requerimientos de emergencia. La estructura del plan debe ser tal que facilite su actualizacin.
Algunas emergencias pueden no afectar a toda la instalacin, sino a algunas partes tales como la discoteca y la cintoteca.
Para la preparacin del plan se seleccionar el personal que realice las actividades claves del plan. El grupo de recuperacin en caso de emergencia debe estar integrado por personal de administracin de la direccin de informtica (por ejemplo, el jefe de operacin, el jefe de anlisis y programacin y de auditora interna). Cada uno de ellos debe tener tareas especficas como la operacin del equipo de respaldo, la interfaz administrativa, de logstica; por ejemplo, el proporcionar los archivos necesarios para el funcionamiento adecuado. Cada miembro del grupo debe tener asignada su tarea con una persona de respaldo para cada uno de ellos. Se deber elaborar un directorio que contenga los nombres, direcciones y nmeros telefnicos.
Los desastres que pueden suceder podemos clasificarlos as:
a) Completa destruccin del centro de cmputo b) Destruccin parcial del centro de cmputo c) Destruccin o mal funcionamiento de los equipos auxiliares del centro de cmputo (electricidad, aire acondicionado, etc.) d) Destruccin parcial o total de los equipos descentralizados e) Prdida total o parcial de informacin, manuales o documentacin j) Prdida del personal clave g) Huelga o problemas laborales
El plan en caso de desastre debe incluir:
- La documentacin de programacin y de operacin
152
Los equipos.
- El equipo completo - El ambiente de los equipos - Datos y archivos - Papelera y equipo accesorio - Sistemas (sistemas operativos, bases de datos, programas de utilera, programas)
El plan en caso de desastre debe considerar todos los puntos por separado y en forma integral como sistema. La documentacin estar en todo momento tan actualizada como sea posible, ya que en muchas ocasiones no se tienen actualizadas las ltimas modificaciones y eso provoca que el plan de emergencia no pueda ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deber:
- Asegurar que todos los miembros sean notificados - Informar al director de informtica - Cuantificar el dao o prdida del equipo, archivos y documentos para definir qu parte del plan debe ser activada - Determinar el estado de todos los sistemas en proceso - Notificar a los proveedores del equipo cul fue el dao - Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en cuenta:
- Elaboracin de una lista con los mtodos disponibles para realizar la recuperacin - Sealamiento de la posibilidad de alternar los procedimientos de operacin (por ejemplo, cambios en los dispositivos, sustitucin de procesos en lnea por procesos en lote) - Sealamiento de las necesidades para armar y transportar al lugar de respaldo todos los archivos, programas, etc., que se requieren - Estimacin de las necesidades de tiempo de las computadoras para un periodo largo
Cuando ocurra la emergencia, se deber reducir la carga de procesos, analizando alternativas como: - Posponer las aplicaciones de prioridad ms baja - Cambiar la frecuencia del proceso de trabajos - Suspender las aplicaciones en desarrollo
153
Por otro lado, se debe establecer una coordinacin estrecha con el personal de seguridad a fin de proteger la informacin.
Respecto a la configuracin del equipo hay que tener toda la informacin correspondiente al hardware y software del equipo propio y del respaldo.
Debern tenerse todas las especificaciones de los servicios auxiliares tales como energa elctrica, aire acondicionado, etc., a fin de contar con servicios de respaldo adecuados y reducir al mnimo las restricciones de proceso, se debern tomar en cuenta las siguientes consideraciones: - Mnimo de memoria principal requerida y el equipo perifrico que permita procesar las aplicaciones esenciales - Se debe tener documentados los cambios de software - En caso de respaldo en otras instituciones, previamente se deber conocer el tiempo de computadora disponible
Es conveniente incluir en el acuerdo de soporte recproco los siguientes puntos: - Configuracin de equipos - Configuracin de equipo de captacin de datos - Sistemas operativos - Configuracin de equipos perifricos
Finalmente se deber estudiar que se tenga una lista de los requerimientos mnimos que deben tener para un efectivo plan de recuperacin en caso de desastre.
Lo ms importante es identificar el nmero y tipo de componentes esenciales que puedan ser crticos en caso de emergencia o de desastre.
I Equipo principal (equipo, canales de comunicacin, memoria, etc.)
Equipo fabricado Proyecto en el equipo Es esencial para procesar?
II Unidades de disco (incluyendo controladores, nmero de unidades, paquetes de discos, nmero de discos por paquete).
Fabricante Nmero de unidades Capacidad Proyectos en que se usa Es esencial para procesar? 154
III Unidades de cinta. IV Unidades de almacenamiento (en lnea o fuera de lnea) V Equipo perifrico (lectoras, impresoras., etc.) VI Unidades de comunicacin, controladores.
Equipo Nmero de equipo conectado Proyecto en el que se usa Es esencial para procesar?
VII Sistemas operativos VIII Terminales.
Equipo Unidad/ modelo Localizacin Proyecto en el que se usa Es esencial para procesar?
IX Equipo adicional - Electricidad KVA - Aire acondicionado BTU - Temperatura requerida - Humedad requerida
Red de comunicacin
1. Descripcin de la red de comunicacin.
1.1 En caso de emergencia, es esencial el uso de la red de comunicacin?. Describa el porqu de su respuesta.
2. Programas necesarios para la comunicacin.
Identificacin de los circuitos Fabricante Tipo/ Condicin Vaduz Velocidad Protocolo
Ejemplo
A++
C-1
9600 Asncrono Punto final
155 Servicio dedicado Computadora Interfase Dispositivo Tipo Localizacin Multipunto Timeplex mux Bell z/2 ADM. II Coyoacn Mx. D.F.
Se debe contar con:
a) Copia de programas de produccin b) Copia de archivos maestros de las aplicaciones clave y sistemas operativos c) Copia de la documentacin de los sistemas e instructivos de operacin d) Copia de los archivos necesarios para procesar las transacciones e) Inventario de formas especiales utilizadas en la operacin normal (se deben incluir tambin papelera normal, cintas magnticas, cintas de impresin) j) Un local con las instalaciones necesarias (energa, aire acondicionado, piso adecuado, etc.) k) Convenios para el uso de computadoras compatibles
9.7 condiciones, procedimientos y controles para otorgar soporte a otras instituciones
Una prctica conveniente, que desde hace tiempo se ha venido observando en los centros de procesamiento es establecer arreglos con otros centros para utilizar su equipo.
En caso de fallas mayores o en caso de desastre, como fuego, inundaciones, explosiones, etc., a fin de evitar interrupciones de los servicios de procesamiento por un largo periodo. Es muy conveniente que este tipo de arreglo se llevan acabo de una manera formal, interviniendo en ellos los niveles jerrquicos ms adecuados para asegurar la seriedad del compromiso.
A. A quines se les otorga B. Condiciones y controles C. Procedimientos D. Tiempo, periodicidad y costo
NOTA: Es muy importante que seales si nos proporcionan servicio o si nosotros proporcionamos el respaldo o si se tiene.
10.1 Tcnicas para la interpretacin de la informacin.
Para interpretar la informacin podemos utilizar desde tcnicas muy sencillas hasta tcnicas complejas de auditora.
10.1.1 Anlisis crtico de los hechos
Una de las primeras tcnicas es el anlisis crtico de los hechos. Esta tcnica sirve para discriminar y evaluar la informacin; es una herramienta muy valiosa para la evaluacin y se basa en la aplicacin de las siguientes preguntas.
PREGUNTA FINALIDAD Qu el propsito Dnde el lugar Cundo el orden y el momento, sucesin Quin la persona responsable Cmo los medios Cundo la cantidad
La pregunta ms importante es "qu", pues la respuesta permitir saber si puede ser: Eliminada Modificada o cambiada Simplificada
Las respuestas que se obtengan deben ser sometidas a una nueva pregunta "Por qu", la cual plantear un nuevo examen que habr de justificar la informacin obtenida. Cada interrogante se debe descomponer de la siguiente manera: 157 1. Propsito a) qu se hace b) por qu se hace c) qu otra cosa podra hacerse d) qu debera hacerse
2. Lugar a) dnde se hace b) por qu se hace ah c) en qu otro lugar podra hacerse d) dnde debera de hacerse
3. Sucesin a) cundo se hace b) por qu se hace entonces c) cundo podra hacerse d) cundo deber hacerse
4. Persona a) quin lo hace b) por qu lo hace esa persona c) qu otra persona podra hacerlo d) quin debera hacerlo
5. Medios a) cmo se hace b) por qu se hace de ese modo c) de qu otro modo podra hacerse d) cmo debera hacerse
6. Cantidad a) cunto se hace b) por qu se hace esa cantidad (volumen) c) cunto podra hacerse d) cunto debera hacerse
10.1.2 Metodologa para obtener el grado de madurez del sistema
Para poder interpretar la informacin de los sistemas debemos evaluar el grado de madurez de los mismos. - Verificar si el sistema est definido - Verificar si el sistema est estructurado - Verificar si el sistema es relativamente estable - Verificar si los resultados son utilizados o no
158
CARACTERSTICAS MADURO INMADURO DEFINIDO ESTRUCTURADO ESTABLE RESULTADOS COMPLETAMENTE ALTO NO CAMBIA UTILIZADOS INCOMPLETO BAJA MUCHOS CAMBIOS NO UTILIZADOS
Dependiendo del grado de madurez y su grado de estructuracin, se determina si debe estar automatizado y la posible madurez que repercutir en una mejor utilizacin y en disminucin de cambios.
Si el sistema est estructurado y maduro, se debi usar la tcnica de sistema de informacin; si est estructurado pero no est maduro se debi seguir hacindolo manualmente; si est semiestructurado y maduro se podr usar la tcnica de soporte en la toma de decisiones (DSS= Decisin system support).
Si el sistema est semiestructurado pero no est maduro, debi seguirse haciendo en forma manual; si no est estructurado y maduro es un sistema guiado por la intuicin y deber seguirse haciendo en forma manual. Si no est estructurado ni maduro el sistema no tiene razn de existir.
NIVEL DE MADUREZ MADURO INMADURO NIVEL ESTRUCTURA ESTRUCTURADO SISTEMA DE INFORMACIN GENERAL SEMIESTRUCTURADO SISTEMA DE SOPORTE DE DECISIONES MANUAL NO ESTRUCTURADO INTUITIVO SIN RAZN
10.1.3 Uso de diagramas
Otra forma de analizar los hechos es seguir la ruta de informacin desde su origen hasta su destino y disponer de este camino en una secuencia cronolgica, con el fin de clarificar dnde aparece, cmo avanza a lo largo del sistema y cmo llega a su destino. Esta tcnica ayuda a hacer un estudio objetivo de todos los paros por los cuales deber de pasar la informacin.
159
10.2 Evaluacin de los sistemas
Se debe evaluar el desarrollo que ha tenido el sistema por medio de analizar los pasos que comprendieron el desarrollo del sistema y comparar lo que se plane contra lo que realmente se esta obteniendo.
ANLISIS
Se debe evaluar la informacin obtenida en los sistemas para poder: Determinar el objeto y compararlo con lo obtenido Buscar la interrelacin con otros sistemas Evaluar la secuencia y flujo de las interacciones
ETAPAS DEL ANLISIS
1. Anlisis conceptual - Evaluar el sistema funcional - Evaluar la modularidad del sistema - Evaluar la segmentacin del sistema - Evaluar la fragmentacin del sistema - Evaluar la madurez del sistema - Evaluar los objetivos particulares del sistema - Evaluar el flujo actual de informacin - Definir el contenido de los reportes y compararlo con el objetivo
2. Detalle de anlisis actuales y esperados - Evaluar los modelos de los reportes - Evaluar los controles de operacin - Cuantificar el volumen de informacin - Evaluar la presentacin y ajustes
Se debe conocer en trminos generales el nivel del sistema funcional para obtener los elementos suficientes que permitan evaluar el nivel de interaccin, su grado de estructuracin y la madurez del sistema con el fin de determinar si se justifica su automatizacin.
1. EVALE EL OBJETIVO Evale que el objetivo general y el alcance del sistema funcional estn en forma clara y precisa. Esta actividad se encarga de delimitar el sistema obteniendo todo lo relacionado con l, mediante las entrevistas a los usuarios involucrados con el fin de evaluar si se cumpli con el objetivo. Las versiones que ofrezcan los usuarios debern ser confrontadas para verificar su compatibilidad 160
2. EVALE LA INTERACCIN CON OTRO SISTEMAS Se debi analizar la informacin del sistema con el propsito de localizar sus interacciones y sus contactos con otros sistemas a fin de determinar si existe un sistema integral de informacin, sistemas aislados o simplemente programas o si existe redundancia y ruido y cules son los controles con que cuenta el sistema. Para evaluar todas las entradas y salidas que tienen lugar en el sistema, esta parte de la auditora determina el flujo de operacin y tambin todas las entradas y salidas que ocurren internamente. La manera de desarrollar esta actividad es usar aquellos documentos de informacin que maneja el sistema rastreando las fuentes y destinos elaborando o reservando la matriz de recepcin/distribucin de los documentos y la matriz de entradas/salidas.
3. EVALE SI SE OBTIENE LA SECUENCIA Y EL FLUJO DE LAS INTERACCIONES Para llevar a cabo esta actividad es necesario establecer el flujo de informacin a travs del sistema, tomando la matriz de entradas/salidas y agregndole el orden de ocurrencia as como la periodicidad. Grafquela en un plano horizontal para tratar de encontrar duplicidad de informacin. Este plano debe hacerse de tal manera que refleje un perodo de tiempo as como el orden de ocurrencia.
4. EVALE EL SISTEMA FUNCIONAL Dado que ya se evalu el objetivo, las interacciones y su flujo, lo que se hace es analizarlo para tener una idea ms clara de su funcin. Tomando como base los elementos de los primeros tres pasos, se debe verificar si es congruente con su objetivo, es decir, si la descripcin define sus propsitos. En esta etapa se evala "qu hace" el sistema.
5. EVALE LA MODULARIDAD DEL SISTEMA Esta actividad subdivide el sistema en partes que puedan ser procesadas en forma independiente, pero cuyo objetivo particular es buscar el objetivo general del sistema funcional, correspondiendo a cada mdulo una funcin general del sistema. As mismo una funcin general del sistema consiste en identificar aquellas partes de l donde ocurre una entrada, un proceso y se obtiene un resultado parcial.
6. EVALE LA SEGMENTACIN DEL SISTEMA Este paso tiene por objeto subdividir los mdulos en funciones particulares, de tal manera que el conjunto de funciones defina al mdulo en cuestin. En esta parte deben evaluarse aquellas funciones que son realizadas para distintos mdulos (interconexin modular); cada funcin extrada del mdulo debi ser consistente y validada con el usuario.
161 7. EVALE LA FRAGMENTACIN DEL SISTEMA Se subdivide el segmento en funciones especficas o procedimientos, pues cada funcin particular o segmento puede contener uno o ms procedimientos. As su vez cada procedimiento puede estar formado por distintos niveles (Jerarqua de procedimientos); dependiendo de su complejidad en esta parte se debe evaluar haciendo nfasis en "qu hace" y no el cmo lo hace ya que esto se evala en el anlisis detallado.
8. EVALE EL FLUJO FUNCIONAL DE INFORMACIN DEL SISTEMA Identifique en cada documento su origen y su seguimiento a travs de las diferentes entidades o departamentos por donde transita; a la vez vaya identificando sus adiciones y supresiones de informacin. Por ltimo identifique cmo y dnde llega a su destino. Se recomienda el uso de 1 diagrama de flujo de informacin.
9. EVALE LOS DOCUMENTOS DE ENTRADA Y EL CONTENIDO DE LOS REPORTES Se deben evaluar las formas de entrada, su contenido, claridad, controles, copias solicitadas y autorizaciones, verificar que los reportes o pantallas de salida contengan todos los datos necesarios sin importar de dnde provienen. El uso que se le da, quin los prepara y a quin van dirigidos.
10. EVALU LOS CONTROLES DE OPERACIN DEL SISTEMA Se debe evaluar claramente en qu parte del proceso operacional si se llevan a cabo controles, analizando sobre qu variables se ejerce y cmo s ejerce (procedimiento) y las acciones a tomar en cada situacin dada, es decir, se evalan su razn de ser, su mtodo y su grado de sensibilidad.
11. CUANTIFIQUE EL VOLUMEN DE INFORMACIN QUE SE MANEJAR La importancia de este paso es tener una idea en la aproximacin de los recursos que se necesitan se estn siendo usados correctamente la situacin del equipo y la posibilidad de incremento de equipo. Se obtiene sumando los caracteres involucrados en los reportes y documentos utilizados, especificando el nmero de veces que ocurre cada rubro y la longitud de ellos.
El sistema deber tener las siguientes caractersticas: GENERALIDAD. Que busca objetivos amplios pensando en que las aplicaciones pueden ser ampliadas.
FLEXIBLE. Que puede ser susceptible de ser implantado en diferentes ambientes y equipos.
CONFIABILIDAD. Esto es, que sea capaz de detectar posibles errores para que stos no se procesen. 162 SEGURIDAD. Que el sistema cuente con dispositivos para que slo la gente autorizada pueda tener acceso a la informacin. Fcil de usarse y operable, o sea que tenga la capacidad para recuperarse de una falla del equipo.
CONFIDENCIALIDAD. Accesible slo a aquellas personas autorizadas para su manejo, consulta y explotacin.
MODIFICABLE. Que se traduce en la capacidad del sistema para adiciones, sustituciones o eliminacin de elementos con el fin de efectuar nuevas funciones o deje de efectuar otras, sin alterarse las que no se deseen.
12. EVALUACIN DE LOS ARCHIVOS. Analice al detalle los archivos de informacin involucrados en el sistema sealando sus atributos y propiedades, su estructura, clasificacin, organizacin, factor de bloque, frecuencia de uso, campos, cdigos, tamao. Se recomienda hacer referencia a los programas que lo usan.
13. EVALUACIN DE REPORTES. Se evaluarn las formas de salida de los reportes, o sea la infraestructura de lo mismo, mediante el diseo de la forma y la distribucin de su contenido, validndola con el usuario. Programa que lo genera Archivos usados Frecuencia Usuario Contenido
PRUEBAS Y REVISIONES. El objetivo es asegurarse que el sistema funcione de acuerdo a las especificaciones funcionales a fin de que el usuario tenga la suficiente informacin para su manejo, operacin y aceptacin. (Es recomendable utilizar la informacin obtenida en las opiniones de los usuarios).
Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento en que se detecta.
Las pruebas del sistema buscan asegurar que se cumplan los requisitos de las especificaciones funcionales, verificando datos estadsticos, transacciones, reportes, archivos anotando las fallas que pudieran ocurrir y realizando los ajustes necesarios. Los niveles de prueba pueden ser agrupados en mdulos, programas y en el sistema total.
163
10.3 Evaluacin de los sistemas de informacin
Esta funcin tiene gran importancia en el ciclo de evaluacin de las aplicaciones de sistemas de informacin por computadora. Busca comprobar que la aplicacin cumpla las especificaciones requeridas por el usuario, que haya desarrollado dentro de lo presupuestado y que efectivamente cumpla con los objetivos y beneficios esperados.
Un cambio a un sistema existente, como la creacin de un nuevo, introduce necesariamente cambios en la forma de obtener la informacin y un costo adicional. Ambos debern ser evaluados antes y despus del desarrollo.
Se debe evaluar el cambio (si lo hay) de la forma en que las operaciones son ejecutadas, comprobar si mejora la exactitud de la informacin generada, si la obtencin de los reportes efectivamente reduce el tiempo de entrega, si es ms completa, en que tanto afecta las actividades del personal usuario, si aumenta o disminuye el personal de la organizacin, los cambios de las interacciones entre los miembros de la organizacin. De ese modo se sabr si aumenta o disminuye el esfuerzo por generar la informacin para la toma de decisiones, con el objeto de estar en condiciones de determinar la productividad y calidad del sistema.
El anlisis deber proporcionar: la descripcin del funcionamiento del sistema desde el punto de vista del usuario, indicando todas la interacciones del sistema, la descripcin lgica de cada dato, las estructuras que forman stos, el flujo de informacin que tiene lugar en el sistema. Lo que el sistema tomar como entradas, los procesos que sern realizados, as como las salidas que deber proporcionar, los controles que se afectarn para cada variable y los procedimientos.
De este modo se agruparn en cuatro grandes temas. EVALUACIN EN LA EJECUCIN EVALUACIN EN EL IMPACTO EVALUACIN ECONMICA EVALUACIN SUBJETIVA
1. EVALUACIN EN LA EJECUCIN
Se refiere al uso de cuestionarios para recabar datos acerca de la actuacin de la aplicacin en la computadora, con objeto de conocer qu tan bien o qu tan mal est siendo usada y opera eficientemente.
Los cuestionarios son medios para recopilar datos acerca de los recursos de informtica y pueden ser cuestionarios manuales, encuestas de opiniones, evaluacin de documentacin, obtencin de informacin electrnica integrada al equipo (hardware) y de programas ejecutndose (software), obtenindose en ambas las estadsticas acerca de su uso. 164
Existen dos tipos de estadstica: 1. Estadstica de software Son un juego de instrucciones ejecutables, conectadas al sistema operativo con el fin de colectar datos acerca de la operacin del sistema yacerca de los programas de aplicacin; ste requiere memoria y proceso adicional, decrementando la rapidez del microprocesador. Esta estadstica ayuda a detectar qu recursos adicionales se necesitan o qu recursos existentes deben ser ejecutados para lograr ms eficiencia, ayuda a identificar cules son los lenguajes ms usados, qu tipo de proceso es ms comn, etc.
2. Estadstica de hardware Puede ser utilizada para medir la cantidad de tiempo de la unidad de procesamiento central, pero tambin podr ser concentrada a los canales de comunicacin y dispositivos de almacenamiento secundario para determinar la frecuencia y la cantidad utilizada.
Estos dos tipos de estadstica normalmente son proporcionados por el fabricante de computadoras, pero algunos pueden ser desarrollados por la propia organizacin.
2. EVALUACIN EN EL IMPACTO
Es la evaluacin que se hace sobre la manera en que afecta a la gente que interviene en la aplicacin (usuarios) con el objeto de determinar como la implantacin y el uso del sistema de informacin que afecta a la organizacin, distinguiendo qu factores son directamente atribuibles al sistema. Las principales reas que nos deben interesar son las que intervienen en la toma de decisiones y en las actividades de operacin.
Esta evaluacin se hace con el fin de detectar a la gente involucrada , las actividades que son necesarias realizar, la calidad de la informacin y el costo de operacin resultante.
Algunas expectativas deben ser elaboradas y jerarquizadas antes de empezar a disear el sistema con el fin de que, cuando se instale, se compruebe si los resultados satisfacen plenamente lo planeado.
Asimismo se debe evaluar el efecto que se tiene sobre el ambiente del sistema (personas, leyes, etc.). Para ello contamos con varias tcnicas que nos ayudan en este propsito, las cuales son: a) Bitcora de eventos b) Registro de actitudes c) Contribucin y peso d) Anlisis de sistemas 165
PRESUPUESTO
3. EVALUACIN ECONMICA
Aqu se obtiene el costo de una aplicacin y cuantifican los beneficios esperados con el objeto de justificar o no su desarrollo, o comprobar que la aplicacin se desarroll segn lo presupuestado.
Es importante para la organizacin obtener la evaluacin econmica que le permitir justificar su desarrollo e implantacin.
Cuando la aplicacin ha sido realizada, se busca obtener el costo real contra el beneficio real para comprobar o determinar el porqu de la diferencia de los presupuestado y/o la calidad de la aplicacin.
Se debe evitar crear sistemas que perjudiquen la organizacin y minen su economa. Hay que tratar de obtener el mayor beneficio con el equipo disponible e invertir en equipos adicionales slo cuando est plenamente justificada la inversin por los beneficios que se obtendrn.
4. EVALUACIN SUBJETIVA
Partiendo de la premisa de que los usuarios son los principales afectados directamente por el sistema, sus puntos de vista y necesidades debern ser considerados para la evaluacin.
Los que procesan los datos, el personal de sistemas y personal de alta direccin debern tambin participar en la determinacin de los beneficios econmicos de la actividad particular a ser desarrollada.
La justificacin de la evaluacin subjetiva se centra en que la opinin del grupo usuario proporciona un punto de vista ms completo de la aplicacin, ayudando a obtener aquellos factores que se hubieran pasado por alto.
Los mtodos de la evaluacin subjetiva pueden ser: a) Uso de cuestionarios b) Desarrollo de una metodologa que midiera el valor de la informacin generada por la aplicacin y por la ganancia de su uso.
10.4 Controles
Un punto muy importante a considerar dentro de la auditora en informtica son los controles, los cuales se dividen en generales, operativos (dependiendo del sistema) y tcnicos (equipos y sistemas).
166
Los controles generales normalmente se aplican a todo procesamiento de la informacin y son independientes de las aplicaciones, estos controles incluyen:
- Planeacin - Organizacin - Polticas y procedimientos - Estndares - Administracin de recursos - Seguridad - Confidencialidad
Los controles operativos comprenden cada uno de los sistemas en forma individual y constan de:
- Control de flujo de la informacin y tabla de decisiones - Control de proyectos - Organizacin del proyecto - Reporte de avance - Revisiones del diseo del sistema - Control de cambios a programa - Requisicin del cambio - Bitcora de cambios - Mantenimiento y documentacin - Produccin - Controles de documentacin - Documentacin (sistema, programa) - Mantenimiento y acceso a la documentacin - Control de sistemas y programas - Sistemas en lote - Control de programas - Etiquetado de archivos - Sistemas en lnea - Controles de salida - Control de programa - Controles de salida
Los controles tcnicos que se deben de evaluar son:
- Controles de operacin y uso de la computadora - Supervisor - Capturistas - Bibliotecario - Operadores - Mesa de control 167
- Controles de entrada y salida - Reporte de fallas y mantenimiento preventivo - Controles sobre archivos - Recuperacin de desastres - Controles de usuarios De origen de datos - Controles de entrada de datos - Controles de salida de datos - Controles tcnicos - Aplicaciones Sistemas - Equipos - Controles lgicos del sistema - Sistemas operativos - Sistemas de utilera - Sistemas de bibliotecas - Sistemas de mantenimiento de archivo - Sistemas de seguridad - Control de acceso al sistema - Control de cambios al sistema - Redundancia en la informacin - Inconsistencia de datos - Seguridad - Controles de seguridad, respaldo y confidencialidad
10.5 Confeccin y redaccin del Informe Final
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.
168
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Definicin de objetivos y alcance de la auditora. Enumeracin de temas considerados: antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora. Cuerpo expositivo: Para cada tema, se seguir el siguiente orden a saber:
a. Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real. b. Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. c. Puntos dbiles y amenazas. d. Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica. e. Redaccin posterior de la Carta de Introduccin o Presentacin.
Modelo conceptual de la exposicin del informe final
- El informe debe incluir solamente hechos importantes. La inclusin de hechos poco relevantes o accesorios desva la atencin del lector. - El Informe debe consolidar los hechos que se describen en el mismo. El trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y de estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:
1. El hecho debe poder ser sometido a cambios. 2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin. 3. No deben existir alternativas viables que superen al cambio propuesto. 4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y estndares existentes en la instalacin.
La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una debilidad que ha de ser corregida.
169
Flujo del hecho o debilidad:
1. Hecho encontrado. - Ha de ser relevante para el auditor y para el cliente. - Ha de ser exacto, y adems convincente. - No deben existir hechos repetidos.
2. Consecuencias del hecho - Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.
3. Repercusin del hecho - Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la empresa.
4. Conclusin del hecho - No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy extensa o compleja.
5. Recomendacin del auditor informtico - Deber entenderse por s sola, por simple lectura. - Deber estar suficientemente soportada en el propio texto. - Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin. - La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. - Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la citada carta de introduccin.
La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 folios. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de introduccin no se escribirn nunca recomendaciones. 170 11 __________________________________________________________________
Diferentes enfoques de la auditora
11.1 Introduccin
Existen estudios en relacin con la funcin informtica que hacen la siguiente aseveracin " La funcin informtica no est ni ha estado bien administrada", esto quiere decir que generalmente a la problemtica que se presenta se le da un seguimiento por excepcin y no por funcin ya que en las empresas no estn establecidos los controles preventivos, correctivos o detectivos necesarios para administrarla de manera adecuada y que toda la problemtica se resuelve despus de haber aparecido de manera momentnea sin establecer un control definitivo, teniendo como consecuencia un despilfarro en los recursos informticos y en recursos econmicos, por lo que se hace cada vez mas evidente la necesidad de establecer una evaluacin peridica y permanente de las reas involucradas en esta funcin para lograr una operatividad eficiente de acuerdo con las normas establecidas, que es lo que se conoce como auditora en informtica. Esta se puede llevar a cabo teniendo dentro de la organizacin esta funcin o contratando asesores externos.
Las auditorias en informtica pueden ser realizadas con diferentes metodologas, en donde cada una de ellas es elaborada por para obtener el mismo producto final, que es el llamado: "informe final" que es donde se plasman todas las recomendaciones del grupo de auditores con el objetivo de que la funcin de informtica trabaje de la manera ms eficiente y eficaz y disminuir la 171 incertidumbre de la interrupcin de la misma. Es necesario que los auditores tomen en cuenta las siguientes tres normas:
Normas personales Normas de ejecucin del trabajo Normas de informacin
Normas personales
1. La evaluacin debe de ser realizada por una persona o personas que tengan el entrenamiento tcnico y la capacidad profesional adecuada para realizarla. 2. En todos los asuntos relacionados con el trabajo, el auditor o los auditores deben mantener imparcialidad mental. 3. Tener el debido cuidado y diligencia profesional en el desarrollo de la evaluacin y en la preparacin del informe.
Normas de ejecucin del trabajo.
1. El trabajo se debe planear adecuadamente y los colaboradores, si es el caso, deben ser supervisados en forma adecuada. 2. Se debe efectuar un estudio y evaluacin del control interno existente como base de la confianza que se va a depositar en l, y como fundamento de la extensin de las pruebas a que debern sujetarse los procedimientos de auditora. 3. Se debe obtener la evidencia suficiente y competente a travs de inspecciones en el rea de trabajo, observaciones, investigaciones y confirmaciones que permitan establecer la base razonable sobre la que se apoya el dictamen a los sujetos a la revisin.
Normas de informacin
1. El informe deber expresar una opinin relacionada a cada una de las reas evaluadas, haciendo referencia al cumplimiento o no de la normatividad establecida en cada una de ellas, en caso de que no se pueda dar una recomendacin adecuada, deber de establecer las razones que lo llevan a ello.
172
Primer enfoque
Enrique Hernndez Hernndez autor del Libro "Auditora en Informtica" en su segunda Edicin, escribe lo siguiente:
Que es necesario la implantacin en la empresa una estructura organizacional que permita tener dentro de ella la funcin de auditora en informtica, basada en las siguientes estrategias y cursos de accin
Estrategias:
1) Formalizar la auditora en informtica en la organizacin a travs de:
a) Cursos de accin que justifiquen el desarrollo de la funcin de auditoria informtica en el negocio. b) Presentar a la alta direccin el documento de justificacin. c) Aprobacin del proceso por la alta direccin. d) Difusin de la auditora en informtica en las reas relacionadas directa e indirectamente con la informtica. e) Desarrollo del proceso de auditora en informtica en el negocio.
2) Proporcionar a la empresa o institucin un proceso de auditora en informtica permanente con objetivo de garantizar a la alta direccin:
a) Que la seguridad, polticas y procedimientos que se orientan hacia los recursos de informtica y a la informacin que stos manejan sean eficientes y confiables. b) Apoyo a los objetivos del negocio al tomar decisiones con base a informacin que cumpla con los requisitos mnimos exigidos por auditora, como exactitud, totalidad, autorizacin, actualizacin, etc. Asimismo, se cumplirn los requerimientos exigidos de calidad y oportunidad. c) La verificacin del uso de tecnologa que requiere y justifica cada rea y nivel organizacional dentro del negocio. d) La existencia de un proceso de evaluacin y justificacin de cada proyecto de inversin relacionado con la funcin informtica. e) La elaboracin y desarrollo formal de un proceso de planeacin en informtica que se oriente al plan del negocio. 173 f) El uso formal de metodologas, tcnicas y herramientas por el personal de informtica para el desempeo eficiente de sus tareas y generador de productos de calidad. g) Promover que el personal de informtica se desarrolle en un ambiente de profesionalismo y de alta productividad tomando como base habilidades, conocimientos y perfiles requeridos por la organizacin.
Cursos de accin:
1. Lograr que la alta direccin, las reas o departamentos usuarios y el personal, de informtica tomen conciencia de la necesidad de contar con una funcin de auditora en informtica que asegure y oriente el uso eficiente de los recursos involucrados con la misma. 2. Formalizar un procedimiento que contemple la difusin, asimilacin de los planes, objetivos, beneficios y reas de oportunidad que representa la auditora en informtica para la organizacin. 3. Una vez aprobada la creacin o contratacin de externos para el proceso de auditora en informtica, se produce a la planeacin y desarrollo formal del mismo. 4. El proceso de planeacin de la auditora en informtica ha de reflejar proyectos que contemplen prioridades para la alta direccin, reas de oportunidad para el negocio y evaluaciones que la funcin de auditora en informtica considere fundamentales para el aseguramiento de la calidad y uso eficiente de los recursos de informtica y de la informacin manejada por dichos recursos. 5. Coordinar formalmente las visitas y reuniones necesarias con el personal usuario y de la informtica involucrado en cada proyecto. 6. Ejecutar de manera formal y oportuna cada proyecto de acuerdo con lo planeado. 7. Entregar a la alta direccin informes ejecutivos y detallados de cada proyecto aprobado por el comit de trabajo. Dicho comit puede estar integrado por la direccin general, gerentes usuarios, gerentes de sistemas, gerentes de auditora interna y auditores externos. 8. Lograr que las reas y los niveles involucrados en los proyectos de auditora en informtica que reconozcan la importancia que representa el apoyo formal y oportuno que requiere este tipo de proyectos para la implantacin de las soluciones emanadas del proceso. 9. Investigar, analizar y formalizar la metodologa de auditora en informtica utilizado por el personal de la funcin con el objeto de orientar los requerimientos actuales y futuros de la organizacin, tomando en cuenta las polticas, procedimientos y estndares recomendados a nivel nacional e internacional por las asociaciones y entidades profesionales especializadas en el campo. 174 10. Elaborar un programa de actualizacin de personal de auditora en informtica, que mida su desempeo con base en los objetivos logrados contra los objetivos planeados. 11. Orientar los esfuerzos de la funcin de auditora en informtica hacia la bsqueda y logro de soluciones que apoyen los objetivos del negocio.
Despus de organizar el rea busca la ubicacin jerrquica de la funcin de auditora informtica, tratando de que los auditores cuenten con:
Independencia funcional. Libertad de accin. Facultad para la toma de decisiones. Negociacin con los niveles gerenciales. Involucramiento en proyectos de alto impacto para el negocio.
Y esta puede estar de dos formas:
1. A nivel estratgico 2. A nivel tctico
175
1. Nivel estratgico (Equipo de apoyo a la direccin)
Caractersticas Beneficios Posibles limitaciones Independencia funcional Comunicacin formal y permanente entre la alta direccin y los responsables de auditora en informtica El seguimiento del desempeo de la funcin por parte de la alta direccin El proceso de auditora opera estratgicamente Apoyo y soporte constante de la alta direccin a la funcin En gran parte de las empresas no se acepta la auditora en informtica Por lo general se haya en instituciones financieras, de crdito Objetivo en el desempeo de la funcin No existen muchos profesionales con experiencia, tcnicas y habilidades requeridas para ejercer la funcin de auditora informtica a un nivel estratgico. Existe un compromiso permanente con la alta direccin
Personal de auditora con visin del negocio
176
2. Nivel tctico (gerencias, jefaturas)
Caractersticas Beneficios Posibles limitaciones No hay independencia funcional respecto a otras direcciones o gerencias La alta direccin la considera una funcin indispensable para observar el cumplimiento de polticas y procedimientos de informtica en el negocio Se debilita el compromiso y soporte de la alta direccin hacia la funcin Se encuentra en los diversos sectores de la comunidad, con frecuencia en ciertas instituciones de crdito, gubernamentales y en grado menor en el sector industrial y educativo. La funcin tienen contacto con los responsables para la toma de decisiones El porcentaje de empresas que considera importante contar con una funcin a este nivel es mnimo. Se limita mucho al estilo de trabajo del nivel superior al que reporta Existen asociaciones, consultores y escuelas profesionales que impulsan diariamente la formalizacin de la funcin, al menos a un nivel tctico. No existen muchos profesionales con experiencia, tcnicas y habilidades requeridas para ejercer la funcin de auditora informtica a un nivel tctico.
Despus de analizar que tipo de estructura tendr la funcin de informtica, se analiza de quien depender, y para ello se plantean cuatro posibles escenarios: 177
1. Dependiendo de la direccin o gerencia de auditora.
Consideraciones clave de la funcin en el entorno del negocio Ventajas/reas de oportunidad Desventajas/restricciones Independiente de la funcin de informtica y de las otras reas de la empresa donde se dar la auditora en informtica Integracin de los controles y polticas de informtica a los establecidos para las otras reas del negocio Las reas del negocio no aceptan con facilidad ser evaluadas por personal de la misma empresa. Integracin de los controles y polticas de informtica a los establecidos para las otras reas del negocio. Hay una planeacin y desarrollo conjunto de proyectos con las otras reas de auditora
Se asegura control y seguimiento sobre todos los recursos y proyectos de informtica.
2. Dependiendo de la direccin o gerencia de informtica
Consideraciones clave de la funcin en el entorno del negocio Ventajas/reas de oportunidad Desventajas/restricciones Hay dependencia de tipo funcional hacia el director o gerente de informtica Se facilita en alto grado de nivel de apoyo de informtica Incertidumbre acerca de qu anomalas, carencias e incumplimiento de la funcin informtica se hagan del conocimiento de la alta direccin de manera formal y oportuna. El director o gerente de informtica debe ser negociador y facilitador para impulsar el proceso de auditora en informtica en todo el negocio, no slo en su rea Conocimiento formal y oportuno de los proyectos e inversiones de informtica El enfoque de la auditora en informtica es limitarse a ser una entidad que sugiere, no que controla o asegura Se agiliza el proceso de concientizacin en el personal de informtica en el cumplimiento de polticas y controles
178
3. Como personal de apoyo de la direccin general
Consideraciones clave de la funcin en el entorno del negocio Ventajas/reas de oportunidad Desventajas/restricciones La funcin se ubica como una entidad estratgica dentro del negocio Apoyo permanente de la alta direccin en la difusin e implantacin de polticas, controles y procedimientos La alta direccin debe dar seguimiento al desempeo de informtica con conocimiento de causa El responsable de la funcin debe tener una visin de negocio Las reas del negocio se comprometen a cumplir las polticas y controles inherentes a informtica de una manera formal. Se reduce el margen de error en cada uno de los proyectos de auditora en informtica al ser evaluados por la alta direccin. Hay un compromiso de dar resultados que generen valor agregado. Se justifica el perfil de ejecutivo del auditor en informtica. Se orientan los proyectos de informtica.
4. Como funcin de auditora en informtica ejercida por externos
Consideraciones clave de la funcin en el entorno del negocio Ventajas/reas de oportunidad Desventajas/restricciones Los proyectos con los asesores externos deben ser coordinados por la direccin o gerencia de auditora o informtica. Los despachos o asesores externos por lo general se apoyan en mtodos, tcnicas y estndares de auditora en informtica comnmente aceptados a nivel nacional e internacional. Pueden darse fugas de informacin. Se da cuando se carece de la funcin de informacin, o si sta existe se busca asegurar o validar informacin relevante para la alta direccin. Son personal de n nivel profesional ms que aceptable, debido a su experiencia y constante actualizacin. Costos altos y difciles de controlar. El personal externo ha de contar con amplia experiencia en este ramo y ser reconocido por su trayectoria en el mercado regional o nacional al menos. Existe un compromiso moral y profesional del auditor en informtica para ejercer la asesora de manera tica e independiente. El tiempo de asimilacin de lo que e el negocio puede prolongarse. Debe evaluarse su desempeo una vez terminado su trabajo. Se exigen resultados y beneficios desde el inicio de los proyectos. En ocasiones las soluciones y recomendaciones no son las adecuadas para el negocio. Si es contratado por el responsable de la informtica puede estar influido en el momento de elaborar y entregar el informe final del trabajo. Se requiere compromiso y participacin formal de todos los involucrados. 179
Una vez que es ubicada la funcin de auditora en informtica en alguna de las cuatro estructuras jerrquicas anteriores, es necesario para hacer rentable la funcin, establecer las funciones que debe realizar, entra las que se encuentran como mnimas las siguientes:
a) Evaluacin y verificacin de los controles y procedimientos relacionados con la funcin de informtica dentro de la organizacin. b) La validacin de los controles y procedimientos utilizados para el aseguramiento estable del uso eficiente de los recursos informticos dentro de la organizacin. c) Evaluacin, verificacin e implantacin oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la funcin de informtica. d) Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimientos que regulan las actividades y utilizacin de los recursos de informtica de acuerdo con las polticas de la organizacin. e) Desarrollar la auditora informtica conforme normas y polticas estandarizadas a nivel nacional e internacional. f) Evaluar las reas de riesgo de la funcin de informtica y justificar su evaluacin con la alta direccin del negocio. g) Elaborar un plan de auditora en informtica en los plazos determinados por el responsable de la funcin. h) Obtener la aprobacin formal de los proyectos del plan y difundirlos entre los involucrados con el mismo. i) Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de auditora en informtica.
Habla de la necesidad de administrar la funcin de auditora en informtica con la finalidad de verificar que al menos cumplan con los principios bsicos del proceso administrativo, con el objetivo de que esta funcin realmente aporte beneficios a la organizacin, mediante el desempeo eficiente dentro de la misma, siendo los ms importantes:
a) la planeacin, es necesaria para establecer de manera conjunta con los dems auditores de la empresa fechas probables de revisin de las reas, unificacin de metodologas, capacitacin de personal de auditora de manera conjunta, seguimiento de debilidades importantes que se hayan detectado, etc.
180
b) el personal, este es verdaderamente importante en la realizacin de una auditora en informtica, debido que depende mucho de los conocimientos los auditores, as como de la experiencia profesional el xito de la misma. Por lo que es importante recalcar que es necesario establecer el perfil necesario de los auditores que se necesitan dentro de la organizacin para tomarlo en cuenta al momento de la contratacin de personal, as como de la participacin de personal de la funcin de informtica para su aprobacin.
c) el control, aqu se encuentra la supervisin, que es una parte importante de la auditora en informtica ya que permite visualizar mediante un proceso continuo la planeacin de la auditora finiquitada con la entrega del informe final.
d) el seguimiento del desempeo, es importante para evaluar:
- Productividad y calidad de los proyectos. - Avances de proyectos - Resultados. - reas susceptibles de control y seguimiento. - Seguimiento individual y de grupo.
con el objetivo de que esta funcin realmente aporte beneficios a la organizacin , mediante el desempeo eficiente dentro de la misma.
La metodologa para el desarrollo e implantacin de la auditora en informtica es verdaderamente importante para llevarla a cabo, ya que brinda al grupo de auditores un camino estructurado que les permita llevar a cabo tareas, actividades, productos terminados, revisiones, funciones, responsabilidades, etc.; orientndolos a trabajar en equipo para la obtencin de productos terminados de buena calidad.
Es conveniente recalcar que una metodologa no augura el xito de una auditora, adems se requiere de un buen dominio de:
Tcnicas Herramientas de productividad Habilidades personales Conocimientos tcnicos y administrativos Experiencia en los campos de auditora e informtica Conocimiento de los factores del negocio y del medio externo al mismo Actualizacin permanente
181 Involucramiento y comunicacin constante con asociaciones nacionales e internacionales. Otras
La metodologa de auditora en informtica esta formada por seis etapas.
182 1. Etapa preliminar o diagnstico del negocio
Es el primer paso prctico del auditor en informtica dentro de las empresas o instituciones al efectuar un proyecto de auditora en informtica. Se busca la opinin de la alta direccin para estimar el grado de satisfaccin y confianza que tiene en los productos, servicios y recursos de informtica del negocio; de la misma forma es posible detectar las fortalezas, aciertos y apoyo que brinda dicha funcin desde la perspectiva de los directivos del negocio.
Tareas Productos terminados Responsables Involucrados Misin y objetivos del negocio LP/RAI AD Organizacin de informtica LP/RAI AS Diagnstico del negocio Grado de apoyo al negocio LP/RAI AD/PU
Misin y objetivos de la funcin de informtica LP/RAI RI Organizacin de informtica LP/RAI RI Control (formalidad) LP/RAI RI/PI Diagnstico de informtica Productos y servicios LP/RAI RI
Detectar rea de oportunidad rea de oportunidad para mejoras inmediatas LP/RAI AD/PU/RI
Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable del rea de informtica; PI = Personal de informtica; RAI = Responsable del rea de Auditora Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en Informtica.
En esta etapa del proceso metodolgico se estiman las reas de informtica que deben de auditarse y se bosquejan tiempos, costos y recursos inherentes a dicha revisin. Esto se hace una vez que el auditor conoci:
1) Del negocio:
Giro de la empresa. reas organizacionales y procesos bsicos que componen la empresa. Planes o proyectos del negocio que involucren a informtica. Cultura organizacional. Imagen del desempeo del departamento o rea de informtica ante la alta direccin. Apoyo de la direccin a informtica. Fortalezas y debilidades de informtica, segn la alta direccin.
183
2) Del rea de informtica Estructura. Puestos y funciones globales, servicios relevantes, planes o proyectos del rea cultural de trabajo. Consideraciones del responsable de informtica relativas al apoyo que recibe de la alta direccin de la empresa. Fortalezas y debilidades del rea, segn el responsable de informtica.
2. Etapa de justificacin.
Una vez finalizada satisfactoriamente la etapa preliminar, el auditor en informtica debe iniciar la siguiente etapa de la metodologa que corresponde a la justificacin; cabe mencionar que en esta etapa el auditor puede llevara a cabo actividades en paralelo lo que es vlido y justificado si ste cuenta con los recursos y la experiencia necesarios en este tipo de proyectos.
Tareas Reductos terminados Responsables Involucrados Realizar matriz de riesgo Matriz de riesgos LP/AI RAI
Justificar la auditora por cada rea de revisin Justificacin de la matriz de riesgos LP/AID RAI
Hacer un plan general de auditora en informtica Plan general de informtica LP RAI/AI
Aprobacin del plan Plan aprobado LP RAI/RI
Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable del rea de informtica; PI = Personal de informtica; RAI = Responsable del rea de Auditora Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en Informtica. En esta etapa se obtienen tres productos terminados importantes que son:
1. Matriz de riesgos, que define las reas que van a ser auditadas, en dnde su formato es el siguiente: __________________________________________________________________ Empresa: Gerencia: Fecha de elaboracin:
Representante usuario: Representante de informtica: Lder del proyecto
reas susceptibles Aspectos o componentes Riesgo por Clasificacin del riesgo rea por auditar de auditar por evaluar del rea componente por reas (Total) Segn clasificacin 184
Las consideraciones que se deben de tomar en cuenta al elaborar la matriz de riesgos son: Es una tarea relevante y necesaria para el auditor en informtica. Los parmetros para medir el nivel de riesgos pueden cariar de acuerdo con factores como la experiencia y conocimiento en la auditora, as como las reas que conforman informtica o el grado de profundidad y anlisis que desee darle el auditor en informtica. Algunos hechos pueden indicar directamente al auditor en informtica la existencia de riesgos relevantes. Revisar la matriz de riesgos con el responsable de auditora en informtica. Asegurarse de contar con el soporte que requieran las debilidades o anomalas detectadas (entrevistas, cuestionarios analizados revisados y documentados) para ser validadas oportunamente.
2. Plan general de auditora en informtica, que consiste en plantear las tareas ms importantes que se ejecutarn durante cierto perodo al efectuar la auditora en informtica. __________________________________________________________________
Empresa: Gerencia: Fecha de elaboracin:
Representante usuario: Representante de informtica: Lder del proyecto:
reas por auditor segn Aspectos o componentes Prioridad Clasificacin del riesgo Fecha de inicio/ Clasificacin y del rea por auditor asignada por rea (total) Fecha de Prioridades terminacin (estimadas)
Este se elabora despus de haber terminado la matriz de riesgos y los principales aspectos que debe contemplarse en su elaboracin, son:
El plan general de auditora en informtica se deriva de los siguientes elementos: - reas de oportunidad. - Matriz de riesgos. - Prioridades de la alta direccin, de auditora, de informtica o de la misma funcin de auditora en informtica. En esta etapa se elabora slo el plan de auditora general ya que slo se busca la aprobacin y anlisis por parte de la alta direccin. Es importante la retroalimentacin constante entre el lder del proyecto u los dems involucrados.
185
Y dentro de las principales actividades del auditor para elaborar el plan general de auditora en informtica, son:
Estimar el tiempo necesario para auditar cada rea determinada en la matriz de riesgos y en las tareas de apoyo con el fin de alcanzar las reas de oportunidad planteadas. Analizar y definir los aspectos y componentes ms relevantes que se evaluarn, tomando en cuenta las caractersticas propias del negocio, Si es necesario verificar la importancia y validez de los puntos anteriores con los involucrados sin consumir mucho tiempo ni aplicar tecnicismos en las entrevistas que pueden ser por va telefnica, por fax o personales. Asignar prioridades a cada rea por evaluar o revisarlas con los principales involucrados en el proyecto. Definir fechas estimadas de inicio y terminacin por rea de revisin, no por componente. Establecer fechas de revisin formales (firmas, aprobaciones) e informales (avances). Definir responsables e involucrados directos por etapas del proyecto. Otras de inters para el auditor en informtica segn las caractersticas del proyecto y del negocio.
3. Compromiso ejecutivo, aqu se otorga el visto bueno al lder del proyecto para continuar con las siguientes etapas de la metodologa.
En esta etapa, es necesario presentar para lograr el compromiso del ejecutivo, los siguientes aspectos:
Presentacin del plan con la informacin de soporte requerida bien documentada y validada con los principales involucrados: Resumen del diagnstico actual. reas de oportunidad. Matriz de riesgos. Prioridades. Otros comentarios que sirvan de apoyo. Ser objetivo y claro al exponer el plan general. Justificar cada una de las reas a auditar con datos concretos y bien documentados.
186
Lograr que la alta direccin tome conciencia del compromiso requerido para la culminacin exitosa del proyecto. Recibir la aprobacin formal del plan general (firma) El lder del proyecto debe indicar las fechas de inicio y terminacin estimadas.
Para la elaboracin del plan general de auditora en informtica, el auditor en informtica o lder del proyecto deber tomar en cuenta lo siguiente:
Revisin del plan general Considerar fecha posible de reunin con los involucrados en esta tarea. Documentar y resumir el diagnstico actual. Verificar y documentar reas de oportunidad y matriz de riesgos. Justificar cada rea de revisin con los datos obtenidos anteriormente. Recomendar o negociar fecha de revisin y aprobacin del plan con los involucrados. Efectuar reunin. Exponer y justificar el plan de auditora en informtica. Obtener aprobacin formal del plan general. Establecer fechas de inicio del proyecto. Obtener el compromiso del ejecutivo en el transcurso del proyecto. Otros que el auditor en informtica considere pertinentes.
3. Etapa de adecuacin
El objetivo principal de esta etapa, es la de adaptar el proyecto de auditora a las caractersticas del negocio, sin olvidar la referencia de estndares, polticas y procedimientos de auditora en informtica comnmente aceptados y recomendados por las asociaciones relacionadas con el proceso, as como las formuladas y aprobadas de manera particular en los negocios para informtica.
Una vez concluida esta etapa, el auditor en informtica contar con un proyecto bien especificado y clasificado adaptado a las necesidades de la empresa en particular a travs de un conjunto de tareas estructuradas, definiendo con certeza los objetivos y requerimientos particulares para concluir positivamente la revisin de las rea mencionadas en el plan de auditora informtica.
En est etapa se obtiene como producto terminado, el plan detallado de auditora en informtica, adems por rea de revisin deber definir:
187
Tcnicas y herramientas. Estndares, polticas y procedimientos. Cuestionarios.
Tareas Productos terminados Responsables Involucrados Definir los objetivos del proyecto Objetivos y alcances del proyecto LP RAI
Etapas y sus tareas AI LP Plan actualizado AI LP Responsables e involucrados AI LP Productos terminados AI LP Definir etapas del proyecto y su detalle Revisiones (formal e informal) AI LP
Aspectos o elementos por evaluar por cada rea de revisin AI LP Tcnicas AI LP Software AI LP Equipo de cmputo AI LP Definir los elementos por reas de revisin Otros de inters para el auditor AI LP
Polticas y procedimientos por verificar de cuerdo con cada rea que ser auditada AI LP Definicin o actualizacin de polticas por rea Polticas complementarias AI LP
Elaboracin o actualizacin de cuestionarios por rea Cuestionarios por cada rea que ser auditada AI LP Cuestionarios adicionales RAI LP
Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable del rea de informtica; PI = Personal de informtica; RAI = Responsable del rea de Auditora Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en Informtica.
Conforme avanza el proyecto de auditora en informtica es probable que surjan actualizaciones en prioridades, involucrados, requerimientos, etc., que obligan a actualizar el plan de auditora en informtica que en la etapa anterior se estableci el compromiso con el ejecutivo; por lo que es necesario:
1. Primero justificar la actualizacin, 2. Llevar una bitcora de cambios, en donde se registre: El cambio. Motivo del cambio. 188 Responsable de solicitar el cambio. Tareas o fechas que afecta. rea(s) por evaluar afectadas por el cambio. Responsable de aprobar el cambio. Fecha del cambio. Plan actualizado. Otros que el auditor en informtica considere necesarios para la culminacin exitosa del proyecto.
3. Evitar caer en 4 el ciclo de actualizacin-terminacin-actualizacin- terminacin.
Es importante mencionar que en esta etapa es recomendable que se realicen dos planes detallados con orientacin diferente y objetivo comn: el llevar a cabo la administracin del proyecto: 1. Un plan interno, que su propsito principal poder verificar el cumplimiento del proceso metodolgico por parte de los auditores en informtica. Este plan puede hacerse antes de la etapa preliminar o de diagnstico.
2. Plan detallado de auditoria informtica, el cual contiene datos que pretenden ser gua del proyecto de auditora en informtica ya que describen tareas, productos terminados, responsables, involucrados, fechas de revisin, etc.
Tareas Actividades Productos Responsable Involucrados Fechas inicio/ Fecha
Terminados fecha trmino de revisin
4. Etapa de formalizacin.
Esta etapa puede llevarse a cabo al mismo tiempo que la etapa de adecuacin si existen los recursos y los involucrados se encuentran disponibles.
Aqu una vez detectadas las debilidades, fortalezas ms importantes, de haber definido las reas que sern auditadas, y tener todo documentado se busca la aprobacin formal de la alta direccin la cual no debe de prolongarse demasiado ya que en ya se obtuvo en la elaboracin del plan detallado en informtica en la etapa de adecuacin el visto bueno de los usuarios clave y del personal de informtica. 189
Las tareas, productos terminados, responsables e involucrados son:
Tareas Productos terminados Responsables Involucrados Prioridades clasificadas LP RAI Verificar prioridades y cursos de accin rea por auditar verificadas AI/LP RAI
Etapas y sus tareas AI LP Verificar plan y actividades Plan detallado final AI LP
Presentacin formal del proyecto Proyecto revisado de la auditora RAI AD/PU/RI
Aprobacin del proyecto AD/PU/PI RAI/LP Compromiso ejecutivo AD RAI/RI/PU Aprobacin formal del proyecto de auditora en informtica Inicio formal del proyecto LP AD/PU/PI
Entendimiento del proyecto RI LP/AI Aceptacin del proyecto PI/PU LP/AI Presentacin del proyecto a los usuarios de informtica Compromiso para cada una de las reas involucradas PI/PU LP/AI
Fechas de entrevistas LP PI/PU Fechas de visitas LP PI/PU Definir las reas por visitar y concertar citas con el personal que se entrevistar Fechas para la aplicacin de cuestionarios. LP PI/PU
Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable del rea de informtica; PI = Personal de informtica; RAI = Responsable del rea de Auditora Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en Informtica.
En esta etapa es importante sealar cuales son las prioridades, entendindose por prioridad como las acciones que se deben llevar a cabo antes que las dems sugeridas para el proyecto. Esto se debe de justificar por:
Urgencia de mejorar algn hecho que perjudica en alto grado el negocio. Un requerimiento especfico de la alta direccin. Implantacin de algn proceso previamente justificado. Otros.
Adems tomar en cuenta las restricciones, que son los hechos o circunstancias identificables que pueden ocurren o que pueden ocurrir durante el transcurso de la auditora que afecten directa o indirectamente el proyecto. Estas limitaciones o carencias por lo general que no se pueden resolver de inmediato o a lo largo del proyecto. Aqu en esta misma etapa es necesario determinar el 190 alcance del proyecto de tal forma que se defina la cobertura especfica que tendr el proyecto, adems de aclarar qu se realizar que vendran a ser las tareas y etapas y los resultados que seran los productos terminados que se obtienen de cada una de las etapas de la metodologa.
La presentacin formaldel plan de auditora en informtica en una de las tareas ms importante para el lder del proyecto en informtica ya que esto le permitir obtener la aprobacin formal del proyecto por parte de la alta direccin de la empresa y dar paso a la siguiente etapa de la metodologa, por lo que es importante tomar en cuenta algunas actividades primordiales para su aprobacin, como son:
Asegurarse de contar con toda la informacin en un formato de presentacin resumida e inteligible, ya que su principal audiencia ser la alta direccin, los usuarios clave y el responsable de informtica. Revisarla y verificarla con este ltimo. Concertar la cita en fecha y lugar apropiados. Ser fluido, claro y contundente en la presentacin de la informacin. Asegurar el entendimiento de la audiencia de los datos presentados.
Para esto se debe tomar en cuenta consideraciones clave como:
Contar con el soporte documentado de los que se presentar. No concertar la cita para la reunin si tiene sin aclarar dudas o pendientes de tareas anteriores. Hacer del conocimiento a la alta direccin de la importancia de su apoyo para el xito del proyecto conciencia Tratar que los presentes comprendan que forman un equipo de trabajo. En caso de ser necesario buscar el apoyo de los usuarios clave y/o del responsable de informtica. Presentar un resumen de la matriz de riesgos, reas de oportunidad, plan detallado de auditora
5. Etapa de desarrollo.
Est es la etapa ms importante del auditor en informtica, ya que aqu es donde va a ejercer su funcin prctica de acuerdo con los estndares, normas y procedimientos recomendados por las asociaciones profesionales como la AMAI (Asociacin Mexicana de Auditora en Informtica) o el IMCP (Instituto Mexicano de Contadores Pblicos).
191
Es importante la aplicacin de los conocimientos y la experiencia de los auditores para adecuada evaluacin que salvaguarde la integridad y rentabilidad de la informacin, adems de otros recursos de informtica en la empresa.
El auditor en informtica siempre debe trabajar con profesionalismo, entusiasmo y sensibilidad, tica personal, tener una metodologa de trabajo, en la revisin de las reas seleccionadas, de tal forma que logre combatir la resistencia hacia el proceso de revisin que permita el trabajo en equipo, para lograr establecer la se realicen revisiones por parte de la funcin de auditora en informtica de peridica y programada.
En esta etapa el auditor debe de realizar las siguientes tareas:
Tareas Productos terminados Responsables Involucrados Concretar citas Fechas aprobadas o actualizadas AI PI/PU
Verificar tareas, involucrados, etc. Tareas, involucrados, etc., revisado AI PI/PU
Tcnicas clasificadas AI LP Cuestionarios clasificados AI LP Clasificar tcnicas, cuestionarios y herramientas por usar Herramientas clasificadas AI LP
Entrevistas realizadas AI PI/PU Entrevistas documentadas AI AI Efectuar entrevistas Entrevistas analizadas LP/AI RAI
Cuestionarios aplicados AI PI/PU Cuestionarios documentados AI AI Aplicar cuestionarios Anlisis de cuestionarios LP/AI RAI
Visitas realizadas AI RI/PI/PU Comentarios documentados AI AI Efectuar visitas de verificacin Anlisis de comentarios LP/AI RAI
Observaciones (acerca de debilidades o carencia de controles) AI LP reas de oportunidad AI LP Alternativas por cada rea de oportunidad detectada AI LP Recomendaciones (acciones especficas) por alternativa AI LP Responsables de ejecutar cada accin AI LP Plazos de ejecucin por accin AI LP
reas auditadas clasificadas AI LP 192 Informe documentado, almacenado y clasificado AI LP
Revisar el informe por rea Borrados de auditora en informtica revisado LP RAI/AI
Informe preliminar revisado LP PI/PU/AI Informe preliminar corregido AI LP Informe preliminar entregado LP LP Autorizar el borrador por rea Informe preliminar autorizado AD/PI/PU AD/PI/PU
Entrevistas, cuestionarios y vistas pendientes realizados LP/AI PI/PU Efectuar entrevista, cuestionarios y visitas complementarias Informe actualizado con observacin de las reas auditadas AI LP
Informe final revisado con informacin de las reas auditadas AI LP Informe con visto bueno del responsable de la funcin de auditora en informtica RAI LP/AI Informe almacenado en medios magnticos (respaldo) AI AI Documentacin del informe para la alta direccin LP/AI RAI Elaborar informe final Documentacin del informe para responsables de los usuarios de informtica y para responsables del rea de informtica AI LP
Acciones clasificadas por plazos sugeridos LP/AI RAI Elaborar un plan general de acciones sugeridas Costo / beneficio del plan LP/AI RAI
Aprobar el informe y plan de implantacin Informe de auditora en informtica y plan aprobados AD/RI/PU RAI/LP
Informe final presentado a la alta direccin RAI RAI AD/RI/LP Presentacin del plan de auditora en informtica y plan de implantacin Informe presentado a personal usuario y de informtica LP/AI PI/PU
Aprobar informe final Revisin del informe de auditora en informtica AD/RI/PU RAAI/LP/PI Aprobacin del informe de auditora en informtica AD/RI RAI/LP/PU Compromiso ejecutivo AD/RI RAI/PU 193
Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable del rea de informtica; PI = Personal de informtica; RAI = Responsable del rea de Auditora Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en Informtica.
Es importante que para obtener un producto final de calidad y beneficios tangibles para el negocio al final de la etapa de desarrollo, que el auditor en informtica, al revisar las reas requeridas realice las siguientes acciones: Basarse en el plan de auditora en informtica elaborado y aprobado en las etapas anteriores para la secuencia y duracin de su trabajo en esta etapa. No interrumpir la continuidad de las operaciones de la empresa. Utilizar tcnicas y herramientas segn lo demande cada tarea del rea actual. Apoyar su trabajo con polticas y estndares comnmente aceptados. Involucrar a los usuarios y personal de informtica segn lo amerite cada tarea. Utilizar los cuestionarios para cada rea auditada. Aplicar entrevistas de manera profesional y adecuarlas al perfil de cada entrevistado. Respetar las polticas que imperan en el ' medio cuando se realicen visitas a las reas de informtica.
Es conveniente que el auditor realice informes preliminares con la siguiente informacin:
reas de oportunidad para mejorar de inmediato los procesos de negocio apoyados en informtica. Observaciones (debilidades) de los aspectos de informtica auditados. Recomendaciones preliminares para cada una de las observaciones recomendadas. Responsables de ejecutar las recomendaciones. Actualizacin del plan de auditora informtica Revisin detallada de los aspectos que tengan un impacto considerable en la operacin del negocio o que soporten alguna estrategia del negocio. Comunicacin abierta con, los usuarios y el personal de informtica involucrados. Presentar un plan de implantacin de auditora en informtica factible y realista que contemple los siguientes elementos: Debilidades o carencias de control, su problemtica y causas que lo originan. Acciones inmediatas de corto y mediano plazo. 194 Responsable e involucrados en la implantacin de estndares, polticas y procedimientos en cada componente de informtica que as lo requiera. Anlisis costo / beneficio del proyecto de implantacin. Aprobacin formal de los directivos, usuarios y del responsable de informtica.
6. Etapa de implantacin.
En esta etapa es la ms importante para el personal involucrado en la auditora en informtica ya que termina el trabajo del auditor y a ellos les corresponde llevar a cabo las recomendaciones hechas en el informe final de auditora. La labor del auditor estriba en dar seguimiento y apoyo.
Es conveniente hacer mencin que aunque la labor del auditor se menciono que es de seguimiento y apoyo no debe de desatenderse en esta etapa ya que una recomendacin puede no llevarse a cabo por distintas razones de la manera que se indic y provocar que estas no resuelvan las situaciones (debilidades) encontradas en las reas auditadas.
En esta etapa se obtienen los siguientes productos terminados: Tareas Productos terminado Responsables Involucrados Recursos humanos, tecnolgicos y financieros requeridos para el xito de la implantacin sugerida por auditora en informtica RI/PU LP Recursos aprobados AD RI/PU/LP Personal de trabajo para la implantacin RI/PU LP Equipo de trabajo aprobado AD RI/PU/LP Funciones y responsabilidades RI/PU LP Fechas de revisin RI/PU LP Definir requerimiento para el xito del plan de implantacin Resultados esperados RI/PU LP Anlisis costo / beneficio revisado RI/PU LP Anlisis costo / beneficio revisado AD RI/PU/LP
Inicio de la implantacin RI/PU LP
Plan de implantacin revisado segn los resultados de la primera tarea. RI/PU LP/AI Plan de implantacin corregido y actualizado PI AI/PU Desarrollar el plan de implantacin detallado Documentar plan final RI AI/PU 195 Plan final aprobado AD PI/PU/LP
Inicio de los proyectos PI/PU RI Tareas terminadas PI/PU RI Presentacin de implantacin RI AD/RAI/LP Efectuar la implantacin sugerida por auditora en informtica Implantacin aprobada AD/PI/PU RI/RAI/LP
Acciones de seguimiento seleccionadas LP RAI/AI Seguimiento de la implantacin LP AI Revisiones informales LP AI Revisiones formales LP AI Aseguramiento de calidad LP RAI Implantacin exitosa final LP RAI Seguimiento a la implantacin del plan recomendado por la auditora Implantacin aprobada RAI RAI
Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable del rea de informtica; PI = Personal de informtica; RAI = Responsable del rea de Auditora Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en Informtica.
En esta etapa es necesario y conveniente que el auditor en informtica, realice revisiones posteriores a la implantacin que le den la certidumbre de que la empresa va por buen camino, realizando: Visitas rpidas a las reas ms importantes de la funcin de informtica que se evaluaron con el objetivo de tomar las medidas necesarias que aseguren la correcta implantacin de estndares, polticas o procedimientos relativos a informtica.
Fortalezas y debilidades de la metodologa.
Fortalezas.
1. Tener un camino estructurado para llevar a cabo acciones de auditora en informtica. 2. Esta orientada en gran parte a buscar la implementacin de la funcin de auditora en informtica dentro de la empresa buscando la estructura organizacional ms adecuada. 3. Busca mediante la participacin de directivos, usuarios clave y personal de informtica desarrollar conciencia de la importancia de auditora en informtica como prctica permanente. 4. Obtener un informe final que permita detectar las debilidades de la empresa con formalidad y oportunidad para que puedan ser resueltas satisfactoriamente. 5. El personal participante (alta direccin, usuarios clave y personal de informtica) se desarrolla como un equipo de trabajo, para lograr el xito del proyecto.
196 6. Recomienda el respeto a los estndares, polticas y procedimientos establecidos en la empresa. 7. Se tiene identificado plenamente los productos terminados por cada una de las etapas de la metodologa, de tal manera que sabemos perfectamente para que se estn realizando cada una de las tareas. 8. Permite establecer tiempos de duracin de la auditora. 9. Establece prioridades.
Debilidades.
1. Define que es auditora en informtica, pero no define todas las dems auditorias que tienen relacin con la informtica como:
Auditora de sistemas. Auditora administrativa Auditora financiera / contable Etc.
2. Para poder dar inicio al Desarrollo de la auditora en informtica, es necesario antes llevar a cabo la etapa de: diagnstico, justificacin, adecuacin y formalizacin; en las cuales existe una inversin considerable de tiempo. 3. No menciona la forma de interpretar la informacin de los datos obtenidos en el desarrollo de la auditora en informtica a travs de cuestionarios, entrevistas, visitas fsicas a las reas a evaluar, etc. 4. Si la auditora se llevara a cabo por personal externo el desconocimiento de la empresa conlleva a una gran inversin de tiempo. 5. No se habla de llevar a cabo auditorias de cumplimiento. 6. No existe una recomendacin de tiempo para llevar a cabo las auditorias entre una y otra. 7. Manejo de conceptos muy bsicos.
197
Segundo enfoque
El autor Jos Antonio Echenique en su libro titulado Auditora en Informtica, hace mencin del desarrollo que han presentado las empresas a travs del tiempo mediante la utilizacin de la tecnologa informtica para el procesamiento de datos para la generacin de informacin, que es usada para la toma de decisiones y la cual para que realmente pueda ser til debe de ser: confiable, veraz y oportuna.
Las estructuras organizacionales en las empresas tambin ha venido cambiando de tal forma que existe una descentralizacin de equipos aunada a una centralizacin de informacin provoca una gran diversidad de problemas para la toma de decisiones y organizacin de las reas de informtica. Por lo que unos de los problemas ms frecuentes dentro de las reas de informtica es la falta de organizacin que les permita realizar su trabajo de una forma eficiente y eficaz que les permita avanzar al ritmo de las exigencias de la organizacin.
No resulta extrao que existan reas de informtica en donde no se conozca el uso adecuado de las tcnicas y herramientas por parte del personal originado una serie de problemas que provocan el incumplimiento o interrupcin de la funcin informtica; por lo que es necesario establecer los controles preventivos, correctivos y detectivos a travs de un seguimiento por funcin para lograr establecerlos de manera permanente y disminuir la incertidumbre de fallas imprevistos que originan prdida de recursos humanos, materiales y econmicos.
Por lo anterior expuesto, es necesario tomar conciencia de la importancia de la auditora en informtica dentro de las empresas llevada a cabo por personal de la empresa o por asesores externos.
En este estudio el autor divide su revisin en tres partes: 1. Evaluacin de la funcin informtica. 2. Evaluacin de los sistemas. 3. Evaluacin del proceso de datos y de los equipos de cmputo, incluyendo la evaluacin de la seguridad.
La auditora en informtica inicia con una planeacin de la auditora en informtica que debe sealar en forma detallada el alcance y direccin esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasiones modificaciones al plan general, sean justificadas por escrito. La planeacin de la auditora en informtica, se hace de acuerdo a tres puntos de vista:
198
1. Evaluacin administrativa del rea de procesos electrnicos, 2. Evaluacin de los sistemas y procedimientos, 3. Evaluacin de los equipos de cmputo, y da inicio con una investigacin preliminar en donde se debe conocer la informacin sobre:
a) Administracin, qu permita tener una visin general del rea de informtica por medio de observaciones, entrevistas preliminares y solicitudes de documentos para poder definir alcances y objetivos del mismo. Para lo cual se debe de solicitar: Informacin a nivel organizacional. Informacin a nivel del rea de informtica. Recursos materiales y tcnicos. Informacin de los sistemas.
Una vez terminada la planeacin se debe de analizar cul ser el personal participante en donde se recomienda que el grupo de trabajo sea multidisciplinario, cuente con las caractersticas necesarias para llevar a cabo la auditora en informtica; pero tambin se debe de pensar en el personal asignado por la empresa para asesorar en la auditora as como el apoyo de la alta direccin para logra el xito del mismo.
Una vez que se tiene la planeacin de la auditora en informtica y el personal participante es necesario formalizar el trabajo mediante una carta compromiso del auditor dirigida a la empresa para la confirmacin del mismo.
Es importante llevar un control de avance de la auditora que permita cumplir con los procedimientos de control y que permita asegurar que el trabajo se lleva a cabo de acuerdo con el programa de auditora, con los recursos estimados y en el tiempo sealado en la planeacin.
En la evaluacin de la funcin informtica se debe de:
1. Recopilar la informacin organizacional, para determinar si: a. Las responsabilidades en la organizacin estn definidas adecuadamente. b. La estructura organizacional est adecuada a las necesidades. c. El control organizacional es el adecuado. d. Se tienen los objetivos y polticas adecuadas, se encuentran vigentes y estn bien definidas. e. Existe la documentacin de las actividades, funciones y responsabilidades. f. Los puestos se encuentran definidos y sealadas sus responsabilidades.
199
g. El anlisis y descripcin de puestos est de acuerdo con el personal que los ocupa. h. Se cumplen los lineamientos organizacionales. i. El nivel de salarios comparado con el mercado de trabajo j. Los planes de trabajo concuerdan con los objetivos de la empresa. k. Se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operacin o se cuenta con "indispensables". I. Se evalan los planes y se determinan desviaciones.
2. Evaluar la estructura orgnica.
3. Evaluar los recursos humanos.
4. Entrevistar al personal de informtica, que sirve para determinar: a. Grado de cumplimiento de la estructura organizacional administrativa. b. Grado de cumplimiento de las polticas y los procedimientos administrativos. c. Satisfaccin e insatisfaccin. d. Capacitacin. e. Observaciones generales.
5. Conocer la situacin presupuestal y financiera, para conocer: a. Los costos del departamento de informtica, desglosado por reas y controles. b. Presupuesto del departamento de informtica, desglosado por reas. c. Caractersticas de los equipos, nmero de ellos y contratos.
En la evaluacin de los sistemas realiza:
1. Evaluacin de sistemas. 2. Evaluacin de anlisis. 3. evaluacin del diseo lgico del sistema. 4. evaluacin del desarrollo del sistema. 5. Control de proyectos. 6. control y diseo de sistemas y programacin. 7. Instructivos de operacin. 8. Forma de implantacin. 9. Equipo y facilidades de programacin. 10. entrevistas a usuarios.
200
En la evaluacin del proceso de datos y de los equipos de cmputo se revisan: 1. Controles. 2. Orden en el centro de cmputo. 3. Evaluacin de la configuracin del sistema de cmputo. 4. Productividad.
En la evaluacin de la seguridad de revisa: 1. Seguridad lgica y confidencial dad. 2. Seguridad en el personal. 3. Seguridad fsica. 4. Seguros. 5. Seguridad en la utilizacin del equipo. 6. Procedimientos de respaldo en caso de desastre. 7. Condiciones, procedimientos y controles para otorgar soporte a otras instituciones.
Una vez realizadas las evaluaciones se procede a la interpretacin de la informacin que permite realizar las conclusiones de la auditora y presentarla de la siguiente forma: 1. Dando una breve descripcin de la situacin actual en la cual se reflejen los puntos ms importantes.
2. Una descripcin detallada que comprenda: a. Los problemas detectados. b. Posibles causas, problemas y fallas que originaron la situacin presentada. c. Repercusiones que puedan tener los problemas detectados. d. Alternativas de solucin. e. Comentarios y observaciones de la direccin de informtica y de los usuarios sobre las soluciones propuestas. f. Si se opta por alguna alternativa de solucin, cules son sus repercusiones, ventajas y desventajas y el tiempo estimado para efectuar el cambio.
3. Se debe de hacer hincapi en cmo se corregir el problema o se mejorar una determinada situacin, se obtendrn los beneficios, en cunto tiempo y cules son los puntos dbiles.
4. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por medio de conclusiones concretas que sean sencillas (procurando que se entiendan los trminos tcnicos y, si es posible, usar tcnicas audiovisuales).
201
Fortalezas y debilidades de la metodologa.
Fortalezas.
1. Por ser ms prctica y conocer el negocio de una manera ms rpida la inversin de recursos es menos. 2. La clasificacin de los recursos para realizar la auditora en informtica, permite que se pueda realizar por partes. 3. Puede ser realizada por personal de la empresa o por personal externo, ya que no pretende establecer la funcin de auditora en informtica. 4. Existe una definicin de las auditorias, as como la relacin existente con las auditorias en informtica, lo que permite determinar cual de ellas se va a llevar a cabo en cada una de las partes. 5. Proporciona elementos de control de proyectos. 6. Establece un procedimiento para ayudar a la interpretacin de la informacin recolectada durante la evaluacin. 7. Proporciona elementos para la evaluacin de las reas.
Debilidades.
1. No se habla de llevar a cabo auditorias de cumplimiento. 2. No se establecen los productos terminados ni los involucrados por rea.
La globalizacin de la economa y el aumento de volmenes de informacin en las organizaciones tanto a nivel nacional como mundial hace necesario la implementacin e implantacin de tecnologas modernas, que originan algunas ventajas y desventajas, como:
a) una acentuada dependencia hacia los sistemas de informacin que la genera,
b) creacin de reas de oportunidad,
c) aumento considerable a la comisin de delitos informticos por personal externo o interno a la organizacin,
d) generacin de informacin de forma ms eficiente, e) altos costos por compra o desarrollo de software, f) altos costos de inversin inicial...
lo que hace necesario la bsqueda de un mbito adecuado para evitar al mximo las prdidas por las debilidades o amenazas que presenta la organizacin; y es aqu donde la auditora en informtica cobra importancia, ya que con su desarrollo se logra el aseguramiento continuo de que los recursos de informtica operen en un ambiente de seguridad y control eficientes; para lograr proporcionar a los altos directivos de las organizaciones informacin para la toma de decisiones que cumpla con los conceptos bsicos de integridad, totalidad, exactitud, confiabilidad, etc., ya que su mbito de accin se centra, en revisar y evaluar: los procesos de planificacin, inversin en tecnologa, organizacin, los controles generales y de aplicacin en proyectos de automatizacin de procesos crticos, el soporte de las aplicaciones, aprovechamiento de las tecnologas, sus controles especficos; los riesgos inherentes a la tecnologa, tales como, la seguridad de sus recursos, redes, aplicaciones, comunicaciones, instalaciones y otras. 203
Los cambios en el campo de la tecnologa como en la metodologa para realizar auditorias informticas, hacen necesario bibliografa y personal cada vez ms actualizado, en el desarrollo de esta investigacin se podr consultar sobre dos metodologas para la realizacin de las auditorias en informtica en donde cada una tiene sus respectivas fortalezas y debilidades. Es necesario tomar en cuenta que independientemente de la metodologa que se este llevando a cabo en la realizacin de la auditora en informtica, se debe de obtener la autorizacin y el apoyo de los altos directivos que es uno de los pasos que nos llevar a la culminacin de la misma con xito.
Es importante conocer cual es el tipo de seguimiento que se le va a dar a los problemas que se presentan en el rea de informtica para su solucin. El seguimiento puede ser:
1. Seguimiento por excepcin.
Es el que va dirigido meramente a la correccin momentnea y no al establecimiento de controles en funcin de las causas. Un esquema de esto, es como se muestra a continuacin:
Errores en el tiempo
Como se puede apreciar, con un seguimiento por excepcin la cantidad de errores es frecuente y su impacto es elevado. Prcticamente, al no analizar las causas y no establecer los controles, la probabilidad de que un mismo tipo de error se presente de nuevo es alta; y sumada la frecuencia el impacto se vuelve crtico.
2. Seguimiento por funcin.
Aqu el error se analiza, se corrige y se deja establecido un control, tender necesariamente a su eliminacin, o cuando menos, a su aparicin en espacios de tiempo ms aislados. La aparicin repetida en este caso puede obedecer a la misma dinmica de los sistemas. Al cambiar stos, pueden hacer que un procedimiento establecido ya no sea adecuado. El impacto tiende a minimizarse. Grficamente puede visualizarse as: 204
Las debilidades dentro de una organizacin que pueden ser sntomas de la necesidad de llevar a cabo una auditora en informtica pueden ser:
Estas conllevan a la necesidad de planear periodicidad de realizacin de auditorias (cada 6 meses o mnimo una al ao); y a buscar la forma ms adecuada para realizarla, tomando en cuenta lo siguiente:
1. Estableciendo la funcin de auditora en informtica dentro de la estructura organizacional de la empresa buscando que la ubicacin sea la ms adecuada para que no existan nexos que puedan quitarle credibilidad a la funcin. 2. Si la empresa no tiene los suficientes recursos econmicos o de infraestructura para implementar la funcin de auditora en informtica dentro de su estructura organizacional, puede recurrir a la realizacin de auditora por personal externo a la empresa. 3. Sin tener definida la funcin de auditora en informtica dentro de la empresa esta puede llevarse a cabo por personal de la empresa, buscando para su xito el apoyo de los altos directivos de la empresa.
La primera y la tercera se llevan a cabo generalmente en las empresas grandes, y la segunda an teniendo un grupo de auditores dentro de las organizaciones, en ocasiones es conveniente utilizar los servicios de asesores externos:
para contrastar los resultados de los auditores internos con los de los externos, 205
para auditar una materia de gran especializacin, tener una visin desde fuera de la empresa, otros.
En conclusin, hoy en da la empresa pblica o privada que tiene implantado sistemas de informacin, no est conciente de la importancia de establecer revisiones de manera preventiva que permitan que existan prdidas que pueden repercutir en un descontrol organizacional y minar su economa, por lo que deben de considerar necesario el someterse a un control estricto de medicin de eficiencia y eficacia con el objetivo de que stos sistemas de informacin generen informacin confiable veraz y oportuna que realmente pueda ser til en la toma de decisiones. Para esto es necesario establecer la calidad en el software que el American Heritage Dictionary lo define como una caracterstica o atributo. Como atributo de un artculo, la calidad se refiere a caractersticas mensurables, que en el software pueden encontrar dos tipos de calidad: calidad del diseo, que se refiere a las caractersticas que especifican los ingenieros de software para el artculo y calidad de concordancia que es el grado de cumplimiento de las especificaciones de diseo durante su realizacin y es centrado principalmente en la implementacin. Se debe tener claro que en la actualidad para ser competitivos es necesario hacer uso de la tecnologa e implantar sistemas de informacin en las empresas; pero esto no es lo que asegura el xito, ya que si su funcin de informtica es lenta, propensa a errores, inestable y vulnerable no lo va a lograr, por lo que el cumplimiento de estndares de calidad como el ISO 9001 que es el estndar de garanta de calidad que se aplica a la ingeniera de software, contempla 20 requisitos que son: Responsabilidad de la gestin, sistema de calidad, revisin de contrato, control de diseo, control de datos y documentos, compras, control del producto suministrado por el cliente, identificacin y posibilidad de seguimiento del producto, control del proceso, inspeccin y prueba, control de inspeccin, medicin y equipo de pruebas, inspeccin y estado de prueba, control de producto no aceptado, accin correctora y preventiva, tratamiento, almacenamiento, empaquetamiento, preservacin y entrega, control de registros de calidad, auditorias internas de calidad, formacin, servicios y tcnicas estadsticas y implementacin e implantacin de la auditoria informtica en las empresas deben formar parte de las actividades planeadas y programadas de manera continua que logren que la funcin de informtica de la empresa sea lo ms eficiente y eficaz posible. 206 BIBLIOGRAFA
SITUACIN DE LA AUDITORIA PERIODO REAL DE LA AUDITORIA FASE NO INICIADA EN PROCESO TERMINADA INICIADA TERMINADA DIAS REALES UTILIZADOS GRADO DE AVANCE DIAS HOM- BRE EST. EXPLICACIN DE LA VARIACIONES EN RELACIN CON LO PROGRAMADO
Anexo 3
CONTROL DE PROYECTOS
NOMBRE DEL PROYECTO______________________________________________________________PROYECTO N_________ COORDINADOR________________________________________________________________________FECHA________________ (anotar en la primera lnea las fechas estimadas y en la segunda las reales)
N
ACTIVIDADES
RESPONSABLE
ENE
FEB
MAR
ABR
MAY
JUN
JUL
AGO
SEP
OCT
NOV
DIC
Anexo 4 CALENDARIO DE ACTIVIDADES ANLISIS Y PROGRAMACIN
RESPONSABLE
APLICACIN
FECHA HOJA_________DE
% DE AVANCE MES: NM DE ACT. DESCRIPCIN 0 1 0 2 0 3 0 4 0 5 0 6 0 7 0 8 0 9 0 1 0 0 SEMANA 1 SEMANA 2 SEMANA 3 SEMANA 4 SEMANA 5 E R E R E R E R E R E R E R E R E R E R E R E R E R E R E R E R
DIAGRAMA DE FLUJO CODIFICACIN CAPTURA PRUEBAS IMPLANTACIN OPERACIN PROGRAMA A REALIZAR NOMBRE DEL RESPONSABLE FECHA INIC. FECHA FINAL FECHA INIC. FECHA FINAL FECHA INIC. FECHA FINAL FECHA INIC. FECHA FINAL FECHA INIC. FECHA FINAL FECHA IMC. FECHA FINAL
Anexo 8
CONTROL DE PROGRAMACIN
TIEMPO DE PROGRAMACIN GRADO DIFICULTAD DE NOMBRE DEL PROGRAMA COD. DEL PROG. FECHA DE ENTR. EST. REAL
P R C A 0 LECTURA DIAG. FLUJO REVIS. ANALIZ. PRUEBA ESCRITA CODIFI- CACIN CAPTURA COMPI- LACIN REVIS. SUPER. DATOS PRUEB. REVIS. PRUEBA DOCU- MENTO
FECHA REAL DAS AVANCE DURANTE EL MES EN DAS INICIO TERMIN NM. DE PROG
NUM DE COMP NUM DE PRUE
OBSERVACIONES
CDIGO DE ACTIVIDADES
A INTERPRETACIN B DIAGRAMACIN LGICA C CREACIN DE PRUEBAS D PRUEBAS DE ESCRITORIO E CODIFICACIN F CAPTURA G COMPILACIN H CREACIN DE PARALELO 1 DEPURACIN J PRUEBAS EN PARALELO K VERIFIC. DE PRUEBAS L CORRECCIONES M DOCUMENTACIN
FECHA DE INICIO__/__/__ FECHA DE TERMINACIN___/___/___
PROGRAMA NM NOMBRE A B C D E F G H I J K L M GDO. DIF. FECHA TERMIN. PERSONA ASIGNADA
SIGNIFICADO DE LAS CLAVES
A INTERPRETACIN H GENERACIN DE PRUEBAS B DIAGRAMACIN LGICA I DEPURACIN C CREACIN DE PRUEBAS J PRUEBAS D PRUEBAS DE ESCRITORIO K VERIFICACIN DE PRUEBAS E CODIFICACIN L CORRECCIONES F CAPTURA M CORRECCIONES G COMPILACIN
Anexo 14
HOJA DE PLANEACIN DE ACTIVIDADES Y CONTROL DE AVANCE