UNIVERSIDAD DE COLIMA

FACULTAD DE INGENIERA MECNICA Y ELCTRICA

LA AUDITORIA EN LA INFORMTICA




ENSAYO




QUE PARA OBTENER EL GRADO DE:

MAESTRA EN CIENCIAS COMPUTACIONALES




PRESENTA: LORENA CARMINA MORENO JIMNEZ


ASESOR: MC. ANDRS GERARDO FUENTES COVARRUBIAS



COQUIMATLN, COLIMA, ABRIL DE 2003

UNIVERSIDAD DE COLIMA UNIVERSIDAD DE COLIMA UNIVERSIDAD DE COLIMA UNIVERSIDAD DE COLIMA
FACULTAD DE INGENIERA MECNICA Y ELCTRICA

EXPEDIENTE: 510
NUM. 92-5131

MORENO JIMNEZ LORENA CARMINA
AVE. NIOS HROES #427
VILLA DE LVAREZ, COLIMA

Informo a usted que ha sido APROBADO por el H. CONSEJO TCNICO DE LA MAESTRA EN
COMPUTACIN, como tema de titulacin para obtener el grado de MAESTRA EN CIENCIAS
COMPUTACIONALES.

El solicitado por usted bajo el ttulo:

"LA AUDITORIA EN LA INFORMTICA (ENSAYO)"

Desarrollado bajo los siguientes puntos:

1. ANTECEDENTES
2. TERMINOLOGA DE LA AUDITORIA INFORMTICA
3. AUDITORIA INFORMTICA
4. TIPOS DE AUDITORIAS
5. PLANEACIN DE LA AUDITORIA EN INFORMTICA
6. AUDITORIA DE LA FUNCIN DE INFORMTICA
7. EVALUACIN DE SISTEMAS
8. EVALUACIN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO
9. EVALUACIN DE LA SEGURIDAD
10. INFORME FINAL
11. DIFERENTES ENFOQUES DE LA AUDITORIA
12. CONCLUSIONES
BIBLIOGRAFA

Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C.
ANDRS GERARDO FUENTES COVARRUBIAS.

En cada uno de los ejemplares de titulacin que presente para examen, deber aparecer en primer
termino copia del presente oficio.










C.c.p. EXPEDIENTE ALUMNO
RFC7AGFC/laal*

Km 9 Carretera Colima-Coquimatln, Colima, Colima, Mxico, Cp 28400
Tel. 01 (3) 316 1165, Ext. 51451, Ext Fax 51454

H. CONSEJO TCNICO DE POSGRADO EN COMPUTACIN FACULTAD DE
INGENIERA MECNICA Y ELCTRICA
UNIVERSIDAD DE COLIMA


Por medio del presente conducto informo que la C. MORENO JIMNEZ
LORENA CARMINA, termin su perodo de revisin de tesis. El trabajo al cual se
hace mencin fue denominado:

LA AUDITORIA EN LA INFORMTICA (ENSAYO)


Cuyo contenido es el siguiente:

1. ANTECEDENTES
2. TERMINOLOGA DE LA AUDITORIA INFORMTICA
3. AUDITORIA INFORMTICA
4. TIPOS DE AUDITORIAS
5. PLANEACIN DE LA AUDITORIA EN INFORMTICA
6. AUDITORIA DE LA FUNCIN DE INFORMTICA
7. EVALUACIN DE SISTEMAS
8. EVALUACIN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE
COMPUTO
9. EVALUACIN DE LA SEGURIDAD
10. INFORME FINAL
11. DIFERENTES ENFOQUES DE LA AUDITORIA
12. CONCLUSIONES
BIBLIOGRAFA

El cual cumple con los requisitos necesarios para su aprobacin, por lo cual
lo autorizo para su impresin.



C.c.p. Expediente

EXPEDIENTE: 510
FECHA: 05-04-2003
Acta No. :23

MORENO JIMNEZ LORENA CARMINA
AVE. NIOS HROES #427
VILLA DE LVAREZ, COLIMA
TEL: 01-312-3136872

En cumplimiento a lo dispuesto por los artculos 13 y 14 del reglamento de titulacin vigente, al
artculo 40, inciso A del reglamento de estudios de posgrado vigente y al artculo 46 de las normas
complementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingeniera
Mecnica y Elctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Tcnico su tema de
tesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LA
AUDITORIA EN LA INFORMTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos:

1. ANTECEDENTES
2. TERMINOLOGA DE LA AUDITORIA INFORMTICA
3. AUDITORIA INFORMTICA
4. TIPOS DE AUDITORIAS,
5. PLANEACIN DE LA AUDITORIA EN INFORMTICA
6. AUDITORIA DE LA FUNCIN DE INFORMTICA
7. EVALUACIN DE SISTEMAS
8. EVALUACIN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO
9. EVALUACIN DE LA SEGURIDAD
10. INFORME FINAL
11. DIFERENTES ENFOQUES DE LA AUDITORIA
12. CONCLUSIONES
BIBLIOGRAFA

As mismo, hacemos de su conocimiento que de acuerdo con la lnea de investigacin en la cual se
enmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRS GERARDO
FUENTES COVARRUBIAS.

A partir de la fecha de aprobacin tendr como plazo un ao para presentar su examen de grado, en
caso contrario tendr usted derecho a una prorroga nica de seis meses so pena de perder el registro de su
proyecto, lo anterior bajo la consideracin del Consejo Tcnico y la aprobacin de su director de tesis.

Una vez concluidos los tramites de revisin de su documento de tesis e integrado su expediente de
titulacin deber recoger el oficio que acompaara el visto bueno de su director de tesis, los cuales
encabezarn cada uno de los ejemplares de sus tesis.




DEDICATORIA


Agradezco,

a mi familia por el apoyo incondicional y el aliciente que me
proporcionan para seguir adelante, en particular a mi esposo el
Dr. Nicandro Farias Mendoza, que formo parte importante en la
culminacin de mi trabajo.


A la Universidad de Colima por brindarme la oportunidad de
seguir preparndome.


A mis maestros por trasmitir sus conocimientos.


Al maestro Andrs Gerardo Fuentes Covarrubias por
haberme brindado la oportunidad de trabajar con l en el
desarrollo del trabajo.

CONTENIDO

INTRODUCCIN

CAPITULO 1 ANTECEDENTES

CAPITULO 2 TERMINOLOGA DE LA AUDITORIA
INFORMTICA
2.1 Informtica 9
2.2 Auditoria 12
2.3 Tareas principales de la auditoria 13
2.4 Auditoria en informtica 13

CAPITULO 3 AUDITORIA INFORMTICA
3.1 Importancia de la auditoria informtica 15
3.2 Formas de llevar a cabo una auditoria informtica 15
3.3 Sntomas de necesidad de una auditora informtica 16
3.4 Herramientas y tcnicas para la auditora informtica 18
3.4.1 Cuestionarios 18
3.4.2 Entrevistas 18
3.4.3 Checklist 19
3.4.4 Trazas y/o huellas 22
3.4.5 Software de interrogacin 23

CAPITULO 4 TIPOS DE AUDITORIAS

4.1. Concepto de auditora en informtica 25
4.2. Auditoria interna y auditora contable/financiera 27
4.2.1 Definicin de control interno 27
4.2.2 Objetivos del control interno 27
4.2.3 Clases de controles internos 31
4.2.3.1 Atendiendo al momento que se acta 31
4.2.3.2 Controles de supervisin 31
4.3. Auditoria administrativa 37
4.4. Concepto de auditora con informtica 38
4.5 Concepto de auditora de programas 44
4.6 Concepto de auditoria de seguridad 45
4.6.1 Consideraciones inmediatas 45
4.6.2 Consideraciones para elaborar un sistema
de seguridad integral 49
4.6.3 Etapas para implementar un sistema
de seguridad 50
4.6.4 Etapas para implementar un sistema de
seguridad en marcha 51
4.6.5 Beneficios de un sistema de seguridad 51
CAPITULO 5 PLANEACIN DE LA AUDITORIA EN INFORMTICA

5.1 Planeacin de la auditora en informtica 52
5.1.1 Investigacin preliminar 53
5.1.2 Personal participante 56

CAPITULO 6 AUDITORIA DE LA FUNCIN DE INFORMTICA

6.1 Recopilacin de la informacin organizacional 58
6.2 Evaluacin de la estructura orgnica 59
6.3 Evaluacin de los recursos humanos 73
6.4 Entrevistas con el personal de informtica 79
6.5 Situacin presupuestal y financiera 80

CAPITULO 7 EVALUACIN DE SISTEMAS

7.1 Evaluacin de sistemas 84
7.2 Evaluacin del anlisis 86
7.3 Evaluacin del diseo lgico del sistema 88
7.4 Evaluacin del desarrollo del sistema 93
7.5 Control de proyectos 94
7.6 Control de diseo de sistemas de informacin 96
7.7 Instructivos de operacin 99
7.8 Forma de implantacin 100
7.9 Equipo y facilidades de programacin 100
7.10 Entrevistas a usuarios 100

CAPITULO 8 EVALUACIN DEL PROCESO DE DATOS Y DE
LOS EQUIPOS DE COMPUTO

8.1 Controles 104
8.1.1 Controles de los datos fuente y manejo
de cifras de control 104
8.1.2 Control de operacin 107
8.1.3 Controles de salida 112
8.1.4 Control de asignacin de trabajo 112
8.1.5 Control de medios de almacenamiento masivos 114
8.1.6 Control de mantenimiento 117
8.2 Orden en el centro de cmputo 124
8.3 Evaluacin de la configuracin del sistema de cmputo 125
8.4 Productividad 126

CAPITULO 9 EVALUACIN DE LA SEGURIDAD

9.1 Seguridad lgica y confidencialidad 128
9.2 Seguridad en el personal 137
9.3 Seguridad fsica 137
9.4 Seguros 144
9.5 Seguridad en la utilizacin de equipo 146
9.6 Procedimiento de respaldo en caso de desastre 150
9.7 Condiciones, procedimientos y controles para otorgar
soporte a otras instituciones 155

CAPITULO 10 INFORME FINAL
10.1 Tcnicas para la interpretacin de la informacin 156
10.1.1 Anlisis crtico de los hechos 156
10.1.2 Metodologa para obtener el grado de madurez
del sistema 157
10.1.3 Uso de diagramas 158
10.2 Evaluacin de los sistemas 159
10.3 Evaluacin de los sistemas de informacin 163
10.4 Controles 165
10.5 Confeccin y redaccin del informe final 167

CAPITULO 11 DIFERENTES ENFOQUES DE LA AUDITORIA
11.1 Introduccin 170

CAPITULO 12 CONCLUSIONES 202

BIBLIOGRAFA 206

ANEXOS 207

1

Introduccin

A finales del siglo XX, los Sistemas Informticos se han constituido en las
herramientas ms poderosas para materializar uno de los conceptos ms vitales y
necesarios para cualquier organizacin empresarial, los Sistemas de Informacin
de la empresa.

La Informtica hoy, est subsumida en la gestin integral de la empresa, y
por eso las normas y estndares propiamente informticos deben estar, por lo
tanto, sometidos a los generales de la misma. En consecuencia, las
organizaciones informticas forman parte de lo que se ha denominado el
"management" o gestin de la empresa. Cabe aclarar que la Informtica no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide
por s misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoria Informtica.

El trmino de Auditora se ha empleado incorrectamente con frecuencia ya
que se ha considerado, como una evaluacin cuyo nico fin es detectar errores y
sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como
sinnimo de que, en dicha entidad, antes de, realizarse la auditora, ya se haban
detectado fallas.

El concepto de auditora es mucho ms que esto.

La palabra auditora proviene del latn auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de or.

Por otra parte, el diccionario Espaol Sopena lo define como: Revisor de
Cuentas colegiado. En un principio esta definicin carece de la explicacin del
objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

Si consultamos el Boletn de Normas de auditora del Instituto mexicano de
contadores nos dice: " La auditora no es una actividad meramente mecnica que
implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevado
a cabo son de carcter indudable."

De todo esto sacamos como deduccin que la auditora es un examen
crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad
auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una
seccin o de un organismo.

El auditor informtico ha de velar por la correcta utilizacin de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
Sistema de Informacin. Claro est, que para la realizacin de una auditora
informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya
que una Universidad, un Ministerio o un Hospital son tan empresas como una
2
Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar
sus "negocios" de forma rpida y eficiente con el fin de obtener beneficios
econmicos y reduccin de costos.

Por eso, al igual que los dems rganos de la empresa (Balances y
Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn
sometidos al control correspondiente, o al menos debera estarlo. La importancia
de llevar un control de esta herramienta se puede deducir de varios aspectos. He
aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en
blancos apetecibles no solo para el espionaje, sino para la delincuencia y
el terrorismo. En este caso interviene la Auditora Informtica de
Seguridad.

Las computadoras creadas para procesar y difundir resultados o
informacin elaborada pueden producir resultados o informacin errnea
si dichos datos son, a su vez, errneos. Este concepto obvio es a veces
olvidado por las mismas empresas que terminan perdiendo de vista la
naturaleza y calidad de los datos de entrada a sus Sistemas
Informticos, con la posibilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes. En este caso interviene la
Auditora Informtica de Datos.

Un Sistema Informtico mal diseado puede convertirse en una
herramienta peligrosa para la empresa: como las mquinas obedecen
ciegamente a las rdenes recibidas y la modelizacin de la empresa est
determinada por las computadoras que materializan los Sistemas de
Informacin, la gestin y la organizacin de la empresa no puede
depender de un Software y Hardware mal diseados. Estos son solo
algunos de los varios inconvenientes que puede presentar un Sistema
Informtico, por eso, la necesidad de la Auditora de Sistemas.
3

1
__________________________________________________________________


Antecedentes


La informacin es inherente a la existencia de las personas y de las
sociedades. Permite conocer la realidad, interactuar con el medio fsico, apoyar en
la toma de decisiones, y evaluar las acciones de individuos y grupos el
aprovechamiento de la informacin propicia la mejora de los niveles de bienestar
y permite aumentar la productividad y competitividad de las naciones.
El importante aporte de la informacin se ha visto acrecentado por la
posibilidad que ha trado consigo la informtica, surgida de la convergencia
tecnolgica de la computacin, la microelectrnica y las telecomunicaciones, para
producir informacin en grandes volmenes, y para consultarla y transmitirla a
travs de enormes distancias.
De hecho, el mundo de fin de siglo XX esta inmerso en una nueva
Revolucin tecnolgica basada en la informtica. Esta encuentra su principal
impulso en el acceso expedito y en la capacidad de procesamiento de informacin
sobre prcticamente todos los temas y sectores. La nueva Revolucin tecnolgica
ha contribuido a que culturas y sociedades se transformen aceleradamente, tanto
econmica como social y polticamente, con el objetivo fundamental de alcanzar la
plenitud de sus potencialidades.

En el mundo, hoy la informtica es de carcter estratgico sus aplicaciones,
ya han afectado prcticamente todas las actividades humanas de la manera
siguiente:

permitiendo la comunicacin instantnea de conocimiento a distancia.
(por ejemplo permitir integrar grupos de personas que radiquen en
distintos sitios, con afinidades o necesidades especifica, para resolver
problemas que les son comunes, generando los que se denomina
inteligencia colectiva, etc..)
ampliando las capacidades intelectuales del hombre.
estableciendo al conocimiento como factor productivo.
facilitando la generacin de nuevas tecnologas y la automatizacin de
procesos.
permitiendo la reduccin de tiempos y costos de produccin.
4
impulsando la aparicin de nuevos productos.
propiciando nuevos servicios y de mejor calidad. (en el sector publico,
algunos, como los de salud, enseanza y seguridad social prestndose
en mayor escala y de manera mas eficaz. las computadoras y las
telecomunicaciones pueden coadyuvar en el suministro de estos
servicios a comunidades marginadas, etc... todo esto se traduce a
beneficios tangibles para la poblacin.)
generando nuevos empleos, principalmente en los servicios
(mantenimiento, instalacin y reparacin de equipo, capacitacin, etc...)
modificando la composicin y estructuras de los sectores productivos. (se
efientizan estructuras, se redefinen responsabilidades de los directivos y
trabajadores, etc...)
da lugar a la nocin del mundo como aldea global. (ya que los avances
tecnolgicos que se perfilan, hacen posible la transformacin de los
servicios para acercarlos a las necesidades particulares de las personas.
(por ejemplo, la conexin a redes de computadoras nacionales e
internacionales.)

A estos efectos se estn sumando transformaciones igualmente
importantes, en el mbito social, al cambiar la manera en que se llevan a cabo
innumerables actividades cotidianas.
Por la magnitud de sus efectos, esta Revolucin tecnolgica es comparable
a dos importantes acontecimientos histricos de desarrollo tecnolgico estratgico:

Imprenta (siglo XV)
permiti una mayor comunicacin de ideas a distancia en forma
impresa.
impulso la generacin del conocimiento.
propicio el surgimiento de la escritura y la lectura como habilidad
social.
motivo la evolucin cultural, social, poltica y econmica.

Revolucin Industrial (siglo XVIII)

Incremento capacidades productivas y la disponibilidad de
satisfactores.
Amplio opciones de empleo y de organizacin productiva.
Causo desplazamiento del campo a la ciudad.
Motivo desarrollo heterogneo entre las naciones redefiniendo la
arquitectura del mundo.

En conclusin las sociedades que han incorporado la informtica a su forma
de vida cuentan con una ventaja econmica y social invaluable en el contexto de
la globalizacin debido a ello, mltiples naciones estn enfocando sus esfuerzos a
disear polticas y estrategias en informtica.


5
El mundo no puede sustraerse de este contexto: los futuros niveles de
bienestar y la viabilidad competitiva, dependen en gran medida de una estrategia
informtica que permita aprovechar el potencial que representa esta tecnologa,
haciendo de ella un instrumento eficaz que sirva para resolver problemas y para
enfrentar con optimismo renovado los retos que el presente y el futuro presenten,
por lo que es necesario en definitiva, para obtener un buen aprovechamiento evitar
que por una falta de estndares y metodologas, y por una falta de formacin y
cultura generalizada, sobre todo en los aspectos de control y de seguridad
informtica, a pesar de los grandes adelantos tecnolgicos, se produzca en las
reas de informtica islotes de mecanizacin y de procesos manuales difciles de
controlar y caros de mantener por una falta de asimilacin de las nuevas
tecnologas, por una infrautilizacin de los equipos informticos, por un
descontento generalizado de los usuarios, por una obsolescencia de las
aplicaciones informticas actuales, por una falta de planificacin de los Sistemas
de Informacin, por falta de seguridad fsica y lgica y por soluciones planteadas
parcialmente que, todo esto puede ser resueltos mediante la auditora en
Informtica que es vlida para cualquier tamao de empresa y que tenindola
como un ejercicio prctico y formal, brindar a sus ejecutantes, as como a los
negocios, un sentimiento de satisfaccin justificado por el entendimiento y
compromiso que implica asegurar la utilizacin correcta de los recursos de
informtica para lograr los objetivos de la organizacin.
Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo que
se relaciona con el hecho de que cualquier organizacin desea mantener sus
activos en las mejores condiciones posibles y salvaguardar su integridad.
La funcin de del auditor en informtica no es fungir como capataz o polica
del negocio, como tantas veces se ha planteado en forma sarcstica o
costumbrista en las organizaciones. Este profesionista se orienta a funcionar como
un punto de control y confianza para la alta direccin, adems de que se busca ser
un facilitador de soluciones.
Por analoga el auditor se asemeja al mdico que evala al paciente y le
recomienda el tratamiento idneo para estar en ptimas condiciones de salud.
Segn la situacin del enfermo, recomendar tratamientos ligeros o fuertes y
estrictos.
Lo importante es que el paciente sepa que puede mejorar su salud. Esa es
la orientacin del auditor en informtica: conducir a la empresa a la bsqueda
permanente de la "salud" de los recursos de informtica y de aquellos elementos
que se relacionan con ella.
No hay que pensar que este proceso cambiar la cultura organizacional de
la noche a la maana, los mtodos de trabajo, la mala calidad, ni la
improductividad en las reas relacionadas con la informtica; es un elemento
estratgico directo que apoya la eliminacin de cada una de las debilidades
mencionadas. Sin embargo ha de coexistir con el personal responsable y
profesional, as como con directores ya accionistas comprometidos con la
productividad, calidad y otros factores recomendados para ser empresas de clase
mundial.
Se espera que cada auditor sea un profesional, un experto, pero sobre todo
que sea un ser sensible, humano, que entienda el contesto real del negocio. Su
6
principal objetivo es conferir la dimensin justa a cada problemtica, convirtindola
en un rea de oportunidad y orientndola hacia la solucin del negocio.
En los aos cuarenta empezaron a presentarse resultados relevantes en el
campo de la computacin, a raz de los sistemas de apoyo para estrategias
militares; posteriormente se increment el uso de las computadoras y sus
aplicaciones y se diversific el apoyo a otros sectores de la sociedad: educacin,
salud, industria, poltica, banca, aeronutica, comercio, etc.
En aquellos aos la seguridad y control de ese medio se limitaba a
proporcionar custodia fsica a los equipos y a permitir la utilizacin de los mismos
al personal altamente calificado (no exista un gran nmero de usuarios, ya fueran
tcnicos o administrativos).
En el presente, la informtica se ha extendido a todas las ramas de la
sociedad, es decir, resulta factible controlar un vuelo espacial por medio de una
computadora, as como seleccionar las compras del hogar en una computadora
personal con acceso a internet, por ejemplo.
Esta rapidez en el crecimiento de la informtica permite deducir que los
beneficios se han incrementado con la misma velocidad, algunos con mediciones
tangible -como reduccin de costos e incremento porcentual en ventas- y otros
con aspectos intangibles -como mejora en la imagen o satisfaccin del cliente-,
pero ambos con la misma importancia para seguir impulsando la investigacin y
actualizacin constante de la tecnologa.
La idea de que se obtienen mayores beneficios que antes no se halla muy
lejos de la realidad; no obstante, tambin es vlido afirmar que los costos han sido
altos y en muchas ocasiones han rebasado los lmites esperados, ocasionando
grandes prdidas y decepciones en los negocios.
Las empresas y organismos interesados en que la informtica contine
creciendo para beneficio de la humanidad (educacin, productividad, calidad,
ecologa, etc.) desean que este incremento se controle y oriente de manera
profesional: se debe obtener el resultado planeado y esperado en cada inversin
de esta rama.
Asegurar que las inversiones y proyectos inherentes a la funcin de
informtica sean justificados y brinden los resultados esperados es una
responsabilidad de quien administre dicha funcin y, de igual manera, es
responsabilidad de la direccin no aprobar proyectos que no aseguren la
rentabilidad de la inversin.
Con el paso de los aos la informtica y los elementos tecnolgicos que la
rodean han creado necesidades en cada sector social y se han tornado en un
requerimiento permanente para alcanzar soluciones.
El incremento persistente de las expectativas y necesidades relacionadas
con la informtica, al igual que la actualizacin continua de los elementos que
componen la tecnologa de este campo, obligan a las entidades que la aplican a
disponer de controles, polticas y procedimientos que aseguren la alta direccin de
los recursos humanos, materiales y financieros involucrados para que se protejan
adecuadamente y se oriente a la rentabilidad y competitividad del negocio.
Si se pregunta por qu preocuparse de cuidar esa caja etiquetada con el
nombre de informtica, y la respuesta que brinde a cualquiera de las siguientes
preguntas es negativa, le convendra reafirmar o considerar la necesidad de
7
asumir la responsabilidad del control y otorgamiento de seguridad permanente a
los recursos de informtica?
Los usuarios y la alta direccin conocen la situacin actual de la funcin
de informtica en la empresa (organizacin, polticas, servicios, etc.)?
Se aprueba formal y oportunamente el costo / beneficio de cada proyecto
relacionado en forma directa con la informtica?
La informtica apoya las reas crticas del negocio?
El responsable de la informtica conoce los requerimientos actuales y
futuros del negocio que necesitan apoyo de los servicios y productos de su
rea ?
Cada uno de los elementos del negocio conoce las polticas y
procedimientos inherentes al control y seguridad de la tecnologa
informtica?
Existen dichas polticas y procedimientos de manera formal?
Hay un plan de seguridad en la informtica?
Se ha calculado el alcance e impacto de la informtica en la empresa?
Hay un plan estratgico de informtica alineado al negocio?
Existen responsables que evalen formal e imparcialmente la funcin de
informtica?
Se cuenta con un control formal de cada proyecto relativo al rea?
Es importante para usted la informtica?
Evala peridica y formalmente dicha funcin de la informtica?
Auditan slo sistemas de informacin y no otras reas de la informacin?

Cada una de las preguntas encierra una importancia especfica para el buen
funcionamiento informtico de cualquier negocio; estn interrelacionadas y la
negacin de alguna es una pequea fuga de gas que, con el tiempo y un pequeo
chispazo, puede ocasionar graves daos a los negocios, ya sean fraudes,
proyectos cancelados con alto porcentaje de costos no recuperables, rechazo de
los servicios de informtica por los usuarios clave del negocio, improductividad y
baja calidad de los recursos de informtica, planes de informtica no orientados a
las metas y estrategias del negocio, piratera de software, fuga de informacin
hacia la competencia o proveedores, entre otros daos.
La improductividad, el mal servicio y la carencia de soluciones totales de la
funcin informtica fueron, son y pueden continuar siendo mal de muchas
organizaciones. El problema real radica en que los proyectos prioritarios hacen
gala del apoyo que obtienen de la informtica; entonces, por qu no cuidarla?
Algunos de los problemas por las debilidades o fallas de la informtica son:
Debilidades en la planeacin del negocio al no involucrar la informtica
generan inconsistencias.
Resultados negativos (improductividad, duplicidad de funciones, etc.) en el
desarrollo, operacin y mantenimiento de sistemas de informacin.
Falta de actualizacin del personal de informtica y tcnico donde se
encuentran instalados los sistemas y las soluciones del negocio.
Mnimo o nulo involucramiento de los usuarios en el desarrollo e
implantacin de soluciones de informtica.
Capacitacin deficiente en el usos de los sistemas de informacin, el
8
software (base de datos, procesadores de palabras, hojas de clculo,
graficadores, etc.) y el hardware (equipos de cmputo, impresoras y otros
perifricos, etc.).
Administracin de proyectos que no es formal ni completa (no se alinea a
los objetivos del negocio)
Carencia de un proceso de anlisis costo / beneficio formal previo al
arranque de cada proyecto de informtica.
Metodologas de planeacin y desarrollo de sistemas informales no
estandarizadas y en muchos casos inexistentes.
Uso y entendimiento mnimo o inexistente de tcnicas formales para el
desempeo de funciones en las reas de informtica:
Anlisis y diseo de sistemas de informacin
Entrevistas a usuarios operativos y ejecutivos
Cuestionarios
Modelacin de procesos
Modelacin de datos
Costo / beneficio, etctera.
Control de proyectos.
Trabajo en equipo de desempeo.
Involucramiento mnimo o informal de la alta direccin en los proyectos de
informtica.
Proyectos de auditora o evaluacin de informtica espordicos e
informales y en muchos casos inexistente.
Otros.
9
2
__________________________________________________________________



Terminologa de la auditora en
informtica



2.1 Informtica

La informtica se desarrolla con base en normas, procedimientos y tcnicas
definidas por institutos establecidos a nivel nacional e internacional.
La informtica es el campo que se encarga del estudio y aplicacin prctica
de la tecnologa, mtodos, tcnicas y herramientas relacionados con las
computadoras y el manejo de informacin por medios electrnicos, el cual
comprende las reas de la tecnologa de informacin orientadas al buen uso y
aprovechamiento de los recursos computacionales para asegurar que la
informacin de las organizaciones fluya(entidades internas y externas de los
negocios) de manera oportuna y veraz; adems es el proceso metodolgico que
se desarrolla de manera permanente en las organizaciones para el anlisis,
evaluacin, seleccin, implantacin y actualizacin de los recursos humanos
(conocimientos, habilidades, normas, etc), tecnolgicos (hardware, software, etc.)
materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones)
encaminados al manejo de la informacin, buscando que no se pierdan los
propsitos confiabilidad, oportunidad, integridad y veracidad entre otros
propsitos.

Hardware se refiere a los componentes fsicos y tangibles de las
computadoras, generalmente clasificados en cuatro grandes ramas:
computadoras personales
Redes (locales, abiertas, etc.)
Minicomputadoras
Supercomputadoras (mainframes)

Software implica la parte no fsica de las computadoras. Esto significa que
es la porcin intangible de los equipos de cmputo, es decir, programas con
10
orientaciones especficas para la administracin de la informtica y el uso eficiente
de los recursos de cmputo. Su clasificacin se puede resumir en los siguientes
trminos:
Software de aplicaciones (sistemas de informacin)
Administrativos.
Financieros.
De manufactura.
Otros.
Software de paquetes computacionales (paquetera)
Hojas electrnicas.
Procesadores de palabras.
Otros.
Software de programacin
Lenguajes de tercera generacin
Lenguajes de cuarta generacin Software de sistemas operativos
Para computadoras personales.
Para minicomputadoras.
Para supercomputadoras.
Productos CASE (ComputerAided Software Enaineering)
Para planeacin de sistemas de informacin.
Para anlisis de sistemas de informacin.
Para diseo de sistemas de informacin.
Para todo ciclo de desarrollo e implantacin de sistemas de informacin
(CDISI).
Para Propsitos especficos
Arquitectura.
Auditora.
Ingeniera.
Medicina.
Otras ciencias.

Sistemas de informacin: Son el conjunto de mdulos computacionales o
manuales organizados e interrelacionados de manera formal para la
administracin y uso eficiente de los recursos (humanos, materiales, financieros,
tecnolgicos, etc.) de un rea especfica de la empresa (manufactura,
administracin, direccin, etc.), con la finalidad de representar los procesos reales
del negocio y orientar los procedimientos, polticas y funciones inherentes para
lograr las metas y objetivos del negocio de forma eficiente.
Los sistemas de informacin pueden orientarse al apoyo de los siguientes
aspectos:
- Niveles operativos del negocio
- Niveles tcticos del negocio
- Niveles estratgicos del negocio

Sistemas de informacin estratgica (SIE): Son aquellos que de manera
permanente proporcionan a la alta direccin una serie de parmetros y acciones
encaminadas a la toma de decisiones que apoyarn al negocio en el seguimiento
11
de la rentabilidad y competitividad respecto a la competencia.

Metodologa: Es un conjunto de etapas (fases o mdulos) formalmente
estructurados, de manera que brinden a los interesados los siguientes parmetros
de accin en el desarrollo de sus proyectos:
Plan general y detallado.
Tareas y acciones.
Tiempos.
Aseguramiento de calidad.
Involucrados.
Etapas (fases o mdulos).
Revisiones de avance.
Recursos requeridos.
Otros.
Una buena metodologa debe responder a los siguientes cuestionamientos:
qu hacer?, Dnde debo hacerlo?,cmo plantearlos?, por qu aprobarlo?,
cundo revisarlo?, cundo empezarlo?, quin debe hacerlo?, por qu debo
hacerlo?, cmo aprobarlo?, quines deben comprometerse?, por qu
revisarlo?, cundo terminarlo?, cmo justificarlo?, etctera.

Tcnicas: Es el conjunto de procedimientos y pasos ordenados que se usan
con el desarrollo de un proyecto con el propsito de finalizar las etapas, fases o
mdulos definidos en el proceso metodolgico.
Algunas de las tcnicas generalmente aceptadas son:
Anlisis estructurado
Diseo estructurado
Grficas de Pert
Grficas de Gantt
Documentacin
Programacin estructurada
Modulacin de datos y procesos
Entrevistas
Otras

Las tcnicas son el conjunto de pasos ordenados lgicamente para
apoyarse en la terminacin (cmo hacerlo) de las acciones o tareas estimadas en
el proyecto emanado de la metodologa.

Herramientas: Es el conjunto de elementos fsicos utilizados para llevar a
cabo las acciones y pasos definidos en la tcnica. Antes del auge de las
computadoras, as como de otros elementos tecnolgicos relacionados con la
ingeniera, arquitectura, etc., dichas herramientas eran simples mquinas o
utensilios manuales que apoyaban el desarrollo de las tareas de cada uno de los
proyectos.

Herramientas de productividad: Ayudan a optimizar el tiempo de los
recursos en el desarrollo de un proyecto; as mismo, se encaminan a proporcionar
12
resultados de alta calidad para apoyar el logro de las actividades administrativas
relacionadas con procesos de informacin, por ejemplo;
Procesadores de palabras (documentacin, entrevistas y cuestionarios
entre otros)
Diagramadores (diagramas de flujo, diagramas organizacionales, etc)
Graficadores (estadsticas, estimacin de actividades en tiempo, costos,
etctera)
Productos CASE (modelacin de datos, modelacin de procesos,
validacin de datos y procesos, generadores de diccionarios de datos,
por citar algunos casos)
Impresoras (lser, por ejemplo)
Computadoras personales
Otros.
Las herramientas de productividad no se asocian necesariamente con
inversiones elevadas en la compra de hardware y software especializado; se
relacionan con los recursos mecnicos o automatizados que apoyan al personal
en la obtencin de productos de calidad en niveles de productividad aceptados por
los lderes de proyectos, o definidos por los estndares de trabajo del negocio.


2.2 Auditoria

Con frecuencia la palabra auditoria se ha empleado incorrectamente y se
ha considerado como una valuacin cuyo nico fin es detectar errores y sealar
fallas; por eso se ha llegado a acuar la frase "tiene auditoria" como sinnimo de
que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se esta
haciendo la auditoria. El concepto de auditoria es ms amplio: no slo detecta
errores, sino que es un examen crtico que se realiza con objeto de evaluar la
eficiencia y eficacia de una seccin o de un organismo.
La palabra auditora viene del latn auditorius, y de sta proviene auditor,
que tiene la virtud de or, y el diccionario lo define como "revisor de cuentas
auditor". El auditor tiene la virtud de or y revisar cuentas, pero debe estar
encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia
con que se est operando para que, por medio del sealamiento de recursos
alternativos de accin, se tome decisiones que permitan corregir los errores, en
caso de que existan, o bien mejorar la forma de actuacin.
Si consultamos nuevamente el diccionario encontramos que eficacia es:
"virtud, actividad, fuerza, para poder obrar" mientras que eficiencia es: "virtud y
facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr
lo planeado con los menores recursos posibles, mientras que eficacia es lograr los
objetivos.
El Boletn "C" de Normas de Auditoria del Instituto Mexicano de Contadores
nos dice.
"La auditoria no es una actividad meramente mecnica que implique la
aplicacin de ciertos procedimientos cuyos resultados, una vez llevados a cabo,
son de carcter indudable. La auditora requiere el ejercicio de un juicio
profesional, slido y maduro, para juzgar los procedimientos que debe de seguir y
13
estimar los resultados obtenidos".
As como existen normas y procedimientos especficos para la realizacin
de auditorias contables, debe haber tambin normas y procedimientos para la
realizacin de auditorias en informtica como parte de una profesin . Pueden
estar basadas en las experiencias de otras profesiones pero con algunas
caractersticas propias y siempre deteccin de errores, y adems la auditora debe
evaluar para mejorar lo existente, corregir errores y proponer alternativas de
solucin.


2.3 Tareas principales de la auditora

Estudiar y actualizar permanentemente las reas susceptibles de
revisin.
Apegarse a las tareas que desempeen las normas, polticas,
procedimientos y tcnicas de auditora establecidas por organismos
generalmente aceptados a nivel nacional e internacional.
Evaluacin y verificacin de las reas requeridas por la alta direccin o
responsables directos del negocio.
Elaboracin del informe de auditora (debilidades y recomendaciones).
Otras recomendadas para el desempeo eficiente de la auditora.


2.4 Auditora en informtica

La auditora en informtica se desarrolla en funcin de normas,
procedimientos y tcnicas definidas por institutos establecidos a nivel nacional e
internacional; por ello, nada ms se sealarn algunos aspectos bsicos para su
entendimiento.
As, la auditora en informtica es:
a) Un proceso formal ejecutado por especialistas del rea de auditora y de
informtica; se orienta a la verificacin y aseguramiento para que las
polticas y procedimientos en la organizacin se realicen de una manera
oportuna y eficiente.
b) Las actividades ejecutadas por profesionales del rea de informtica y de
auditora encaminadas a evaluar el grado de cumplimiento de polticas,
controles y procedimientos correspondientes al uso de los recursos de
informtica por el personal de la empresa (usuarios, informtica, alta
direccin, etc.).Dicha evaluacin deber ser la pauta para la entrega del
informe de auditora en informtica, el cual debe contener las
observaciones, recomendaciones y reas de oportunidad para el
mejoramiento y optimizacin permanente de la tecnologa de informtica
en el negocio.
c) El conjunto de acciones que realiza el personal especializado en las
reas de auditora y de informtica para el aseguramiento continuo de
que los recursos de informtica operen en un ambiente de seguridad y
control eficientes, con la finalidad de proporcionar a la alta direccin o
14
niveles ejecutivos la certeza de que la informacin que circula por el
rea se maneja con los conceptos bsicos de integridad, totalidad,
exactitud, confiabilidad, etctera.
d) Proceso metodolgico que tiene el propsito principal de evaluar los
recursos (humanos, materiales, financieros, tecnolgicos, etc.)
relacionados con la funcin de informtica para garantizar al negocio
que dicho conjunto opere con un criterio de integracin y desempeo de
niveles altamente satisfactorios, para que a su vez apoyen la
productividad y rentabilidad de la organizacin.

15

3
__________________________________________________________________



Auditora informtica


3.1 La importancia de la auditora en informtica

La tecnologa de informtica, traducida en hardware, software, sistemas de
informacin, investigacin tecnolgica, redes locales, base de datos, ingeniera de
software, telecomunicaciones, servicios y organizacin de informtica, es una
herramienta estratgica que brinda rentabilidad y ventajas competitivas a los
negocios frente a sus similares en el mercado, pero puede originar costos y
desventajas si no es bien administrada por el personal encargado.
Para darse cuenta si se est administrando de manera correcta la funcin
de la informtica es necesario que se evale dicha funcin mediante evaluaciones
oportunas y completas por personal calificado consultores externos, auditores en
informtica o evaluaciones peridicas realizadas por el mismo personal de
informtica, entre otras estrategias.


3.2 Formas de llevar a cabo una auditoria en informtica

La auditora interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna existe por expresa decisin de
la empresa, o sea, que puede optar por su disolucin en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la
empresa auditada; es siempre remunerada. Se presupone una mayor objetividad
que en la auditora Interna, debido al mayor distanciamiento entre auditores y
auditados.
La auditora en informtica interna cuenta con algunas ventajas adicionales
muy importantes respecto de la auditora externa, las cuales no son tan
perceptibles como en las auditorias convencionales. La auditora interna tiene la
ventaja de que puede actuar peridicamente realizando revisiones globales, como
parte de su Plan Anual y de su actividad normal. Los auditados conocen estos
planes y se habitan a las auditorias, especialmente cuando las consecuencias de
16
las recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e
informan sobre las posibilidades tcnicas y los costos de tal sistema. Con voz,
pero a menudo sin voto, el rea de informtica trata de satisfacer lo ms
adecuadamente, posible aquellas necesidades. La empresa necesita controlar su
Informtica y sta; necesita que su propia gestin est sometida a los mismos
procedimientos y estndares que el resto de aquella. La conjuncin de ambas
necesidades cristaliza en la figura del auditor interno en informtica.
En cuanto a empresas se refiere, solamente las ms grandes pueden
poseer una auditora propia y permanente, mientras que el resto acuden a las
auditorias externas. Puede ser que algn profesional informtico sea trasladado
desde su puesto de trabajo a la auditora Interna de la empresa cuando sta
existe. Finalmente, la propia Informtica requiere de su propio grupo de control
interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro
de la estructura Informtica ya no sera independiente. Hoy, ya existen varias
organizaciones Informticas dentro de la misma empresa, y con diverso grado de
autonoma, que son coordinadas por rganos corporativos de Sistemas de
Informacin de las Empresas.
Una Empresa o Institucin que posee auditora interna puede y debe en
ocasiones contratar servicios de auditora externa. Las razones para hacerlo
suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual
los servicios propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en
aquellos supuestos de emisin interna de graves recomendaciones que
chocan con la opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditorias en informtica
externas decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que
se le realicen auditorias externas como para tener una visin desde
afuera de la empresa.
La auditora en informtica, tanto externa como interna, debe ser una
actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia
estrategia y poltica general de la empresa. La funcin de auditoria puede actuar
de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por
encargo de la direccin o cliente.


3.3 Sntomas de necesidad de una Auditoria Informtica:

Las empresas acuden a las auditorias en informtica cuando existen
sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en
clases:

Sntomas de descoordinacin y desorganizacin:
No coinciden los objetivos de la Informtica de la empresa y de la propia
17
empresa.
Los estndares de productividad se desvan sensiblemente de los
promedios conseguidos habitualmente.
[Puede ocurrir con algn cambio masivo de personal, o en una
reestructuracin fallida de alguna rea o en la modificacin de alguna
norma importante]
Sntomas de mala imagen e insatisfaccin de los usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de
paneles, variacin de los ficheros que deben ponerse diariamente a su
disposicin, etc.
No se reparan las averas de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que est abandonado y
desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes
desajustes en la actividad del usuario, en especial en los resultados de
Aplicaciones crticas y sensibles.
Sntomas de debilidades econmico-financiero:
Incremento desmesurado de costos.
Necesidad de justificacin de Inversiones Informticas (la empresa no
est absolutamente convencida de tal necesidad y decide contrastar
opiniones).
Desviaciones Presupuestarias significativas.
Costos y plazos de nuevos proyectos (deben auditarse simultneamente
a Desarrollo de Proyectos y al rgano que realiz la peticin).
Sntomas de Inseguridad: Evaluacin de nivel de riesgos
Seguridad Lgica
Seguridad Fsica
Confidencial dad
[Los datos son propiedad inicialmente de la organizacin que los genera.
Los datos de personal son especialmente confidenciales]
Continuidad del Servicio. Es un concepto an ms importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia' Totales y Locales.
Centro de Proceso de Datos fuera de control. Si tal situacin llegara a
percibirse, seria prcticamente intil la auditoria. Esa es la razn por la
cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

* Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo
operando en otro lugar? Lo que generalmente se pide es que se hagan
Backups de la informacin diariamente y que aparte, sea doble, para tener un
Backup en la empresa y otro afuera de sta. Una empresa puede tener unas
oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos
de los de la empresa principal, es decir, si a la empresa principal le provea
18
telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se
produce la inoperancia de Sistemas en la empresa principal, se utilizara el
Backup para seguir operando en las oficinas paralelas. Los Backups se
pueden acumular durante dos meses, o el tiempo que estipule la empresa, y
despus se van reciclando.


3.4 Herramientas y Tcnicas para la Auditoria Informtica:


3.4.1 Cuestionarios:

Las auditorias en informtica se materializan recabando informacin y
documentacin de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la
informacin necesaria para la emisin de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados tambin evidencias.
Para esto, suele ser lo habitual comenzar solicitando la complementacin
de cuestionarios preimpresos que se envan a las personas concretas que el
auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones
distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en
su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo
que tal anlisis determine a su vez la informacin que deber elaborar el propio
auditor. El cruzamiento de ambos tipos de informacin es una de las bases
fundamentales de la auditora.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores
hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran
proporcionado.


3.4.2 Entrevistas:

El auditor comienza a continuacin las relaciones personales con el
auditado. Lo hace de tres formas:

1. Mediante la peticin de documentacin concreta sobre alguna materia de
su responsabilidad,
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni
un mtodo estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo
preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms importante del
19
auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la
proporcionada por medios propios puramente tcnicos o por las respuestas
escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor
y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que
hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto
entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversacin correcta y lo menos tensa
posible, el auditado conteste sencillamente y con pulcritud a una serie de
preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo
aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y
que es diferente para cada caso particular.


3.4.3 Checklist:

El auditor profesional y experto es aqul que reelabora muchas veces sus
cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita
saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis,
cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversar y har preguntas "normales", que en realidad
servirn para la complementacin sistemtica de sus Cuestionarios, de sus
Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran
que leerle una pila de preguntas recitadas de memoria o ledas en voz alta
descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente
falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de
informacin a fin de obtener respuestas coherentes que permitan una correcta
descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer
preguntas muy estudiadas que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo
excepciones, las Checklists deben ser contestadas oralmente, ya que superan en
riqueza y generalizacin a cualquier otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado
responder desde posiciones muy distintas y con disposicin muy variable. El
auditado, habitualmente informtico de profesin, percibe con cierta facilidad el
perfil tcnico y los conocimientos del auditor, precisamente a travs de las
preguntas que ste le formula. Esta percepcin configura el principio de autoridad
y prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo
y el orden de su formulacin. Las empresas externas de Auditora Informtica
guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y
oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases
de autoridad, prestigio y tica.
El auditor deber aplicar el Checklist de modo que el audtado responda
20
clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente
en los casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor
amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la
presin sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector,
deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular
preguntas equivalentes a las mismas o a distintas personas, en las mismas
fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor
facilidad los puntos contradictorios; el auditor deber analizar los matices de las
respuestas y reelaborar preguntas complementarias cuando hayan existido
contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe
percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar
las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni
marcar cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de
filosofa" de calificacin o evaluacin:

a. Checklist de rango

Contiene preguntas que el auditor debe puntuar dentro de un rango
preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y
el 5 el valor ms positivo)

Ejemplo de Checklist de rango:

Se supone que se est realizando una auditoria sobre la seguridad
fsica de una instalacin y, dentro de ella, se analiza el control de los
accesos de personas y cosas al Centro de Clculo. Podran formularse las
preguntas que figuran a continuacin, en donde las respuestas tiene los
siguientes significados:

1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.

Se figuran posibles respuestas de los auditados. Las preguntas
deben sucederse sin que parezcan encorsetadas ni clasificadas
previamente. Basta con que el auditor lleve un pequeo guin. La
complementacin del Checklist no debe realizarse en presencia del
auditado.

-Existe personal especfico de vigilancia externa al edificio?

-No, solamente un guarda por la noche que atiende adems otra instalacin
21
adyacente.

<Puntuacin: 1 >

-Para la vigilancia interna del edificio, Hay al menos un vigilante por turno
en los aledaos del Centro de Clculo?

-Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuacin: 2>

-Hay salida de emergencia adems de la habilitada para la entrada y
salida de mquinas?

-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.

<Puntuacin: 2>

-El personal de Comunicaciones, Puede entrar directamente en la Sala de
Computadoras?

-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente
salvo causa muy justificada, y avisando casi siempre al Jefe de Explotacin.

<Puntuacin: 4>

El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) 14 = 2,25
Deficiente.

b. Checklist Binaria

Es la constituida por preguntas con respuesta nica y excluyente: Si o No.
Aritmticamente, equivalen a 1 (uno) o 0(cero), respectivamente.

Ejemplo de Checklist Binaria:

Se supone que se est realizando una Revisin de los mtodos de pruebas
de programas en el mbito de Desarrollo de Proyectos.

-Existe Normativa de que el usuario final compruebe los resultados finales
de los programas?
<Puntuacin: 1>
-Conoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuacin: 1>
-Se aplica dicha norma en todos los casos?
<Puntuacin: 0>
-Existe una norma por la cual las pruebas han de realizarse con juegos de
ensayo o copia de Bases de Datos reales?
<Puntuacin: 0>
22
Obsrvese como en este caso estn contestadas las siguientes preguntas:
-Se conoce la norma anterior?
<Puntuacin: 0>
-Se aplica en todos los casos?
<Puntuacin: 0>
Los Checklists de rango son adecuados si el equipo auditor no es muy
grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten
una mayor precisin en la evaluacin que en los checklist binarios. Sin embargo,
la bondad del mtodo depende excesivamente de la formacin y competencia del
equipo auditor.
Los Checklists Binarios siguen una elaboracin inicial mucho ms ardua y
compleja. Deben ser de gran precisin, como corresponde a la suma precisin de
la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad
del equipo auditor y el inconveniente genrico del <si o no> frente a la mayor
riqueza del intervalo.
No existen Checklists estndar para todas y cada una de las instalaciones
informticas a auditar. Cada una de ellas posee peculiaridades que hacen
necesarios los retoques de adaptacin correspondientes en las preguntas a
realizar.


3.4.4 Trazas y/o Huellas:

Con frecuencia, el auditor informtico debe verificar que los programas,
tanto de los sistemas como de usuario, realizan exactamente las funciones
previstas, y no otras. Para ello se apoya en productos Software muy potentes y
modulares que, entre otras funciones, rastrean los caminos que siguen los datos a
travs del programa.
Muy especialmente, estas Trazas" se utilizan para comprobar la ejecucin
de las validaciones de datos previstas. Las mencionadas trazas no deben
modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos
apreciables de carga, se convendr de antemano las fechas y horas ms
adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos
emplean productos que comprueban los valores asignados por Tcnica de
Sistemas a cada uno de los parmetros variables de las Libreras ms importantes
del mismo. Estos parmetros variables deben estar dentro de un intervalo
marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el nmero de iniciadores de trabajos de determinados entornos o
toman criterios especialmente restrictivos o permisivos en la asignacin de
unidades de servicio segn cuales tipos carga. Estas actuaciones, en principio
tiles, pueden resultar contraproducentes si se traspasan los lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la
descripcin de la auditora informtica de Sistemas: el auditor informtico emplea
preferentemente la amplia informacin que proporciona el propio Sistema: As, los
ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la
produccin completa de aqul, y los <Log*> de dicho Sistema, en donde se
23
recogen las modificaciones de datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automticamente exacta informacin
sobre el tratamiento de errores de maquina central, perifricos, etc.
[La auditora financiero-contable convencional emplea trazas con mucha
frecuencia. Son programas encaminados a verificar lo correcto de los clculos de
nminas, primas, etc.].


*Log:
El log vendra a ser un historial que informa que fue cambiando y cmo fue
cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para
asegurar lo que se llaman las transacciones. Las transacciones son unidades
atmicas de cambios dentro de una base de datos; toda esa serie de cambios se
encuadra dentro de una transaccin, y todo lo que va haciendo la Aplicacin
(grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La
transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se
vuelca todo a la base de datos. Si en el medio de la transaccin se cort por x
razn, lo que se hace es volver para atrs. El log te permite analizar
cronolgicamente que es lo que sucedi con la informacin que est en el Sistema
o que existe dentro de la base de datos.


3.4.5 Software de Interrogacin:

Hasta hace ya algunos aos se han utilizado productos software llamados
genricamente <paquetes de auditora>, capaces de generar programas para
auditores escasamente cualificados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos
estadsticos que permitieran la obtencin de consecuencias e hiptesis de la
situacin real de una instalacin.
En la actualidad, los productos de software especiales para la auditora
informtica se orientan principalmente hacia lenguajes que permiten la
interrogacin de ficheros y bases de datos de la empresa auditada. Estos
productos son utilizados solamente por los auditores externos, por cuanto los
internos disponen del software nativo propio de la instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa
"Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de
transporte de datos entre computadoras personales y mainframe, de modo que el
auditor informtico copia en su propia PC la informacin ms relevante para su
trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen
datos e informacin parcial generada por la organizacin informtica de la
Compaa.
Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor
se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar
informacin de los mencionados usuarios finales, lo cual puede realizar con suma
24
facilidad con los polivalentes productos descritos. Con todo, las opiniones ms
autorizadas indican que el trabajo de campo del auditor informtico debe
realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi
imprescindible una cierta soltura en el manejo de Procesadores de Texto,
paquetes de Grficos, Hojas de Clculo, etc.
25
4
__________________________________________________________________



Tipos de auditorias


4.1. Concepto de auditoria en informtica

Despus de analizar los conceptos de auditora y de informtica, los
diferentes tipos de auditora, as como su interrelacin con informtica, nos
hacemos las preguntas: Qu es auditora en informtica? Y cual es su campo
de accin?

Auditora en informtica es la revisin y evaluacin de los controles,
sistemas, procedimientos de informtica, de los equipos de computo, su
utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los
equipos de computo o de un sistema o procedimiento especfico, sino que adems
habr de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin. Ello
debe incluir los equipos de computo como la herramienta que permite obtener la
informacin adecuada y la organizacin especfica (departamento de computo,
departamento de informtica, gerencia de procesos electrnicos, etc) que har
posible el uso de los equipos de computo.

Su campo de accin ser:

A. La evaluacin administrativa del departamento de proceso electrnicos.
B. La evaluacin de los sistemas y procedimientos, y de la eficacia que se
tiene en el uso de la informtica.
C. La evaluacin del proceso de datos y de los equipos de computo.

Para lograr los puntos antes sealados necesitas:

26
A. Evaluacin administrativa del departamento de informtica.

Esto comprende la evaluacin de:

- Los objetivos de departamento, direccin o gerencia.
- Metas, planes, polticas y procedimientos de procesos electrnicos
estndar.
- Organizacin del rea y su estructura orgnica.
- Funciones y niveles de autoridad y responsabilidad del rea de procesos
electrnicos.
- Integracin de los recursos materiales y tcnicos.
- Direccin costos y controles presupustales.
- Controles administrativos del rea de procesos electrnicos.

B. Evaluacin de los sistemas v procedimientos, y de la eficiencia que se
tienen en el uso de la informacin que comprende:

- Evaluacin del anlisis de los sistemas y sus diferentes etapas
- Evaluacin del diseo lgico del sistema
- Evaluacin del desarrollo fsico del sistema.
- Control de proyectos.
- Control de sistemas y programacin
- Instructivos y documentacin
- Formas de implantacin
- Seguridad fsica y lgica de los sistemas
- Confidencialidad de los sistemas
- Controles de mantenimiento y forma de respaldo de los sistemas.
- Utilizacin de los sistemas.

C. Evaluacin del proceso de datos y de los equipos de computo que
comprende:

- Controles de los datos fuente y manejo de cifras de control
- Control de operacin
- Control de salida
- Control de asignacin de trabajo.
- Control de medios de almacenamiento masivos.
- Control de otros elementos de computo
- Orden en el centro de computo
- Seguridad fsica y lgica
- Confidencialidad
- Respaldos.

La interrelacin que debe existir entre la auditora en informtica y los
diferentes tipos de auditora en la siguiente:
El ncleo o centro de la informtica son los programas, los cuales pueden
ser auditados por medio de la auditora de programas. Estos programas se usan
27
en la computadoras de acuerdo con la organizacin del centro de computo
(personal).
La auditora en informtica debe evaluar el todo (informtica, organizacin
del centro de computo, computadoras y programas) con auxilio de los principios de
auditora administrativa, auditora interna, auditora contable/financiera y, a su vez,
puede proporcionar informacin a esos tipos de auditora, y las computadoras
deben ser una herramienta para la realizacin de cualquiera de las auditorias.
Como se ve, la evaluacin a desarrollar para la realizacin de la auditora
en informtica deben hacerla personas con alto grado de conocimiento en
informtica y con mucha experiencia en el rea.


4.2 Auditoria interna y auditoria contable/financiera

El boletn E-02 del Instituto Mexicano de Contadores, seala con respecto
al control interno:
"El estudio y evaluacin del control interno se efecta con el objeto de
cumplir con la norma de ejecucin del trabajo que requiere que: el auditor debe
efectuar un estudio y evaluacin adecuados del control interno existente, que les
sirvan de base para determinar el grado de confianza que va a depositar en el, as
mismo, que el permita determinar la naturaleza, extensin y oportunidad que va a
dar a los procedimientos de auditoria".


4.2.1 Definicin de control interno.

"El control interno comprende el plan de organizacin y todos los mtodos y
procedimientos que en forma coordinada se adoptan en un negocio para
salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su
informacin financiera, promover la eficiencia operacional y provocar la adherencia
a las polticas prescriptas por la administracin".


4.2.2 Objetivos del control interno.

a) Los bsicos son:

(1) La proteccin de los activos de la empresa.
(2) La obtencin de informacin financiera veraz, confiable y oportuna.
(3) La promocin de la eficiencia en la operacin del negocio.
(4) Lograr que en la ejecucin de las operaciones se cumplan las polticas
establecidas por los administradores de la empresa.

Se ha definido que los dos primeros objetivos abarcan el aspecto de
controles internos contables y los dos ltimos se refieren a controles internos
administrativos.

28
b) Generales

El control contable comprende el plan de organizacin y los procedimientos
y registros que se refieren a la proteccin de los activos y a la confiabilidad de los
activos y la confiabilidad de los registros financieros. Por lo tanto, el control interno
contable est diseado en funcin de los objetivos de la organizacin para ofrecer
seguridad razonable de que: las operaciones se realizan de acuerdo con las
normas y polticas sealados por la administracin.
Cuando hablamos de los objetivos de los controles contables internos
podremos identificar dos niveles.
a) Objetivos generales de control interno aplicables a todos los sistemas y
b) Objetivos de control interno aplicables a ciclos de transacciones

Los objetivos generales de control aplicables a todos los sistemas se
desarrollan a partir de los objetivos bsicos de control interno enumerados
anteriormente, siendo ms especficos para facilitar su aplicacin. Los objetivos de
control de ciclos se desarrollan a partir de los objetivos generales de control de
sistema, para que se aplique a las diferentes clases de transacciones agrupadas
en un ciclo.
Los objetivos generales de control interno de sistema pueden resumirse a
continuacin:

1. Objetivos de autorizacin.

Todas las operaciones deben realizarse de acuerdo con autorizaciones
generales o especificaciones de la administracin.
Las autorizaciones deben estar de acuerdo con criterios establecidos por el
nivel apropiado de la administracin.
Las transacciones deben ser vlidas para conocerse y ser sometidas
oportunamente a su aceptacin. Todas aquellas que renan los requisitos
establecidos por la administracin deben reconocerse como tales y procesarse a
tiempo.
Los resultados del procedimiento de transacciones deben comunicarse
oportunamente y estar respaldados por archivos adecuados.

2. Objetivos del procesamiento y clasificacin de transacciones

Todas las operaciones deben registrarse para permitir la preparacin de
estados financieros en conformidad con los principios de contabilidad
generalmente aceptados o con cualquier otro criterio aplicable a los estados y para
mantener en archivos apropiados los datos relativos a los activos sujetos a
custodia.
Las transacciones deben clasificarse en forma tal que permitan la
preparacin de estados financieros en conformidad con los principios de
contabilidad generalmente aceptados y el criterio de la administracin.
Las transacciones deben quedar registradas en el mismo periodo contable,
cuidando especialmente que se registren aquellas que afectan ms de un ciclo.
29
3. Objetivo de salvaguarda fsica.

El acceso a los activos slo debe permitirse de acuerdo con autorizaciones
de la administracin.

4. Objetivo de verificacin y evaluacin.

Los datos registrados relativos a los activos sujetos a custodia deben
compararse con los activos existentes a intervalos razonables y tomar las medidas
apropiadas respecto a las diferencias que existan.
As mismo, deben existir controles relativos a la verificacin y evaluacin
peridica de los saldos que se incluyen en los estados financieros, ya que este
objetivo complementa en forma importante los mencionados anteriormente.
Estos objetivos generales del control interno de sistemas son aplicables a
todos los ciclos. No se trata de que se usen directamente para evaluar las tcnicas
de control interno de una organizacin, pero representan un base para desarrollar
objetivos especficos de control interno por ciclos de transacciones que sean
aplicables a una empresa individual.
El rea de informtica puede interactuar de dos maneras en el control
interno. La primera es servir de herramienta para llevar a cabo un adecuado
control interno y la segunda es tener un control interno del rea y del
departamento de informtica.
En el primer caso se lleva el control interno por medio de la evaluacin de
una organizacin, utilizando la computadora como herramienta que auxiliar en el
logro de los objetivos del control interno, lo cual se puede hacer por medio de
paquetes de auditoria. Y esto debe ser considerado como parte del control interno
con informtica.
En el segundo caso se lleva a cabo el control interno de informtica. Es
decir, como se seala en los objetivos del control interno, se deben proteger
adecuadamente los activos de la organizacin por medio del control para que se
obtengan la informacin en forma veraz, oportuna y confiable, se mejore la
eficiencia de la operacin de la organizacin mediante la informtica y en la
ejecucin de las operaciones de informtica se cumplan las polticas establecidas
por la administracin de todo ello debe ser considerado como control interno de
informtica.
Al estudiar los objetivos del control interno podemos ver en primer lugar
que, aunque en auditoria en informtica el objetivo es ms amplio, se deben tener
en cuenta los objetivos generales del control interno aplicables a todo ciclo de
transacciones.
La auditoria en informtica debe tener presentes los objetivos de
autorizacin, procesamiento y clasificacin de transacciones, as como los de
salvaguarda fsica, verificacin y evaluacin de los equipos y de la informacin. La
diferencia entre los objetivos de control interno desde un punto de vista contable
financiero es que, mientras stos estn enfocados a la evaluacin de una
organizacin mediante la revisin contable financiera y de otras operaciones, los
objetivos del control interno a informtica estn orientados a todos los sistemas en
general, al equipo de computo y al departamento de informtica, para lo cual se
30
requieren conocimientos de contabilidad, finanzas, recursos humanos,
administracin, etc. Y un conocimiento profundo y experiencia en informtica.
La auditoria interna debe estar presente en todas y cada una de las partes
de la organizacin. Ahora bien, la pregunta que normalmente se plantea es, cul
debe ser su participacin dentro del rea de informtica?
Como ya vimos, la informtica es en primer lugar una herramienta muy
valiosa para tener un adecuado control y un auxiliar de la auditoria interna. Pero,
segn este concepto, la auditoria interna puede considerarse como un usuario del
rea de informtica.

Se ha estudiado que los objetivos generales del control interno son:

Autorizacin
Procesamiento y clasificacin de las transacciones
Salvaguarda fsica
Verificacin y evaluacin

Con base en los objetivos y responsabilidades del control interno podemos
hacer otras dos preguntas:
De qu manera puede participar el personal de control interno en el diseo
de los sistemas? y qu conocimientos debe tener el personal de control interno
para poder cumplir adecuadamente sus funciones dentro del rea de informtica?
Las respuestas a estas preguntas dependern del nivel que tenga el control
interno dentro de la organizacin, pero en el diseo general y detallado de los
sistemas se debe incluir a personal de la contralora interna, que habr de tener
conocimientos de informtica, pero no se requerir que sea especialistas ya que
slo intervendrn en el diseo general del sistema, diseo de controles, sistemas
de seguridad, respaldo y confidencialidad del sistema, sistemas se verificacin.
Habr de comprobar que las frmulas de obtencin del impuesto sobre el producto
del trabajo, el clculo del pago del seguro social, etc., pero no debern intervenir
en la elaboracin de los sistemas, bases de datos o programacin. Y tendrn que
comprobar que lo sealado en el diseo general sea igual a lo obtenido en el
momento de implantacin, para que puedan dar su autorizacin a la corrida en
paralelo.
El auditor interno, en el momento de que se estn elaborando los sistemas,
debe participar en estas etapas, para:

1. Asegurarse de verificar que los requerimientos de seguridad y de
auditora sean incorporados, y participar en la revisin de puntos de
verificacin.
2. Revisar la aplicacin de los sistemas y de control tanto con el usuario
como en el centro de informtica.
3. Verificar que las polticas de seguridad y los procedimientos estn
incorporados al plan en caso de desastre.
4. Incorporar tcnicas avanzadas de auditora en los sistemas de computo.

Los sistemas de seguridad no pueden llevarse a cabo a menos que existan
31
procedimientos de control y un adecuado plan en caso de desastre, elaborados
desde el momento en el que se disea el sistema.
El auditor interno desempea una importante funcin al participar en los
planes a largo plazo y en el diseo detallado de los sistemas y su implantacin, de
tal manera que se asegure de que los procedimientos de auditora y de seguridad
sean incorporados a todas y cada una de las fases del sistema.


4.2.3 Clase de controles internos


4.2.3.1 Atendiendo al momento en que se acta, pueden ser:

a) Controles preventivos: establecen las condiciones necesarias para que el
error no se produzca. Como ejemplos de controles preventivos tenemos
la segregacin de funciones, la estandarizacin de procedimientos, las
autorizaciones, los passwords, o los formularios prenumerados.
b) Controles detectivos: Identifican el error pero no lo evitan, actuando
como alarmas que permiten registrar el problema y sus causas. Sirven
como verificacin del funcionamiento de los procesos y de sus controles
preventivos. Como ejemplos tenemos la validacin de los datos de
entrada, cuando se realiza con posterioridad al procesamiento de dichos
datos, los totales de control, los controles cruzados, o los controles de
supervisin, estos ltimos se componen de tres tipos de controles:
1. Controles de aplicaciones.
2. Controles de tecnologas de la informacin.
3. Controles de usuario
c) Controles correctivos: Permiten investigar y rectificar los errores y sus
causas, estn destinados a procurar que las acciones necesarias para su
solventacin sean tomadas. Como ejemplos tenemos los listados de
errores, las evidencias de auditoria o las estadsticas de causas de
errores.


4.2.3.2. Los controles de supervisin

Son procedimientos utilizados por la direccin para poder alcanzar los
objetivos del negocio y as controlarlo. Este tipo de controles proporcionan a la
direccin (y por lo tanto, a los auditores) seguridad en cuanto a la fiabilidad de la
informacin financiera.
Dichos controles pueden estar incluido, de un modo intrnseco, en las
actividades recurrentes de una entidad o consistir en una evaluacin peridica
independiente, llevada a cabo normalmente por la direccin. La frecuencia de
estas evaluaciones depende del juicio de la direccin. Mediante estos controles
podremos detectar errores significativos y realizar un control continuo de la
32
fiabilidad y de la eficacia de los procesos informticos.

Controles de supervisin: controles de las aplicaciones

Son un conjunto de procedimientos programados y manuales diseados
especialmente para cada aplicacin con el fin de cumplir con objetivos especficos
de control utilizando una o ms tcnicas. Los podemos clasificar en:
a) Controles sobre captura de datos: sobre altas de movimientos,
modificaciones de movimientos, consultas de movimientos, mantenimiento
de los ficheros.
b) Controles de proceso de datos: normalmente se incluyen en los programas.
Se disean para detectar o prevenir los siguientes tipos de errores (entrada
de datos repetidos, procesamiento y actualizacin de ficheros o ficheros
equivocados, entrada de datos ilgicos, prdida o distorsin de datos
durante el proceso).
c) Controles de salida y distribucin: Los controles de salida se disean para
asegurarse de que el resultado del proceso es exacto y que los informes y
dems salidas solo las personas que estn autorizadas, lo reciben.
Para solucionar deficiencias de control de una aplicacin ser necesario
retroceder a las etapas iniciales teniendo en cuenta que:
1. Los controles deben contemplar la secuencia de los procesos (manuales y
programados) de una aplicacin. Muchos controles de aplicacin sern
efectuados por personas, pero dependern del ordenador, siendo una
combinacin de procedimientos de control programados y controles de los
usuarios. Dado que muchos controles de aplicacin dependen de
procedimientos contables y/o de controles programados y el
correspondiente procesamiento informtico, la eficacia de los controles de
las aplicaciones, y, en consecuencia, el logro de los objetivos de control de
las mismas, casi siempre dependern de los controles informticos.
2. Las tcnicas aplicadas se disean para cubrir toda la vida de una
transaccin o documento, desde su inicio hasta su destino final en el
ordenador.
3. La extensin y rigidez de los controles pueden ser diferentes dependiendo
de que los datos sean permanentes o transitorios.
4. Prestar especial consideracin al objetivo verdadero de cada control,
evaluando el costo de operacin del control y las prdidas que podra
generar su omisin.

Totalidad de las entradas

Las tcnicas de control utilizadas para asegurar la totalidad de las
entradas son:
a) Conciliacin de totales: Un ejemplo de conciliacin de totales sera
comprobar que el auxiliar de proveedores coincide con el saldo de
proveedores en el sistema central. Otro ejemplo sera comprobar que el
saldo con el banco segn extracto bancario coincide con el saldo segn
contabilidad, y si no es as buscar las partidas conciliatorias.
33

Verificacin de la secuencia numrica. Comprobar que los documentos
siguen la secuencia numrica de manera establecida de manera que no
falte ningn documento.
Confrontacin de ficheros.
Comprobacin uno por uno.

Exactitud de la entrada

Las tcnicas de control utilizadas para asegurar la exactitud de las
entradas son:
Conciliacin de totales.
Confrontacin de ficheros.
Comprobacin uno por uno.
Controles de validacin o edicin:
a) Prueba de existencia: la informacin introducida concuerda con
informacin similar existente en un fichero maestro (como ejemplo de
documento maestro de una empresa tenemos el fichero con los datos
de todos nuestros clientes) o de referencia?
b) Prueba de pantalla: los detalles correspondientes a un cdigo o a un
nmero de partida se visualizan en pantalla para que el usuario pueda
comprobar dichos detalles
c) Prueba de dependencia: tienen sentido los datos introducidos? El
ordenador puede comprobar una relacin predeterminada entre los
datos.
d) Prueba de sintaxis o de formato: se comprueba que nicamente se
introduzcan datos numricos cuando el campo sea numrico o datos
alfanumricos, cuando el campo sea alfanumrico.
e) Prueba de razonabilidad: consiste en verificar si el valor de un dato
est comprendido entre los lmites lgicos previamente definidos.


Autorizacin de las entradas

Las tcnicas de control utilizadas para asegurar la autorizacin de las
entradas son:
Momento de la autorizacin.
Confrontacin programada.
Autorizacin manual.
Autorizacin en lnea
Los controles sobre las entradas de datos deben contemplar
procedimientos de actuacin con las transacciones errneas que son rechazadas
por los controles preventivos.
En sistemas de autorizacin en lnea los errores se detectan en el momento
de su entrada, las medidas correctivas se pueden iniciar inmediatamente. Existen,
sin embargo, ocasiones en que determinados errores pueden ser detectados en
una fase posterior del proceso. Estos errores deben ser comunicados, tomndose
34
las medidas correctivas correspondientes.
Con una combinacin de procedimientos programados y manuales se debe
garantizar la investigacin inmediata de las causas de los rechazos, la correccin
adecuada de los errores, el registro y seguimiento de las transacciones pendientes
de corregir y la existencia de una nueva autorizacin de las correcciones hechas a
los datos claves o sensibles. Con todos estos controles conseguiremos que todos
los rechazos vuelvan a entrar en el ordenador de forma exacta y autorizada.

Totalidad y exactitud de la actualizacin

Las tcnicas de control utilizadas para asegurar la totalidad y exactitud de
las actualizaciones son principalmente:
Controles de totalidad y exactitud de las entradas.
Conciliacin manual de los totales.
Controles de proceso a proceso que incluyen:
a) Totales de los ficheros
b) Listados de detalle.
c) Transacciones generadas por la aplicacin

En cuanto a este ltimo tipo de controles:

En toda aplicacin informtica los datos contenidos en los ficheros deben
ser tratados por ciertos procesos antes de la emisin de la informacin de salida.
Los ms comunes son:
Clculo: Generacin de informacin utilizando datos de uno o ms
ficheros en base a rutinas predeterminadas.
Resumen: Acumulacin de los valores de las transacciones de un
fichero para generar totales.
Clasificacin: Acumulacin de totales de un fichero en base al anlisis
de cuentas, cdigos o campos de las transacciones.
Para este tipo de procesos, la aplicacin debe tener controles que permitan
asegurar:
El funcionamiento adecuado y continuo de los programas que efectan
los procesos
El proceso de la totalidad de las transacciones.
La integridad (totalidad y exactitud) de los ficheros utilizados en los
procesos.
Que la generacin o versin de los ficheros procesados ha sido la
correcta.
La comprobacin manual de la correccin de la informacin generada
por los procesos.

Segregacin de funciones

El objetivo principal de la segregacin de funciones es imposibilitar el fraude
por parte de los empleados, de tal manera que un empleado que tenga la
oportunidad de hurtar activos no pueda ocultar el fraude mediante la manipulacin
35
contable.

Controles de supervisin: controles de la tecnologa de la informacin:

Son el conjunto de normas y procedimientos que deben existir en todo
Centro de Proceso de Datos para asegurar la confidencialidad, integridad y
disponibilidad de los datos informatizados.
Aseguran que los procedimientos programados dentro de un sistema
informtico se diseen, implanten, mantengan y operen de forma adecuada y que
solo se introduzcan cambios autorizados en los programas y en los datos. Dentro
de los controles de la tecnologa de la informacin nos encontraremos con
distintos tipos de controles:
Controles de desarrollo e implantacin de aplicaciones.
Controles de mantenimiento: destinados a asegurar que las
modificaciones de los procedimientos programados estn
adecuadamente diseadas, probadas, aprobadas e implantadas.
Controles de explotacin.
Controles de Seguridad de Programas: destinados a garantizar que no
se puedan efectuar cambios no autorizados en los procedimientos
programados
Controles de Seguridad de Ficheros de datos: destinados a asegurar
que no se puedan efectuar modificaciones no autorizadas en los
archivos de datos.
Controles de la Operacin Informtica: destinados a garantizar que los
procedimientos programados autorizados se aplican de manera
uniforme y se utilizan versiones correctas de los ficheros de datos.
Controles de Conversin de ficheros: destinados a garantizar una
completa y exacta conversin de los datos de un sistema antiguo a uno
nuevo.
Controles de Software Sistema: destinados a asegurar que se implante
un software de sistema apropiado y que se encuentre protegido contra
modificaciones no autorizadas.
Controles de implantacin: destinados a asegurar que los
procedimientos programados para los nuevos sistemas son adecuados
y estn efectivamente implantados, y que el sistema est diseado para
satisfacer las necesidades del usuario
Si los sistemas informticos estuviesen funcionando inadecuadamente y
esta situacin pudiese influir en la fiabilidad de los datos o poner en peligro otros
objetivos de control, tendra conocimiento de ello la alta direccin?.
A diferencia de los controles de supervisin de las aplicaciones, los
controles de supervisin informticos estn relacionados con entornos
informticos que generalmente cubren varias aplicaciones. Por ejemplo, los
controles utilizados para supervisar la seguridad de los sistemas generalmente
sern los mismos para el ciclo de ventas y para el ciclo de compras.
36
Los controles de supervisin informticos se consideran en trminos de
categoras ms que de ciclos (a diferencia de los controles de supervisin de
aplicaciones). A continuacin se tratan ms ampliamente algunos de los controles
enumerados anteriormente:

Controles de mantenimiento: Las solicitudes para introducir
modificaciones en los programas deben tramitarse de forma
adecuada, adems de someterse a pruebas. La documentacin
tcnica debe estar actualizada con el fin de reflejar las
modificaciones de los programas. Este tipo de controles van a limitar
los riesgos que comportan las modificaciones de las aplicaciones.
Algunos de los riegos con los que nos podemos encontrar son: la
prdida de solicitudes de cambio, que haya cambios duplicados,
cambios que no se ajusten a los requerimientos del usuario, perder
demasiado tiempo en la resolucin de problemas debido a la falta de
documentacin tcnica o la existencia de cambios no autorizados en
las aplicaciones que afecten negativamente a las operaciones y/o a
la integridad de la informacin.
Controles de desarrollo e implantacin de aplicaciones: La direccin
del proyecto debe garantizar que el control del diseo, desarrollo e
implantacin de las nuevas aplicaciones es adecuado. Es por eso
que las aplicaciones deben disearse de forma adecuada para
alcanzar las exigencias de control de las aplicaciones y del negocio.
Y en caso de que implantemos un paquete informtico adaptado nos
aseguraremos que cumple con dichas exigencias. En caso de no
existir estos controles nos podemos encontrar con varios problemas:
que los costos estn por encima de los presupuestados por lo que se
podra producir un retraso en la entrega del proyecto, que los
proyectos no se ajusten a los requerimientos del usuario, que haya
errores en las aplicaciones, que conviertan de forma errnea los
datos o que las aplicaciones se infrautilicen o se utilicen
incorrectamente debido a la ausencia de documentacin tcnica y de
formacin.
Controles de seguridad informtica: La direccin debe asegurar la
implantacin de polticas de control de acceso basadas en el nivel de
riesgo que se derivara del acceso a los programas y a los datos. El
acceso a funciones concretas dentro de las aplicaciones debe estar
adecuadamente restringido para asegurar la segregacin de
funciones relevantes y evitar actividades no autorizadas adems de
estar restringido el acceso fsico a los ordenadores. Este tipo de
controles evitarn el riesgo de fraude o de que informacin
confidencial o sensible llegue a personas no autorizada dentro o
fuera de la sociedad. Otro riesgo que evitaramos con la seguridad
fsica sera el posible dao o destruccin de las instalaciones
informticas como resultado de incendios, inundaciones o sabotajes
que podran interrumpir la ejecucin de los procesos.
Controles de operaciones informticas: Los procedimientos de
37
operaciones que cubren procesos diferidos o por lotes que se
realizan en momentos especficos deben estar documentados,
programados y mantenidos de forma adecuada. Las copias d
seguridad de los programas y de los datos deben estar siempre
disponibles para casos de emergencia. Las instalaciones
informticas de los usuarios finales deben ser apropiadas para las
necesidades del negocio y controladas para maximizar la
compatibilidad y apoyar eficazmente al usuario. Con todos estos
controles podremos evitar fallos en los equipos y en el software o
como mnimo tendremos capacidad para recuperarnos de ellos (ya
que la continuidad del negocio puede estar en juego) o sacar poco
rendimiento de los sistemas informticos.

Controles de supervisin: controles de los usuarios

Son los procedimientos manuales tradicionales que se deben ejecutar
sobre los documentos y transacciones antes y despus de su proceso en el
ordenador para comprobar el adecuado y continuo funcionamiento de los controles
de las aplicaciones.


4.3 Auditora administrativa
[1 pgina 8-9]



Willian P. Leonard la define como "el examen global y constructivo de la
estructura de una empresa, de una institucin, una seccin del gobierno a
cualquier parte de una organismo, en cuanto a su planes y objetivos, sus mtodos
y controles, su forma de operacin y sus facilidades humanas y fsicas".
Se lleva a cabo una revisin y consideracin de la empresa organizacin
con el fin de precisar:

Prdidas y deficiencias
Mejores mtodos
Mejores formas de control
Operaciones ms eficientes
Mejor uso de los recursos fsicos y humanos.

La auditoria administrativa debe llevarse a cabo como parte de la auditora
del rea de informtica. Se ha de considerar dentro del programa de trabajo de
auditora en informtica, tomando principios de la auditora administrativa para
aplicarlos al rea de informtica.
Se deber evaluar el departamento de informtica de acuerdo con:

a) su objetivo
b) metas, planes, polticas y procedimientos
c) organizacin

38
d) estructura orgnica
e) funciones
f) niveles de autoridad y responsabilidad

Es importante tener en cuenta los siguientes factores:

Elemento humano
Organizacin (manual de organizacin)
Integracin
Direccin
Supervisin
Comunicacin y coordinacin
Delegacin
Recursos materiales
Recursos tcnicos
Recursos financieros
Control


4.4 Concepto de auditoria con Informtica
[1 pgina 9-16]



Los procedimientos de auditora con informtica varan de acuerdo con la
filosofa y tcnica de cada departamento de auditora en particular. Sin embargo,
existen ciertas tcnicas y/o procedimientos que son compatibles en la mayora de
los ambientes de informtica. Estas tcnicas caen en dos categoras: mtodos
manuales y mtodos asistidos por computadora.

Utilizacin de las tcnicas de auditorias asistidas por computadora.

En general, el auditor debe utilizar la computadora en la ejecucin de la
auditora, ya que esta herramienta permitir ampliar la cobertura del examen,
reduciendo el tiempo/costo de las pruebas y procedimientos de muestreo, que de
otra manera tendra que efectuarse manualmente. Adems, el empleo de la
computadora por el auditor le permite familiarizarse con la operacin del equipo en
el centro de computo de la institucin. Una computadora puede ser empleada por
el auditor en:

Verificacin de cifras totales y clculos para comprobar la exactitud de
los reportes de salidas producidos por el departamento de informtica.
Pruebas de los registros de los archivos para verificar la consistencia
lgica, la validacin de condiciones y la razonabilidad de los montos de
las operaciones.
Clasificacin de datos y anlisis de la ejecucin de procedimientos.
Seleccin e impresin de datos mediante tcnicas de muestreo y
confirmaciones.
Llevar a cabo en forma independiente una simulacin del proceso de
39
transacciones para verificar la conexin y consistencia de los programas
de computadora.

Con fines de auditoria el auditor interno puede emplear la computadora
para:

a) Utilizacin de paquetes para auditora, por ejemplo, paquetes
provenientes del fabricante de equipos, firmas de contadores pblicos o
compaas de software.
b) Supervisar la elaboracin de programas que permitan el desarrollo de la
auditora interna.
c) Utilizacin de programas de auditora desarrollados por proveedores de
equipo y que bsicamente verifican la eficiencia en el empleo del
computador o miden la eficiencia de los programas, su operacin o
ambas cosas.
Todos los programas o paquetes empleados en la auditora deben
permanecer bajo estricto control del departamento de auditora. Por esto, toda la
documentacin, material de pruebas, listados fuente, programas fuente y objeto,
adems de los cambios que se les hagan, sern responsabilidad del auditor.
En aquellas instalaciones que cuentan con bibliotecas de programas catalogados,
los programas de auditora pueden ser guardados utilizando contraseas de
proteccin, situacin que sera aceptable en tanto se tenga el control de las
instrucciones necesarias para la recuperacin y ejecucin de los programas desde
la biblioteca donde estn almacenados. Si los procedimientos de control interno
dentro del sistema de computo no permiten un estricto control del departamento
de auditora, los programas de auditora no deberan ser catalogados. Los
programas desarrollados con objeto de hacer auditora deben estar
cuidadosamente documentados para definir sus propsitos y objetivos y asegurar
una ejecucin continua.
Cuando los programas de auditora estn siendo procesados, los auditores
internos debern asegurarse de la integridad del procesamiento mediante
controles adecuados como:

1. Mantener el control bsico sobre los programas que se encuentren
catalogados en el sistema y llevara a cabo protecciones apropiadas.
2. Observar directamente el procesamiento de la aplicacin de auditora.
3. Desarrollar programas independientes de control que monitoreen el
procesamiento del programa de auditora.
4. Mantener el control sobre las especificaciones de los programas,
documentacin y comandos de control.
5. Controlar la integridad de los archivos que se estn procesando y las
salidas generadas.


Tcnicas avanzadas de auditoria con informtica.

Cuando en una instalacin se encuentren operando sistemas avanzados de
40
computacin como procesamiento en lnea, bases de datos y procesamiento
distribuido, se podra evaluar el sistema empleado tcnicas avanzadas de
auditora. Estos mtodos requieren un experto, y por lo tanto, pueden no ser
apropiados si el departamento de auditora no cuenta con el entrenamiento
adecuado. Otra limitante, incluyendo el costo, puede ser la sobrecarga del sistema
y la degradacin en el tiempo de respuesta. Sin embargo, cuando se usan
apropiadamente, estos mtodos superan la utilizacin en una auditora tradicional.

Pruebas integrales. Consiste en el procesamiento de datos de un
departamento ficticio, comparando estos resultados con resultados
predeterminados. En otras palabras, las transacciones iniciadas por el
auditor son independientes de la aplicacin normal, pero son procesadas
al mismo tiempo. Especial cuidado se debe tener con las particiones que
se estn utilizando en el sistema para prueba de la contabilidad o
balances a fin de evitar situaciones anormales.
Simulacin. Consiste en desarrollar programas de aplicacin para
determinada prueba y comparar los resultados de la simulacin con la
aplicacin real.
Revisiones de acceso. Se conserva un registro computarizado de todos
los accesos a determinados archivos; por ejemplo informacin de la
identificacin tanto de la terminal como del usuario.
Operaciones en paralelo. Consiste en verificar de la exactitud de la
informacin sobre los resultados que produce un sistema nuevo que
substituye a uno ya auditado.
Evaluacin de un sistema con datos de prueba. Esta verificacin consiste
en probar los resultados producidos en la aplicacin con datos de prueba
contra los resultados que fueran obtenidos inicialmente en la pruebas del
programa (solamente aplicable cuando se hacen modificaciones a un
sistema).
Registros extendidos. Consiste en agregar un campo de control a un
registro determinado como un campo especial a un registro extra, que
pueda incluir datos de todos los programas de aplicacin que forman
parte del procesamiento de determinada transaccin, como en los
siguientes casos.
Totales aleatorios en ciertos programas. Se consiguen totales en algunas
partes del sistema para ir verificando su exactitud en forma parcial.
Seleccin de determinado tipo de transacciones como auxiliar en el
anlisis de un archivo histrico. Por medio de este mtodo podemos
analizar en forma parcial el archivo histrico de un sistema, el cual sera
casi imposible de verificar en forma total.
Resultados de ciertos clculos para comparaciones posteriores. Con
ellos podemos comparar en el futuro los totales en diferentes fechas.

Al auditor interno, todas las tcnicas anteriores le ayudan al establecimiento
de una metodologa para la revisin de los sistemas de aplicacin de un
institucin, empleando como herramienta el mismo equipo de computo. Sin
embargo, actualmente se desarrollan programas y sistemas de auditora que
41
eliminan los problemas de responsabilidad del departamento de auditora, al
intervenir en las actividades e informacin cuyo control corresponde estrictamente
al departamento de informtica, proporcionando una verdadera independencia al
auditor en la revisin de los datos del sistema.
El empleo de la microcomputadora en la auditora constituye una
herramienta que facilita la realizacin de actividades de revisin como:

Trasladar los datos del sistema a un ambiente de control del auditor
Llevar a cabo la seleccin de datos
Verificar la exactitud de los clculos
Muestreo estadstico
Visualizacin de datos
Ordenamiento de la informacin
Produccin de reportes e histogramas.

Lo anterior implica una metodologa que garantiza una revisin ms
extensa e independiente de los sistemas de informtica, que podra consistir en
los siguientes pasos:

Seleccin de un sistema de informacin que se va a revisar.
Obtencin de la documentacin de los archivos que incluye: nombre del
archivo y descripcin, nombre de los campos y descripcin (longitud,
tipo), codificacin empleada, etc.
Trasladar el archivo de datos a una microcompurtadora con una gran
capacidad de almacenamiento.
Llevar a cabo con un software de auditora las verificaciones de auditora
que se mencionan anteriormente.
Participacin del auditor interno en el desarrollo de sistemas.

El auditor interno debe participar en el diseo general y especfico de los
sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo con
las polticas internas antes de que se comience la programacin del sistema.
A continuacin se muestran ejemplos de las formas tradicionales de
evidencia que existen en un proceso manual y las maneras en que la computadora
puede cambiarlas.

Transacciones originadas por personas y accesadas a un sistema para
su proceso. En las aplicaciones computarizadas pueden generarse
automticamente. Por ejemplo, el sistema puede emitir
automticamente una orden de reposicin cuando el inventario est a
un nivel por debajo del punto de reorden. Sin la computadora se
requera que una persona estuviera revisando y elaborara la orden de
reposicin cuando el inventario estuviera abajo del mnimo establecido.
El registro manual de la informacin necesaria para originar una
transaccin. En las aplicaciones computarizadas, no se producen
documentos impresos cuando la informacin es accesada a travs de
una terminal. Por ejemplo, un cambio, hecho a las tarifas de nmina
42
puede ser accesado a un archivo maestro de nminas computarizado a
travs de una terminal de computadora sin dejar registro impreso del
cambio, aunque se debe tener una clave de seguridad para poder
accesarlo y llevar un registro histrico en el que se tenga la informacin
sobre la persona y terminal en la que se acceso la informacin.
La revisin de transacciones por el personal, que deja constancia con
sus firmas, iniciales o sellos en los documentos para indicar la
autorizacin del proceso. En las aplicaciones computarizadas puede ser
automtica. Por ejemplo, una venta a crdito puede ser
automticamente aprobada si el lmite de crdito previamente
determinado no est excedido. Otros mtodos de autorizacin
electrnica incluyen el acceso mediante claves de seguridad, insertando
una tarjeta de cdigos magnticos o colocando un llave de supervisin
en una terminal.
Anteriormente se tenan firmas donde ahora slo se tiene una clave o
llave de acceso que es equivalente a la autorizacin, dejando
nicamente un registro (en el mejor de los casos) de la llave de acceso
utilizada, la terminal en la que se proces y la hora y da en que fue
autorizada.
El transporte de documentos de una estacin de trabajo a otra por
personas, correo o servicios similares de un lugar del negocio a otro
sitio completamente distinto. Por estos medios se moviliza un
documento fsicamente. En aplicaciones computarizadas, los datos
pueden ser enviados electrnicamente. La informacin es transcrita,
codificado, frecuentemente condensado y entonces enviada
electrnicamente por lneas de comunicaciones; y al final queda un
registro de cundo recibi la informacin el receptor.
Procesamiento manual. Generalmente, los documentos de las
transacciones contienen espacio de trabajo para ejecutar el proceso
necesario. En las aplicaciones computarizadas, el proceso se efecta
electrnicamente dentro de la memoria del computador mediante
procedimientos programados y siguiendo reglas predeterminadas.
Proceso simplificado que facilita las ejecuciones repetitivas sin alta
probabilidad de error. En las aplicaciones computarizadas, el proceso
puede ser extremadamente complejo debido a la velocidad y exactitud
de la computadora. Por ejemplo, una compaa puede utilizar su
computadora para calcular la efectividad de cientos de posibles horarios
o cdulas de produccin a fin de seleccionar el ms adecuado, mientras
que en los mtodos manuales esto sera casi imposible.
Mantenimiento en manuales de informacin de naturaleza fija que es
necesaria para el proceso, tales como tarifas de nominas o precios de
productos. En las aplicaciones computarizadas, esta informacin se
almacena en medios computarizados o bien por medio de catlogos; en
los mtodos manuales es difcil tener catlogos demasiado amplios.
Listado de los resultados del proceso en documentos impresos, tales
como cheques y reportes. Frecuentemente, estos documentos
contienen resultados de procesos intermedios. En las aplicaciones
43
computarizadas, el proceso puede no dar por resultado documentos
impresos. Por ejemplo, los fondos pueden ser transferidos
electrnicamente y los reportes de salida ser desplegados en pantallas
de video. En algunos sistemas, la informacin rutinaria es retenida de
manera que slo se recibe noticia de aquellas partidas que requieren
accin.
Almacenamiento de documentos de entrada, proceso y salida en
registro de archivo o similares. Cuando la informacin es necesaria,
puede localizarse y recobrarse manualmente del rea de
almacenamiento fsica. En las aplicaciones computarizadas, la mayora
de los archivos estn en medios a computarizados, como cintas y
discos. Programas extractivos deben utilizarse para recobrar la
informacin de tales medios, los cuales son normalmente muy rpidos y
exactos; por ejemplo, en el caso de bases de datos.
Uso de documentos impresos para construir el proceso. En los
procesos manuales estos documentos contienen informacin fuente,
firmas de autorizacin, mtodos de proceso y resultados de salida. Esta
informacin usualmente es suficiente para construir la transaccin y
rastrearla hacia totales de control o, a partir de stos, hasta el
documento fuente. En las aplicaciones computarizadas, las pistas de
auditora pueden verse fragmentadas, como frecuentemente ocurre en
un ambiente de base de datos. Adems, gran parte de la informacin
que servira de pista de auditora puede estar almacenada en medios
computarizados. Las pistas de auditora computarizadas
frecuentemente requieren entender las reglas del proceso del sistema y
no siempre es obvio cuales pasos del proceso se ejecutaron,
especialmente cuando el proceso computacional es complejo.
Uno o ms manuales de procedimientos que contienen informacin
relativa a las transacciones del sistema. Estos manuales guan a la
gente en la circulacin y proceso de las transacciones. En las
aplicaciones computarizadas, pueden ser listados de programas y
computadora, listados de diccionarios de datos y documentacin de
proveedores.
Revisin de procesos por personas, generalmente supervisores, para
determinar su razonabilidad, exactitud, totalidad y autorizacin. En las
aplicaciones computarizadas, gran parte de este monitoreo es
ejecutado automticamente mediante una lgica de programa
predeterminada. Est llegando a ser ms difcil para la gente monitorear
los procesos, conforme los sistemas computacionales estn ms
integrados y son ms complejos y el ciclo del proceso se acorta.
La divisin de tareas entre los empleados. En las aplicaciones
computarizadas, la distribucin de deberes implica no slo la divisin de
tareas entre los empleados, sino tambin la divisin de tareas entre los
pasos del proceso automatizado. Por ejemplo, los programas
computarizados pueden procesar diferentes partes de una transaccin
en diversos lugares y terminales, y en ocasiones se requiere que tengan
sistemas de seguridad de acceso a nivel sistema, dato o programa
44
como en el caso de los sistemas bancarios.
Proceso de grandes cantidades de datos que pueden requerir la
repeticin o cruzamiento de diversos elementos de la informacin. Esto
es frecuentemente difcil y costoso en un sistema manual y slo se
realiza cuando es necesario. En las aplicaciones computarizadas,
grandes cantidades de datos pueden ser almacenadas en una base de
datos. La velocidad y capacidades de proceso del computador hacen
esta informacin disponible en el formato deseado. En un ambiente
computarizado, son posibles los ms complejos anlisis y usos
secundarios de los datos.


4.5 Concepto de auditoria de programas
[1 pgina 18]



La auditora de programas es la evaluacin de la eficiencia tcnica, del uso
de diversos recursos (cantidad de memoria) y del tiempo que utilizan los
programas, su seguridad y confiabilidad con el objetivo de optimizarlos y evaluar el
riesgo que tienen para la organizacin.
La auditora de programas tiene un mayor grado de profundidad y de detalla
que la auditora en informtica, ya que analiza y evala la parte central del uso de
las computadoras que es el programa, aunque se puede considerar como parte de
la auditora en informtica.
Para lograr que la auditora de programas sea eficiente las personas que la
realicen han de poseer conocimientos profundos sobre sistemas operativos,
sistemas de administracin de base de datos, lenguajes de programacin,
utileras, bases de datos y el equipo en que fue escrito el programa, y debern
comenzar con la revisin de la documentacin del mismo. Para poder llevar a
cabo una adecuada auditora de los programas se necesitan que los sistemas
estn trabajando correctamente y se obtengan los resultados requeridos, ya que el
cambiar el proceso del sistema en general se cambiara posiblemente los
programas. Sera absurdo intentar optimizar un programa de un sistema que no
est funcionando correctamente.
Para optimizar los programas se deber tener pleno conocimiento y
aceptacin del sistema o sistemas que usan ese programa, y disponer de toda la
documentacin detallada del sistema total.
Se considera como banco de datos: El conjunto de datos que guarda entre
si una coherencia temtica independiente del medio de almacenamiento.
La cantidad de informacin que contiene un banco de datos suele ser
grande, del orden de millones de datos.
Se considera como base de datos: La organizacin sistemtica de archivos
de datos para facilitar su acceso, recuperacin y actualizacin, relacionados los
unos con los otros y tratados como una entidad. Puede decirse que una base es
un banco de datos organizados como un tipo estructurado de datos.
DBMS (Dato base management system = sistema de administracin de
bases de datos): Es un conjunto de programas de permiten manejar cmodamente
una base de datos, o sea, "el conjunto de facilidades y herramientas de
45
actualizacin y recuperacin de informacin de una base de datos".


4.6 Concepto de auditora seguridad


Las empresas conocen, o has de conocer todos los problemas. Y cuando
deciden darles una solucin global, buscando los puntos dbiles de su seguridad
para atajarlos de una vez, pueden decidirse por una Auditora de Seguridad. Las
auditorias son actividades muy comunes en esto entornos empresariales,
especialmente las realizadas por personal externo (permitiendo un nivel obvias), y
permiten conocer el nivel de seguridad y las acciones a emprender para corregir
los posibles fallos.
Este tipo de auditora puede durar, en funcin del tamao del sistema,
desde unos pocos das, hasta varias semanas. Siempre debemos tener en cuenta
que el costo de realizar una auditora de seguridad siempre es menor que el valor
que pueden tener los datos internos en la empresa.
La auditora de seguridad cada vez resulta ms conveniente realizarla, ya
que el desarrollo de Internet es espectacular y las posibilidades del comercio
electrnico son ilimitadas; esto origina una vulnerabilidad en los datos ya que cada
vez existen ms personas que se dedican a cometer delitos informticos.
El proceso de esta auditora generalmente comienza con un anlisis de las
amenazas potenciales que enfrentan a una organizacin. Examina sistemas,
polticas y prcticas de la organizacin para identificar sus vulnerabilidades. El
anlisis contina con una valoracin de riesgo y concluye con un informe de
valoracin y una serie de recomendaciones.
Es necesario pensar en el establecimiento de polticas de seguridad, tal y
como la palabra lo dice, se asemejan a los seguros de la vida cotidiana, muchas
veces no se toma una decisin al respecto hasta que no se conocer un caso
cercano a quien la adversidad le coge por sorpresa. Las seguridad representa un
gasto que muchas veces parece intil y que se podra evitar, aunque el costo de
una buena gestin de seguridad siempre es menor que el valor que pueden tener
los datos internos de la empresa.


4.6.1 Consideraciones inmediatas para la auditora de la seguridad


1. Uso de la computadora
Se debe observar el uso adecuado de la computadora y su software que
puede ser susceptible a:

tiempo de mquina para uso ajeno.
copia de programas de la organizacin para fines de comercializacin
(copia pirata)
acceso directo o telefnico a bases de datos con fines fraudulentos

46
evaluar la seguridad contemplando la relacin costo, ya que a mayor
tecnologa de acceso mayor costo

3. Cantidad y tipo de Informacin
El tipo y la cantidad de informacin que se introduce en las computadoras
debe considerarse como un factor de alto riesgo ya que podran producir que:
la informacin este en manos de algunas personas
la alta dependencia en caso de perdida de datos

4. Control de programacin
Se debe tener conocer que el delito ms comn est presente en el
momento de la programacin, ya que puede ser cometido intencionalmente o no,
para lo cual se debe controlar que:
los programas no contengan bombas lgicas
los programas deben contar con fuentes y sus ultimas actualizaciones
los programas deben contar con documentacin tcnica, operativa y de
emergencia

5. Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de las
personas que estn ligadas al sistema de informacin de forma directa y se
deber contemplar principalmente:
la dependencia del sistema a nivel operativo y tcnico
evaluacin del grado de capacitacin operativa y tcnica
contemplar la cantidad de personas con acceso operativo y
administrativo
conocer la capacitacin del personal en situaciones de emergencia
6. Medios de control
Se debe contemplar la existencia de medios de control para conocer
cuando se produce un cambio o un fraude en el sistema. Tambin se debe
observar con detalle el sistema ya que podra generar indicadores que pueden
actuar como elementos de auditora inmediata, aunque esta no sea una
especificacin del sistema.

7. Rasgos del personal
Se debe ver muy cuidadosamente el carcter del personal relacionado con
el sistema, ya que pueden surgir:
malos manejos de administracin
malos manejos por negligencia
malos manejos por ataques deliberados

8. Instalaciones
Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan
un alto grado de riesgo. Para lo cual se debe verificar:
la continuidad del flujo elctrico
efectos del flujo elctrico sobre el software y hardware
evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc.
47
verificar si existen un diseo, especificacin tcnica, manual o algn tipo
de documentacin sobre las instalaciones

9. Control de residuos

Observar como se maneja la basura de los departamentos de mayor
importancia, donde se almacena y quien la maneja.

10. Establecer reas y prado del riesgo

Es muy importante el crear una conciencia en los usuarios de la
organizacin sobre el riesgo que corre la informacin y hacerles comprender que
la seguridad es parte de su trabajo. Para esto se deben conocer los principales
riesgos que acechan a la funcin informtica y los medios de prevencin que se
deben tener, para lo cual se debe:

a) Establecer el Costo del Sistema de Seguridad (Anlisis Costo contra
Beneficio)
Este estudio se realiza considerando el costo que se presenta cuando se
pierde la informacin contra el costo de un sistema de seguridad. Para realizar
este estudio se debe considerar lo siguiente:
clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo)
identificar las aplicaciones que tengan alto riesgo
cuantificar el impacto en el caso de suspensin del servicio aquellas
aplicaciones con un alto riesgo
formular las medidas de seguridad necesarias dependiendo del nivel de
seguridad que se requiera
la justificacin del costo de implantar las medidas de seguridad
Cada uno de estos puntos es de mucha importancia por lo que se sugiere
clasificar estos elementos en reas de riesgo que pueden ser:

a) Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de
informacin, para lo cual es importante considerar responder las siguientes cuatro
preguntas:

1. Qu sucedera si no se puede utilizar el sistema? Si el sistema
depende de la aplicacin por completo se debe definir el nivel de riesgo.
2. Qu consecuencias traera si es que no se pudiera acceder al
sistema? Al considerar esta pregunta se debe cuidar la presencia de
manuales de respaldo para emergencias o algn modo de cmo se
soluciono este problema en el pasado.
3. Existe un procedimiento alternativo y que problemas ocasionara?
Se debe verificar si el sistema es nico o es que existe otro sistema
tambin computarizado de apoyo menor. Ejemplo: S el sistema principal
esta diseado para trabajar en red sea tipo WAN quiz haya un soporte de
apoyo menor como una red LAN o monousuario. E el caso de un sistema
48
de facturacin en red, si esta cae, quiz pudiera trabajar en forma
distribuida con un mdulo menor monousuario y q tenga la capacidad de
que al levantarse la red existan mtodos actualizacin y verificacin
automtica.
4. Qu se ha hecho en casos de emergencia hasta ahora? Para
responder esta pregunta se debe considerar al menos las siguientes
situaciones, donde se debe rescatar los acontecimientos, h consecuencias
y las soluciones tomadas, considerando:
Que exista un sistema paralelo al menos manual
Si hay sistemas duplicados en las reas crticas (tarjetas de red
teclados, monitores, servidores, unidades de disco, aire acondicionado).
Si hay sistemas de energa ininterrumpida UPS.
Si las instalaciones elctricas, telefnicas y de red son adecuada, (se
debe contar con el criterio de un experto).
Si se cuenta con un mtodo de respaldo y su manual administrativo.
Una vez que se ha definido el grado de riesgo se debe elaborar una lista de
los sistemas con las medidas preventivas que se deben tomar y las correctivas en
casi de desastre, sealando la prioridad de cada uno. Con el objetivo que en caso
de desastres se trabajen los sistemas de acuerdo a sus prioridades.

Disposiciones que Acompaan la Seguridad

De acuerdo a experiencias pasadas, y a la mejor conveniencia de la
organizacin, desde el punto de vista de seguridad, contar con un conjunto de
disposiciones o cursos de accin para llevarse a cabo en caso de presentarse
situaciones de riesgo. Para lo cual se debe considerar:
Obtener una especificacin de las aplicaciones, los programas y
archivos de datos.
Medidas en caso de desastre como perdida total de datos, abuso y los
planes necesarios para cada caso.
Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
Verificar el tipo de acceso que tiene las diferentes personas de la
organizacin, cuidar que los programadores no cuentes con acceso a la
seccin de operacin ni viceversa.
Que los operadores no sean los nicos en resolver los problemas que
se presentan.

b) Higiene

Otro aspecto que parece de menor importancia es el de orden e higiene,
que debe observarse con mucho cuidado en las reas involucradas de la
organizacin (centro de computo y dems dependencias), pues esto ayudar a
detectar problemas de disciplina y posibles fallas en la seguridad. Tambin
podemos ver que la higiene y el orden son factores que elevan la moral del
recurso humano, evita la acumulacin de desperdicios y limita las posibilidades de
accidentes. Adems es un factor que puede perjudicar el desarrollo del trabajo
tanto a nivel formal como informal.
49

c) Cultura Personal

Cuando hablamos de informacin, su riesgo y su seguridad, siempre se
debe considerar al elemento humano, ya que podra definir la existencia o no de
los ms altos grados de riesgo. Por lo cual es muy importante considerar la
idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo.


4.6.2 Consideraciones para elaborar un sistema de seguridad
integral.

Como hablamos de realizar la evaluacin de la seguridad es importante
tambin conocer como desarrollar y ejecutar el implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir
y controlar las actividades relacionadas a mantener y garantizar la integridad fsica
de los recursos implicados en la funcin informtica, as como el resguardo de los
activos de la empresa."

Un sistema integral debe contemplar:
Definir elementos administrativos
Definir polticas de seguridad
A nivel departamental
A nivel institucional
Organizar y dividir las responsabilidades
Contemplar la seguridad fsica contra catstrofes (incendios,
terremotos, inundaciones, etc.)
Definir P Prcticas de seguridad para el personal:
Plan de emergencia (plan de evacuacin, uso de recursos de
emergencia como extintores
Nmeros telefnicos de emergencia
Definir el tipo de plizas de seguros
Definir elementos tcnicos de procedimientos
Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los sistemas de seguridad incluyendo datos y archivos
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas (simulacin)
Planificacin de equipos de contingencia con carcter peridico
Control de desechos de los nodos importantes del sistema:
Poltica de destruccin de basura copias, fotocopias, etc.
Consideracin de las normas ISO 14000


4.6.3 Etapas para implementar un sistema de seguridad.
50


Para dotar de medios necesarios para elaborar su sistema de seguridad se
debe considerar los siguientes puntos:
Sensibilizar a los ejecutivos de la organizacin en torno al tema de
seguridad.
Se debe realizar un diagnstico de la situacin de riesgo y seguridad de
la informacin en la organizacin a nivel software, hardware, recursos
humanos, y ambientales.
Elaborar un plan para un programa de seguridad. El plan debe
elaborarse contemplando:

a) Plan de Seguridad Ideal (o Normativo)

Un plan de seguridad para un sistema de seguridad integral debe
contemplar:
El plan de seguridad debe asegurar la integridad y exactitud de los
datos
Debe permitir identificar la informacin que es confidencial
Debe contemplar reas de uso exclusivo
Debe proteger y conservar los activos de desastres provocados por la
mano del hombre y los actos abiertamente hostiles
Debe asegurar la capacidad de la organizacin para sobrevivir
accidentes
Debe proteger a los empleados contra tentaciones o sospechas
innecesarias
Debe contemplar la administracin contra acusaciones por imprudencia

b) Consideraciones para con el personal

Es de gran importancia la elaboracin del plan considerando el personal,
pues se debe llevar a una conciencia para obtener una autoevaluacin de su
comportamiento con respecto al sistema, que lleve a la persona a:
Asumir riesgos
Cumplir promesas
Innovar
Para apoyar estos objetivos se debe cumplir los siguientes pasos:
1) Motivar
Se debe desarrollar mtodos de participacin reflexionando sobre lo que
significa la seguridad y el riesgo, as como su impacto a nivel
empresarial, de cargo y individual.
2) Capacitacin General
En un principio a los ejecutivos con el fin de que conozcan y entiendan la
relacin entre seguridad, riesgo y la informacin, y su impacto en la
empresa.
El objetivo de este punto es que se podrn detectar las debilidades y
potencialidades de la organizacin frente al riesgo. Este proceso incluye
51
como prctica necesaria la implantacin la ejecucin de planes de
contingencia y la simulacin de posibles delitos.
3) Capacitacin de Tcnicos
Se debe formar tcnicos encargados de mantener la seguridad como
parte de su trabajo y que est capacitado para capacitar a otras personas
en lo que es la ejecucin de medidas preventivas y correctivas.
4) tica y Cultura
Se debe establecer un mtodo de educacin estimulando el cultivo de
elevados principios morales, que tengan repercusin a nivel personal e
institucional. De ser posible realizar conferencias peridicas sobre:
doctrina, familia, educacin sexual, relaciones humanas, etc.


4.6.4 Etapas para implantar un sistema integral en marcha


Para hacer que el plan entre en vigor y los elementos empiecen a funcionar
y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo
sistema de seguridad se deben seguir los siguiente 8 pasos:
1. Introducir el tema de seguridad en la visin de la empresa.
2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a
todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
4. Designar y capacitar supervisores de rea.
5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras
relativamente rpidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las reas de mayor riesgo corporativo y trabajar
con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos bsicos de
seguridad y riesgo para el manejo del software, hardware y con respecto
a la seguridad fsica.


4.6.5 Beneficios de un sistema de seguridad


Los beneficios de un sistema de seguridad bien elaborado son inmediatos,
ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja
en los siguientes puntos:
Aumento de la productividad.
Aumento de la motivacin del personal.
Compromiso con la misin de la compaa.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales
52

5
__________________________________________________________________



Planeacin de la auditora en
informtica




5.1 Planeacin de la auditoria en informtica


Para nacer una adecuada planeacin de la auditora en informtica, hay
que seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin
y equipo; con ello podremos determinar el nmero y caractersticas del personal
de auditora, las herramientas necesarias, el tiempo y costo, as como definir los
alcances de la auditoria para, en caso necesario, poder elaborar el contrato de
servicios.
Dentro de la auditoria en general, la planeacin es uno de los pasos ms
importantes, ya que una inadecuada planeacin repercutir en una serie de
problemas, que pueden provocar que no se cumpla con la auditora o bien que no
se efecte con el profesionalismo que debe tener el desarrollo de cualquier
auditora.
En el caso de la auditora en informtica, la planeacin es fundamental,
pues habr que hacer desde el punto de vista de los tres objetivos:
Evaluacin administrativa del rea de procesos electrnicos.
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
Para lograr una adecuada planeacin, lo primero que se requiere es
obtener informacin general sobre la organizacin y sobre la funcin de
informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y
algunas entrevistas previas, y con base a esto planear el programa de trabajo, el
cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a
solicitar o formular el desarrollo de las mismas.

53

5.1.1 Investigacin preliminar

"Es necesario iniciar el trabajo de obtencin de datos con un contacto
preliminar que permita una primera idea global. El objeto de este primer contacto
es percibir rpidamente las estructuras fundamentales y diferencias principales
entre el organismo auditar y otras organizaciones que se hayan investigado".
Se debe recopilar informacin para obtener una visin general del
departamento por medio de observaciones, entrevistas preliminares y solicitudes
de documentos; la finalidad es definir el objetivo y alcance del estudio, as como el
programa detallado de la investigacin.
Se deber observar el estado general del departamento o rea, su situacin
dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y
la fecha de su ltima actualizacin.
La planeacin de la auditora debe sealar en forma detallada el alcance y
direccin esperados y debe comprender un plan de trabajo para que, en caso de
que existan cambios o condiciones inesperadas que ocasionen modificaciones al
plan general sean justificadas por escrito (un ejemplo de formato de programa de
auditora se da en anexo 1).
En el caso de la auditora en informtica debemos comenzar la
investigacin preliminar con una visita al organismo, al rea de informtica y a los
equipos de cmputo, y solicitar una serie de documentos. Se debe hacer la
investigacin preliminar solicitando y revisando la informacin de cada una de las
reas basndose en los siguientes puntos:

Administracin

Se recopila la informacin para obtener una visin general del
departamento por medio de observaciones, entrevista preliminar y solicitud de
documentos para poder definir el objetivo y alcances del departamento.
La eficiencia en el departamento de informtica slo se puede lograr si sus
objetivos estn integrados con los objetivos de la institucin y permanentemente
se adapta a los posibles cambios de stos.
Esta adaptacin nicamente puede ser posible si los altos ejecutivos y los
usuarios de los sistemas toman parte activa en las decisiones referentes a la
direccin y utilizacin de los sistemas de informacin, y si el responsable de dicho
sistema constantemente consulta y pide asesora y cooperacin a los ejecutivos y
usuarios.
As mismo el control de la direccin de informtica no es posible, a menos
que el personal responsable aplique la misma disciplina de trabajo y los mtodos
que se exigen normalmente a los usuarios. Podemos hablar de tener el control,
nicamente cuando s contemplaron los objetivos, se estableci un presupuesto y
se registraron correctamente los costos en el desarrollo de la aplicacin y sta
contempla el nivel de servicio en trminos de calidad y tiempos mnimos de
entrega de resultados de la operacin del computador.
El xito de la direccin de informtica dentro de una organizacin, depende
finalmente de que todas las personas responsables del mismo tomen una actitud
54
positiva respecto a su trabajo y evalen constantemente la eficiencia en su propio
trabajo as como el trabajo desarrollado por su rea, estableciendo metas y
estndares que incrementen su productividad.
La direccin de informtica, segn las diferentes reas de la organizacin,
es evaluada desde diferentes puntos de vista.
Los usuarios a nivel operativo generalmente la ven como una herramienta
para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccin de
informtica es una funcin de servicio similar al departamento de nominas. Cada
grupo de usuarios tiene su propia expectativa del tipo y nivel de servicio, sin
considerar el costo del mismo y normalmente sin tomar en cuenta las necesidades
de otros grupos de usuarios.
Los altos ejecutivos consideran a la direccin de informtica como una
inversin importante, con la funcin de que participe activamente en el
cumplimiento de los objetivos de la organizacin, y esperan un mximo del retorno
de su inversin, que los recursos destinados a la direccin de informtica
proporcionen un beneficio mximo a la organizacin y que participen en la
administracin eficiente y en la minimizacin de los costos mediante informacin
que permita una adecuada toma de decisiones.
Esencialmente la meta principal de los administradores de la direccin de
informtica, es la misma que inspira cualquier departamento de servicio; combinar
un servicio adecuado con una operacin econmica.
El problema estriba en balancear el nivel de servicio a los usuarios, que
siempre puede ser incrementado a costa de un incremento del factor econmico o
viceversa.
Para poder analizar y dimensionar la estructura por auditar se debe
solicitar:

a) a nivel organizacional total
- Objetivos a corto y largo plazo.
- Manual de la organizacin.
- Antecedentes o historia del organismo.
- Polticas generales.
b) a nivel del rea de informtica
- Objetivos a largo plazo
- Manual de organizacin del rea que incluya puestos, funciones,
niveles jerrquicos y tramos de mando.
- Manual de polticas, reglamentos internos y lineamientos generales.
- Nmero de personal y puestos en el rea.
- Procedimientos administrativos del rea.
- Presupuestos y costos del rea.
c) Recursos materiales y tcnicos
- Solicitar documentos sobre los equipos, nmeros de ellos, localizacin y
caractersticas.
- Estudios de vialidad.
- Nmero de equipos, localizacin y las caractersticas (de los equipos
instalados, por instalar y programados).
- Fechas de instalacin de los equipos y planes de instalacin.
55
- Contratos vigentes de compra, renta y servicio de mantenimiento.
- Contratos de seguros.
- Convenios que se tiene con otras instalaciones.
- Configuracin de los equipos y capacidades actuales y mximas.
- Planes de expansin.
- Ubicacin general de los equipos.
- Polticas de operacin.
- Polticas de uso de los equipos.
d) Sistemas
- Descripcin general de los sistemas instalados y de los que estn por
instalarse que contengan volmenes de informacin.
- Manual de formas.
- Manual de procedimientos de los sistemas
- Descripcin genrica
- Diagrama de entrada, archivos, salida.
- Salidas
- Fecha de instalacin de los sistemas
- Proyecto de instalacin de nuevos sistemas.

En el momento de hacer la planeacin de la auditora o bien su realizacin,
debemos evaluar que pueden presentarse las siguientes situaciones:

Se solicita la informacin y se ve que:

1. No se tiene y se necesita.
2. No se tiene y no se necesita.
3. Se tiene la informacin pero;
a) No se usa.
b) Es incompleta.
c) No est actualizada
d) No es la adecuada.
e) Se usa, est actualizada, es la adecuada y est completa.

Es el caso de que no se disponga de la informacin y se considere que no
se necesita, se debe evaluar la causa por la que no es necesaria, ya que se puede
estar solicitando un tipo de informacin que debido a las caractersticas del
organismo no se requiera. Eso nos dar un parmetro muy importante para hacer
una adecuada planeacin de la auditora.
En el caso de que no se tenga la informacin pero que sea necesaria, se
debe recomendar que se elabore de acuerdo con las necesidades y con el uso
que se le va a dar.
En el caso de que tenga la informacin pero no se utilice se debe analizar
por que no se usa. El motivo puede ser que est incompleta, que no est
actualizada, que no sea la adecuada, etc. Hay que analizar y definir las causas
para sealar alternativas de solucin, que dan por resultado la utilizacin de la
informacin.
En caso de que se tenga la informacin, se debe analizar si se usa, si est
56
actualizada, si es la adecuada y si est completa; de ser as, se considerar
dentro de las conclusiones de la evaluacin, ya que como se dijo la auditora no
slo debe considerar errores, sino tambin sealar los aciertos.
Adems de concluir esta etapa no se olvide que el xito del anlisis crtico
depende de las consideraciones siguientes:
- Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni
la informacin sin fundamento)
- Investigar las causas, no los efectos
- Atender razones, no excusas
- No confiar en la memoria, preguntar constantemente
- Criticar objetivamente y a fondo todos los informes y los datos
recabados


5.1.2 Personal participante


Una de las partes ms importantes dentro de la planeacin de la auditoria
en informtica es el personal que deber participar.
En este punto no veremos el nmero de personas que deber participar ya
que esto estaba dado en funcin de las dimensiones de la organizacin, de los
sistemas y de los equipos. Lo que deber considerarse son las caractersticas del
personal que habr de participar en la auditora.
Uno de los esquemas generalmente aceptados para tener un adecuado
control es que el personal que intervenga est debidamente capacitado, con alto
sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y
se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar las caractersticas de conocimientos,
prctica profesional y capacitacin que debe tener el personal que intervendr en
la auditora.
En primer lugar debemos pensar que hay personal asignado por la
organizacin, con el suficiente nivel para poder coordinar el desarrollo de la
auditora, proporcionarnos toda la informacin que se solicite y programar las
reuniones y entrevistas requeridas.
ste es un punto muy importante ya que, de no tener el apoyo de la alta
direccin ni contar con un grupo multidisciplinario en el cual estn presentes una o
varias personas del rea a auditar, sera casi imposible obtener informacin en el
momento y con las caractersticas deseadas.
Tambin se debe contar con personas asignadas por los usuarios para que
en el momento que se solicite informacin o bien se efecte alguna entrevista de
comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, y
complementen el grupo multidisciplinario, ya que debemos analizar no slo el
punto de vista de la direccin de informtica, sino tambin el del usuario del
sistema.
Para complementar el grupo, como colaboradores directos en la realizacin
de la auditora se debe tener personas con las siguientes caractersticas:
- Tcnico en informtica
57
- Conocimientos de administracin, contadura y finanzas.
- Experiencia en el rea de informtica
- Experiencia en operacin y anlisis de sistemas
- Conocimientos y experiencia en psicologa industrial
- Conocimientos de los sistemas ms importantes.

En caso de sistemas complejos se deber contar con personal con
conocimientos y experiencia en reas especficas como base de datos, redes, etc.
Lo anterior no significa que una sola persona tenga los conocimientos y
experiencias sealadas, pero si deben intervenir una o varias personas con las
caractersticas apuntadas.
Una vez planteada la forma de llevar a cabo la auditora, estaremos en
posibilidad de presentar la carta convenio de servicios profesionales (en caso de
auditores externos) y el plan de trabajo.
La carta convenio es un compromiso del auditor dirigida a su cliente para su
confirmacin de aceptacin; en ella se especifican el objetivo y alcance de la
auditora, las limitaciones y colaboracin necesaria, el grado de responsabilidad y
los informes que se han de entregar.
Una vez que se ha hecho la planeacin, se puede utilizar el formato
sealado en el anexo 1, el cual servir para resumir el plan de trabajo de la
auditora. Este formato de programa de auditora nos servir de base para llevar
un adecuado control del desarrollo de la misma.
En l figuran el organismo, la fecha de formulacin, las fases y subfases
que comprenden la descripcin de la actividad, e nmero de das hbiles y el
nmero de das-hombre estimados.
El control de avance de la auditora lo podemos llevar mediante el anexo 2,
el cual nos permite cumplir con los procedimientos de control y asegurarnos de
que el trabajo se est llevando la cabo de acuerdo con el programa de auditora,
con los recursos estimados y en el tiempo sealado en la planeacin.
El hecho de contar con la informacin del avance nos permite revisar el
trabajo elaborado por cualquiera de nuestros asistentes.

58

6
__________________________________________________________________



Auditora de la funcin de
informtica
[1; pg. 28-50]



6.1 Recopilacin de la informacin organizacional.

Una vez elaborada la planeacin de la auditora, la cual servir como plan
maestro de los tiempos, costos y prioridades, y como medio de control de la
auditora, se debe empezar la recoleccin de la informacin.
Se proceder a efectuar la revisin sistematizada del rea a travs de la
observacin y entrevistas de fondo en cuanto a:

a) Estructura Orgnica
- Jerarquas (Definicin de la autoridad lineal, funcional y de asesora)
- Estructura orgnica
- Funciones
- Objetivos
b) Se deber revisar la situacin de los recursos humanos.
c) Entrevistas con el personal de procesos electrnicos:
- Jefatura
- Anlisis
- Programadores
- Operadores
- Capturistas
- Personal administrativo
d) Se deber conocer la situacin presupuestal y financiera en cuanto a:
- Presupuesto
- Recursos financieros
- Recursos materiales
- Mobiliario y equipo
e) Se har un levantamiento del censo de recursos humanos y anlisis de
situacin en cuanto a:
- Nmero de personas y distribucin por reas
59
- Denominacin de puestos
- Salario
- Capacitacin
- Conocimientos
- Escolaridad
- Experiencia profesional
- Antigedad
- Historial de trabajo
- Salario y conformacin
- Movimientos salariales
- ndice de rotacin del personal
- Programa de capacitacin (vigente y capacitacin dada en el ltimo
ao)
f) Por ltimo, se deber revisar el grado de cumplimiento de los documentos
administrativos.
- Normas y polticas
- Planes de trabajo
- Controles
- Estndares
- Procedimientos

La informacin nos servir para determinar:

- Si las responsabilidades en la organizacin estn definidas
adecuadamente
- Si la estructura organizacional est adecuada a las necesidades
- Si el control organizacional es el adecuado
- Si se tienen los objetivos y polticas adecuadas, se encuentran
vigentes y estn bien definidas
- Si existe la documentacin de las actividades, funciones y
responsabilidades
- Si los puestos se encuentran definidos y sealadas sus
responsabilidades
- Si el anlisis y descripcin de puestos est de acuerdo con el
personal que los ocupa
- Si se cumplen los lineamientos organizacionales
- Si el nivel de salarios comparado con el mercado de trabajo
- Si los planes de trabajo concuerdan con los objetivos de la empresa
- Si se cuenta con los recursos humanos necesarios que garanticen la
continuidad de la operacin o se cuenta con "indispensables"
- Si se evalan los planes y se determinan las desviaciones


6.2 Evaluacin de la estructura orgnica

Para lograr el objetivo de evaluacin de la estructura orgnica se deber
solicitar el manual de organizacin de la direccin, el cual deber comprender
60
como mnimo:
- Organigrama con jerarquas
- Funciones
- Objetivos y polticas
- Anlisis, descripcin y evaluacin de puestos
- Manual de procedimientos
- Manual de normas
- Instructivos de trabajo o guas de actividad

Tambin se deben solicitar:
- Objetivos de la direccin
- Polticas y normas de la direccin

El director de informtica y aquellas personas que tengan un cargo directivo
deben llevar los cuestionarios sobre estructura orgnica, funciones, objetivos y
polticas de los cuales se presenta un ejemplo.
El cuestionario que se presenta a continuacin tiene por objeto poder
conocer en primer lugar la organizacin del departamento de informtica y su
dependencia dentro de la organizacin total.
El departamento de informtica bsicamente puede estar dentro de alguno
de estos tipos de dependencia:

a) Depende de alguna direccin o gerencia lo cual, normalmente, es la
direccin de finanzas. Esto se debe a que inicialmente informtica o
departamento de procesamiento electrnico de datos, nombre con que
se le conoca, procesaba principalmente sistemas de tipo contable,
financiero o administrativo, por ejemplo, la contabilidad la nmina,
ventas o facturacin. El que informtica dependa del usuario principal
normalmente se da en estructuras pequeas o bien que inician en el
rea de informtica. La ventaja que tiene es que no se crea una
estructura adicional para el rea de informtica y permite que el usuario
principal tenga un mayor control sobre sus sistemas.
La ventaja principal es que los otros usuarios son considerados como
secundarios y normalmente no se les da la importancia y prioridad
requerida; otra desventaja es que, como la informacin es poder, a
veces hace que un rea tenga un mayor poder. Tambin, en ocasiones,
sucede que el gerente o director del rea usuaria del cual depende
informtica tiene muy poco conocimiento de informtica; ello ocasiona
que el jefe de informtica cree una isla dentro de la gerencia y que
acuerde directamente con otras gerencias usuarias, dando lugar a
problemas con las lneas de autoridad.
b) La segunda posibilidad es que la direccin de informtica dependa de la
gerencia general; esto puede ser en lnea o bien en forma de asesora.
La ventaja de alguna de estas organizaciones es que el director de
informtica podr tener un nivel adecuado dentro de la organizacin, lo
cual le permitir lograr una mejor comunicacin con los departamentos
usuarios y, por lo tanto, proporcionarles un mejor servicio y asignar las
61
prioridades de acuerdo con los lineamientos dados por la gerencia
general.
La desventaja es que aumentan los niveles de la organizacin, lo que
elevar el costo de la utilizacin de los sistemas de computo.
c) La tercera posibilidad es que estructuras muy grandes en la que hay
bases de datos, redes o bien equipos en diferentes lugares. En esta
estructura se considera la administracin corporativa. La direccin de
informtica depende de la gerencia general, o de departamentos de
informtica dentro de las dems gerencias, las cuales reciben todas las
normas, polticas, procedimientos y estndares de la direccin de
informtica, aunque funcionalmente dependan de la gerencia a la cual
ests adscritas. Son controladas en cuanto a sus funciones y equipo en
forma centralizada por la direccin de informtica. Deben estar
perfectamente definidas las funciones, organizacin y polticas de los
departamentos para evitar la duplicidad de mando y el que en dos
lugares diferentes se estn desarrollando los mismos sistemas o bien
que slo en un lugar se programe, y no se permita usar los equipos
para programar en otro lugar que no sea la direccin de informtica.
Esto se puede dar en instalaciones que tengan equipo en varias
ciudades o lugares, y para evitarlo se deben tener bien definidas las
polticas y funciones de todas las reas.
La ventaja principal de esta organizacin consiste en que se puede
tener centralizada la informacin (base de datos) y descentralizados los
equipos; pero se debe tener una adecuada coordinacin entre la
direccin de informtica y los departamentos de informtica de las reas
usuarias para evitar duplicar esfuerzos o duplicidad de mando.
d) La cuarta forma de organizacin es la creacin de una compaa
independiente que de servicio de informtica a la organizacin.

Cuestionario para conocer la estructura orgnica

1.1 Bases jurdicas (principalmente en el sector pblico)

Se ajusta la estructura orgnica actual a las disposiciones jurdicas vigentes?
No, porqu razn?
__________________________________________________________________
__________________________________________________________________

Cules son los ordenamientos legales en que se sustenta la direccin?
__________________________________________________________________
__________________________________________________________________

Objetivo de la estructura

La estructura actual est encaminada a la consecucin de los objetos del rea?
Explique en qu forma.
__________________________________________________________________
62

Permite la estructura actual que se lleven a cabo con eficiencia
- Las atribuciones encomendadas? SI NO
- Las funciones establecidas? SI NO
- Las distribucin del trabajo? SI NO
- El control interno? SI NO

Si algunas de las respuestas es negativa explique cul es la razn
__________________________________________________________________

1.2 Niveles jerrquicos (es conveniente conocer los niveles jerrquicos para poder
evaluar si son los necesarios y si bien estn bien definidos).

Los niveles jerrquicos establecidos actualmente son necesarios y suficientes
para el desarrollo de las actividades del rea?

Por qu o cules son sus recomendaciones?
__________________________________________________________________
__________________________________________________________________

Permiten los niveles jerrquicos actuales que se desarrolle adecuadamente la:
- Operacin?
- Supervisin?
Los niveles actuales permiten que se tenga una gil
- Comunicacin ascendente? SI NO
- Comunicacin descendente? SI NO
- Toma de decisiones? SI NO

Si alguna de las respuestas es negativa, explique cul es la razn.
__________________________________________________________________

Se considera que algunas reas debera tener
- Mayor jerarqua? SI NO
- Menor jerarqua? SI NO
Por qu razn
__________________________________________________________________
__________________________________________________________________

1.3 Departamentalizacin

SE consideran adecuados los departamentos, reas y oficinas en que est
dividida actualmente la estructura de la direccin? SI NO
No, por qu razn?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________

63

El rea y sus subreas tienen delimitadas con claridad sus responsabilidades?
SI NO
No, qu efectos provoca esta situacin?
__________________________________________________________________
__________________________________________________________________

Puesto (se debe tener cuidado de que estn bien definidas las funciones de cada
puesto, ya que desafortunadamente existe mucha confusin en los nombres que
se dan a los puestos dentro del medio de la informtica).

Los puestos actuales son adecuados a las necesidades que tiene el rea para
llevar a cabo sus funciones?
SI NO
No, Por qu razn?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________

El nmero de empleados que trabajan actualmente es adecuado para cumplir
con las funciones encomendadas?
SI NO
Solicite el manual de descripcin de puestos de:
- Anlisis
- Programacin
- Tcnicos
- Operacin
- Captura
- Direccin
- Administracin
- Otros

NOTA: (de la pregunta anterior). Pide la plantilla de personal.
Especifique el nmero de personas que reportan a las personas que a su vez
reportan a cada puesto.
- Direccin
- Subdirector
- Jefes de departamento
- Jefes de seccin
- Jedes de rea

El nmero de personas es el adecuado en cada uno de los puestos?
SI NO
Por qu?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
64

No, Cul es el nmero de personal que considerara adecuado? (seale el
puesto o los puestos)
__________________________________________________________________
__________________________________________________________________

1.4. Expectativas (dentro de las expectativas se pueden detectar, en algunas
ocasiones, deficiencias y frustraciones de las personas).

Considera que debe revisarse la estructura actual, a fin de hacerla ms eficiente?
SI NO
Si, por qu razn?
__________________________________________________________________
__________________________________________________________________
Cul es la estructura que propondra?
__________________________________________________________________
__________________________________________________________________
De realizar una modificacin a la estructura, cundo considera que debera
hacerse?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________

1.5. Autoridad

Se encuentra definida adecuadamente la lnea de autoridad?
SI NO
No, por qu razn?
__________________________________________________________________
__________________________________________________________________

Su autoridad va de acuerdo a su responsabilidad?
SI NO
No, por qu razn?
__________________________________________________________________
__________________________________________________________________

En su rea se han presentado conflictos por el ejercicio de la autoridad?
SI NO
Si, explique en que casos
__________________________________________________________________
__________________________________________________________________

Existe en el rea algn sistema de sugerencias y quejas por parte del personal?
SI NO

65

2. Funciones (las funciones en informtica pueden diferir de un organismo a otro,
aunque se designen con el mismo nombre; por ejemplo, la funcin del
programador en una organizacin puede ser diferente en otra organizacin).

2.1. Existencia
Se han establecido funciones del rea?
SI NO
No, Por que no?
__________________________________________________________________
__________________________________________________________________
Las funciones estn de acuerdo con las atribuciones legales?
Si NO
Por qu no estn de acuerdo?
__________________________________________________________________
__________________________________________________________________
sugerencias
__________________________________________________________________
__________________________________________________________________
Estn por escrito en algn documento las funciones del rea?
SI NO
Cul es la causa de que no estn por escrito?
__________________________________________________________________
__________________________________________________________________
Cul es la forma de darlas a conocer?
__________________________________________________________________
__________________________________________________________________
Quin elabor las funciones?
__________________________________________________________________
__________________________________________________________________
Particip el rea en su formulacin?
SI NO
Por qu causas no particip?
__________________________________________________________________
__________________________________________________________________
Quin las autoriz o aprob?
__________________________________________________________________
__________________________________________________________________

2.2 Coincidencias (se debe tener cuidado en que se conozcan las funciones del
rea).
66

Las funciones estn encaminadas a la consecucin de los objetivos
institucionales e internos?
SI NO
Por qu no?
__________________________________________________________________
__________________________________________________________________
Sugerencias
__________________________________________________________________
__________________________________________________________________
Las funciones del rea estn acordes al reglamento interior?
SI NO
No, en qu considera que difieren?
__________________________________________________________________
__________________________________________________________________
A qu nivel se conocen las funciones del rea?
__________________________________________________________________
__________________________________________________________________
Conocen otras reas las funciones del rea?
SI NO
Por qu no?
__________________________________________________________________
__________________________________________________________________
Considera que se deben dar a conocer?
SI NO
Por qu no?
__________________________________________________________________


2.3 Adecuadas (debemos tener cuidado ya que en esta rea podemos detectar
malestares del personal debido a que como las funciones no son adecuadas a las
necesidades, pueden existir problemas de definicin de funciones o bien de
cargas de trabajo).

Son adecuadas a la realidad las funciones?
SI NO
Por qu no son adecuadas?
__________________________________________________________________
__________________________________________________________________
Son adecuadas a las necesidades actuales?
SI NO
Por qu no?
__________________________________________________________________
__________________________________________________________________
Cules son sus principales limitaciones?
__________________________________________________________________
__________________________________________________________________
67

Sugerencias
__________________________________________________________________
__________________________________________________________________
Estn adecuadas a las cargas de trabajo?
SI NO
Existen conflictos por las cargas de trabajo desequilibradas?
SI NO
De qu tipo?
__________________________________________________________________
__________________________________________________________________
Se tiene contemplada la desconcentracin?
SI NO
Por que no?
__________________________________________________________________
_________________________________________________________________
Cmo afecta la desconcentracin a las funciones?
__________________________________________________________________
__________________________________________________________________
Qu funciones se van a desconcentrar?
__________________________________________________________________
__________________________________________________________________
Particip la de informtica en su elaboracin?
SI NO
Por qu no?
__________________________________________________________________
__________________________________________________________________

2.4 Cumplimiento (esta seccin nos sirve para evaluar el grado de cumplimiento
de las funciones)
Estn delimitadas las funciones?
SI NO
A nivel de departamento? A nivel de puesto?
No, por que?
__________________________________________________________________
__________________________________________________________________
Las actividades que realiza son acordes a las funciones que tiene asignadas?
SI NO
No, qu tipo de actividades realiza que no estn acordes a las funciones
asignadas?
__________________________________________________________________
__________________________________________________________________
Cul es la causa?
__________________________________________________________________
__________________________________________________________________
Quin las ordena?
__________________________________________________________________
__________________________________________________________________
68


Las actividades que realiza actualmente cumplen en su totalidad con las
funciones conferidas?
SI NO
No, cul es su grado de cumplimiento?
__________________________________________________________________
__________________________________________________________________
La falta de cumplimiento de sus funciones es por:
( ) Falta de personal
( ) Personal no capacitado
( ) Cargas de trabajo excesivas
( ) Porque realiza otras actividades
( ) La forma en que las ordena
Cules funciones realiza en forma:
Peridica?
__________________________________________________________________
Eventual?
__________________________________________________________________
Sistemtica?
__________________________________________________________________
Otras?
__________________________________________________________________
Tienen programas y tareas encomendadas?
SI NO
No, por qu?
__________________________________________________________________
Permiten cumplir con los programas y tareas encomendadas (necesidades de
operacin)?
SI NO
No, por qu causas?
__________________________________________________________________
Quin es el responsable de ordenar que se ejecuten las actividades?
__________________________________________________________________
En caso de realizar otras actividades, quin las ordena y autoriza?
__________________________________________________________________
En caso de no encontrarse el jefe inmediato, quin lo puede realizar?
__________________________________________________________________

2.5 Apoyos

Para cumplir con sus funciones requiere de apoyos de otras reas?
SI NO
S, de qu tipo?
__________________________________________________________________
Cul es el rea que proporciona el apoyo?
__________________________________________________________________
69

Se lo proporcionan con oportunidad?
SI NO
No, qu le ocasiona?
__________________________________________________________________
No, cmo resuelve esa falta de apoyo?
__________________________________________________________________
Con qu frecuencia lo solicita?
__________________________________________________________________
Para cumplir con sus funciones, proporciona apoyos a otras reas?
SI NO
Si, qu tipo de apoyo proporciona?
__________________________________________________________________
A cuntas reas?
__________________________________________________________________
Cules son?
__________________________________________________________________

2.6 Duplicidad
Existe duplicidad de funciones en la misma rea?
SI NO
Si, qu conflictos ocasiona y cules funciones?
__________________________________________________________________
Existe duplicidad de funciones en otras reas?
SI NO
Si, cules y dnde?
__________________________________________________________________
Qu conflictos ocasiona?
__________________________________________________________________
La duplicidad de funciones se debe a que el rea no puede realizarlas?
SI NO
Si, cules la razn?
__________________________________________________________________
No, cul es su opinin al respecto?
__________________________________________________________________
Se pueden eliminar funciones?
SI NO
Si, cules?
__________________________________________________________________
Se pueden transferir funciones?
SI NO
Si, cules y adnde?
__________________________________________________________________
Permite la duplicidad que se d el control interno?
SI NO
70

No, porqu?
__________________________________________________________________

3. Objetivos
(Uno de los posibles problemas o descontentos que puede tener el personal es el
desconocimiento de los objetivos de la organizacin, lo cual puede ser debido a
una falta de definicin de los objetivos y provoca que no se pueda tener una
planeacin adecuada).

3.1 Existencia

Se han establecido objetivos para el rea?
SI NO
Quin los estableci?
__________________________________________________________________
Cul fue el mtodo para el establecimiento de los objetivos?
__________________________________________________________________
Particip el rea en su establecimiento?
SI NO
Cules fueron las principales razones de la seleccin de los objetivos?
__________________________________________________________________
Los objetivos establecidos son congruentes con:
- Los de la direccin? SI NO
- Los de la subdireccin? SI NO
- Los del departamento/ oficina? SI NO
- Los de otros departamentos/oficinas? SI NO
Por qu no se han establecido objetivos para el rea?
__________________________________________________________________
Nadie le exige establecerlos? SI NO
Considera importante que se establezcan? SI NO
Es responsabilidad de otra rea establecer los objetivos? SI NO
Cul?
__________________________________________________________________
De qu manera planea el trabajo del rea?
__________________________________________________________________
Cmo afecta la operacin del rea el no tener establecidos los objetivos?
__________________________________________________________________

3.2 Formales

Se han definido por escrito los objetivos del rea? SI NO
En qu documento? (recabar)
Por qu no estn definidos por escrito?
__________________________________________________________________


71

Qu problemas se han derivado de esta situacin?
__________________________________________________________________

Conocimiento

Se han dado a conocer los objetivos? SI NO
A quin se han dado a conocer?
__________________________________________________________________
Quin mas debera conocerlos?
__________________________________________________________________
Qu mtodo se ha utilizado para dar a conocer los objetivos?
__________________________________________________________________
Por qu no se han dado a conocer los objetivos?
__________________________________________________________________
Considera importante que los conozca el personal? SI NO
Cmo afecta la operacin del rea el hecho de que los objetivos no se hayan
dado a conocer o que su conocimiento sea parcial?
__________________________________________________________________

3.3 Adecuados

Abarcan los objetivos toda la operacin del rea? SI NO
Qu aspectos no se cubren?
__________________________________________________________________
Los objetivos son claros y precisos? SI NO
Son realistas? SI NO
Se pueden alcanzar? SI NO
Por qu?
__________________________________________________________________
Estn de acuerdo con las funciones del rea? SI NO
Sealan cuales son las realizaciones esperadas? SI NO
Son congruentes con los objetivos institucionales? SI NO
Sirven de gua al personal? SI NO
Sirven para motivar al personal? SI NO
Se han establecido para el corto, mediano y largo plazo? SI NO
Qu adecuaciones puede sugerir para los objetivos actuales?
__________________________________________________________________

3.4 Cumplimiento

En qu grado se cumplen los objetivos?
__________________________________________________________________
Existen mecanismos para conocer el grado de cumplimiento de los objetivos?
SI NO
S, cules?
__________________________________________________________________
72

No, de qu manera se establece el grado de cumplimiento?
__________________________________________________________________
Se elabora algn reporte sobre el grado de avance en el cumplimiento de los
objetivos?
SI NO
Para quin y con qu frecuencia (recabar)
__________________________________________________________________
Quin elabora este reporte?
__________________________________________________________________
Qu se hace en caso de desviacin en el cumplimiento de los objetivos?
__________________________________________________________________
Qu sugerencia puede hacer para lograr el cumplimiento total de los objetivos?
__________________________________________________________________

3.5 Actualizacin

Se revisan los objetivos?
SI NO
Por sistema?
SI NO
Quin revisa los objetivos?
__________________________________________________________________
De qu manera se lleva a cabo la revisin?
__________________________________________________________________
Participa el rea en la actualizacin de los objetivos?
SI NO
Cundo se hizo la ltima revisin de los objetivos?
__________________________________________________________________
De qu manera se incorporan las modificaciones derivadas de las revisiones?
__________________________________________________________________
Por qu no se revisan los objetivos?
__________________________________________________________________
Que sugerencias tiene para que la actualizacin de los objetivos sea ms eficaz?
__________________________________________________________________

4. Anlisis de organizaciones

Dentro de la estructura organizacional de la direccin de informtica no
existe una evaluacin concreta y aceptada de las funciones de informtica. Las
funciones que en una organizacin son consideradas como de programadores en
otra pueden ser de analista o de analista programador, y en algunas
organizaciones se han dividido ciertas funciones con diferentes niveles; por
ejemplo, programador A, programador B, programador C.

Esto ha dado por resultado, que al no existir una definicin clara de los
niveles, funciones y conocimientos se haya tomado para que las personas se
73
designen con el ttulo que ellos consideren pertinente; por ejemplo, ingeniero en
sistemas (sin haber obtenido el grado), analista de sistemas o bien que en algunos
pases existan escuelas que confieran grados acadmicos que no son reconocidos
oficialmente. Al analizar las organizaciones debemos tener muy en cuenta si estn
definidas las funciones y la forma de evaluar a las personas que ingresan a los
diferentes niveles de la organizacin.
Si no existe un organigrama en la organizacin, el auditor debe elaborar
uno que muestre el actual plan de organizacin, ya que facilita el estudio y da una
imagen general de la organizacin.
Criterios para analizar organigramas:
a) Agrupar funciones similares y relacionarlas entre s.
b) Agrupar funciones que sean compatibles.
c) Localizar la actividad cerca de la funcin a la que sirva.
d) Localizar la actividad cerca o dentro de la funcin mejor preparada
para realizarla.
e) No asignar la misma funcin a dos personas o entidades diferentes.
f) Separar las funciones de control y aquellas que sern objeto del
mismo.
g) Ningn puesto debe tener dos o ms lneas de dependencia
jerrquica.
h) El tramo de control no debe ser exagerado, ni muy numerosos los
niveles jerrquicos.
Cuando se estudia la estructura orgnica es importante hacer algunas
anotaciones sobre las tareas asignadas a cada puesto y responder las siguientes
preguntas:

Existen lneas de autoridad justificadas? Hay una extralimitacin de
funciones? Hay demasiada supervisin de funcionarios? Es excesiva la
supervisin en general? Hay agrupamientos ilgicos en las unidades? Hay
uniformidad en las asignaciones?


6.3 Evaluacin de los recursos humanos

Se deber obtener informacin sobre la situacin del personal del rea,
para lo cual se puede utilizar la tabla de recursos humanos y la tabla de
proyeccin de recursos humanos.
Se presenta un ejemplo de cuestionario para obtener informacin sobre los
siguientes aspectos:
- Desempeo y comportamiento
- Condiciones de trabajo
- Ambiente
- Organizacin en el trabajo
- Desarrollo y motivacin
- Capacitacin
- Supervisin

74
Cuestionario para evaluar los recursos humanos

1. Desempeo y cumplimiento

Es suficiente el nmero de personal para el desarrollo de las funciones del rea?
SI NO
Se deja de realizar alguna actividad por falta de personal?
SI NO
Est capacitado el personal para realizar con eficacia sus funciones?
SI NO
Porqu no?
__________________________________________________________________

Es eficaz en el cumplimiento de sus funciones?
SI NO
Por qu no?
__________________________________________________________________

Es adecuada la calidad del trabajo del personal?
SI NO
Porqu no?
__________________________________________________________________

Es frecuente la repeticin de los trabajos encomendados?
SI NO
El personal es discreto en el manejo de informacin confidencial?
SI NO
NO, repercusiones
__________________________________________________________________

En general, acata el personal las polticas, sistemas y procedimientos
establecidos?
SI NO
Por qu no?
__________________________________________________________________

Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de
trabajo?
SI NO
Si, que se hace al respecto?
__________________________________________________________________

Respeta el personal la autoridad establecida?
SI NO
Por qu no?
__________________________________________________________________

75

Existe cooperacin por parte del personal para la realizacin del trabajo?
SI NO
Por qu no?
__________________________________________________________________
El personal tiene afn de superacin?
SI NO
Presenta el personal sugerencias para mejorar el desempeo actual?
SI NO
Cmo considera las sugerencias?
__________________________________________________________________
Qu tratamiento se les da?
__________________________________________________________________
Se toman en cuenta las sugerencias de los empleados? SI NO
En qu forma?
__________________________________________________________________
Cmo se les da respuesta a las sugerencias?
__________________________________________________________________

2. Capacitacin (uno de los puntos que se deben evaluar con ms detalle dentro
del rea de informtica es la capacitacin; esto se debe al proceso cambiante y al
desarrollo de nuevas tecnologas en el rea).
Los programas de capacitacin incluyen al personal de:
Direccin ( )
Anlisis ( )
Programacin ( )
Operacin ( )
Administracin ( )
Captura ( )
Otros (especifique) ( )
Se han identificado las necesidades actuales y futuras de capacitacin del
personal del rea?
SI NO
Por qu no?
__________________________________________________________________
Se desarrollan programas de capacitacin para el personal del rea?
SI NO
Por qu?
__________________________________________________________________
Apoya la superioridad la realizacin de estos programas?
SI NO
Se evalan los resultados de los programas de capacitacin?
SI NO
No, por qu?
__________________________________________________________________
Solicite el plan de capacitacin para el presente ao.

76

3. Supervisin

Cmo se lleva a cabo la supervisin del personal?
__________________________________________________________________
Porqu no se realiza?
__________________________________________________________________
Cmo se controlan el ausentismo y los retardos del personal?
__________________________________________________________________
Por qu no se llevan controles?
__________________________________________________________________
Cmo se evala el desempeo del personal?
__________________________________________________________________
Por qu no se evala?
__________________________________________________________________
Cul es la finalidad de la evaluacin del personal?
__________________________________________________________________

4. Limitantes

Cules son los principales factores internos que limitan el desempeo del
personal?
__________________________________________________________________

Cules son los principales factores externos que limitan el desempeo del
personal del rea?
__________________________________________________________________

Cul es el ndice de rotacin de personal en:
- Anlisis
- Operacin
- Administracin
- Captura
- Programacin
- Direccin
- Tcnicos
- Otros (especifique)

En trminos generales, se adapta el personal al mejoramiento administrativo
(resistencia al cambio)?
SI NO
Cul es el grado de disciplina del personal?
__________________________________________________________________

Cul es el grado de asistencia y puntualidad del personal?
__________________________________________________________________
77
Existe una poltica uniforme y consistente para sancionar la indisciplina del
personal?
SI NO
Se lleva a efecto esta poltica?
SI NO
Puede el personal presentar quejas y/o problemas?
SI NO
S, cmo se soluciona?
__________________________________________________________________

Otras reas externas presentan quejas sobre la capacidad y/o atencin del
personal del rea?
SI NO
Qu tratamiento se les da?
__________________________________________________________________
Cmo se otorgan los ascensos, promociones y aumentos salariales?
__________________________________________________________________
Cmo se controla las faltas y ausentismos?
__________________________________________________________________
Cules son las principales causas de faltas y ausentismo?
__________________________________________________________________

5. Condiciones de trabajo (para poder trabajar se requiere que se tenga una
adecuada rea de trabajo, con mayor razn en un rea donde se debe hacer un
trabajo de investigacin e intelectual).

Conoce el reglamento interior de trabajo el personal del rea? SI NO
Se apoyan en l para solucionar los conflictos laborales? SI NO
No, por qu?
__________________________________________________________________

Cmo son las relaciones laborales del rea con el sindicato?
__________________________________________________________________

Se presentan problemas con frecuencia?
SI NO
Si en qu aspectos?
__________________________________________________________________
Cmo se resuelven?
__________________________________________________________________

6. Remuneraciones (normalmente las personas estn inconformes con su
remuneracin; es importante evaluar que tan cierta es esta inconformidad o si
est dada por otros malestares pero son sealados como inconformidad en las
remuneraciones, o bien puede deberse a que se desconoce cmo se evala a
la persona para poder darle una mejor remuneracin).
78

Est el personal adecuadamente remunerado con respecto a:
Trabajo desempeado? SI NO
Puestos similares en otras organizaciones? SI NO
Puestos similares en otras reas? SI NO
Si, cmo repercute?
__________________________________________________________________
No, cmo repercute?
__________________________________________________________________

Conseguir informacin sobre los sueldos de los mismos niveles en otras
organizaciones.

Ambiente (el ambiente en el rea de informtica principalmente en programacin
es muy importante para lograr un adecuado desarrollo).

El personal est integrado como grupo de trabajo?
SI NO
No, por qu?
__________________________________________________________________
Cul es el grado de convivencia del personal?
__________________________________________________________________
Cmo se aprovecha esto para mejorar el ambiente de trabajo?
__________________________________________________________________

Son adecuadas las condiciones ambientales con respecto a:
Espacio del rea? SI NO
Iluminacin? SI NO
Ventilacin? SI NO
Equipo de oficina? SI NO
Mobiliario? SI NO
Ruido? SI NO
Limpieza y/o aseo? SI NO
Instalaciones sanitarias? SI NO
Instalaciones de comunicacin? SI NO

7. Organizacin del trabajo

Participa en la seleccin del personal?
SI NO
No, Por qu?
__________________________________________________________________
Qu repercusiones tiene?
__________________________________________________________________
Se prevn las necesidades?
__________________________________________________________________
79

En cantidad? SI NO
En calidad? SI NO
No, por qu?
__________________________________________________________________
Est prevista la sustitucin del personal clave?
__________________________________________________________________
No, Por qu?
__________________________________________________________________

8. Desarrollo y motivacin

Cmo se lleva a cabo la introduccin y el desarrollo del personal del rea?
__________________________________________________________________
Por qu no se realiza?
__________________________________________________________________
Cmo se realiza la motivacin del personal del rea?
__________________________________________________________________
Cmo se estimula y se recompensa al personal del rea?
__________________________________________________________________
Existe oportunidad de ascensos y promociones?
__________________________________________________________________
Qu poltica hay al respecto?
__________________________________________________________________



6.4 Entrevistas con el personal de informtica

Se debern efectuar entrevistas con el personal de procesamiento de
datos, para lo cual pueden entrevistarse a un grupo de personas elegidas y
sealar adems que quienes deseen externar sus opiniones lo podrn hacer en
determinado lugar y hora (en algunos casos es conveniente sealar un nmero
telefnico para poder hacer la reunin fuera de la direccin de informtica y hay
que solicitar que las opiniones sean debidamente fundamentadas).

Ello nos servir para determinar:
1. Grado de cumplimiento de la estructura organizacional administrativa.
2. Grado de cumplimiento de las polticas y los procedimientos
administrativos.
3. Satisfaccin e insatisfaccin.
4. Capacitacin.
5. Observaciones generales.
80
Gua de entrevista

1. Nombre del puesto
2. Puesto del jefe inmediato
3. Puestos a que reporta
4. Puestos de las personas que reportan al entrevistado
5. Nmero de personas que reportan al entrevistado
6. Describa brevemente las actividades diarias de su puesto
7. Actividades peridicas
8. Actividades eventuales
9. Con qu manuales cuenta para el desempeo de su puesto?
10. Cules polticas se tienen establecidas para el puesto?
11. Seale las lagunas que considere que existen en la organizacin
12. En caso de que el entrevistado mencione cargas de trabajo, cmo las
establece?
13. Cmo las controla?
14. Cmo se deciden las polticas que han de implantarse?
15. Cmo recibe las instrucciones de los trabajos encomendados?
16. Con qu frecuencia recibe capacitacin y de qu tipo?
17. Sobre qu tema le gustara recibir capacitacin?
18. Mencione la capacitacin obtenida y dada a su personal durante el ltimo
ao
19. Observaciones

NOTA: En caso de que sea una entrevista solicitada por el personal de
informtica, tiene que ser confidencial y no podrn solicitarse las preguntas
iniciales. El entrevistado deber hablar abiertamente fundamentando sus opiniones
y comentarios.



6.5 Situacin presupuestal y financiera


6.5.1. Presupuestos.

Obtencin y anlisis de la situacin presupuestal del departamento.
Se obtendr informacin presupuestal y financiera del departamento, as
como nmero de equipos y caractersticas para hacer un anlisis de su situacin
desde un punto de vista econmico.
1. Costos del departamento, desglosado por reas y controles.
2. Presupuesto del departamento, desglosado por reas.
3. Caractersticas de los equipos, nmero de ellos y contratos.

NOTA: Se debern pedir los costos, presupuestos y caractersticas de los
equipos sealados en los puntos 1, 2 y 3 adems de contestar el cuestionario.
81

Cuestionarlo para la situacin presupuestal

1. Cul es el gasto total anual aproximado del rea de informtica incluyendo
venta del equipo y administracin del centro de cmputo (gastos directos o
indirectos).
2. Existe un sistema de contabilidad de costos por:
Usuario? ( )
Por aplicacin? ( )
3. Conocen los usuarios los costos de sus aplicaciones?
Si( ) NO( )
4. Los reportes de costo permiten la comparacin de lo gastado en la direccin
de informtica contra lo presupuestado?
SI( ) NO( )
5. Cite a los principales proveedores de su direccin en materia de:
Proveedor Volumen Anual
Mobiliario en general
Papelera
Cintas, discos
6. Cules cargos adicionales se manejan por separado fuera del contrato?
Utilizacin del equipo
Servicio de mantenimiento
Capacitacin del personal
Asesora en sistemas de cmputo
Gastos de instalacin del equipo
impuestos federales, estatales, municipales y especiales
Seguros de transporte y compra de equipo
Otros especifquelos
7. Cul es la situacin jurdica del equipo?
1). Compra del equipo ( )
2). Renta del equipo ( )
3). Renta con opcin a compra ( )
4). Renta de tiempo mquina ( )
5). Maquila ( )
6). Otro, cul? ( )

Recursos financieros

Formulacin

Quin interviene en la formulacin del presupuesto del rea?
Se respetan los planteamientos presupustales del rea?
SI NO
No, en qu partidas no se ha respetado y en qu monto?

82

Adecuacin

Los recursos financieros con que cuenta el rea son suficientes para alcanzar los
objetivos y metas establecidos?
SI NO
No, qu efectos se han tenido en el rea al no contar con suficientes recursos
financieros?

Recursos materiales

Programacin

Existe un programa sobre los requerimientos del rea?
SI NO
Qu personas del rea intervienen en su elaboracin?
Se respetan los planteamientos del rea?
SI NO
No, en qu aspectos no se respetan?

Adecuacin

Los recursos materiales se le proporcionan al rea, son suficientes para cumplir
con las funciones encomendadas?
SI NO
No, en qu no son suficientes?
Los recursos materiales se proporcionan oportunamente?
SI NO
Cules son las principales limitaciones que tiene el rea en cuanto a los recursos
materiales?
Qu sugerencias hara para superar las limitaciones actuales?

Servicios generales

Existe un programa sobre los servicios generales que requiere el rea?
SI NO
Los servicios generales que se proporcionan al rea, los considera:
Adecuados? SI NO
Suficientes? SI NO
Oportunos? SI NO
En caso de que alguna de las respuestas sea negativa especifique cul es la
deficiencia
Qu sugerencias hara para superar las limitaciones actuales?

Mobiliario y equipo

Se cuenta con el equipo y mobiliario adecuados y en cantidad suficiente para
83
desarrollar su trabajo?
SI NO
Por qu?
Estn adecuadamente distribuidos en el rea de trabajo?
Actualmente se estn dejando de realizar actividades por falta de material y
equipo?
SI NO
Qu se hace para solucionar este problema?
Conoce esta situacin el jefe de la unidad?
Qu medidas se han tomado?
Existe el servicio de mantenimiento del equipo?
Existen medidas de seguridad?
SI NO
Cules?
Por qu?
Qu se hace con el equipo en desuso?
Sobre quin recae la responsabilidad del equipo?
Con qu frecuencia se renuevan el equipo y mobiliario?
Se recogen opiniones y sugerencias que nos permitan establecer las medidas
correctivas con las cuales lograr un mejor funcionamiento de estos recursos?
84

7
__________________________________________________________________


Evaluacin de los sistemas
[1; pg. 52-74]



7.1 Evaluacin de sistemas

La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo
cual se debe revisar si existen realmente sistemas entrelazados como un todo o
bien si existen programas aislados. Otro de los factores a evaluar es si existe un
plan estratgico para la elaboracin de los sistemas o si se estn elaborando sin el
adecuado sealamiento de prioridades y de objetivos.
El plan estratgico deber establecer los servicios que se prestarn en un
futuro contestando preguntas como las siguientes:
a) Cules servicios se implementarn?
b) Cundo se pondrn a disposicin de los usuarios?
c) Qu caractersticas tendrn?
d) Cuntos recursos se requerirn?

La estrategia de desarrollo deber establecer las nuevas aplicaciones y
recursos que proporcionar la direccin de informtica y la arquitectura en que
estarn fundamentados.

- Qu aplicaciones sern desarrolladas y cundo?
- Qu tipo de archivos se desarrollarn y cundo?
- Qu bases de datos sern desarrolladas y cundo?
- Qu lenguajes se utilizarn y en qu software?
- Qu tecnologa ser utilizada y cundo se implementar?
- Cuntos recursos se requerirn aproximadamente?
- Cul es aproximadamente el monto de la inversin en hardware y
software?
En lo referente a la consulta a los usuarios, el plan estratgico debe definir
los requerimientos de informacin de la organizacin.

- Qu estudios van a ser realizados al respecto?
- Qu metodologa se utilizar para dichos estudios?
- Quin administrar y realizar estos estudios?
85
En el rea de auditoria interna debe evaluarse cul ha sido la participacin
del auditor y los controles establecidos.
Por ltimo, el plan estratgico determina la planeacin de los recursos.

- Contempla el plan estratgico las ventajas de la nueva tecnologa?
- Cules sern los conocimientos requeridos por los recursos humanos
planeados?
- Se contemplan en la estructura organizacional los nuevos niveles
jerrquicos requeridos por el plan estratgico?
- Cul es la inversin requerida en servicios, desarrollo y consulta a los
usuarios?
El proceso de planeacin de sistemas deber asegurarse de que todos los
recursos requeridos estn claramente identificados en el plan de desarrollo de
aplicaciones y datos. Estos recursos (hardware, software y comunicaciones)
debern ser compatibles con la estrategia de la arquitectura de la tecnologa, con
que se cuenta actualmente.
Para identificar los problemas de los sistemas primero debemos detectar
los sntomas, los cuales son un reflejo del rea problemtica; y despus de
analizar los sntomas podremos definir y detectar las causas, parte medular de la
auditora.
Debemos aprender a reunir todos los sntomas y a distinguirlos antes de
sealar las causas, evitando tomar los sntomas como causas y dejando fuera
todo lo que es rumores sin fundamento.
Los sistemas debemos evaluarlos de acuerdo con el ciclo de vida que
normalmente siguen:
1) requerimientos del usuario,
2) estudio de factibilidad,
3) diseo general,
4) anlisis,
5) diseo lgico,
6) desarrollo fsico,
7) pruebas,
8) implementacin,
9) evaluacin,
10) modificaciones,
11) instalacin,
12) mejoras.
Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con
el de factibilidad.
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual
debe analizar si el sistema es susceptible de realizarse, cul es su relacin
costo/beneficio y si es conductualmente favorable.
Se deber solicitar el estudio de factibilidad de los diferentes sistemas que
se encuentren en operacin, as como los que estn en la fase de anlisis para
evaluar si se considera la disponibilidad y caractersticas del equipo, los sistemas
operativos y lenguajes disponibles, las necesidades de los usuarios, las formas de
utilizacin de los sistemas, el costo y los beneficios que reportar el sistema, el
86
efecto que producir en quienes lo usarn y el efecto que stos tendrn sobre el
sistema, y la congruencia de los diferentes sistemas.
En el caso de sistemas que estn funcionando, se deber comprobar si
existe el estudio de factibilidad con los puntos sealados, y comparar con la
realidad lo especificado en el estudio de factibilidad.
Por ejemplo, en un sistema que el estudio de factibilidad seal
determinado costo y una serie de beneficios de acuerdo con las necesidades del
usuario, debemos comparar cul fue su costo real y evaluar si se satisficieron las
necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una
exactitud razonable, el costo de los programas, el uso de los equipos
(compilaciones, programas, pruebas, paralelos), tiempo, personal y operacin,
cosa que en la prctica son costos directos, indirectos y de operacin.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el
ahorro en los costos de operacin, la reduccin del tiempo de proceso de un
sistema, mayor exactitud, mejor servicio, una mejora en los procedimientos de
control, mayor confiabilidad y seguridad.
Entre los problemas mas comunes en los sistemas estn los siguientes

1. Falta de estndares en el desarrollo, en el anlisis y la programacin.
2. Falta de participacin y de revisin por parte de la alta gerencia.
3. Falta de participacin de los usuarios.
4. Inadecuada especificacin del sistema al momento de hacer el diseo
detallado.
5. Deficiente anlisis costo/beneficio.
6. Nueva tecnologa no usada o usada incorrectamente.
7. Inexperiencia por parte del personal de anlisis y del de programacin.
8. Diseo deficiente.
9. Proyeccin pobre de la forma en que se realizar el sistema.
10. Control dbil o falta de control sobre las fases de elaboracin del
sistema y sobre el sistema en s.
11. Problemas de auditora.
12. Inadecuados procedimientos de seguridad, de recuperacin y de
archivos.
13. Falta de integracin de los sistemas (elaboracin de sistemas aislados
programas que no estn unidos como sistemas).
14. Documentacin inadecuada o inexistente.
15. Dificultad de dar mantenimiento al sistema, principalmente por falta de
documentacin o excesivos cambios y modificaciones hechos al sistema.
16. Problemas en la conversin e implementacin.
17. Procedimientos incorrectos o no autorizados.


7.2 Evaluacin del anlisis


En esta etapa se evaluarn las polticas, procedimientos y normas que se
87
tienen para llevar a cabo el anlisis
Se deber evaluar la planeacin de las aplicaciones que pueden provenir
de tres fuentes principales.

1. La planeacin estratgica: agrupadas las aplicaciones en conjuntos
relacionados entre si y no como programas aislados. Las aplicaciones
deben comprender todos los sistemas que puedan ser desarrollados en
la organizacin, independientemente de los recursos que impliquen su
desarrollo y justificacin en el momento de la planeacin.
2. Los requerimientos de los usuarios.
3. El inventario de sistemas en proceso al recopilar la informacin de los
cambios que han sido solicitados, sin importar si se efectuaron o se
registraron.
La situacin de una aplicacin en dicho inventario puede ser alguna de las
siguientes

a) Planeada para ser desarrollada en el futuro.
b) En desarrollo.
c) En proceso, pero con modificaciones en desarrollo.
d) En proceso con problemas detectados.
e) En proceso sin problemas.
f) En proceso espordicamente.

NOTA: Se deber documentar detalladamente la fuente que gener la
necesidad de la aplicacin. La primera parte ser evaluar la forma en que se
encuentran especificadas las polticas, los procedimientos y los estndares de
anlisis, si es que se cumplen y si son los adecuados para la organizacin.

Es importante revisar la situacin en que se encuentran los manuales de
anlisis y si estn acordes con las necesidades de la organizacin. En algunas
ocasiones se tiene una microcomputadora, con sistemas sumamente sencillos y
se solicita que se lleve a cabo una serie de anlisis que despus hay que plasmar
en documentos sealados en los estndares, lo cual hace que esta fase sea muy
compleja y costosa. Los sistemas y su documentacin deben estar acordes con
las caractersticas y necesidades de una organizacin especfica.
Se debe evaluar la obtencin de datos sobre la operacin, flujo, nivel,
jerarqua de la informacin que se tendr a travs del sistema, as como sus
lmites e interfases con otros sistemas. Se han de comparar los objetivos de los
sistemas desarrollados con las operaciones actuales, para ver si el estudio de la
ejecucin deseada corresponde al actual.
La auditora en informtica debe evaluar los documentos y registros usados
en la elaboracin del sistema, as como todas las salidas y reportes, la descripcin
de las actividades de flujo de la informacin y de procedimientos, los archivos
almacenados, su uso y su relacin con otros archivos y sistemas, su frecuencia de
acceso, su conservacin, su seguridad y control, la documentacin propuesta, las
entradas y salidas del sistema y los documentos fuentes a usarse.

88

Con la informacin obtenida podremos contestar a las siguientes preguntas:

1. Se est ejecutando en forma correcta y eficiente el proceso de informacin?
2. Puede ser simplificado para mejorar su aprovechamiento?
3. Se debe tener una mayor interaccin con otros sistemas?
4. Se tiene propuesto un adecuado control y seguridad sobre el sistema?
5. Est en el anlisis la documentacin adecuada?


7.3 Evaluacin del diseo lgico del sistema


En esta etapa se debern analizar las especificaciones del sistema.
Qu deber hacer?, Cmo lo deber hacer?, secuencia y ocurrencia de
los datos, el proceso y la salida de reportes
Una vez que hemos analizado estas partes, se deber estudiar la
participacin que tuvo el usuario en la identificacin del nuevo sistema, la
participacin de auditora interna en el diseo de los controles y la determinacin
de los procedimientos de operacin y decisin.
Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo
que realmente se est obteniendo: como en el caso de la administracin en la cual
debemos evaluar lo planeado, cmo fue planeado y lo que realmente se est
obteniendo.
Los puntos a evaluar son:
a) Entradas
b) Salidas
c) Procesos
d) Especificaciones de datos
e) Especificaciones de proceso
f) Mtodos de acceso
g) Operaciones
h) Manipulacin de datos (antes y despus del proceso electrnico de
datos)
i) Proceso lgico necesario para producir informes identificacin de
archivos, tamao de los campos y registros Proceso en lnea o lote y su
justificacin
j) Frecuencia y volmenes de operacin
k) Sistemas de seguridad
I) Sistemas de control
m) Responsables
n) Nmero de usuarios

Dentro del estudio de los sistemas en uso se deber solicitar:
1) Manual del usuario
2) Descripcin de flujo de informacin
3) Descripcin y distribucin de informacin
89
4) Manual deformas
5) Manual de reportes
6) Lista de archivos y especificacin

Lo que debemos determinar en el sistema:

En el procedimiento:
Quin hace, cundo y cmo?
Qu formas se utilizan en el sistema?
Son necesarias, se usan, estn duplicadas?
El nmero de copias es el adecuado?
Existen puntos de control o faltan?

En la grfica de flujo de informacin:
Es fcil de usar?
Es lgica?
Se encontraron lagunas?
Hay faltas de control?

En las formas de diseo:
Cmo est usada la forma en el sistema?
Qu tan bien se ajusta la forma al procedimiento?
Cul es el propsito, por qu se usa?
Se usa y es necesaria?
El nmero de copias es el adecuado?
Quin lo usa?

Lo que debemos revisar en las formas de diseo:

Numeracin.
Est numerada la forma?
Es necesaria su numeracin?
Est situada en un solo lugar fcil de encontrar?
Cmo se controlan las hojas numeradas y su utilizacin?
Ttulo.
Da el ttulo de la forma una idea clara sobre su funcin bsica?
Espacio.
Si la forma est mecanografiada:
hay suficiente espacio para escribir con mquina rpidamente, con
exactitud y eficiencia?
Si la forma se llena a mano:
hay el espacio adecuado para que se escriba en forma legible?
Tabulacin.
Si la forma est mecanografiada:
permite su tabulacin llenarla uniformemente?
Es la tabulacin la mnima posible?

90
Una excesiva tabulacin disminuye la velocidad y eficiencia para llenarla.
Adems le da una apariencia desigual y confusa.
Zonas.
Estn juntos los datos relacionados entre s?
Si los datos similares estn agrupados por zonas, todas las personas que
usan la forma ahorran tiempo. La informacin similar reunida por zonas, hace ms
fcil su referencia, se mecanografa ms eficientemente y se revisa con ms
rapidez. Posteriormente se debe verificar que las zonas de las formas que sean
utilizadas para captura estn situadas de manera congruente con el diseo de las
pantallas de captura.
Rayado.
Da la forma una apariencia desordenada y difcil de entender por el uso
confuso y excesivo de lneas delgadas, gruesas o de doble raya?
Instrucciones.
Le dice la forma al usuario cmo debe llenarla?
Formas autoinstructivas o que suministran la informacin de cmo llenarlas
permiten que el personal nuevo y los otros trabajen con supervisin y errores
mnimos. De no ser as existe un manual de llenado de formas, se debe revisar si
las instrucciones son claras, si son congruentes con la forma y si son excesivas,
ya que un diseo excesivo de instrucciones pueda provocar confusin y hacer que
sea poco clara.
Firmas.
Existe suficiente espacio para una firma legible?
Est el espacio debidamente identificado respecto a la firma que necesita?
La firma se utiliza como un mero tramite o realmente controla la persona
que firma lo que se est firmando?
Nombres.
Usa la forma los nombres de los puestos, en lugar del nombre del
individuo?
No es conveniente imprimir nombres de personas debido a la rotacin de
personal.
Encabezados ambiguos.
Se indica con exactitud qu fechas, qu nmeros, o qu firmas se
requieren? Se deben evitar encabezados dudosos o ambiguos.
Rtulos.
Son demasiados llamativos?
Son demasiado discretos?
Existe un adecuado contraste entre los rtulos y los textos respecto a su
tamao, color y ubicacin para que los datos solicitados sean identificados
fcilmente?
Ubicacin de los rtulos.
Estn los rtulos o encabezados debajo de la lnea en donde se debe
mecanografiar?
Esto causa prdida de tiempo, porque la mecangrafa tiene que mover el
carro para ver el rtulo y acomodarlo nuevamente para escribir la informacin
deseada.

91
Casilleros.
Se usan pequeos espacios enmarcados ( ) para con una sola indicacin
reducir escritos largos o repetitivos?,
Los espacios son suficientes o excesivos?
Tipo de papel.
Son el peso y calidad del papel apropiado para esa forma?
Use papel ms pesado y de mejor calidad para aquellas formas que
requieren un manejo excesivo. Use papel de menor peso con formas que se usen
poco, para reducir costo y espacio en los archivos.
Tamaos estndar.
Tiene la forma un tamao estndar?
El tamao estndar se ajusta a sobres y archivos estndar. Adems reduce
existencias de papel, manejo y tiempo y costo de impresin. Se debe considerar
que el costo del papel que no es de tamao estndar es considerablemente mayor
que el de tamao estndar.
Color.
Permite el contraste del color del papel una lectura eficiente?
Las formas en colores como el anaranjado, el verde, el azul, el gris, etc., en
tonos obscuros, son difciles de leer porque no ofrecen suficiente contraste entre la
impresin (NEGRO) y el papel. Ciertos colores brillantes cansan la vista. Se debe
tener cuidado tanto en el color del papel como en el color de la tinta. Las copias
deben estar identificadas de acuerdo con el color.

Anlisis de informes

Una vez que se ha estudiado los formatos de entrada debemos analizar los
informes para posteriormente evaluarlos con la informacin proporcionada por la
encuesta a los usuarios. Despus de describir el contenido de los informes se
debe tener el anlisis de datos e informacin.

Ruido, redundancia, Entropa

En la auditora de sistemas hay que estudiar la redundancia, el ruido y la
entropa que tiene cada uno de los sistemas.
En primer lugar, debemos considerar como comunicacin "La transferencia
de informacin del emisor al receptor de manera que ste la comprenda",
Koontz/O'Donnell/ Weihrich; Administracin, Mc Graw Hill.
El ruido es todo aquello que interfiere en una adecuada comunicacin; no
solamente los sonidos sino todo aquello que impida la adecuada comunicacin, y
Koontz/O'Donnell/WeiHrich definen el ruido como "Cualquier cosa (sea en el
emisor, en la transmisin o en el receptor) que obstaculiza la comunicacin"; as,
por ejemplo; si una persona se encuentra jugando, sin hacer necesariamente
algn sonido, en el momento que otra est hablando, se considera como tipo de
ruido para el sistema.

En el caso de un sistema computarizado el error en la captura, una pantalla
de la terminal demasiado llena de informacin y poco entendible o un reporte
92
inadecuado se deben considerar como ruido en el sistema, ya que impide una
buena comunicacin de la informacin.
La redundancia es toda aquella duplicidad que tiene el sistema con la
finalidad de que, en caso de que exista ruido, esta redundancia permita que la
informacin llegue al receptor en forma adecuada.
Podemos enviar un mensaje de la forma siguiente: Lleg por avin el da
martes 31 de octubre de 1988 del presente ao, a las 16:00 hrs. de la tarde a la
ciudad de Cancn, Quintana Roo, Mxico.
En el mensaje anterior tenemos excesiva redundancia debido a que el 31
de octubre de 1988 es martes y si estamos en 1988 es del presente ao. Las
16:00 hrs. siempre es de la tarde y la ciudad de Cancn est slo en el estado de
Quintana Roo, Mxico. Y en cambio puede ser incompleta ya que no especifica la
lnea area ni el vuelo en que llegar.
La redundancia anterior puede ser conveniente en el caso de que se
necesiten cerciorarse de que la informacin se recibe correctamente y esto estar
en funcin de lo delicado que sea la informacin y del riesgo que se corre en caso
de una prdida total o parcial de la misma.
Un ejemplo de redundancia dentro de las mquinas es el bit de paridad, el
cual permite que en caso de prdida de un bit, se pueda recuperar la informacin
que contiene el byte.
La redundancia es una forma de control que permite que, si existe ruido, la
comunicacin pueda llevarse a cabo en forma eficiente, y deber haber mayor
redundancia entre ms arriesgada, costosa o peligrosa sea la prdida de
informacin; pero a su vez debemos estar conscientes que el exceso de
redundancia puede provocar ruido. Esto se da, por ejemplo, en el caso de que un
profesor desee ser tan claro que se dedique a dar demasiados ejemplos; puede
provocar ruido en el sentido que llegue a confundir o aburrir a sus alumnos y el
nmero excesivo de ejemplos impida una adecuada comunicacin.
En la auditora se debe considerar que todo sistema ha de ofrecer un
nmero adecuado de redundancia segn su nivel de importancia, de modo que
permita una buena comunicacin aun en el caso de que exista ruido, pero sin ser
la redundancia de tal magnitud que a su vez provoque ruido.
Tambin debemos considerar que con un mayor control y redundancia, se
incrementa tambin el costo de los sistemas. Hay que tener un adecuado nivel de
control y redundancia que no sea de tal magnitud que provoque ruido o bien que
no sea demasiado costoso en relacin con el nivel de seguridad que requiere el
sistema.

Entropa

El diccionario la define como: "Cantidad de energa que por su degradacin
no puede aprovecharse", Nuevo Diccionario Espaol Ilustrado SOPENA.

La entropa en un sistema, por ejemplo de un motor, es el calor que genera,
el cual es energa que por sus caractersticas no puede aprovecharse. En el caso
del sistema llamado motor se utiliza esta entropa; por ejemplo, en la calefaccin
del automvil o bien para calentar el aire y la gasolina que entra al motor (en el
93
caso de motores turbo).
En un sistema computarizado debemos procurar reducir al mximo esta
entropa, y una de las formas de reducirla es interconectar sistemas, en tal forma
que esa cantidad de energa no usada en un sistema pueda ser utilizada en otro
sistema. Por ejemplo, al capturar el catlogo de clientes para el sistema de
cobranzas, con un poco de informacin adicional lo podemos utilizar en
contabilidad.

Matriz de recepcin y distribucin de documentos

Una forma objetiva de evaluar la informacin que se encuentra en un
sistema es emplear la matriz de recepcin y distribucin de documentos, en la cual
se define de modo grfico la distribucin de documentos y los resultados
obtenidos en un proceso.

Matriz de entrada/salida

Otra forma de analizar la informacin es recurrir al impacto de los datos en
entrada/salida, la cual puede ser establecida por medio de la matriz de
entrada/salida en que se ve en forma objetiva cmo la informacin est dentro del
sistema y puede detectar la redundancia, analizar informacin faltante y optimizar
los reportes que se obtienen.
La matriz de entrada/salida puede, por ejemplo darnos la imagen de los
reportes que con pequeas diferencias son iguales (redundantes), de la
informacin que puede pedir el usuario pero que no es posible proporcionar
debido a que no se captur, de los datos que son capturados pero que no se
utilizan, as como los posibles reportes adicionales que se pueden obtener si el
usuario llegase a solicitarlos.
Esta matriz es muy importante en el caso de que tengamos un programa
generadores de reportes en el que los usuarios elaboran directamente sus
reportes, ya que se pueden hacer reportes en forma indiscriminada provocando
duplicidad y "reportitis" (tendencia a generar reportes sin tener una adecuada
justificacin) o bien informes que deben ser obtenidos por medio de pantallas para
no utilizar papel y para una forma ms adecuada de utilizacin.


7.4 Evaluacin del desarrollo del sistema

En esta etapa del sistema se debern auditar los programas, su diseo, el
lenguaje utilizado, interconexin entre los programas y caractersticas del
hardware empleado (total o parcial) para el desarrollo del sistema.

Como se analiz en la auditoria de los programas, es conveniente hacer la
evaluacin cuando el sistema ya se implement y se encuentra trabajando
correctamente.
Al evaluar un sistema de informacin se tendr presente que todo sistema
debe proporcionar informacin para planear, organizar y controlar de manera
94
eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una
mayor seguridad en la forma ms econmica posible. De ese modo contar con
los mejores elementos para una adecuada toma de decisiones.
Al tener un proceso distribuido, es preciso considerar la seguridad del
movimiento de la informacin entre nodos. El proceso de planeacin de sistemas
debe definir la red ptima de comunicaciones, recordando que el plan de
aplicaciones proporciona informacin de la ubicacin planeada de las terminales,
los tipos de mensajes requeridos, el trfico esperado en las lneas de
comunicacin y otros factores que afectan el diseo.
Es importante considerar las variables que afectan a un sistema: ubicacin
en los niveles de la organizacin, el tamao y los recursos que utiliza. Las
caractersticas que deben evaluarse en los sistemas son:
Dinmicos (susceptibles de mortificarse).
Estructurados (las interacciones de sus componentes o subsistemas
deben actuar como un todo).
Integrados (un slo objetivo). En l habr sistemas que puedan ser
interrelacionados y no programas aislados.
Accesibles (que estn disponibles).
Necesarios (que se pruebe su utilizacin).
Comprensibles (que contengan todos los atributos).
Oportunos (que est la informacin en el momento que se requiere).
Funcionales (que proporcionen la informacin adecuada a cada nivel).
Estndar (que la informacin tenga la misma interpretacin en los distintos
niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerrquicos (por niveles funcionales).
Seguros (que slo las personas autorizadas tengan acceso).
nicos (que no duplique informacin).


7.5 Control de proyectos

Debido a las caractersticas propias del anlisis y la programacin, es muy
frecuente que la implantacin de los sistemas se retrase y se llegue a suceder que
una persona lleva trabajando varios aos dentro de un sistema o bien que se
presenten irregularidades en las que los programadores se ponen a realizar
actividades ajenas a la direccin de informtica. Para poder controlar el avance de
los sistemas, ya que sta es una actividad intelectual de difcil evaluacin, se
recomienda que se utilice la tcnica de administracin por proyectos para su
adecuado control.

Qu significa que un sistema sea liberado en el plazo establecido y dentro
del presupuesto? Pues sencillamente que el grado de control en el desarrollo del
mismo es el adecuado o tal vez el ptimo. Pero esto no se consigue gratuitamente
o porque la experiencia o calidad del personal de desarrollo sea alta, sino porque
existe un grado de control durante su desarrollo que le permite obtener esta
cualidad. Cabe preguntar aqu: quin es el elemento adecuado para proporcionar
95
este grado de control?
Para poder tener una buena administracin por proyectos se requiere que
el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el
cual se especifiquen actividades, metas, personal participante y tiempos. Este plan
debe ser revisado peridicamente (semanal, mensual o bimestralmente) para
evaluar el avance respecto a lo programado.
La estructura estndar de la planeacin de proyectos deber incluir la
facilidad de asignar fechas predefinidas de terminacin de cada tarea. Dentro de
estas fechas debe estar el calendario de reuniones de revisin, las cuales tendrn
diferentes niveles de detalle. Son necesarias las reuniones a nivel tcnico que
requieran la participacin del personal especializado de la direccin de informtica
para definir la factibilidad de la solucin y los resultados planeados. Son muy
importantes las reuniones con los usuarios finales, para verificar la validez de los
resultados esperados y, finalmente, se deben planear.
La evaluacin de proyectos y su control puede realizarse de acuerdo con
diferentes autores y a manera de ejemplo presentamos el siguiente.

Cuestionario para la evaluacin de proyectos,

Existe una lista de proyectos de sistema de procesamiento de informacin
y fechas programadas de implantacin que puedan ser considerados como plan
maestro?
Est relacionado el plan maestro con un plan general de desarrollo de la
dependencia?
Ofrece el plan maestro la atencin de solicitud?
Asigna el plan maestro un porcentaje del tiempo total de produccin al
reproceso o fallas de equipo?
Poner la lista de proyectos a corto plazo y a largo plazo.
Poner una lista de sistemas en proceso periodicidad y usuarios. Quin
autoriza los proyectos?
Cmo se asignan los recursos?
Cmo se estiman los tiempos de duracin?
Quin interviene en la planeacin de los proyectos?
Cmo se calcula el presupuesto del proyecto?
Qu tcnicas se usan en el control de los proyectos?
Quin asigna las prioridades?
Cmo se asignan las prioridades?
Cmo se controla el avance del proyecto?
Con qu periodicidad se revisa el reporte de avance del proyecto?
Cmo se estima el rendimiento del personal?
Con que frecuencia se estiman los costos del proyecto para compararlo
con lo presupuestado?
Qu acciones correctivas se toman en caso de desviaciones?
Qu pasos y tcnicas siguen en la planeacin y control de los proyectos?
Enumrelos secuencialmente.
( ) Determinacin de los objetivos.
( ) Sealamiento de las polticas.
96
( ) Designacin del funcionario responsable del proyecto.
( ) Integracin del grupo de trabajo.
( ) Integracin de un comit de decisiones.
( ) Desarrollo de la investigacin.
( ) Documentacin de la investigacin.
( ) Factibilidad de los sistemas.
( ) Anlisis y valuacin de propuestas.
( ) Seleccin de equipos.

Se llevan a cabo revisiones peridicas de los sistemas para determinar si
an cumplen con los objetivos para los cuales fueron diseados?
De anlisis SI NO
De programacin SI NO
Observaciones
Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que
el departamento de informtica podra satisfacer las necesidades de la
dependencia, segn la situacin actual.
Como ejemplo de formato de control de proyectos vase en el anexo 3, del
calendario de actividades vanse los anexos 4 y 5, del reporte de los responsables
del sistema, vase el anexo 6, del control de programadores, vanse los anexos 7
y 8, de planeacin de la programacin, vanse los anexos 9 y 10, de los informes
de avance de programacin, vase el anexo 11, de control de avance de
programacin vanse los anexos 12, 13 y 14.


7.6 Control de diseo de sistemas de programacin

El objetivo es asegurarse de que el sistema funcione conforme a las
especificaciones funcionales, a fin de que el usuario tenga la suficiente
informacin para su manejo, operacin y aceptacin.
Las revisiones se efectan en forma paralela desde el anlisis hasta la
programacin y sus objetivos son los siguientes:
En la etapa de anlisis. Identificar inexactitudes, ambigedades y
omisiones en las especificaciones.
En la etapa de diseo. Descubrir errores, debilidades, omisiones
antes de iniciar la codificacin.
En la etapa de programacin. Buscar la claridad, modularidad y
verificar con base en las especificaciones.

Esta actividad es muy importante ya que el costo de corregir errores es
directamente proporcional al momento que se detectan: si se descubren en el
momento de programacin ser ms alto el costo que si se detectan en la etapa
de anlisis.
Las pruebas del sistema tratan de garantizar que se cumplan los requisitos
de las especificaciones funcionales, verificando datos estadsticos, transacciones,
reportes, archivos, anotando las fallas que pudieran ocurrir y realizando los ajustes
necesarios. Los niveles de prueba pueden ser agrupados en mdulos, programas
97
y sistema total.
Esta funcin tiene una gran importancia en el ciclo de evaluacin de
aplicaciones de los sistemas de informacin y busca comprobar que la aplicacin
cumple las especificaciones del usuario, que se haya desarrollado dentro de lo
presupuestado, que tenga los controles necesarios y que efectivamente cumpla
con los objetivos y beneficios esperados.
Un cambio hecho a un sistema existente, como la creacin de uno nuevo,
presupone necesariamente cambios en la forma de obtener la informacin y un
costo adicional. Ambos debern ser evaluados.
Se debe evaluar el cambio (si lo hay) de la forma en que se ejecutan las
operaciones, se comprueba si mejora la exactitud de la informacin generada, si la
obtencin de los reportes efectivamente reduce el tiempo de entrega o si es ms
completa. Se determina cunto afecta las actividades del personal usuario o si
aumenta o disminuye el personal de la organizacin, as como los cambios entre
las interacciones entre los miembros de la organizacin. A fin de saber si aumenta
o disminuye el esfuerzo realizado y su relacin costo/beneficio para generar la
informacin destinada a la toma de decisiones, con objeto de estar en condiciones
de determinar la productividad y calidad del sistema.
El analista deber proporcionar la descripcin del funcionamiento del
sistema funcional desde el punto de vista del usuario, indicando todas las
interrelaciones del sistema, la descripcin lgica de cada dato, las estructuras que
esto forman, el flujo de informacin que tiene lugar en el sistema. Lo que el
sistema tomara como entrada, los procesos que ser realizados, las salidas que
deber proporcionar, los controles que se efectuarn para cada variable y los
procedimientos.

Cuestionarios para la evaluacin del diseo y prueba de los sistemas

Quienes intervienen al disear
Usuario.
Analista.
Programadores operadores.
Gerente de departamento.
Auditores internos. Asesores.
Otros.
Los analistas son tambin programadores?
SI( ) NO( )
Qu lenguaje o lenguajes conocen los analistas?
Cuntos analistas hay y qu experiencia tienen?
Qu lenguaje conocen los programadores?
Cmo se controla el trabajo de los analistas?
Cmo se controla el trabajo de los programadores?
Indique qu pasos siguen los programadores en el desarrollo de un
programa:
( ) Estudio de la definicin
( ) Discusin con el analista
( ) Diagrama de bloques
98
( ) Tabla de decisiones
( ) Prueba de escritorio
( ) Codificacin
( ) Compilacin
( ) Elaborar datos de prueba
( ) Solicitar datos al analista
( ) Correr programas con datos
( ) Revisin de resultados
( ) Correccin del programa
( ) Documentar el programa
( ) Someter resultados de prueba
( ) Entrega del programa
Es enviado a captura o los programadores capturan?
Quin los captura?
Qu documentacin acompaa al programa cuando se entrega?

Es muy frecuente que el programador no libere un sistema, esto es, que
contine dndole mantenimiento al sistema y sea el nico que lo conozca. Ello
puede deberse a amistad con el usuario, falta de documentacin, mal anlisis
preliminar del sistema, resistencia a cambiar a otro proyecto o bien a una situacin
que es muy grave dentro del rea de informtica: la aplicacin de "indispensables"
que son los nicos que tienen la informacin y, por lo tanto, son inamovibles.
Qu sucede respecto al mantenimiento o modificacin de un sistema
cuando el sistema no ha sido bien desarrollado (analizado, diseado, programado,
probado) e instalado? La respuesta es sencilla: necesitar cambios frecuentes por
omisiones o nuevos requerimientos.
En el caso de sistemas, muchas organizaciones estn gastando cerca del
80% de sus recursos de cmputo en mantenimiento.
El mantenimiento excesivo es consecuencia de falta de planeacin y control
del desarrollo de sistemas; la planeacin debe contemplar los recursos disponibles
y tcnicas apropiadas de desarrollo.
El control por su parte debe tener como soporte el establecimiento de
normas de desarrollo que han de ser verificadas continuamente en todas las
etapas del desarrollo de un sistema. Estas normas no pueden estar aisladas,
primero, del contexto particular de la direccin de informtica (ambiente) y,
segundo, de los lineamientos generales de la organizacin, para lo cual es
necesario contar con personal en desarrollo que posea suficiente experiencia en el
establecimiento de normas de desarrollo de sistemas. Estas mismas
caractersticas deben existir en el personal de auditora de sistemas.
Es poco improbable que un proyecto llegue a un final feliz cuando se ha
iniciado sin xito. Difcilmente estaremos controlando realmente el flujo de la
informacin de un sistema que desde su inicio ha sido mal analizado, mal
diseado, mal programado e incluso mal documentado.
El excesivo mantenimiento de los sistemas generalmente ocasionado por
un mal desarrollo, se inicia desde que el usuario establece sus requerimientos (en
ocasiones sin saber qu desea) hasta la instalacin del mismo, sin que se haya
establecido un plan de prueba del sistema para medir su grado de contabilidad en
99
la operacin que efectuar.
Para verificar si existe esta situacin, se debe pedir a los analistas y a los
programadores las actividades que estn desarrollando en el momento de la
auditora y evaluar si estn efectuando actividades de mantenimiento o de
realizacin de nuevos proyectos. En ambos casos se deber evaluar el tiempo que
llevan dentro del mismo sistema, la prioridad que se le asign y cmo est en el
tiempo real en relacin al tiempo estimado en el plan maestro.
El que los analistas, los programadores o unos y otros tengan acceso en
todo momento a los sistemas en operacin puede ser un grave problema y
ocasionar fallas de seguridad.


7.7 Instructivos de operacin

Debemos evaluar los instructivos de operacin de los sistemas para evitar
que los programadores tengan acceso a los sistemas en operacin y el contenido
mnimo de los instructivos de operacin.

El instructivo de operacin deber comprender:

Diagrama de flujo por cada programa.
- Diagrama particular de entrada-salida
- Mensaje y su explicacin
- Parmetros y su explicacin
- Diseo de impresin de resultados
- Cifras de control
- Frmulas de verificacin
- Observaciones
- instrucciones en caso de error
- Calendario de proceso y resultados


7.8 Forma de implantacin

La finalidad de evaluar los trabajos que se realizan para iniciar la operacin
de un sistema, esto es, la prueba integral del sistema, adecuacin, aceptacin por
parte del usuario, entrenamiento de los responsables del sistema, etc.

Indica cules puntos se toman en cuenta para la prueba de un sistema:

Prueba particular de cada programa ( )
Prueba por fase validacin, actualizacin ( )
Prueba integral del paralelo ( )
Prueba en paralelo sistema ( )
Otro (especificar) ( )


100
7.9 Equipo y facilidades de programacin


La seleccin de la configuracin de un sistema de cmputo incluye la
interaccin de numerosas y complejas decisiones de carcter tcnico. El impacto
en el rendimiento de un sistema de cmputo debido a cambios trascendentales en
el sistema operativo o en el equipo puede ser determinado por medio de un
paquete de pruebas (benchamark) que haya sido elaborado para este fin en la
direccin de informtica. Es conveniente solicitar pruebas y comparaciones entre
equipos (benchamark) para evaluar la situacin del equipo y del software en
relacin a otros que se encuentran en el mercado.


7.10 Entrevistas a usuarios


La entrevista se deber llevar a cabo para comparar datos proporcionados
y la situacin de la direccin de informtica desde el punto de vistas de los
usuarios.
Su objeto es conocer la opinin que tienen los usuarios sobre los servicios
proporcionados, as como la difusin de las aplicaciones de la computadora y de
los sistemas en operacin.
Las entrevistas se debern hacer, en caso de ser posible, a todos los
usuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los ms
importantes como de los de menor importancia, en cuanto al uso del equipo.
Desde el punto de vista del usuario los sistemas deben:
1) Cumplir con los requerimientos totales del usuario.
2) Cubrir todos los controles necesarios.
3) No exceder las estimaciones del presupuesto inicial.
4) Sern fcilmente modificables.


Para que un sistema cumpla con los requerimientos del usuario, se necesita
una comunicacin completa entre usuario y el responsable del desarrollo del
sistema; en ella se deben definir claramente los elementos con que cuenta el
usuario, las necesidades de proceso de informacin y los requerimientos de
informacin de salida, almacenada o impresa.
En esta misma etapa debi haberse definido la calidad de la informacin
que ser procesada por la computadora, establecindose los riesgos de la misma
y la forma de minimizarlos. Para ello se debieron definir los controles adecuados,
establecindose adems los niveles de acceso a la informacin, es decir, quin
tiene privilegio de consultar, modificar o incluso borrar informacin.
Esta etapa habr de ser cuidadosamente verificada por el auditor interno
especialista en sistemas y por el auditor en informtica, para comprobar que se
logr una adecuada comprensin de los requerimientos del usuario y un control
satisfactorio de informacin.
Para verificar si los servicios que se proporcionan a los usuarios son los
101
requeridos y se estn proporcionando en forma adecuada, cuando menos ser
preciso considerar la siguiente informacin:
Descripcin de los servicios prestados.
Criterios de evaluacin que utilizan los usuarios para evaluar el nivel del
servicio prestado.
Reporte peridico del uso y concepto del usuario sobre el servicio.
Registro de los requerimientos planteados por el usuario.
Con esta informacin se puede comenzar a realizar la entrevista para
determinar si los servicios proporcionados y planeados por la direccin de
informtica cubren las necesidades de informacin de la organizacin.

Gua de cuestionario para la entrevista con el usuario

Considera que la direccin de informtica le da los resultados esperados?
SI ( ) NO ( )
Porqu?
Cmo considera usted, en general y el servicio proporcionado por la
direccin de informtica?
1. Deficiente
2. Aceptable
3. Satisfactorio
4. Excelente
Por qu?
Cubre sus necesidades de procesamiento?
1. No las cubre
2. Parcialmente
3. La mayor parte
4. Todas
Por qu?

Cmo considera la calidad del procesamiento que se le proporciona?
1. Deficiente
2. Aceptable
3. Satisfactorio
4. Excelente
Por qu?
Hay disponibilidad de procesamiento para sus requerimientos?
1. Generalmente no existe
2. Hay ocasionalmente
3. Regularmente
4. Siempre
Por qu?
Conoce los costos de los servicios proporcionados?
Que opina del costo del servicio proporcionado por el departamento de
procesos electrnicos?
1. Excesivo
2. Mnimo
102
3. Regular
4. Adecuado al servicio
5. No lo conoce
Por qu?
Son entregados con puntualidad los trabajos?
1. Nunca
2. Rara vez
3. Ocasionalmente
4. Generalmente
5. Siempre
Por qu?
Qu Piensa de la presentacin de los trabajos solicitados?
1. Deficiente
2. Aceptable
3. Satisfactoria
4. Excelente
Por qu?
Qu piensa de la atencin brindada por el personal de procesos
electrnicos?
1. Insatisfactoria
2. Satisfactoria
3. Excelente
Por qu?
Qu piensa de la asesora que se imparte sobre informtica?
1. No se proporciona
2. Es insuficiente
3. Satisfactoria
4. Excelente
Por qu?

Qu piensa de la seguridad en el manejo de la informacin proporcionada
para su procesamiento?
1. Nula
2. Riesgosa
3. Satisfactoria
4. Excelente
5. Lo desconoce
Por qu?
Existen fallas de exactitud en los procesos de informacin?
Cules?
Cmo utiliza los reportes que se le proporcionan?
Cules no utiliza?
De aquellos que no utiliza por qu razn los recibe?
Qu sugerencias presenta en cuanto a la eliminacin de reportes:
modificacin, fusin, divisin de reporte?
Se cuenta con un manual del usuario por sistema?
Si ( ) NO( )
103
Es claro y objetivo el manual del usuario?
SI ( ) NO( )
Qu opinin tiene sobre el manual?
NOTA: Pida el manual del usuario para evaluarlo
Quin interviene de su departamento en el diseo de sistemas?
En qu sistemas tiene actualmente su servicio de computacin?
Qu sistemas deseara que se incluyeran?
Observaciones:
104
8
__________________________________________________________________



Evaluacin del proceso de datos y
de los equipos de cmputo
[1; pg. 76-99 ]



8.1 Controles

Los datos son uno de los recursos ms valiosos de las organizaciones y,
aunque son intangibles, necesitan ser controlados y auditados con el mismo
cuidado que los dems inventarios de la organizacin, por lo cual se debe tener
presente:
a) La responsabilidad de los datos es compartida conjuntamente por alguna
funcin determinada de la organizacin y la direccin de informtica.
b) Un problema que se debe considerar es el que se origina por la
duplicidad de los datos y consiste en poder determinar los propietarios o
usuarios posibles (principalmente en el caso de redes y banco de datos)
y la responsabilidad de su actualizacin y consistencia.
c) Los datos debern tener una clasificacin estndar y un mecanismo de
identificacin que permita detectar duplicidad y redundancia dentro de
una aplicacin y de todas las aplicaciones en general.
d) Se deben relacionar los elementos de los datos con las bases de datos
donde estn almacenados, as como los reportes y grupos de procesos
donde son generados.


8.1.1 Control de los datos fuente y manejo de cifras de control.

La mayora de los delitos por computadora son cometidos por
modificaciones de datos fuente al:
Suprimir u omitir datos,
Adicionar datos,
Alterar datos
Duplicar procesos

105
Esto es de suma importancia en caso de equipos de cmputo que cuentan
con sistemas en lnea, en los que los usuarios son los responsables de la captura
y modificacin de la informacin al tener un adecuado control con sealamiento de
responsables de los datos (uno de los usuarios debe ser el nico responsable de
determinado dato), con claves de acceso de acuerdo a niveles.
El primer nivel es el que puede hacer nicamente consultas. El segundo
nivel es aquel que puede hacer captura, modificaciones y consultas y el tercer
nivel es el que slo puede hacer todo lo anterior y adems puede realizar bajas.
NOTA: Debido a que se denomina de diferentes formas la actividad de
transcribir la informacin del dato fuente a la computadora, en el presente trabajo
se le denominar captura o captacin considerndola como sinnimo de digitalizar
(capturista, digitalizadora).
Lo primero que debemos evaluar es la entrada de la informacin y que se
tengan las cifras de control necesarias para determinar la veracidad de la
informacin.


Gua de cuestionario para el control de datos fuente

Existen normas que definan el contenido de los instructivos de captacin
de datos?
Indique el porcentaje de datos que se reciben en el rea de captacin y
verifique si contiene su instructivo correspondiente.
Indique el contenido de la orden de trabajo que se recibe en el rea de
captacin de datos:
Nmero de folio ( ) Nmero(s) de formatos) ( )
Fecha y hora de Nombre, del departamento,
Recepcin ( ) Usuario ( )
Nombre del documento ( ) Nombre responsable ( )
Volumen aproximado Clave de cargo
de registros ( ) (nmero de cuenta) ( )
Nmero de registros ( ) Fecha y hora de entrega de
Clave del capturista ( ) documentos y registros captados ( )
Fecha estimada de entrega ( )

Indique cul(es) control(es) interno(s) existe(n) en el rea de captacin de datos:

Firmas de autorizacin ( )
Recepcin de trabajos ( )
Control de trabajos atrasados ( )
Revisin del documento ( )
Avance de trabajos ( )
Fuente (legibilidad, verificacin de datos completos, etc.) ( )
Verificacin ( )
Prioridades de captacin ( )
Errores por trabajo ( )
Produccin de trabajo ( )
106
Correccin de errores ( )
Produccin de cada operador ( )
Entrega de trabajos ( )
Verificacin de cifras de control de entrada con las de salida ( )
Costo mensual por trabajo ( )
Existe un programa de trabajo de captacin de datos?
a) Se elabora ese programa para cada turno?
SI NO
( ) Diariamente
( ) Semanalmente
( ) Mensualmente
b) La elaboracin del programa de trabajo se hace:
( ) Internamente
( ) Se les sealan a los usuarios las prioridades
( ) Se les seala a los usuarios la posible fecha de entrega
c) El programa de trabajo es congruente con el calendario de produccin?
SI NO
d) Indique el contenido del programa de trabajo de captaciones.
Nombre de usuario
Clave de trabajo
Fecha programada
Recepcin
Hora programada de recepcin
Volumen estimado de registros por trabajo
Fecha programada de entrega
Hora programada de entrega
e) Qu accin(es) se toma(n) si el trabajo programado no se recibe a tiempo?
Cuando la carga de trabajo supera la capacidad instalada se requiere:
( ) Tiempo extra
( ) Se subcontrata
Quin controla las entradas de documentos fuente?
En qu forma las controla?
Qu cifras de control se obtienen?
Sistema Cifras que se obtienen observaciones
Qu documentos de entrada se tienen?
Sistemas Documentos ** Departamento que proporciona el documento **
Periodicidad ** Observaciones
Se anota qu persona recibe la informacin y su volumen?
SI NO
Se anota a qu capturista se entrega la informacin, el volumen y la hora?
SI NO
Se verifica la calidad de la informacin recibida para su captura?
SI NO

Se revisan las cifras de control antes de enviarlas a captura?
SI NO
Para aquellos procesos que no traigan cifras de control se han establecido
107
criterios a fin de asegurar que la informacin es completa y vlida?
SI NO
Existe un procedimiento escrito que indique cmo tratar la informacin
invlida? (Sin firma, ilegible, no corresponden las cifras de control).
En caso de resguardo de informacin de entrada en sistemas, se
custodian en un lugar seguro.
Si se queda en el departamento de sistemas, por cunto tiempo se
guarda?
Existe un registro de anomalas en la informacin debido a mala
codificacin?
Existe una relacin completa de distribucin de listados, en la cual se
indiquen personas, secuencia y sistemas a los que pertenecen?
Se verifica que las cifras de las validaciones concuerden con los
documentos de entrada?
Se hace una relacin de cundo y a quin fueron distribuidos los listados?
Se controlan separadamente los documentos confidenciales?
Se aprovecha adecuadamente el papel de los listados inservibles?
Existe un registro de los documentos que entran a captura?
Se hace un reporte diario, semanal o mensual de captura?
Se hace un reporte diario, semanal o mensual de anomalas en la
informacin de entrada?
Se lleva un control de la produccin por persona?
Quin revisa este control?
Existen instrucciones escritas para capturar cada aplicacin o, en su
defecto existe una relacin de programas?


8.1.2 Control de operacin


La eficiencia y el costo de la operacin de un sistema de cmputo se ven
fuertemente afectados por la calidad e integridad de la documentacin requerida
para el proceso en la computadora. Los instructivos de operacin proporcionan al
operador informacin sobre los procedimientos que debe seguir en situaciones
normales y anormales en el procesamiento, y si la documentacin es incompleta o
inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo
conducente, generando probablemente errores, reprocesos, desperdicio de tiempo
de mquina, se incrementan, pues, los costos del procesamiento de datos.
El objetivo del presente ejemplo de cuestionario es sealar los
procedimientos e instructivos formales de operacin, analizar su estandarizacin y
evaluar el cumplimiento de los mismos.

Existen procedimientos formales para la operacin del sistema de
computo?
SI ( ) NO( )
Esos procedimientos describen detalladamente tanto la organizacin de la
sala de maquinas como la operacin del sistema de cmputo?
108
SI ( ) NO( )
Estn actualizados los procedimientos?
SI ( ) NO ( )
Indique la periodicidad de la actualizacin de los procedimientos:
( ) Semestral
( ) Anual
( ) Cada vez que haya cambio de equipo
Observe la forma en que est operando la mquina, como se distribuyen
los trabajos en lotes?,cul es el lmite de trabajos en lotes y si se tiene un
adecuado orden y control en los procesos por lotes?
SI ( ) NO ( )
Indique el contenido de los instructivos de operacin para cada aplicacin:
( ) Identificacin del sistema
( ) Identificacin del programa
( ) Periodicidad y duracin de la corrida
( ) Especificacin de formas especiales
( ) Especificacin de cintas de impresora
( ) Etiquetas de archivos de salida, nombre archivo lgico y fechas de
creacin y expiracin
( ) Instructivo sobre materiales de entrada y salida
( ) Altos programados y las acciones requeridas
( ) Instructivos especficos a los operadores en caso de falla del equipo
( ) Puntos de reinicio, procedimientos de recuperacin para proceso de
gran duracin
( ) Identificacin de todos los dispositivos de la mquina a ser usados
( ) Especificaciones de resultados (cifras de control, registros de salida por
archivo, etc.)
Existen rdenes de proceso para cada corrida en la computadora
(incluyendo pruebas, compilaciones y produccin)?
SI ( ) NO( )
Son suficientemente claras para los operadores estas rdenes?
SI ( ) NO( )
Existe una estandarizacin de las rdenes de proceso?
Si ( ) NO( )
Existe un control que asegure, la justificacin de los procesos en el
computador?
(Que los procesos que se estn trabajando estn autorizados y tengan una
razn de ser procesados).
SI ( ) NO ( )

Cmo programan los operadores los trabajos dentro de la sala de
mquinas?
( ) Primero que entra, primero que sale
( ) Se respetan las prioridades
( ) Otra (especifique)
Los retrasos o incumplimientos con el programa de operacin diaria, se
revisa y analiza?
109
SI ( ) NO( )
Quin revisa este reporte en su caso?
Cmo controlan los operadores las versiones correctas y cmo se
identifican las que son de prueba?
Analice la eficiencia con que se ejecutan los trabajos dentro de la sala de
mquinas, tomando en cuenta equipo y operador, a travs de inspeccin visual, y
describa sus observaciones:
Existen procedimientos escritos para la recuperacin del sistema en caso
de las fallas?
Cmo se acta en caso de errores?
Existen instrucciones especficas para cada proceso, con las indicaciones
pertinentes?
Se tienen procedimientos especficos que indiquen al operador qu hacer
cuando un programa interrumpe su ejecucin u otras dificultades en proceso?
Puede el operador modificar los datos de entrada?
Se prohibe a analistas y programadores la operacin de la mquina?
Puede el operador de mesa de control operar la mquina?
Se prohbe al operador modificar informacin de archivos o biblioteca de
programas?
El operador realiza funciones de mantenimiento diario en dispositivos que
as lo requieran?
Las intervenciones de los operadores:
Son muy numerosas? SI( ) NO( )
Se limitan los mensajes esenciales Si( ) NO( )
Otras (especifique) SI( ) NO( )
Se tiene un control adecuado sobre los sistemas y programas que estn
en operacin?
Si ( ) NO( )
Cmo se controlan los trabajos dentro de la sala de mquinas
Se rota al personal del control de informacin con los operadores
procurando un entrenamiento cruzado y evitando la manipulacin fundamental de
datos?.
SI( ) NO ( )

Cuentan los operadores con una bitcora para mantener registros de
cualquier evento y accin tomada por ellos?.
( ) SI
( ) Por mquina
( ) Escrita manualmente
( ) NO
Verificar que exista un registro de funcionamiento que muestra el tiempo de
paros y mantenimiento o instalaciones de software.
Existen procedimientos para evitar las corridas de programas no
autorizados?
SI( ) NO( )
Existe un plan definido para el cambio de turno de operacin que evite el
descontrol y discontinuidad de la operacin?
110
Verificar que sea razonable el plan para coordinar el cambio de turno.
Se hacen inspecciones peridicas de muestreo?.
Si( ) NO ( )
Enuncie los procedimientos mencionados en la pregunta anterior:
Se permite a los operadores el acceso a los diagramas de flujo,
programas fuente, etc., fuera de la sala de mquinas?.
SI( ) NO ( )
Se controla estrictamente acceso a la documentacin de programas o de
aplicaciones rutinarias?
SI( ) NO( )
Cmo?
Verifique que los privilegios del operador se restrinjan a aquellos que le son
asignados a la clasificacin de seguridad de operador.
Existen procedimientos formales que se deban observar antes de que
sean aceptados en operacin , sistemas nuevos o modificaciones a los mismos?.
SI( ) NO( )
Estos procedimientos incluyen corridas en paralelo de los sistemas
modificados con las versiones anteriores?
SI( ) NO( )
Durante cunto tiempo?
Qu precauciones se toman durante el periodo de implantacin?
Quin da la aprobacin formal cuando las corridas de prueba de un
sistema modificado o nuevo estn acordes con los instructivos de operacin? Se
catalogan los programas liberados para produccin rutinaria?
SI( ) NO( )
Mencione qu instructivos se proporcionan a las personas que intervienen
en la operacin rutinaria de un sistema.
Indique qu tipo de controles tiene sobre los archivos magnticos de los
archivos de datos, que aseguren la utilizacin de los datos precisos en los
procesos correspondientes.

Existe un lugar para archivar las bitcoras del sistema del equipo de
cmputo?
SI( ) NO( )
Indique cmo est organizado este archivo de bitcora.
( ) Por fecha
( ) Por fecha y hora
( ) Por turno de operacin
( ) Otros
Cul es la utilizacin sistemtica de las bitcoras?
Adems de las mencionadas anteriormente, qu otras funciones o reas
se encuentran en la sala de mquinas actualmente?
Verifique que se lleve un registro de utilizacin del equipo diario, sistemas
en lnea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo.
Se tiene inventario actualizado de los equipos y terminales con su
localizacin?
SI( ) NO( )
111
Cmo se controlan los procesos en lnea?
Se tienen seguros sobre todos los equipos?
SI( ) NO( )
Con qu compaa?
NOTA: Solicitar plizas de seguros y verificar tipo de seguro y montos.
Cmo se controlan las llaves de acceso (password)?


Instructivos de operacin


Se debe verificar que el instructivo de operacin contenga los siguientes
datos:
Diagrama particular de entrada/salida ( )
Mensajes y su explicacin ( )
Parmetros y su explicacin ( )
Diseo de impresin de resultados ( )
Cifras de control ( )
Frmulas de verificacin ( )
Observaciones ( )
Instrucciones de caso de error ( )
Calendario de proceso y de entrega
de resultados ( )
112

8.1.3 Controles de salida


Se tienen copias de los archivos en otros locales?
Dnde se encuentran esos locales?
Qu seguridad fsica se tiene en esos locales?
Qu confidencialidad se tiene en esos locales?
Quin entrega los documentos de salida?
En qu forma se entregan?
Qu documentos?


Sistema Documentos A quien se
entrega
Periodicidad Observaciones Comentarios







Qu controles se tienen?

Sistema Control Observaciones Comentarios







Se tiene un responsable (usuario) de la informacin de cada sistema?
Cmo se atienden solicitudes de informacin a otros usuarios del mismo
sistema?
Se destruye la informacin no utilizada, o bien que se hace con ella?
Destruye ( ) Vende ( ) Tira ( ) Otro________________



8.1.4 Control de asignacin de trabajo



Esta parte se relaciona con la direccin de las operaciones de la
computadora en trminos de la eficiencia y satisfaccin del usuario. Esta seccin
debe ser comparada con la opinin expresada por el usuario. La funcin clave del
programador de cargas de mquina est relacionada con el logro eficiente y
113
efectivo que:
- Satisfaga las necesidades de tiempo del usuario.
- Sea compatible con los programas de recepcin y transcripcin de datos.
- Permiten niveles efectivos de utilizacin de los equipos y sistemas de
operacin.
- Es gil la utilizacin de los equipos en lnea.
La experiencia muestra que los mejores resultados se logran en
organizaciones que utilizan sistemas formales de programacin de actividades, los
cuales intentan balancear los factores y medir resultados.
Se debern evaluar los procedimientos de programacin de cargas
mquina para determinar si se ha considerado atenuar los picos de los procesos,
generados por cierres mensuales, y poder balancear las cargas de trabajo de
batch y lnea, dando prioridad a los procesos en lnea.

Opera la sala de mquinas en base a programas de trabajo?
SI( ) NO( )
Indique los periodos que abarcan los programas de trabajo:
Indique el puesto o departamento responsable de la elaboracin de los
programas de trabajo:
Se cambian frecuentemente los programas de trabajo?
Si( ) NO( )
Cul es la causa principal?
Se comunica oportunamente a los usuarios las modificaciones a los
programas de trabajo?
SI( ) NO( )
Dentro del programa de trabajo de la mquina, se tiene previstas?:
Demandas inesperadas? ( )
Fallas de la mquinas? ( )
Soporte de los usuarios ( )
Manteniendo preventivo ( )
Otras (especifique)
Con qu frecuencia se asigna la computadora, en su totalidad, para una
sola aplicacin (la de mayor utilizacin)?
Especifique los elementos que sirven como base para programar las cargas
de mquina.

Se deber procurar que la distribucin fsica del equipo sea funcional, que
la programacin de las cargas de mquina satisfaga en forma eficaz al usuario; se
tendr cuidado con los controles que se tengan para la utilizacin de equipo y que
el mantenimiento satisfaga las necesidades del equipo.



8.1.5 Control de medios de almacenamientos masivos



114
Los dispositivos de almacenamiento representan, para cualquier centro de
cmputo, archivos extremadamente importantes cuya prdida parcial o total podra
tener repercusiones muy serias, no slo en la unidad de informtica, sino len la
dependencia de la cual se presta servicio. Una direccin de informtica bien
administrada debe tener perfectamente protegidos estos dispositivos de
almacenamiento, adems de mantener registros sistemticos de la utilizacin de
estos archivos, de modo que sirvan de base a los programas de limpieza (borrado
de informacin), principalmente en el caso de las cintas.
Adems se deben tener perfectamente identificados los carretes para
reducir la posibilidad de utilizacin errnea o destruccin de la informacin.
Un manejo adecuado de estos dispositivos permitir una operacin ms
eficiente y segura, mejorando adems los tiempos de proceso.
El cuestionario puede ser extensivo a todo tipo de cintas y disquetes.


Control de almacenamiento masivo


Objetivos

El objetivo de este cuestionario es evaluar la forma como se administran los
dispositivos de almacenamiento bsico de la direccin.
Los locales asignados a la cintoteca y discoteca tienen:
( ) Aire acondicionado
( ) Proteccin contra el fuego (sealar que tipo de proteccin)
( ) Cerradura especial
( ) Otra
Tienen la cintoteca y discoteca proteccin automtica contra el fuego?
SI( ) NO( )
(sealar de que tipo)
Qu informacin mnima contiene el inventario de la cintoteca y la
discoteca?
( ) Nmero de serie o carrete
( ) Nombre o clave del usuario
( ) Nombre del archivo lgico
( ) Nombre del sistema que lo genera
( ) Fecha de generacin del archivo
( ) Fecha de expiracin del archivo
( ) Nmero de volumen
( ) Otros
Se verifican con frecuencia la validez de los inventarios de los archivos
magnticos?
Si( ) NO( )

En caso de existir discrepancia entre las cintas o discos y su contenido, se
resuelven y explican satisfactoriamente las discrepancias?
SI( ) NO( )
115
Qu tan frecuentes son estas discrepancias? Cuntas veces al mes?
Se tienen procedimientos que permitan la reconstruccin de un archivo en
cinta o disco, el cual fue inadvertidamente destruido?
SI( ) NO( )
Se tienen identificados los archivos con informacin confidencial y se
cuenta con claves de acceso?
Si( ) NO( )
Cmo?
Existe un control estricto de las copias de estos archivos?
SI( ) NO( )
Qu medio se utiliza para almacenarlos?
( ) Mueble con cerradura
( ) Bveda
Otro (especifique)
Este almacn est situado:
( ) En el mismo edificio de la direccin de informtica
( ) En otro lugar
Cul?
Se borran los archivos de los dispositivos de almacenamiento, cuando se
desechan stos?
SI( ) NO( )
Se certifica la destruccin o baja de los archivos defectuosos?
SI( ) NO( )
Se registran como parte del inventario las nuevas cintas que recibe la
biblioteca?
SI( ) NO( )
Se tiene un responsable, por turno, de la cintoteca y discoteca?
SI( ) NO( )
Se realizan auditorias peridicas a los medios de almacenamiento?
SI( ) NO( )
Con qu periodicidad?
Qu medidas se toman en caso de extravo de algn dispositivo de
almacenamiento?
Se restringe el acceso a los lugares asignados para guardar los
dispositivos de almacenamiento, al personal autorizado?
Si( ) NO( )
Se tiene relacin del personal autorizado para firmar la salida de archivos
confidenciales?
SI( ) NO( )
Existe un procedimiento para registrar los archivos que se prestan y la
fecha en que se devolvern?
SI( ) NO( )
Se lleva control sobre los archivos prestados por la instalacin?
Si( ) NO( )
En caso de prstamo, con qu informacin se documentan?
( ) Nombre de la institucin a quien se hace el prstamo.
( ) Fecha de recepcin
116
( ) Fecha en que se debe devolver
( ) Archivos que contiene
( ) Formatos
( ) Cifras de control
( ) Cdigo de grabacin
( ) Nombre del responsable que los prest
Otros
Indique qu procedimiento se sigue en el reemplazo de las cintas que
contiene los archivos maestros:
Se conserva la cinta maestra anterior hasta despus de la nueva cinta?
Si( ) NO( )
El cintotecario controla la cinta maestra anterior previendo su uso
incorrecto o su eliminacin prematura?
Si( ) NO( )
La operacin de reemplazo es controlada por el cintotecario?
Si( ) NO( )
Se utiliza la poltica de conservacin de archivos hijo-padre-abuelo?
SI( ) NO( )
En los procesos que manejan archivos en lnea, existen procedimientos
para recuperacin de archivos?
Si( ) NO( )
Estos procedimientos los conocen los operadores?
SI( ) NO( )
Cmo los consigue?
Con qu periodicidad se revisan estos procedimientos?
( ) Mensual
( ) Anual
( ) Semestral
( ) Otra
Existe un responsable en caso de falla?
Si( ) NO( )
Explique qu polticas se siguen para la obtencin de archivos de respaldo:
Existe un procedimiento para el manejo de la informacin de la cintoteca?
Si( ) NO( )
Lo conoce y lo sigue el cintotecario?
Si( ) NO( )
Se distribuyen en forma peridica entre los jefes de sistemas y
programacin informes de archivos para que liberen los dispositivos de
almacenamiento?
SI( ) NO( )
Con qu frecuencia?



8.1. 6 Control de mantenimiento


117

Como se sabe existen bsicamente tres tipos de contrato de
mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento
correctivo y preventivo, el cual a su vez puede dividirse en aquel que incluye las
partes dentro del contrato y el que no incluye partes. El contrato que incluye
refacciones es propiamente como un seguro, ya que en caso de descompostura el
proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es
normalmente el ms caro, pero se deja al proveedor la responsabilidad total del
mantenimiento a excepcin de daos por negligencia en la utilizacin de los
equipos. (Este tipo de mantenimiento normalmente se emplea en equipos
grandes.)
El segundo tipo de mantenimiento es "por llamada", en el cual en caso de
descompostura se le llama al proveedor y ste cobra de acuerdo a una tarifa y al
tiempo que se requiera para componerlo (casi todos los proveedores incluyen, en
la cotizacin de compostura, el tiempo de traslado de su oficina a donde se
encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye
refacciones.
El tercer tipo de mantenimiento es el que se conoce como "en banco", y es
aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y ste hace
una cotizacin de acuerdo con el tiempo necesario para su compostura ms las
refacciones ( este tipo de mantenimiento puede ser el ms adecuado para
computadoras personales).
Al evaluar el mantenimiento debemos primero analizar cul de los tres tipos
es el que ms nos conviene y en segundo lugar pedir los contratos y revisar con
detalles que las clusulas estn perfectamente definidas en las cuales se elimine
toda la subjetividad y con penalizacin en caso de incumplimiento, para evitar
contratos que sean parcialmente hacia el proveedor.

Para poder exigirle el cumplimiento del contrato se debe tener un estricto
control sobre las fallas, frecuencia, y el tiempo de reparacin
Para evaluar el control que se tiene sobre el mantenimiento y las fallas se
pueden utilizar los siguientes cuestionarios:

Especifique el tipo de contrato de mantenimiento que se tiene (solicitar
copia de contrato).
Existe un programa de mantenimiento preventivo para cada dispositivo de
sistema de computo?
SI( ) NO( )
Se lleva a cabo tal programa?
SI( ) NO( )
Existen tiempos de respuesta y de compostura estipulados en los
contratos?
SI( ) NO( )
Si los tiempos de reparacin son superiores a los estipulados en el contrato,
qu, acciones correctivas se toman para ajustarlos a lo convenido?
Solicite el plan de mantenimiento preventivo que debe ser proporcionado
por proveedor
118
Existe algn tipo de mantenimiento preventivo que pueda dar el operador
autorizado por el proveedor?
SI( ) NO( )
Cul?
Cmo se notifican las fallas?
Cmo se les da seguimiento?


Control de fallas


Se mantienen registros actualizados de las fallas de los dispositivos del
sistema de cmputo y servicios auxiliares (aire acondicionado, sistema de energa
ininterrumpida, etc.)?
SI( ) NO( )
(Solicitar los registros de los ltimos seis meses)
Es posible identificar por medio de estos registros, los problemas ms
recurrentes o fallas mayores que afectan en forma determinante el funcionamiento
de la sala de mquinas?
Si( ) NO( )
Cmo se identifican?
Tiempo de respuesta promedio que ha tenido con el contrato de
mantenimiento (tiempo de respuesta es el periodo entre la notificacin o aviso de
la existencia de un problema o la llegada del personal tcnico que realiz las
reparaciones del equipo).
Cules son las actitudes de los ingenieros de servicio que mantienen sus
equipos?
Cul considera que es la competencia tcnica de los ingenieros de
servicio que dan mantenimiento a sus equipos?
Por qu?
Cul es el tiempo promedio que toma el investigar y resolver el problema?
Cul es la disponibilidad de refacciones necesarias para dar
mantenimiento a sus equipos?
Cul es la efectividad del proveedor para resolver sus problemas de
mantenimiento?
Cules son las medidas de mantenimiento preventivo realizadas al dar
servicio a su equipo?
Cul es en general la calidad de los servicios ofrecidos bajo su
"CONTRATO DE MANTENIMIENTO"?


Evaluacin del mantenimiento


Cuando se evala la capacidad de los equipos, no se debe olvidar que la
capacidad bruta disponible se deber disminuir por las actividades de
mantenimiento preventivo, fallas internas y externas no previstas y mantenimiento
119
e instalacin de nuevos sistemas.
El enfoque de esta seccin se orienta a evaluar, a travs de los controles
que se tengan en la direccin, la utilizacin del sistema de cmputo. Un control
adecuado permitir sustentar slidamente cualquier solicitud de expansin de la
configuracin presente.
Indique los registros que se llevan de la utilizacin del sistema de cmputo
(especificando la periodicidad).
( ) Tiempo de uso del procesador central
( ) Tiempo de compilacin y prueba de programas
( ) Tiempo dedicado a produccin
( ) Tiempo dedicado a mantenimiento correctivo del sistema operativo
( ) Tiempo dedicado a mantenimiento preventivo
( ) Tiempo de operacin del sistema de cmputo
( ) Tiempo de falla de los dispositivos del sistema de cmputo
( ) Tiempo de uso de cada unidad de cinta
( ) Tiempo ocioso
( ) Tiempo de uso de terminales (promedio por terminal)
( ) Tiempo de uso de impresora
( ) Tiempo de reproceso
( ) Tiempo de la computadora utilizado en demostraciones
( ) Tiempo de falla por servicios auxiliares
( ) Nmero de programas corridos por compilador
( ) Nmero de programas objeto ejecutados


Anote los siguientes datos:


( ) Tiempo promedio dJoperaciones por da Hrs.
( ) Nmero promedio de compilaciones por da
( ) Nmero promedio de programas corridos por da
( ) Tiempo promedio de respuesta para compilaciones, horas
( ) Tiempo promedio de respuesta para programas de produccin con
cintas Hrs.
( ) Tiempo promedio de respuesta para programas de produccin Hrs.
( ) Nmero promedio al da que se consideran como horas de produccin
( ) Nmero promedio de trabajos en cola de espera de ejecucin en horas
pico
( ) Nmero promedio de trabajos en cola de espera de impresin en horas
pico
( ) Nmero promedio de trabajos de ejecucin en horas pico


Anote los porcentajes de tiempo por turno de operacin que se dedica a:



120
turno 1 er. 2. 3er.
Compilacin
Prueba
Produccin
Evale la relacin de uso de impresora con respecto a la mezcla de trabajo.
Estudie la frecuencia de cambio de papel y determine si se debe:
a) Incrementar el nmero de impresora
b) Restaurar las cargas de trabajo
c) Utilizar salida a microfilm
d) Utilizar impresora de mayor velocidad (lser)
e) Es excesivo el volumen de impresin?
Si( ) NO( )
En caso de contestar si, seale las causas:
( ) Reportes muy largos
( ) Reportes no utilizados
( ) Procesos en lote que deban estar en lnea
Otros (especificar cules)
f) Especificar si existen procesos que deban cambiarse de batch a lnea a
viceversa


Evale la utilizacin del sistema de cmputo a travs de las siguientes
relaciones:
Si________________tiempo ocioso excede el 35%
Tiempo disponible
El equipo instalado est sobrado de capacidad para la carga de trabajo
actual:
Si________________ tiempo de prueba de programas en mayor al 30%
Tiempo de uso de procesador central
Se puede concluir que los procedimientos de depuracin de programas son
pobres (excepto en instalaciones nuevas):
Si_________________ tiempo de mantenimiento al sistema operativo
sobrepasa el 5%
Tiempo total disponible del sistema de cmputo
Se deber exigir al proveedor que mejore la calidad de soporte al sistema
operativo:
Si__________________tiempo de falla del sistema de computo es mayor al
5%
Tiempo disponible
Nota: stos son solamente ejemplos de factores que pueden obtenerse, los
cuales pueden ser ampliados, y los porcentajes dependern del tipo de equipo y la
experiencia que se tenga.
El servicio de mantenimiento correctivo que proporciona el proveedor es
muy pobre y deber revisarse las clusulas del contrato relativas a este rengln.
( ) Nmero total de trabajos procesados
( ) Nmero de programas corridos por usuarios y departamentos de la
direccin de informtica
121
( ) Detalle de programas con terminacin anormal especificado la causa
(por departamento y usuario)
( ) Tiempo de uso de los diversos equipos de captura por equipo y por
usuario
( ) Nmero de lneas impresas en cada impresora
( ) Otros

Esta seccin est orientada a revisar las acciones que realiza la direccin
de informtica para evaluar, mantener y auditar los sistemas implantados.


Indique qu tipo de evaluacin se realiza a los sistemas implantados:


Ninguna ( ) De objetivos ( )
Econmica ( ) De oportunidad ( )
De beneficios ( ) De operacin ( )
Otros (especificar) ( )


Indique qu instructivos se elaboran:


De codificacin ( ) De captacin ( )
Del usuario ( ) De operacin ( )
Otros (especificare ( )
Qu porcentaje del personal de programacin se dedica a dar
mantenimiento a los sistemas existentes?
El responsable del rea de produccin formula las estadsticas de
utilizacin de equipos, mostrando la frecuencia de fallas de los mismos y las
estadsticas de produccin por aplicacin? (detalle cmo se realiza y d un
ejemplo)
En qu porcentaje se cumplen los calendarios de produccin?
Indique las estadsticas de elaboracin de programas que se llevan en el
rea de informtica:

Por programador ( ) Por sistemas ( )
Por programa ( ) Por toda el rea ( )
Otras (especificar) ( )
De las unidades de entrada/salida instaladas, proporciones los siguientes
datos:
Nmero Nmero Utilizacin Velocidad
De de
Dispositivos unidades
(Inventario)
impresas por
da
122
Terminales
Unidades de
cinta
Impresoras
Otras(especificar)
Se deber controlar el uso que se le da al equipo de computo, evitando;
Tiempo de Impresora
Utilizacin Promedio de
h/da nmero de
Pginas impresas por da
- Programadores que utilizan la computadora para conocer sus errores, sin
hacer pruebas de escritorio. En este caso estn los programadores que
no saben qu instruccin poner, y en lugar de consultar su manual o
hacer pruebas de escritorio, mandan compilar el programa hasta
encontrar la opcin o rutina correcta.
- Utilizacin del equipo o del tiempo de los programadores para aplicaciones
ajenas a la organizacin.
- Personal de la direccin de informtica que utiliza la computadora para
trabajos personales, trabajos no autorizados o juegos.
- Programas que, por estar mal elaborados (generalmente cuando se usan
grandes archivos), degradan la mquina. Degradacin del equipo por
fallas en equipos perifricos. La computadora puede considerarse como
un proceso en lnea el cual al fallar alguna de las unidades principales
(memoria, unidad central) no permite la utilizacin del resto del equipo.
Pero existen unidades secundarias (cintas, impresoras, terminales,
discos) que al fallar provocan que se vea reducida la posibilidad de
utilizacin del equipo.

Por ejemplo, si tenemos una impresora y se descompone un alto porcentaje
de utilizacin del equipo se ve disminuida aunque para el proveedor slo
considere que una unidad secundaria fue la daada. Lo mismo sucede si se tienen
dos unidades de disco y se descompone una (en caso de tener solo una unidad de
discos la falla es total).
Para controlar este tipo de degradacin se puede tener un reporte que
contenga:

1. Dispositivo que integra la configuracin del equipo (por ejemplo, cinta,
disco, impresora).
2. Nmero del dispositivo, si tenemos por ejemplo 2 cintas, se anota 1 y 2
dependiendo de cul fue la que fall.
3. Tipo de falla. Se anotar una buena descripcin del tipo de falla, para lo
cual se puede elaborar un catlogo.
4. Porcentaje de degradacin. Este dato debern anotarlo los responsables
de la direccin de informtica basndose en la experiencia y en las
implicaciones que tenga en el sistema total (por ejemplo, si se tienen 2
unidades de disco la degradacin es del 50%, si se descomponen las
dos es el 100% y si se tiene solo una, o sea el 100%, en el caso de la
123
impresora si se tiene solo una puede ser el 66.6% etc.)
5. Nmero de horas en las que dur la falla, desde el momento de la
descompostura hasta el momento en que la entrega reparada el
proveedor.
124



8.2 Orden en el centro de cmputo


Una direccin de informtica bien administrada debe tener y observar
reglas relativas al orden y cuidado de la sala de mquinas. Los dispositivos del
sistema de cmputo, los archivos magnticos, pueden ser daadas si se manejan
en forma inadecuada y eso puede traducirse en prdidas irreparables de
informacin o en costos muy elevados en la reconstruccin de archivos. Se deben
revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden
dentro de la sala de mquinas.
Indique la periodicidad con que se hace la limpieza de la sala de mquinas
y de la cmara de aire que se encuentra abajo del piso falso y los ductos de aire:

( ) Semanalmente ( ) Quincenalmente
( ) Mensualmente ( ) Bimestralmente
( ) No hay programa ( ) Otro (especifique)

Existe un lugar asignado a las cintas y discos magnticos?
Se tiene asignado un lugar especfico para papelera y utensilios de
trabajo?
SI( ) NO( )

Son funcionales los muebles asignados para la cintoteca y discoteca?
Si( ) NO( )

Se tienen disposiciones para que se acomoden en su lugar
correspondiente, despus de su uso, las cintas, los discos magnticos, la
papelera, etc?
SI( ) NO( )

Indique la periodicidad con que se limpian las unidades de cinta:
Al cambio de turno ( ) Cada semana ( )
Cada da ( ) Otra (especificar) ( )

Existen prohibiciones para fumar, tomar alimentos y refrescos en la sala
de mquinas?
SI( ) NO( )

Se cuentan con carteles en lugares visibles que recuerdan dicha
prohibicin?
SI( ) NO( )

Mencione los casos en que personal ajeno al departamento de operacin
opera el sistema de cmputo:
125



8.3 Evaluacin de la configuracin del sistema de cmputo


Los objetivos son evaluar la configuracin actual tomando en consideracin
las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el
cual el sistema operativo satisface las necesidades de la instalacin y revisar las
polticas seguidas por la unidad de informtica en la conservacin de su
programoteca.

Esta seccin est orientada a:
a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de
cmputo con la carga de trabajo actual o de comparar la capacidad
instalada con los planes de desarrollo a mediano y largo plazo.
b) Evaluar las posibilidades de modificar el equipo para reducir el costo o
bien el tiempo de proceso
c) Evaluar la utilizacin de los diferentes dispositivos perifricos.

De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema
de computo, existe equipo:
Con poco uso? SI( ) NO( )
Ocioso? SI( ) NO( )
Con capacidad superior a la necesaria? SI( ) NO( )
Describa cul es:

El equipo mencionado en la pregunta anterior puede reemplazarse por
otro ms lento y de menor costo?
SI( ) NO( )

Si la respuesta a la pregunta anterior es negativa, el equipo puede ser
cancelado?
SI( ) NO( )

De ser negativa la respuesta a la pregunta anterior, explique las causas por
las que no puede ser cancelado o cambiado.

El sistema de cmputo tiene capacidad de teleproceso?
SI( ) NO( )

Se utiliza la capacidad de teleproceso?
SI( ) NO( )

En caso negativo, exponga los motivos por los cuales no utiliza el
teleproceso.

126
Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
SI( ) NO( )

Indique si existen polticas, para aplicaciones soportadas por teleproceso,
para fijar:
El tamao mximo de programas SI( ) NO( )
Nmero de archivos SI( ) NO( )
Tamao mximo para cada archivo SI( ) NO( )
Nivel de acceso SI( ) NO( )

La capacidad de memoria y de almacenamiento mximo del sistema de
cmputo es suficiente para atender el proceso por lotes y el proceso remoto?
Si( ) NO( )



8.4 Productividad


El objetivo es evaluar la eficiencia con que opera el rea de captacin y
produccin.
Verifique que se cuente con una descripcin completa de los trabajos que
se corren y la descripcin de las caractersticas de carga.
Verifique la existencia de un pronstico de cargas o trabajos que se
efectuarn durante el ao, con el objeto de que se prevean los picos en las cargas
de trabajo y se pueda distribuir adecuadamente estas cargas.
Se tiene un programa de trabajo diario? semanal? en el ao?
En caso de que no se tenga la programacin diaria, cmo se realiza la
produccin?
Verifique que se contemplen dentro de los planes de produccin periodos
de mantenimiento preventivo.
Verifique que se disponga de espacio y tiempo para realizar corridas
especiales, corridas de prueba de sistemas en desarrollo y corridas que deben
repetirse.

Verifique que se tengan definidos el espacio y tiempo para el respaldo de la
informacin.
Se tiene una programacin del mantenimiento previo?
Se tiene un plan definido de respaldo de la informacin?
Se contempla dentro del plan tiempo para realizar corridas de pruebas?
Se revisa el cumplimiento de los programas de produccin establecidas?
Verifique que se tenga conocimiento de los prximos sistemas que estarn
en produccin, con el objeto de que se les programe su incorporacin.
Quin revisa estos planes?
Se cumplen generalmente estos planes? Si no, explique por qu
Se repiten con frecuencia corridas por anomalas?

127
Indique los estndares de produccin que se tienen en la direccin de
informtica.

Por tipo de equipo ( )
Por formato de captacin ( )
Por formato y equipo de captacin ( )

Existen ndices de error aceptables para cada tipo de trabajo?
Cundo fue la ltima revisin de esos estndares?
El personal de captacin conoce esos estndares?

Indique los medios utilizados para medir la eficiencia de los operadores de
captacin:
( ) Estadsticas mensuales de produccin por trabajo y por operador
( ) Estadsticas mensuales de error por trabajo y por operador
( ) Estadsticas mensuales de produccin por trabajo
( ) Estadsticas mensuales de error por trabajo
( ) Estadsticas de produccin por trabajo y operador por hora
( ) Otros(especificar)

Indique qu medida(s) se toma(n) cuando el rendimiento para un trabajo
est abajo del estndar:
( ) Se analiza el documento fuente con objeto de redisearlo
( ) Se consulta a los operadores sobre los problemas observados en el
trabajo
( ) Se revisan los instructivos de capacitacin
( ) Se capacitan a los operadores sobre el manejo del equipo
( ) Se imparten plticas sobre el trabajo
( ) Otros

Se tienen incentivos para el personal que tenga un rendimiento superior al
estndar?
Cada cundo se imparten cursos de capacitacin sobre la operacin del
equipo?
Observe los niveles de iluminacin y ruido y corrija cuando estn fuera del
rango estipulado en los estndares.

Analice si el rea de trabajo es adecuada para efectuar la captacin. Se
registran los tiempos de respuesta a las solicitudes?
Si( ) NO( )

Cul es el tiempo de respuesta promedio? Hrs.
128

9
__________________________________________________________________



Evaluacin de la seguridad
[1; pg.102-126]




9.1 Seguridad lgica y confidencialidad



Las computadoras son un instrumento que estructura gran cantidad de
informacin, la cual puede ser confidencial para individuos, empresas o
instituciones, y puede ser mal utilizado o divulgada a personas que hagan mal uso
de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la
destruccin total o parcial de la actividad computacional.
Esta informacin puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos. Ante esta
situacin, en el transcurso del siglo XX, el mundo ha sido testigo de la
transformacin de algunos aspectos de seguridad y de derecho.
Imagnese que, por una u otra razn, el centro de computo a las libreras
sean destruidos o usados inapropiadamente, cunto tiempo pasara para que
esta organizacin estuviese nuevamente en operacin? El centro de cmputo
puede ser el activo ms valioso y al mismo tiempo el ms vulnerable.
En la situacin actual de criminologa, los delitos de "cuello blanco" han
incluido la modalidad de los delitos hechos mediante la computadora o los
sistemas de informacin de los cuales el 95% de los detectados han sido
descubiertos por accidentes y la gran mayora no han sido divulgados para evitar
dar ideas a personas mal intencionadas. Es as como la computadora ha
modificado las circunstancias tradicionales del crimen; muestra de ello son los
fraudes, falsificaciones y venta de informacin hechos a las computadoras o por
medio de computadoras.
Durante mucho tiempo se consider que los procedimientos de auditora y
seguridad eran responsabilidad de la persona que elabora los sistemas sin
considerar que son responsabilidad del usuario y del departamento de auditora
interna.

129
Entre los crmenes ms conocidos (muchos de ellos no son identificados o
divulgados para evitar repercusiones) estn el del Banco Wells Fargo Co. ($21.3
millones de dlares), en el cual se evidenci que la proteccin de los archivos es
todava inadecuada, y la publicada el 17 de septiembre de 1987 en la que dos
alemanes entraron a los archivos confidenciales de la NASA. Otro de los delitos
que se han cometido en los bancos estn en insertar mensajes fraudulentos o bien
transferir dinero de una cuenta, otra, con la consecuente ganancia de los
intereses.

Existe tambin el caso de un muchacho de 15 aos que entr a la
computadora de la Universidad de Berkeley en California y destruy los archivos, y
el estudiante de la escuela Dalton en Manhattan que entr a la red canadiense,
identificndose como un usuario de alta prioridad y tom el control de los sistemas
de una embotelladora de Canad. Ejemplos como stos existen muchos y la
mayora de ellos no se dan a conocer para no dar ideas a personas que puedan
cometer delitos o bien para evitar problemas de publicidad negativa.

En la actualidad, y principalmente en las computadoras personales, se ha
dado otro factor que hay que considerar: el llamado "virus" de las computadoras,
el cual, aunque tiene diferentes intenciones, se encuentra principalmente para
paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin
que se tiene en un disco.

Se trata de pequeas subrutinas escondidas en los programas que se
activan cuando se cumple alguna condicin; por ejemplo, haber obtenido una
copia en forma ilegal, y puede ejecutarse en una fecha o situacin
predeterminada. El virus normalmente los ponen los diseadores de algn tipo de
programa (software) para "castigar" a quienes lo roban o copian sin autorizacin o
bien por alguna actitud de venganza en contra de la organizacin. (En la
actualidad existen varios productos para detectar los virus.)

Existen varios tipos de virus pero casi todos actan como "caballos de
Troya", es decir, se encuentran dentro de un programa y actan a determinada
indicacin.

Un ejemplo es la destruccin de la informacin de la compaa USPA & IRA
de Forth Worth; cuando despidieron a un programador en 1985, ste dej una
subrutina que destrua mensualmente la informacin de las ventas. Este incidente
provoc el primer juicio en Estados Unidos contra una persona por sabotaje a la
computadora.

Existe otro caso conocido como el virus de Navidad, en el cual el empleado
de una compaa multinacional elabor un programa que automticamente
entraba al correo electrnico internacional y dejaba un mensaje de felicidades. Al
momento en que la persona que reciba el mensaje entraba a su correo
electrnico (para lo que deba teclear su llave de seguridad) encontraba un
mensaje de felicitacin por la Navidad. Automticamente el programa tomaba el
130
directorio del usuario, enviaba mensajes idnticos a todas las personas que se
encontraban en el directorio. Esto, que aparentemente tuvo buenas intenciones,
gener mensajes en forma exponencial bloqueando toda la red internacional de la
compaa.

Otro virus es el conocido como Pakistan, debido a que fue elaborado por
estudiantes pakistanes de 19 a 26 aos. Este virus fue introducido en un paquete
de computadoras personales y fue copiado para todo turista que comprara el
paquete en Pakistn como una forma de "escarmiento" para los que adquiran esa
copia pirata.

Durante una convencin de Makintosh en Montreal, un estudiante introdujo
un virus para probar sus conocimientos. En este caso apareca un mensaje y
destrua la informacin. Debido a un descuido este virus fue distribuido
mundialmente.

stos son solamente algunos ejemplos de virus que existen, los cuales
tambin pueden ser activados como si fueran "bomba de tiempo", en una fecha
determinada y pueden causar la destruccin de la informacin, el que suene la
bocina de la computadora en forma constante o que aparezca un carcter en la
pantalla que se mueve por todo el video.

Al auditar los sistemas, se debe tener cuidado que no se tengan copias
"piratas" o bien que, al conectarnos en red con otras computadoras, no exista la
posibilidad de transmisin del virus.

El crecimiento de los fraudes por computadora ha hecho patente que la
potencialidad de los crmenes crece en forma ms rpida que en los sistemas de
seguridad (se considera que en los Estados Unidos se cometieron anualmente
crmenes, denunciados o no, por ms de tres mil millones de dlares).

Los motivos de los delitos por computadora normalmente son por:
Beneficio personal
Beneficios para la organizacin
Sndrome de Robin Hood (por beneficiar a otras personas)
Jugando a jugar
Fcil desfalcar
El departamento es deshonesto
Odio a la organizacin (revancha)
El individuo tiene problemas financieros
La computadora no tiene sentimientos ni delata
Equivocacin de ego (deseo de sobresalir en alguna forma)
Mentalidad turbada




131
Se considera que hay en cuatro factores que han permitido el incremento
en los crmenes por computadora. Estos factores son:
1. El aumento del nmero de personas que se encuentran estudiando
computacin.
2. El aumento del nmero de empleados que tienen acceso a los equipos.
3. La facilidad en el uso de los equipos de cmputo.
4. El incremento en la concentracin del nmero de aplicaciones y,
consecuentemente, de la informacin.

Estos cuatro factores, aunque son objetivos de todo centro de cmputo,
tambin constituyen una posibilidad de uso con fines delictivos.

El uso inadecuado de la computadora comienza desde la utilizacin de
tiempo de mquina para usos ajenos al de la organizacin, la copia de programas
para fines de comercializacin sin reportar los derechos de autor hasta el acceso
por va telefnica a bases de datos a fin de modificar la informacin con propsitos
fraudulentos. Estos delitos pueden ser cometidos por personas que no desean
causar un mal, por ejemplo, un muchacho de 15 aos que desde la computadora
se conect al banco de datos de la Universidad de Berkeley California y destruy
archivos de investigacin muy valiosa que se estaba procesando.

Otro ejemplo publicado en 1980 fue el caso de un estudiante de Dalton
School que, usando la computadora de su clase, entr a la red canadiense de
comunicacin de datos (Canadian Data Comunication Network), y destruy
archivos de los clientes. El estudiante utiliz una rutina muy simple para entrar a la
red y obtener una prioridad muy alta; sta rutina era tan simple que los expertos se
quedaron sorprendidos.

En el caso de compaas que tienen altos gastos de envo de publicidad por
correo, cunto podra costarles que la competencia adquiera su lista de clientes?,
o bien que la informacin sea cambiada o daada?. Cabe mencionar aqu una
compaa que vende enciclopedias en los Estados Unidos; uno de sus empleados
vendi a la competencia una cinta con la lista de clientes; la prdida se estim en
3 millones de dlares.

En la actualidad las compaas cuentan con grandes dispositivos para
seguridad fsica de las computadoras y se tiene la idea que los sistemas no
pueden ser violados si no se entra al centro de cmputo, olvidndose del uso de
terminales y de sistemas remotos de teleproceso. Se piensa, como en el caso de
la seguridad de incendio o robo, que "eso no me puede suceder a m o es poco
probable que suceda aqu".

Algunos gerentes creen que las computadoras y sus programas son tan
complejos que nadie fuera de su organizacin los va a entender y no les van a
servir; pero en la actualidad existe un gran nmero de personas que pueden
captar y usar la informacin que contiene un sistema y considerar hacer esto como
un segundo ingreso.
132

En forma paralela al aumento de los fraudes hechos a los sistemas
computarizados, se han perfeccionado los sistemas de seguridad tanto fsica
como lgica; pero la gran desventaja del aumento en la seguridad lgica es que se
requiere consumir un nmero mayor de recursos de cmputo para lograr tener una
adecuada seguridad, lo ideal es encontrar un sistema de acceso adecuado al nivel
de seguridad requerido por el sistema con el menor costo posible. En los desfalcos
por computadora (desde un punto de vista tcnico), hay que tener cuidado con los
"caballos de troya" que son programas a los que se les encajan rutinas que sern
activadas con una seal especfica.

El tipo de seguridad puede comenzar desde la simple llave de acceso
(contrasea o password) hasta, sistemas ms complicados, pero se debe evaluar
que, cuando ms complicados sean los dispositivos de seguridad, resultan ms
costosos. Por lo tanto, se debe mantener una adecuada relacin de seguridad-
costo en los sistemas de informacin.

Los sistemas de seguridad normalmente no consideran la posibilidad de
fraude cometida por los empleados en el desarrollo de sus funciones. La
introduccin de informacin confidencial a la computadora puede provocar que
este concentrada en las manos de unas cuantas personas y una alta dependencia
en caso de prdida de los registros. El ms comn de estos delitos est dado en el
momento de programacin, en el cual por medio de ciertos algoritmos se manda
borrar un archivo. Por ejemplo, en un sistema de nmina al momento de
programarlo se puede incluir una rutina que verifique si se tiene dentro del archivo
de empleados el registro federal de causantes del programador. En caso de
existir, contina el proceso normalmente, si no existe significa que el programador
que elabor el sistema renunci o fue despedido y en ese momento borra todos
los archivos. Esta rutina, aunque es fcil de detectar puede provocar muchos
problemas en caso de que no se tenga los programas fuente o bien no se
encuentre debidamente documentado. Tambin en el caso de programadores
honestos, en ocasiones en forma no intencional, pueden tener fallas o negligencia
en los sistemas. La dependencia con ciertos individuos clave, algunos de los
cuales tienen un alto nivel tcnico, comnmente pone la organizacin en manos
de unas cuantas personas, las cuales suelen ser las nicas que conocen los
sistemas debido a que no los documentan.

Un mtodo eficaz para proteger sistemas de computacin es el software de
control de acceso. Dicho simplemente, los paquetes de control de acceso
protegen contra el acceso no autorizado, pues piden del usuario una contrasea
antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido
populares desde hace muchos aos en el mundo de las computadoras grandes, y
los principales proveedores ponen a disposicin de clientes algunos de estos
paquetes. Sin embargo, los paquetes de control de acceso basados en
contraseas pueden ser eludidos por delincuentes sofisticados en computacin y
no podra dependerse de esos paquetes por s solos para brindar seguridad
adecuada.
133

El sistema integral de seguridad debe comprender:
Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremoto etc.)
Prcticas de seguridad del personal
Plizas de seguros
Elementos tcnicos y procedimientos de seguridad (de equipos y de
sistemas, incluyendo todos los elementos, tanto redes como
terminales)
Aplicacin de sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba

Uno de los puntos que se debe auditar con ms detalle es el de tener las
cifras de control y el medio adecuado que nos permita conocer en el momento que
se produce un cambio o un fraude en el sistema. Otro ejemplo es en el caso de la
contabilidad en forma manual. Se tienen una serie de indicadores (volumen de
operaciones, cantidades, etc.) que nos permiten auditar en forma rpida y eficiente
al sistema; este tipo de indicadores deben ser incluidos dentro del sistema
computarizado, logrando en lo posible que el mismo sistema y la computadora
"acte" como su propio auditor.

Los accidentes pueden surgir por un mal manejo de la administracin, por
negligencia o bien por ataques deliberados hechos por ladrones, fraudes
sabotajes o bien por situaciones propias de la organizacin (huelgas). El poder
trabajar con la posibilidad de que ocurra un desastre debe ser algo comn, aunque
se debe evitar en lo ms posible y planear de antemano las medidas en caso de
que esto ocurra.

Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgo, con
un gran impacto en la organizacin o en la comunidad, si es que el servicio se
interrumpe cierto periodo; otras pueden fcilmente continuar sin afectar
grandemente a la organizacin por medio de utilizacin de mtodos manuales.

Se debe evaluar el nivel de riesgo que puede tener la informacin para
poder hacer un adecuado estudio costo/beneficio entre el costo por prdida de
informacin y el costo de un sistema de seguridad, para lo cual se debe considerar
lo siguiente:

Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo)
identificar aquellas aplicaciones que tengan un alto riesgo.

Cuantificar el impacto en el caso de suspensin del servicio en aquellas
aplicaciones con un alto riesgo

134

Formular las medidas de seguridad necesarias dependiendo del nivel de
seguridad que se requiera.

La justificacin del costo de implantar las medidas de seguridad

Para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo
debemos preguntarnos lo siguiente:

Qu sucedera si no se puede usar el sistema?

Si la contestacin es que no se podra seguir trabajando, esto nos sita en
un sistema de alto riesgo.

Por ejemplo, si vemos el sistema de reservaciones de boletos de avin,
ste es un sistema de alto riesgo, de menor riesgo podra ser la nmina y por
ltimo la contabilidad (en periodos normales, no en periodos de entrega de
informacin contable).

La siguiente pregunta es: Qu implicaciones tiene el que no se tenga el
sistema, y cunto tiempo podramos estar sin utilizarlo?

En el caso de reservaciones no se pueden trabajar si no se tiene el sistema
y no podemos estar sin l ms que unos minutos. En el caso de la nmina
depende de cundo se debe entregar (semanal, quincenal, mensualmente), lo
mismo que la contabilidad.

Existe un procedimiento alterno y qu problemas nos ocasionara? En las
reservaciones, el procedimiento alterno de utilizar otro sistema ajeno a la
compaa no es posible debido a las redes y a los bancos de datos, y el
procedimiento alterno consistira en que slo se reciban reservaciones en una
oficina o bien que se estn comunicando por telfono para que una oficina
concentre las reservaciones. Ello provocara una gran ineficiencia y un psimo
servicio. Al terminar la emergencia se deben dar de alta al sistema las
reservaciones captadas manualmente.

En la nmina se puede hacer manual (lo cual puede ser muy complicado) o
bien pagar lo mismo que la nmina anterior, lo que provocara reclamos por parte
del personal al que se le pague menos, y despus de la emergencia procesar la
nmina nueva y sacar un programa de diferencias que permita pagar la diferencia
de ms o de menos y ajustar los impuestos. En caso de contar con respaldos se
puede tener como procedimiento alterno procesarlo en otro sistema.

En la contabilidad puede obtenerse en forma manual o bien, en caso de
tener respaldo, procesarse en otro sistema.

Qu se ha hecho para un caso de emergencia? En el caso de sistemas
135
como el de reservaciones, de bancos o casas de bolsa, el nico procedimiento
para evitarlos es tener sistemas simultneos (tndem o en paralelo) que permitan
pasar de un equipo a otro en forma instantnea, disponer de sistemas duplicados
en reas crticas (aires acondicionados, discos, etc.) y tener sistemas de energa
no interrumpible (no break), ya que debido a su alto riesgo son los que deben
tener mayor seguridad.

En la nmina existe un riesgo intermedio ya que, aunque se puede pagar
con la nmina anterior, quizs surjan grandes problemas con el personal, y
utilizando otro sistema se debe tener mucho cuidado con los respaldos, su
actualizacin y probar constantemente los sistemas alternos para estar seguros de
que pueden utilizarse.

En el caso de contabilidad, el riesgo es menor pero tambin se debe tener
cuidado de hacer los respaldos y la posibilidad de utilizacin de otros equipos.

Una vez que hemos definido el grado de riesgo, hay que elaborar una lista
de los sistemas con las medidas preventivas que se deben tomar, as como las
correctivas en caso de desastre sealndole a cada uno su prioridad.

En caso de desastre se procurar trabajar los sistemas de acuerdo con sus
prioridades, ya que no se podrn trabajar los sistemas en otra instalacin, en la
misma forma que se venan trabajando en la instalacin original.

Hay que tener mucho cuidado con la informacin que sale de la oficina, su
utilizacin y que sea borrada al momento de dejar la instalacin que est dando
respaldo.

Segn una de las 8 grandes firmas estadounidenses de contadores
pblicos, los planes de seguridad deben asegurar la integridad y exactitud de los
datos; permitir identificar la informacin que sea confidencial, de uso exclusivo o
delicada en alguna otra forma; proteger y conservar los activos de desastres
provocados por la mano del hombre y de actos abiertamente hostiles; asegurar la
capacidad de la organizacin para sobrevivir accidentes; proteger a los empleados
contra tentaciones o sospechas innecesarias y la administracin contra cargos por
imprudencia.

Para clasificar la instalacin en trminos de riesgo se debe:

a) Clasificar los datos, informacin y programas que contiene informacin
confidencial que tenga un alto valor dentro del mercado de
competencia, organizacin, e informacin que sea de difcil
recuperacin.
b) Identificar aquella informacin que tenga un gran costo financiero en
caso de prdida o bien que pueda provocar un gran impacto en la toma
de decisiones.
136
c) Determinar la informacin que tenga una prdida en la organizacin y,
consecuentemente, puedan provocar hasta la posibilidad de que no
pueda sobrevivir sin esa informacin.

Un ejemplo de alto riesgo puede ser la informacin confidencial de tipo
nacional o bien la informacin sobre el mercado y la publicidad de una compaa.
Un ejemplo de riesgo medio es la nmina, la cual puede ser hecha a mano, utilizar
procedimientos alternos o bien un adecuado sistema de respaldos. Un ejemplo de
bajo riesgo pueden ser los balances, los cuales pueden ser reestructurados con
cierta facilidad, salvo el caso de los das de presentacin con fines fiscales.

Para cuantificar el riesgo es necesario que se efecten entrevistas con los
altos niveles administrativos que sean directamente afectados por la suspensin
en el procesamiento y que cuantifiquen el impacto que les puede causar este tipo
de situaciones.

Para evaluar las medidas de seguridad se debe:
Especificar la aplicacin, los programas y archivos
Las medidas en caso de desastre, prdida total, abuso y los planes
necesarios
La prioridades que se deben tomar en cuanto a las acciones a corto
y largo plazo.

En cuanto a la divisin del trabajo se debe evaluar que se tomen las
siguientes precauciones, las cuales dependern del riesgo que tenga la
informacin y del tipo y tamao de la organizacin.

a) El personal que prepara la informacin no debe tener acceso a la
operacin.
b) Los analistas y programadores no deben tener acceso al rea de
operacin y viceversa.
c) Los operadores no deben tener acceso irrestringido a las libreras ni
a los lugares donde se tengan los archivos almacenados; es
importante separar las funciones de librera y de operacin.
d) Los operadores no deben ser los nicos que tengan el control sobre
los trabajos procesados y no deben hacer las correcciones a los
errores detectados.
e) Al implantar sistemas de seguridad, puede reducirse la flexibilidad
en el trabajo, pero no debe reducir la eficiencia.
f) Otro de los puntos que hay que evaluar y revisar en forma visual es
el orden y limpieza, no tan slo en la sala de cmputo, lo cual es
esencial, sino tambin en las oficinas ya que una inadecuada
limpieza en el trabajo refleja problemas de disciplina y crea
posibilidades de fallas en la seguridad, adems de que perjudica el
desarrollo normal del trabajo.


137


9.2 Seguridad en el personal


Un buen centro de cmputo depende, en gran medida, de la integridad,
estabilidad y lealtad de personal, por lo que al momento de reclutarlo es
conveniente hacerle exmenes psicolgicos, mdicos y tener muy en cuenta sus
antecedentes de trabajo.

Se deben considerar los valores sociales y, en general, su estabilidad ya
que normalmente son personas que trabajan bajo presin y con mucho estrs, por
lo que importan mucho su actitud y comportamiento.

En los equipos de cmputo es normal que se trabajen horas extras, con
gran presin y que no haya una adecuada poltica de vacaciones debido a la
dependencia que se tiene con algunas personas, lo cual va haciendo que se crean
"indispensables", que son muy difciles de sustituir y que ponen en gran riesgo la
organizacin. Se debe verificar que existan adecuadas polticas de vacaciones (lo
cual nos permite evaluar la dependencia con algunas personas, y evitar esta
dependencia) y de reemplazo. La adecuada poltica de reemplazo en caso de
renuncia de alguna persona permitir que, en caso necesario, se pueda cambiar a
una persona sin arriesgar el funcionamiento de la organizacin.

Tambin se deben tener polticas de rotacin de personal que disminuyan
la posibilidad de fraude, ya que un empleado puede estar haciendo otra actividad
en un mes y sera muy arriesgado cometer un fraude, sabiendo que la nueva
persona que est en su lugar puede detectarlo fcilmente. Esto se debe hacer
principalmente en funciones de alto nivel de confianza, aunque impliquen un alto
costo. Este procedimiento de rotacin de personal nos permita adems, detectar
los indispensables y eliminarlos.

Se deber tambin evaluar la motivacin del personal, ya que un empleado
motivado normalmente tiene un alto grado de lealtad y disminuir la posibilidad de
ataques intencionados a la organizacin.

El programador honesto en ocasiones elabora programas que ponen en
peligro la seguridad de la empresa, ya que no se consideran procedimiento de
auditora dentro de los programas tales que excluyan las posibilidades de fraude.


9.3 Seguridad fsica


El objetivo es establecer polticas, procedimientos y prcticas para evitar las
interrupciones prolongadas del servicio de procesamiento de datos, informacin
debido a contingencias como incendio, inundacin, huelgas, disturbios, sabotaje,
138
etc. y continuar en un medio de emergencia hasta que sea restaurado el servicio
completo.

En el pasado se acostumbraba poner los equipos de cmputo en un lugar
visible, con grandes ventanales, y constituan el orgullo de la organizacin, por lo
que se consideraba necesario que estuviese a la vista del pblico y con una gran
cantidad de invitados a visitarlos. Esto ha cambiado de modo radical,
principalmente por el riesgo de terrorismo o sabotaje. Pensemos que una persona
que desea perjudicar a la organizacin querr daar su cerebro o centro de
informacin, por lo que en la actualidad se considera extremadamente peligroso
tener el centro de computo en las reas de alto trfico de personas o bien en la
calle en un alto numero de invitados.

Otras de las precauciones referentes al material y construccin del edificio
del centro de computo es que existen materiales que son altamente inflamables,
que despiden humo sumamente txicos o bien paredes que no queda
perfectamente selladas y despiden polvos (ejemplo, el tiro) planchado).

Tambin en lo posible se debe tomar precauciones en cuanto a la
orientacin del centro de computo (por ejemplo, centro de computo sumamente
caluroso a los que todo el da le esta dando el sol) y se deben evitar en lo posible
las grandes ventanas, los cuales adems permite la entrada del sol pueden ser
arriesgados para la seguridad del centro de computo.

Entre las precauciones que se deben revisar estn:
- Los ductos del aire acondicionado deben estar limpios, ya que son una
de las principales causas de polvo y se habr de contar con detectores
de humo que indiquen la posible presencia de fuego.
- En las instalaciones de alto riesgo se debe tener equipos de fuente no
interrumpible, tanto en la computadora corno en la red y los equipos de
teleproceso.
- En cuanto a los extintores, se debe revisar en nmero de stos, su
capacidad, fcil acceso, peso y tipo de producto que utilizan. Es muy
frecuente que se tengan los extintores, pero puede suceder que no se
encuentren recargados o bien que sean de difcil acceso de un peso tal
que sea difcil el utilizarlos.
- Estos es comn en lugares en donde se encuentran trabajando hombre
y mujeres y los extintores estn a tal altura o con un peso tan grande
que una mujer no pueda utilizarlo.
- Otro de los problemas es la utilizacin de extintores inadecuados que
pueden provocar mayor perjuicio a las mquinas (extintores lquidos) o
que producen gases txicos.
- Tambin debe ver si el personal sabe usar los equipos contra incendio y
si ha habido prcticas en cuanto a su uso.
- Se debe verificar que existan suficientes salidas de emergencia y que
estn debidamente controladas Para evitar robos por medio de estas
salidas.
139
- Los materiales ms peligro son las cintas magnticas que, al quemarse
producen gases txicos y el papel carbn es altamente inflamable.


Cuestionario para la evaluacin fsica


Se han adoptado medidas d seguridad en la direccin de informtica?
SI( ) NO ( )
Existe una persona responsable de la seguridad?
SI( ) NO ( )
Se ha dividido la responsabilidad para tener un mejor control de la
seguridad ?
SI( ) NO ( )
Existe personal de vigilancia en la institucin de seguridad?
SI( ) NO ( )

La vigilancia se contrata:
a) Directamente?
b) Por medio de empresas que venden ese servicio?

Existe una clara definicin de funciones entre los puestos clave?
SI( ) NO( )
Se investiga a los vigilantes cuando son contratados directamente?
SI( ) NO( )
Se controla el trabajo fuera de horario?
SI( ) NO( )
Se registran las acciones de los operadores para evitar que realicen
alguna que pueda daar el sistema?
SI( ) NO( )
Existe vigilancia en el cuarto de mquinas las 24 horas?
SI( ) NO( )

A la entrada del cuarto de mquinas existe
a) Vigilante?
b) Recepcionista?
c) Tarjeta de control de acceso?
d) Nadie?

Se permite el acceso a los archivos y programas a los programadores,
analistas y operadores?
SI( ) NO ( )
Se ha instruido a estas personas sobre qu medidas tomar en caso de
que alguien pretenda entrar sin autorizacin?
SI( ) NO( )


140

El edificio donde se encuentra la computadora est situado a salvo de:
a) Inundacin?
b)Terremoto?
c) Fuego?
d) Sabotaje?

El centro de cmputo da al exterior?
SI( ) NO( )

Describa brevemente la construccin del centro de cmputo, de preferencia
proporcionando planos y material con que fue construido y equipo (muebles, sillas,
etc.) dentro del centro.

Tiene el cuarto de mquinas una instalacin de escaparate y, si es as,
pueden ser rotos los vidrios con facilidad?
SI( ) NO( )

Existe control en el acceso a este cuarto
a) Por identificacin personal?
b) Por tarjeta magntica?
c) Por claves verbales?
d) Otras?

Son controladas las visitas y demostraciones en el centro de cmputo?
SI( ) NO( )

Cmo son controladas?
Se registra el acceso al cuarto de personas ajenas a la direccin de
informtica?
SI( ) NO( )

Existe alarma para
a) Detectar fuego (calor o humo) en forma automtica?
b) Avisar en forma manual la presencia del fuego?
c) Detectar una fuga de agua?
d) Detectar magnetos?
e) No existe
Estas alarmas estn
a) En el cuarto de mquinas?
b) En la cintoteca y discoteca?
Existe alarma para detectar condiciones anormales del ambiente?
a) En el cuarto de mquinas
b) En la cintoteca y discoteca
c) En otros lados
Cules?

141

La alarma es perfectamente audible?
SI( ) NO( )
Esta alarma tambin est conectada
a) Al puesto de guardias?
b) A la estacin de bomberos?
c) A ningn otro lado?
d) Otro
Existen extintores de fuego
a) Manuales?
b) Automticos?
c) No existen
Se ha adiestrado el personal en el manejo de los extintores?
SI( ) NO( )

Los extintores, manuales o automticos, funcionan a base de
TIPO SI NO
a) Agua?
b) Gas?
c) Otros

Se revisa de acuerdo con el proveedor el funcionamiento de los
extintores?
SI( ) NO( )

NOTA: verifique el nmero de extintores y su estado.
Si es que existen extintores automticos, son activados por los detectores
automticos de fuego?
SI( ) NO( )
Si los extintores automticos son a base de agua, se han tomado medidas
para evitar que el agua cause ms dao que el fuego?
SI( ) NO( )
Si los extintores automticos son a base de gas, se han tomado medidas
para evitar que el gas cause ms dao que el fuego?
SI( ) NO

Existe un lapso de tiempo suficiente, antes de que funcionen los extintores
automticos, para que el personal
a) Corte la accin de los extintores por tratarse de falsas alarmas?
b) Pueda cortar la energa elctrica?
c) Pueda abandonar el local sin peligro de intoxicacin?
d) Es inmediata su accin?

Los interruptores de energa estn debidamente protegidos, etiquetados y
sin obstculos para alcanzarlos?
SI( ) NO ( )

142

Saben qu hacer los operadores del cuarto de mquinas en caso de que
ocurra una emergencia ocasionada por fuego?
SI( ) NO( )
El personal ajeno a operacin sabe qu hacer en el caso de una
emergencia (incendio)'
SI( ) NO
Existe salida de emergencia?
SI( ) NO( )

Esta puerta slo es posible abrirla:
a) Desde el interior?
b) Desde el exterior?
c) Ambos lados

Se revisa frecuentemente que no este abierta o descompuesta la
cerradura de esta puerta y las ventanas, si es que existen
SI( ) NO( )
Se ha adiestrado a todo el personal en la forma en que se deben desalojar
las instalaciones en caso de emergencia?
SI( ) NO( )

Se han tornado medidas para minimizar la posibilidad de fuego:
a) Evitando artculos inflamables en el cuarto de mquinas?
b) Prohibiendo fumar a los operadores en el interior?
c) Vigilando y manteniendo el sistema elctrico?
d) No se ha previsto

Se ha prohibido a los operadores el consumo de alimentos y bebidas en el
interior del cuarto de mquinas para evitar daos al equipo?
SI( ) NO( )
Se limpia con frecuencia el polvo acumulado debajo del piso falso?
SI( ) NO( )

Se controla el acceso y prstamo en la:
a) Discoteca?
b) Cintoteca?
c) Programoteca?

Explique la forma como se ha clasificado la informacin vital, esencial , no
esencial etc.
Se cuenta con copias de los archivos en lugares distintos a la de la
computadora
SI ( ) NO( )
Explique la forma en que estn protegidas fsicamente estas copias
(bveda, caja de seguridad, etc. que garantice su integridad en caso de incendio,
inundacin, terremoto etc.)
143

Se tienen establecidos procedimientos de actualizacin a estas copias?
SI( ) NO( )

Indique el nmero de copias que se mantienen de acuerdo con la forma en
que se clasifique la informacin.
0 2 1 3

Existe departamento de auditora interna conoce todos los aspectos de los
sistemas?.
SI( ) NO( )
Este departamento de auditoria interna conoce todos los aspectos de los
sistemas?.
SI( ) NO( )
Qu tipos de controles ha propuesto?
Se cumplen?
SI( ) NO( )
Se auditan los sistemas en operacin?
SI( ) NO( )

Con qu frecuencia?
a) Cada seis meses
b) Cada ao
c) Otra (especifique)

Cundo se efectan modificaciones a los programas, a iniciativa de quin
es?
a) Usuario
b) Director de informtica
c) Jefe de anlisis y programacin
d) Programador
e) Otras (especifique)

La solicitud de modificaciones a los programas se hacen en forma:
a) Oral?
b) Escrita?

En caso de ser escrita solicite formatos.
Una vez efectuadas las modificaciones, se presentan las pruebas a los
interesados?
SI( ) NO( )
Existe control estricto en las modificaciones?
SI( ) NO( )
Se revisa que tengan la fecha de las modificaciones cuando se hayan
efectuado?
SI( ) NO( )
Si se tienen terminales conectadas, se han establecido procedimientos de
144
operacin?
SI( ) NO( )
Se verifica identificacin:
a) De la terminal
b) Del usuario
c) No se pide identificacin

Se ha establecido qu informacin puede ser accesada y por qu
persona?
SI( ) NO( )
Se ha establecido un nmero mximo de violaciones en sucesin para
que la computadora cierre esa terminal y se de aviso al responsable de ella?
SI( ) NO( )
Se registra cada violacin a los procedimientos con el fin de llevar
estadsticas y frenar las tendencias mayores?
SI( ) NO( )
Existen controles y medidas de seguridad sobre las siguientes
operaciones?, Cules son?
( ) Recepcin de documentos
( ) Informacin confidencial
( ) Captacin de documentos
( ) Cmputo electrnico
( ) Programas
( ) Discotecas y cintotecas
( ) Documentos de salida
( ) Archivos magnticos
( ) Operacin del equipo de computacin

En cuanto al acceso de personal
( ) Identificacin del personal
( ) Polica
( ) Seguros
( ) Cajas de seguridad
( ) Otras lesoecifiauel


9.4 Seguros


Los seguros de los equipo en algunas ocasiones se dejan en segundo
termino aunque son de gran importancia. Existe un gran problema en la obtencin
de seguros ya que a veces el agente de seguros es una persona que conoce
mucho de seguros, riesgos comerciales, riesgos de vida, etc. Pero muy poco
sobre computadoras, y el personal de informtica conoce mucho sobre
computacin y muy poco sobre seguros.


145

Se tiene poco conocimiento de los riesgos que entraa la computacin, ya
que muchas veces el riesgo no es claro para los vendedores de seguros, debido a
lo nuevo de la herramienta y la poca experiencia existe sobre desastres.

Como ejemplo de lo anterior tenemos las plizas de seguro contra
desastres, ya que algunos conceptos son cubiertos por el proveedor del servicio
de mantenimiento, lo cual hace, que se duplique el seguro o bien sobreviene
desastres que no son normales en cualquier otro tipo de ambiente.

Se debe verificar las fechas de vencimiento de las plizas, puede suceder
que se tenga la pliza adecuada pero vencida, y que se encuentre actualizada con
los nuevos equipos.

El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable
que una sola pliza no pueda cubrir todo el equipo con las diferentes
caractersticas (existe equipo que pueda ser unidades de disco duro) por lo que tal
vez convenga tener dos o ms plizas por separado, cada una con las
especificaciones necesarias.

Debemos tomar en cuenta que existen riesgos que son difciles de evaluar
y de asegurar como el caso de negligencia.

El costo de los equipos puede variar, principalmente en aquellos pases que
tienen grandes tasas de inflacin o de devaluacin, por lo que los seguros deben
estar a precio de compra (valor de adquisicin de nuevo equipo con iguales
caractersticas) y no a precio al momento de contratacin del seguro.

El seguro debe cubrir tanto daos causados por factores externos
(terremoto, inundacin, etc.) como por factores internos (daos ocasionados por
negligencia de los operadores, daos debidos al aire acondicionado, etc.)

Tambin se debe asegurar la prdida de los programas (software), de la
informacin, de los equipos y el costo de recuperacin de lo anterior.

En el caso de los programas se tendr en cuenta en el momento de
asegurarlos el costo de elaborarlos en determinado equipo, el costo de crearlos
nuevamente y su valor comercial. En el caso del personal, se pueden tener fianzas
contra robo, negligencia, daos causados por el personal, sabotaje, acciones
deshonestas, etc.

Es importante que la direccin de informtica est preparada para evitar en
lo posible el dao fsico al personal, oficinas, equipo de cmputo, as como al
sistema de operacin. Adems deber tener cuidado de que existan normas y
prcticas eficaces.


146


9.5 Seguridad en la utilizacin del equipo


En la actualidad los programas y los equipos son altamente sofisticados y
slo algunas personas dentro del centro de cmputo conocen al detalle el diseo,
lo que puede provocar que puedan producir algn deterioro a los sistemas si no se
toman las siguientes medidas:

1) Se debe restringir el acceso a los programas y a los archivos.
2) Los operadores deben trabajar con poca supervisin y sin la
participacin de los programadores, y no deben modificar los
programas ni los archivos.
3) Se debe asegurar en todo momento que los datos y archivos
usados sean los adecuados, procurando no usar respaldos
inadecuados. Como ejemplo de los problemas ocasionados por un
mal uso de los respaldos est el de una instalacin en que al mismo
tiempo que estaba capturando la informacin para el archivo
maestro, el programador haca pruebas y cambios a los programas.
El capturista capturaba el 15 de enero y en ese momento el
programador deseaba que pusieran en el mismo usuario que el
capturista la informacin del 13 de enero. El capturista continuaba
capturando pero ya no en los archivos del 15 sino del da 13, y
cuando volvan nuevamente a poner la informacin del da 15
descubra que haba informacin que haba capturado pero no la
encontraba.
4) No debe permitirse la entrada a la red a personas no autorizadas, ni
a usar las terminales.
5) En los casos de informacin confidencial debe usarse, de ser
posible, en forma codificada o criptografiada.
6) Se debe realizar peridicamente una verificacin fsica del uso de
terminales y de los reportes obtenidos.
7) Se debe monitorear peridicamente el uso que se les est dando a
las terminales.
8) Se deben hacer auditoras peridicas sobre el rea de operacin y
la utilizacin de las terminales.
9) El usuario debe ser responsable de los datos, por lo que debe
asegurarse que los datos recolectados sean procesados
completamente. Esto slo se lograr por medio de los controles
adecuados, los cuales deben ser definidos desde el momento del
diseo general del sistema.
10) Debe existir una perfecta divisin de responsabilidades entre los
capturistas de datos y los operadores de computadora, y entre los
operadores y las personas responsables de las libreras.
11) Deben existir registros que reflejen la transferencia de informacin
entre las diferentes funciones de un sistema.
147
12) Debe controlarse la distribucin de las salidas (reportes, cintas,
etc.).
13) Se deben guardar copias de los archivos y programas en lugares
ajenos al centro de cmputo y en las instalaciones de alta
seguridad; por ejemplo: los bancos.
14) Se debe tener un estricto control sobre el transporte de discos y
cintas de la sala de cmputo al local de almacenaje distante.
15) Se deben identificar y controlar perfectamente los archivos.
16) Se debe tener estricto control sobre el acceso fsico a los archivos.
17) En el caso de programas, se debe asignar a cada uno de ellos, una
clave que identifique el sistema, subsistema, programa y versin.
Esto nos servir para identificar el nmero de veces que se ha
compilado o corrido un programa, y nos permitir costear en el
momento que se encuentre un sistema en produccin.

Tambin evitar que el programador ponga nombres que no signifiquen
nada y que sean difciles de identificar, lo que evitar que el programador utilice la
computadora para trabajos personales.

Otro de los puntos en los que hay que tener seguridad es en el manejo de
informacin; por ejemplo, existe un gran robo de informacin confidencial por
medio de fotocopiado, se da el caso de compaas en que sus competidores han
conocido los planes confidenciales por medio del desperdicio de papel o bien el
caso de una compaa que elabor una serie de polticas de personal sumamente
confidenciales y en que los operadores y, consecuentemente, toda la compaa
conoci la informacin al momento de obtener los listados por medio de la
computadora. Lo ms drstico en este caso es que los listados que se obtuvieron
eran planes, que servirn como alternativas de solucin, pero que no haban sido
autorizados. Para controlar este tipo de informacin se debe:
1. Cuidar que no se obtengan fotocopias de informacin confidencial
sin la debida autorizacin.
2. Slo el personal autorizado debe tener acceso a la informacin
confidencial.
3. Controlar los listados tanto de los procesos correctos como aquellos
procesos con terminacin incorrecta.
4. Controlar el nmero de copias, y la destruccin de la informacin y
del papel carbn de los reportes muy confidenciales.

El factor ms importante de la eliminacin de riesgos en la programacin es
que, todos los programas y archivos estn debidamente documentados, por lo
cual se debe considerar la necesidad de tener un alto grado de seguridad desde el
momento de hacer el diseo preliminar del sistema, siguiendo uno de los pasos
del diseo detallado y de la programacin.
148
El siguiente factor en importancia es contar con los respaldos, y duplicados
de los sistemas, programas, archivos y documentacin necesarios para que pueda
funcionar el plan de emergencia.

En los sistemas de cmputo en que se tiene sistemas en tiempo real, bases
de datos y red de computadoras se deben tomar medidas de alta seguridad en
cuanto a:

- Equipo, programas y archivos
- Control de aplicaciones por terminar (definir qu aplicaciones se pueden
correr en una terminal especfica)
- Definir una estrategia de seguridad de la red y de respaldos
- Requerimientos fsicos
- Estndar de aplicaciones y de control
- Estndar de archivos
- Auditora interna en el momento del diseo del sistema, su implantacin
y puntos de verificacin y control


Seguridad al restaurar el equipo

En un mundo que depende cada da ms de los servicios proporcionados
por las computadoras, es vital definir procedimientos en caso de una posible falla
o siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalle
el motivo que la origin y el dao causado, lo que permitir recuperar en el menor
tiempo posible el proceso perdido. Tambin se debe analizar el impacto futuro en
el funcionamiento de la organizacin y prevenir cualquier implicacin negativa.

En todas las actividades relacionadas con las ciencias de la computacin,
existe un riesgo aceptable; y es necesario analizar y entender estos factores para
establecer los procedimientos que permitan eliminarlos al mximo y, en caso que
ocurran, poder reparar el dao y reanudar la operacin lo ms rpidamente
posible.

En una situacin ideal, se deberan elaborar planes para manejar cualquier
contingencia que se presente.

Analizando cada aplicacin se deben definir planes de recuperacin y
reanudacin, para asegurarse que los usuarios se vean afectados lo menos
posible en caso de falla o siniestro. Las acciones de recuperacin disponibles a
nivel operativo pueden ser algunas de las siguientes:

- En algunos casos es conveniente no realizar ninguna accin y reanudar
el proceso.
- Mediante copias peridicas de los archivos se puede reanudar un
proceso a partir de una fecha determinada.
- El procesamiento anterior complementado con un registro de las
149
transacciones que afectaron los archivos permitir retroceder en los
movimientos realizados a un archivo al punto de tener la seguridad del
contenido del mismo y a partir de l reanudar el proceso.
- Analizar el flujo de datos y procedimientos y cambiar el proceso normal
por un proceso alterno de emergencia.
- Reconfigurar los recursos disponibles, tanto de equipo y sistemas como
de comunicaciones.

Cualquier procedimiento que se determine que es el adecuado para un
caso de emergencia deber ser planeado y probado previamente.

Este grupo de emergencia deber tener un conocimiento de los posibles
procedimientos que pueda utilizar, adems de un conocimiento de las
caractersticas de las aplicaciones, tanto desde el punto tcnico como de su
prioridad, el nivel de servicio planeado y su influjo en la operacin de la
organizacin.

Adems de los procedimientos de recuperacin y reinicio de la informacin,
se deben contemplar los procedimientos operativos de los recursos fsicos como
hardware y comunicaciones planeando la utilizacin de equipos que permitan
seguir operando en caso de falla de la corriente elctrica, caminos alternos de
comunicacin y utilizacin de instalaciones de cmputo similares. Estas y otras
medidas de recuperacin y reinicio debern ser planeadas y probadas
previamente como en el caso de la informacin.

Con frecuencia un problema en algn programa, un error en los datos, un
error de operacin o una falla del equipo hacen que una corrida en la mquina
aborte antes de terminar el proceso. Generalmente cuando esto sucede, no se
puede iniciar el trabajo donde se produjo la interrupcin.

El objetivo del siguiente cuestionario es evaluar los procedimientos de
restauracin y repeticin de procesos en el sistema de cmputo:

Existen procedimientos relativos a la restauracin y repeticin de procesos
en el sistema de cmputo?
SI( ) NO( )

Enuncie los procedimientos mencionados en la pregunta anterior
Cuentan los operadores con alguna documentacin en donde se guarden
las instrucciones actualizadas para el manejo de restauraciones?
SI( ) NO( )

En el momento en que se hacen cambios o correcciones a los programas
y/o archivos se deben tener las siguientes precauciones:
1. Las correcciones de programas deben ser debidamente autorizadas
y probadas. Con esto se busca evitar que se cambien por nueva
versin que antes no ha sido perfectamente probada y actualizada.
150
2. Los nuevos sistemas deben estar adecuadamente documentados y
probados.
3. Los errores corregidos deben estar adecuadamente documentados
y las correcciones autorizadas y verificadas.

Los archivos de nuevos registros o correcciones ya existentes deben estar
documentados y verificados antes de obtener reportes.

Los datos de entrada deben estar debidamente probados y verificados
contra la entrada de datos durante el procesamiento. Uno de los fraudes ms
comunes se comete durante el periodo en el cual ya se obtuvieron las cifras de
control pero no se han emitido los reportes definitivos; por ejemplo, la obtencin de
cheques. Esto se puede hacer si es que se permite que se metan datos en el
periodo previo a la obtencin de los reportes definitivos, y si no se tiene control
sobre estos datos introducidos posteriormente a las cifras de control.


9.6 Procedimiento de respaldo en caso de desastre


Se debe establecer en cada direccin de informtica un plan de
emergencia, el cual ha de ser aprobado por la direccin de informtica y contener
tanto procedimiento como informacin para ayudar a la recuperacin de
interrupciones en la operacin del sistema de cmputo.

Algunas compaas se resisten a tener un plan para casos de desastre o
emergencia, considerando que esto es imposible. Eso puede ser cierto en los
sistemas en lnea o en tiempo real, ya que un sistema en lnea difcilmente puede
ser usado en otro equipo y lo nico que queda es tener una alta seguridad en los
equipos o bien computadoras en forma de "tndem".

El sistema debe ser probado y utilizado en condiciones anormales, para
que en caso de usarse en situaciones de emergencia se tenga la seguridad que
funcionar.

La prueba del plan de emergencia debe hacerse sobre la base de que la
emergencia existe y se han de utilizar respaldos (posiblemente en otras
instituciones). Hay que cambiar la configuracin y, posiblemente se tengan que
usar algunos mtodos manuales, no slo simulando un ambiente ficticio cercano a
la realidad sino considerando que la emergencia existe.

Se deben evitar suposiciones que, en un momento de emergencia, hagan
inoperante el respaldo; en efecto, aunque el equipo de cmputo sea
aparentemente el mismo, puede haber diferencias en la configuracin, el sistema
operativo, en discos, etc.


151

Las revisiones al plan se deben realizar cuando se haya efectuado algn
cambio en la configuracin del equipo o bien en periodos semestrales. Una de las
principales objeciones al plan de emergencia es su costo; pero como en el caso de
un seguro contra incendio, slo podemos evaluar sus ventajas si
desafortunadamente el desastre ocurre.

El plan de emergencia, una vez aprobado, se distribuye entre personal
responsable de su operacin, por precaucin es conveniente tener una copia fuera
de la direccin de informtica.

En virtud de la informacin que contiene el plan de emergencia, se
considerar como confidencial o de acceso restringido.

La elaboracin del plan y de los componentes puede hacerse en forma
independiente de acuerdo con los requerimientos de emergencia. La estructura del
plan debe ser tal que facilite su actualizacin.

Algunas emergencias pueden no afectar a toda la instalacin, sino a
algunas partes tales como la discoteca y la cintoteca.

Para la preparacin del plan se seleccionar el personal que realice las
actividades claves del plan. El grupo de recuperacin en caso de emergencia debe
estar integrado por personal de administracin de la direccin de informtica (por
ejemplo, el jefe de operacin, el jefe de anlisis y programacin y de auditora
interna). Cada uno de ellos debe tener tareas especficas como la operacin del
equipo de respaldo, la interfaz administrativa, de logstica; por ejemplo, el
proporcionar los archivos necesarios para el funcionamiento adecuado. Cada
miembro del grupo debe tener asignada su tarea con una persona de respaldo
para cada uno de ellos. Se deber elaborar un directorio que contenga los
nombres, direcciones y nmeros telefnicos.

Los desastres que pueden suceder podemos clasificarlos as:

a) Completa destruccin del centro de cmputo
b) Destruccin parcial del centro de cmputo
c) Destruccin o mal funcionamiento de los equipos auxiliares del
centro de cmputo (electricidad, aire acondicionado, etc.)
d) Destruccin parcial o total de los equipos descentralizados
e) Prdida total o parcial de informacin, manuales o documentacin
j) Prdida del personal clave
g) Huelga o problemas laborales

El plan en caso de desastre debe incluir:

- La documentacin de programacin y de operacin

152

Los equipos.

- El equipo completo
- El ambiente de los equipos
- Datos y archivos
- Papelera y equipo accesorio
- Sistemas (sistemas operativos, bases de datos, programas de
utilera, programas)

El plan en caso de desastre debe considerar todos los puntos por separado
y en forma integral como sistema. La documentacin estar en todo momento tan
actualizada como sea posible, ya que en muchas ocasiones no se tienen
actualizadas las ltimas modificaciones y eso provoca que el plan de emergencia
no pueda ser utilizado.

Cuando el plan sea requerido debido a una emergencia, el grupo deber:

- Asegurar que todos los miembros sean notificados
- Informar al director de informtica
- Cuantificar el dao o prdida del equipo, archivos y documentos para
definir qu parte del plan debe ser activada
- Determinar el estado de todos los sistemas en proceso
- Notificar a los proveedores del equipo cul fue el dao
- Establecer la estrategia para llevar a cabo las operaciones de
emergencia tomando en cuenta:

- Elaboracin de una lista con los mtodos disponibles para
realizar la recuperacin
- Sealamiento de la posibilidad de alternar los procedimientos de
operacin (por ejemplo, cambios en los dispositivos, sustitucin
de procesos en lnea por procesos en lote)
- Sealamiento de las necesidades para armar y transportar al
lugar de respaldo todos los archivos, programas, etc., que se
requieren
- Estimacin de las necesidades de tiempo de las computadoras
para un periodo largo

Cuando ocurra la emergencia, se deber reducir la carga de procesos,
analizando alternativas como:
- Posponer las aplicaciones de prioridad ms baja
- Cambiar la frecuencia del proceso de trabajos
- Suspender las aplicaciones en desarrollo




153

Por otro lado, se debe establecer una coordinacin estrecha con el personal
de seguridad a fin de proteger la informacin.

Respecto a la configuracin del equipo hay que tener toda la informacin
correspondiente al hardware y software del equipo propio y del respaldo.

Debern tenerse todas las especificaciones de los servicios auxiliares tales
como energa elctrica, aire acondicionado, etc., a fin de contar con servicios de
respaldo adecuados y reducir al mnimo las restricciones de proceso, se debern
tomar en cuenta las siguientes consideraciones:
- Mnimo de memoria principal requerida y el equipo perifrico que
permita procesar las aplicaciones esenciales
- Se debe tener documentados los cambios de software
- En caso de respaldo en otras instituciones, previamente se deber
conocer el tiempo de computadora disponible

Es conveniente incluir en el acuerdo de soporte recproco los siguientes
puntos:
- Configuracin de equipos
- Configuracin de equipo de captacin de datos
- Sistemas operativos
- Configuracin de equipos perifricos

Finalmente se deber estudiar que se tenga una lista de los requerimientos
mnimos que deben tener para un efectivo plan de recuperacin en caso de
desastre.

Lo ms importante es identificar el nmero y tipo de componentes
esenciales que puedan ser crticos en caso de emergencia o de desastre.

I Equipo principal (equipo, canales de comunicacin, memoria, etc.)


Equipo
fabricado
Proyecto en
el equipo
Es esencial
para procesar?


II Unidades de disco (incluyendo controladores, nmero de unidades,
paquetes de discos, nmero de discos por paquete).


Fabricante Nmero de
unidades
Capacidad Proyectos en
que se usa
Es
esencial
para
procesar?
154

III Unidades de cinta.
IV Unidades de almacenamiento (en lnea o fuera de lnea)
V Equipo perifrico (lectoras, impresoras., etc.)
VI Unidades de comunicacin, controladores.


Equipo Nmero de
equipo
conectado
Proyecto en
el que se
usa
Es
esencial
para
procesar?


VII Sistemas operativos
VIII Terminales.


Equipo Unidad/
modelo
Localizacin Proyecto en el
que se usa
Es esencial
para procesar?


IX Equipo adicional
- Electricidad KVA
- Aire acondicionado BTU
- Temperatura requerida
- Humedad requerida

Red de comunicacin

1. Descripcin de la red de comunicacin.

1.1 En caso de emergencia, es esencial el uso de la red de
comunicacin?.
Describa el porqu de su respuesta.

2. Programas necesarios para la comunicacin.

Identificacin
de los circuitos
Fabricante Tipo/
Condicin
Vaduz
Velocidad
Protocolo

Ejemplo

A++

C-1

9600
Asncrono
Punto final



155
Servicio
dedicado
Computadora Interfase
Dispositivo
Tipo Localizacin
Multipunto Timeplex mux Bell z/2 ADM. II Coyoacn
Mx. D.F.


Se debe contar con:

a) Copia de programas de produccin
b) Copia de archivos maestros de las aplicaciones clave y sistemas
operativos
c) Copia de la documentacin de los sistemas e instructivos de
operacin
d) Copia de los archivos necesarios para procesar las transacciones
e) Inventario de formas especiales utilizadas en la operacin normal
(se deben incluir tambin papelera normal, cintas magnticas,
cintas de impresin)
j) Un local con las instalaciones necesarias (energa, aire
acondicionado, piso adecuado, etc.)
k) Convenios para el uso de computadoras compatibles



9.7 condiciones, procedimientos y controles para otorgar soporte a
otras instituciones



Una prctica conveniente, que desde hace tiempo se ha venido observando
en los centros de procesamiento es establecer arreglos con otros centros para
utilizar su equipo.

En caso de fallas mayores o en caso de desastre, como fuego,
inundaciones, explosiones, etc., a fin de evitar interrupciones de los servicios de
procesamiento por un largo periodo. Es muy conveniente que este tipo de arreglo
se llevan acabo de una manera formal, interviniendo en ellos los niveles
jerrquicos ms adecuados para asegurar la seriedad del compromiso.

A. A quines se les otorga
B. Condiciones y controles
C. Procedimientos
D. Tiempo, periodicidad y costo

NOTA: Es muy importante que seales si nos proporcionan servicio o si
nosotros proporcionamos el respaldo o si se tiene.

156

10
__________________________________________________________________



Informe final



10.1 Tcnicas para la interpretacin de la informacin.


Para interpretar la informacin podemos utilizar desde tcnicas muy
sencillas hasta tcnicas complejas de auditora.

10.1.1 Anlisis crtico de los hechos

Una de las primeras tcnicas es el anlisis crtico de los hechos. Esta
tcnica sirve para discriminar y evaluar la informacin; es una herramienta muy
valiosa para la evaluacin y se basa en la aplicacin de las siguientes preguntas.

PREGUNTA FINALIDAD
Qu el propsito
Dnde el lugar
Cundo el orden y el momento, sucesin
Quin la persona responsable
Cmo los medios
Cundo la cantidad

La pregunta ms importante es "qu", pues la respuesta permitir saber si
puede ser:
Eliminada
Modificada o cambiada
Simplificada

Las respuestas que se obtengan deben ser sometidas a una nueva
pregunta "Por qu", la cual plantear un nuevo examen que habr de justificar la
informacin obtenida. Cada interrogante se debe descomponer de la siguiente
manera:
157
1. Propsito
a) qu se hace
b) por qu se hace
c) qu otra cosa podra hacerse
d) qu debera hacerse

2. Lugar
a) dnde se hace
b) por qu se hace ah
c) en qu otro lugar podra hacerse
d) dnde debera de hacerse

3. Sucesin
a) cundo se hace
b) por qu se hace entonces
c) cundo podra hacerse
d) cundo deber hacerse

4. Persona
a) quin lo hace
b) por qu lo hace esa persona
c) qu otra persona podra hacerlo
d) quin debera hacerlo

5. Medios
a) cmo se hace
b) por qu se hace de ese modo
c) de qu otro modo podra hacerse
d) cmo debera hacerse

6. Cantidad
a) cunto se hace
b) por qu se hace esa cantidad (volumen)
c) cunto podra hacerse
d) cunto debera hacerse


10.1.2 Metodologa para obtener el grado de madurez del sistema


Para poder interpretar la informacin de los sistemas debemos evaluar el
grado de madurez de los mismos.
- Verificar si el sistema est definido
- Verificar si el sistema est estructurado
- Verificar si el sistema es relativamente estable
- Verificar si los resultados son utilizados o no

158

CARACTERSTICAS MADURO INMADURO
DEFINIDO
ESTRUCTURADO
ESTABLE
RESULTADOS
COMPLETAMENTE
ALTO
NO CAMBIA
UTILIZADOS
INCOMPLETO
BAJA
MUCHOS CAMBIOS
NO UTILIZADOS


Dependiendo del grado de madurez y su grado de estructuracin, se
determina si debe estar automatizado y la posible madurez que repercutir en una
mejor utilizacin y en disminucin de cambios.

Si el sistema est estructurado y maduro, se debi usar la tcnica de
sistema de informacin; si est estructurado pero no est maduro se debi seguir
hacindolo manualmente; si est semiestructurado y maduro se podr usar la
tcnica de soporte en la toma de decisiones (DSS= Decisin system support).

Si el sistema est semiestructurado pero no est maduro, debi seguirse
haciendo en forma manual; si no est estructurado y maduro es un sistema guiado
por la intuicin y deber seguirse haciendo en forma manual. Si no est
estructurado ni maduro el sistema no tiene razn de existir.


NIVEL DE MADUREZ MADURO INMADURO
NIVEL ESTRUCTURA ESTRUCTURADO SISTEMA DE INFORMACIN
GENERAL
SEMIESTRUCTURADO SISTEMA DE
SOPORTE DE
DECISIONES
MANUAL
NO ESTRUCTURADO INTUITIVO SIN
RAZN



10.1.3 Uso de diagramas


Otra forma de analizar los hechos es seguir la ruta de informacin desde su
origen hasta su destino y disponer de este camino en una secuencia cronolgica,
con el fin de clarificar dnde aparece, cmo avanza a lo largo del sistema y cmo
llega a su destino. Esta tcnica ayuda a hacer un estudio objetivo de todos los
paros por los cuales deber de pasar la informacin.

159


10.2 Evaluacin de los sistemas


Se debe evaluar el desarrollo que ha tenido el sistema por medio de
analizar los pasos que comprendieron el desarrollo del sistema y comparar lo que
se plane contra lo que realmente se esta obteniendo.

ANLISIS

Se debe evaluar la informacin obtenida en los sistemas para poder:
Determinar el objeto y compararlo con lo obtenido
Buscar la interrelacin con otros sistemas
Evaluar la secuencia y flujo de las interacciones

ETAPAS DEL ANLISIS

1. Anlisis conceptual
- Evaluar el sistema funcional
- Evaluar la modularidad del sistema
- Evaluar la segmentacin del sistema
- Evaluar la fragmentacin del sistema
- Evaluar la madurez del sistema
- Evaluar los objetivos particulares del sistema
- Evaluar el flujo actual de informacin
- Definir el contenido de los reportes y compararlo con el objetivo

2. Detalle de anlisis actuales y esperados
- Evaluar los modelos de los reportes
- Evaluar los controles de operacin
- Cuantificar el volumen de informacin
- Evaluar la presentacin y ajustes

Se debe conocer en trminos generales el nivel del sistema funcional para
obtener los elementos suficientes que permitan evaluar el nivel de interaccin, su
grado de estructuracin y la madurez del sistema con el fin de determinar si se
justifica su automatizacin.

1. EVALE EL OBJETIVO
Evale que el objetivo general y el alcance del sistema funcional estn en
forma clara y precisa. Esta actividad se encarga de delimitar el sistema
obteniendo todo lo relacionado con l, mediante las entrevistas a los
usuarios involucrados con el fin de evaluar si se cumpli con el objetivo. Las
versiones que ofrezcan los usuarios debern ser confrontadas para verificar
su compatibilidad
160

2. EVALE LA INTERACCIN CON OTRO SISTEMAS
Se debi analizar la informacin del sistema con el propsito de localizar
sus interacciones y sus contactos con otros sistemas a fin de determinar si
existe un sistema integral de informacin, sistemas aislados o simplemente
programas o si existe redundancia y ruido y cules son los controles con
que cuenta el sistema. Para evaluar todas las entradas y salidas que tienen
lugar en el sistema, esta parte de la auditora determina el flujo de
operacin y tambin todas las entradas y salidas que ocurren internamente.
La manera de desarrollar esta actividad es usar aquellos documentos de
informacin que maneja el sistema rastreando las fuentes y destinos
elaborando o reservando la matriz de recepcin/distribucin de los
documentos y la matriz de entradas/salidas.

3. EVALE SI SE OBTIENE LA SECUENCIA Y EL FLUJO DE LAS
INTERACCIONES
Para llevar a cabo esta actividad es necesario establecer el flujo de
informacin a travs del sistema, tomando la matriz de entradas/salidas y
agregndole el orden de ocurrencia as como la periodicidad. Grafquela en
un plano horizontal para tratar de encontrar duplicidad de informacin. Este
plano debe hacerse de tal manera que refleje un perodo de tiempo as
como el orden de ocurrencia.

4. EVALE EL SISTEMA FUNCIONAL
Dado que ya se evalu el objetivo, las interacciones y su flujo, lo que se
hace es analizarlo para tener una idea ms clara de su funcin. Tomando
como base los elementos de los primeros tres pasos, se debe verificar si es
congruente con su objetivo, es decir, si la descripcin define sus propsitos.
En esta etapa se evala "qu hace" el sistema.

5. EVALE LA MODULARIDAD DEL SISTEMA
Esta actividad subdivide el sistema en partes que puedan ser procesadas
en forma independiente, pero cuyo objetivo particular es buscar el objetivo
general del sistema funcional, correspondiendo a cada mdulo una funcin
general del sistema.
As mismo una funcin general del sistema consiste en identificar
aquellas partes de l donde ocurre una entrada, un proceso y se obtiene un
resultado parcial.

6. EVALE LA SEGMENTACIN DEL SISTEMA
Este paso tiene por objeto subdividir los mdulos en funciones
particulares, de tal manera que el conjunto de funciones defina al mdulo
en cuestin. En esta parte deben evaluarse aquellas funciones que son
realizadas para distintos mdulos (interconexin modular); cada funcin
extrada del mdulo debi ser consistente y validada con el usuario.


161
7. EVALE LA FRAGMENTACIN DEL SISTEMA
Se subdivide el segmento en funciones especficas o procedimientos,
pues cada funcin particular o segmento puede contener uno o ms
procedimientos. As su vez cada procedimiento puede estar formado por
distintos niveles (Jerarqua de procedimientos); dependiendo de su
complejidad en esta parte se debe evaluar haciendo nfasis en "qu hace"
y no el cmo lo hace ya que esto se evala en el anlisis detallado.

8. EVALE EL FLUJO FUNCIONAL DE INFORMACIN DEL SISTEMA
Identifique en cada documento su origen y su seguimiento a travs de las
diferentes entidades o departamentos por donde transita; a la vez vaya
identificando sus adiciones y supresiones de informacin. Por ltimo
identifique cmo y dnde llega a su destino. Se recomienda el uso de 1
diagrama de flujo de informacin.

9. EVALE LOS DOCUMENTOS DE ENTRADA Y EL CONTENIDO DE
LOS REPORTES
Se deben evaluar las formas de entrada, su contenido, claridad,
controles, copias solicitadas y autorizaciones, verificar que los reportes o
pantallas de salida contengan todos los datos necesarios sin importar de
dnde provienen. El uso que se le da, quin los prepara y a quin van
dirigidos.

10. EVALU LOS CONTROLES DE OPERACIN DEL SISTEMA
Se debe evaluar claramente en qu parte del proceso operacional si se
llevan a cabo controles, analizando sobre qu variables se ejerce y cmo s
ejerce (procedimiento) y las acciones a tomar en cada situacin dada, es
decir, se evalan su razn de ser, su mtodo y su grado de sensibilidad.

11. CUANTIFIQUE EL VOLUMEN DE INFORMACIN QUE SE
MANEJAR
La importancia de este paso es tener una idea en la aproximacin de los
recursos que se necesitan se estn siendo usados correctamente la
situacin del equipo y la posibilidad de incremento de equipo.
Se obtiene sumando los caracteres involucrados en los reportes y
documentos utilizados, especificando el nmero de veces que ocurre cada
rubro y la longitud de ellos.

El sistema deber tener las siguientes caractersticas:
GENERALIDAD. Que busca objetivos amplios pensando en que las
aplicaciones pueden ser ampliadas.

FLEXIBLE. Que puede ser susceptible de ser implantado en diferentes
ambientes y equipos.

CONFIABILIDAD. Esto es, que sea capaz de detectar posibles errores para
que stos no se procesen.
162
SEGURIDAD. Que el sistema cuente con dispositivos para que slo la
gente autorizada pueda tener acceso a la informacin.
Fcil de usarse y operable, o sea que tenga la capacidad para
recuperarse de una falla del equipo.

CONFIDENCIALIDAD. Accesible slo a aquellas personas autorizadas
para su manejo, consulta y explotacin.

MODIFICABLE. Que se traduce en la capacidad del sistema para
adiciones, sustituciones o eliminacin de elementos con el fin de efectuar
nuevas funciones o deje de efectuar otras, sin alterarse las que no se
deseen.

12. EVALUACIN DE LOS ARCHIVOS.
Analice al detalle los archivos de informacin involucrados en el sistema
sealando sus atributos y propiedades, su estructura, clasificacin,
organizacin, factor de bloque, frecuencia de uso, campos, cdigos,
tamao. Se recomienda hacer referencia a los programas que lo usan.

13. EVALUACIN DE REPORTES.
Se evaluarn las formas de salida de los reportes, o sea la infraestructura
de lo mismo, mediante el diseo de la forma y la distribucin de su
contenido, validndola con el usuario.
Programa que lo genera
Archivos usados
Frecuencia
Usuario
Contenido

PRUEBAS Y REVISIONES.
El objetivo es asegurarse que el sistema funcione de acuerdo a las
especificaciones funcionales a fin de que el usuario tenga la suficiente informacin
para su manejo, operacin y aceptacin. (Es recomendable utilizar la informacin
obtenida en las opiniones de los usuarios).

Esta actividad es muy importante ya que el costo de corregir errores es
directamente proporcional al momento en que se detecta.

Las pruebas del sistema buscan asegurar que se cumplan los requisitos de
las especificaciones funcionales, verificando datos estadsticos, transacciones,
reportes, archivos anotando las fallas que pudieran ocurrir y realizando los ajustes
necesarios. Los niveles de prueba pueden ser agrupados en mdulos, programas
y en el sistema total.




163

10.3 Evaluacin de los sistemas de informacin

Esta funcin tiene gran importancia en el ciclo de evaluacin de las
aplicaciones de sistemas de informacin por computadora. Busca comprobar que
la aplicacin cumpla las especificaciones requeridas por el usuario, que haya
desarrollado dentro de lo presupuestado y que efectivamente cumpla con los
objetivos y beneficios esperados.

Un cambio a un sistema existente, como la creacin de un nuevo, introduce
necesariamente cambios en la forma de obtener la informacin y un costo
adicional. Ambos debern ser evaluados antes y despus del desarrollo.

Se debe evaluar el cambio (si lo hay) de la forma en que las operaciones
son ejecutadas, comprobar si mejora la exactitud de la informacin generada, si la
obtencin de los reportes efectivamente reduce el tiempo de entrega, si es ms
completa, en que tanto afecta las actividades del personal usuario, si aumenta o
disminuye el personal de la organizacin, los cambios de las interacciones entre
los miembros de la organizacin. De ese modo se sabr si aumenta o disminuye el
esfuerzo por generar la informacin para la toma de decisiones, con el objeto de
estar en condiciones de determinar la productividad y calidad del sistema.

El anlisis deber proporcionar: la descripcin del funcionamiento del
sistema desde el punto de vista del usuario, indicando todas la interacciones del
sistema, la descripcin lgica de cada dato, las estructuras que forman stos, el
flujo de informacin que tiene lugar en el sistema. Lo que el sistema tomar como
entradas, los procesos que sern realizados, as como las salidas que deber
proporcionar, los controles que se afectarn para cada variable y los
procedimientos.

De este modo se agruparn en cuatro grandes temas.
EVALUACIN EN LA EJECUCIN
EVALUACIN EN EL IMPACTO
EVALUACIN ECONMICA
EVALUACIN SUBJETIVA

1. EVALUACIN EN LA EJECUCIN

Se refiere al uso de cuestionarios para recabar datos acerca de la actuacin
de la aplicacin en la computadora, con objeto de conocer qu tan bien o qu tan
mal est siendo usada y opera eficientemente.

Los cuestionarios son medios para recopilar datos acerca de los recursos
de informtica y pueden ser cuestionarios manuales, encuestas de opiniones,
evaluacin de documentacin, obtencin de informacin electrnica integrada al
equipo (hardware) y de programas ejecutndose (software), obtenindose en
ambas las estadsticas acerca de su uso.
164

Existen dos tipos de estadstica:
1. Estadstica de software
Son un juego de instrucciones ejecutables, conectadas al sistema
operativo con el fin de colectar datos acerca de la operacin del
sistema yacerca de los programas de aplicacin; ste requiere
memoria y proceso adicional, decrementando la rapidez del
microprocesador. Esta estadstica ayuda a detectar qu recursos
adicionales se necesitan o qu recursos existentes deben ser
ejecutados para lograr ms eficiencia, ayuda a identificar cules
son los lenguajes ms usados, qu tipo de proceso es ms
comn, etc.

2. Estadstica de hardware
Puede ser utilizada para medir la cantidad de tiempo de la unidad
de procesamiento central, pero tambin podr ser concentrada a
los canales de comunicacin y dispositivos de almacenamiento
secundario para determinar la frecuencia y la cantidad utilizada.

Estos dos tipos de estadstica normalmente son proporcionados por el
fabricante de computadoras, pero algunos pueden ser desarrollados por la propia
organizacin.

2. EVALUACIN EN EL IMPACTO

Es la evaluacin que se hace sobre la manera en que afecta a la gente que
interviene en la aplicacin (usuarios) con el objeto de determinar como la
implantacin y el uso del sistema de informacin que afecta a la organizacin,
distinguiendo qu factores son directamente atribuibles al sistema. Las principales
reas que nos deben interesar son las que intervienen en la toma de decisiones y
en las actividades de operacin.

Esta evaluacin se hace con el fin de detectar a la gente involucrada , las
actividades que son necesarias realizar, la calidad de la informacin y el costo de
operacin resultante.

Algunas expectativas deben ser elaboradas y jerarquizadas antes de
empezar a disear el sistema con el fin de que, cuando se instale, se compruebe
si los resultados satisfacen plenamente lo planeado.

Asimismo se debe evaluar el efecto que se tiene sobre el ambiente del
sistema (personas, leyes, etc.). Para ello contamos con varias tcnicas que nos
ayudan en este propsito, las cuales son:
a) Bitcora de eventos
b) Registro de actitudes
c) Contribucin y peso
d) Anlisis de sistemas
165

PRESUPUESTO

3. EVALUACIN ECONMICA

Aqu se obtiene el costo de una aplicacin y cuantifican los beneficios
esperados con el objeto de justificar o no su desarrollo, o comprobar que la
aplicacin se desarroll segn lo presupuestado.

Es importante para la organizacin obtener la evaluacin econmica que le
permitir justificar su desarrollo e implantacin.

Cuando la aplicacin ha sido realizada, se busca obtener el costo real
contra el beneficio real para comprobar o determinar el porqu de la diferencia de
los presupuestado y/o la calidad de la aplicacin.

Se debe evitar crear sistemas que perjudiquen la organizacin y minen su
economa. Hay que tratar de obtener el mayor beneficio con el equipo disponible e
invertir en equipos adicionales slo cuando est plenamente justificada la
inversin por los beneficios que se obtendrn.

4. EVALUACIN SUBJETIVA

Partiendo de la premisa de que los usuarios son los principales afectados
directamente por el sistema, sus puntos de vista y necesidades debern ser
considerados para la evaluacin.

Los que procesan los datos, el personal de sistemas y personal de alta
direccin debern tambin participar en la determinacin de los beneficios
econmicos de la actividad particular a ser desarrollada.

La justificacin de la evaluacin subjetiva se centra en que la opinin del
grupo usuario proporciona un punto de vista ms completo de la aplicacin,
ayudando a obtener aquellos factores que se hubieran pasado por alto.

Los mtodos de la evaluacin subjetiva pueden ser:
a) Uso de cuestionarios
b) Desarrollo de una metodologa que midiera el valor de la
informacin generada por la aplicacin y por la ganancia de su
uso.

10.4 Controles

Un punto muy importante a considerar dentro de la auditora en informtica
son los controles, los cuales se dividen en generales, operativos (dependiendo del
sistema) y tcnicos (equipos y sistemas).

166

Los controles generales normalmente se aplican a todo procesamiento de
la informacin y son independientes de las aplicaciones, estos controles incluyen:

- Planeacin
- Organizacin
- Polticas y procedimientos
- Estndares
- Administracin de recursos
- Seguridad
- Confidencialidad


Los controles operativos comprenden cada uno de los sistemas en forma
individual y constan de:

- Control de flujo de la informacin y tabla de decisiones
- Control de proyectos
- Organizacin del proyecto
- Reporte de avance
- Revisiones del diseo del sistema
- Control de cambios a programa
- Requisicin del cambio
- Bitcora de cambios
- Mantenimiento y documentacin
- Produccin
- Controles de documentacin
- Documentacin (sistema, programa)
- Mantenimiento y acceso a la documentacin
- Control de sistemas y programas
- Sistemas en lote
- Control de programas
- Etiquetado de archivos
- Sistemas en lnea
- Controles de salida
- Control de programa
- Controles de salida


Los controles tcnicos que se deben de evaluar son:

- Controles de operacin y uso de la computadora
- Supervisor
- Capturistas
- Bibliotecario
- Operadores
- Mesa de control
167


- Controles de entrada y salida
- Reporte de fallas y mantenimiento preventivo
- Controles sobre archivos
- Recuperacin de desastres
- Controles de usuarios De origen de datos
- Controles de entrada de datos
- Controles de salida de datos
- Controles tcnicos
- Aplicaciones Sistemas
- Equipos
- Controles lgicos del sistema
- Sistemas operativos
- Sistemas de utilera
- Sistemas de bibliotecas
- Sistemas de mantenimiento de archivo
- Sistemas de seguridad
- Control de acceso al sistema
- Control de cambios al sistema
- Redundancia en la informacin
- Inconsistencia de datos
- Seguridad
- Controles de seguridad, respaldo y confidencialidad





10.5 Confeccin y redaccin del Informe Final



La funcin de la auditora se materializa exclusivamente por escrito. Por lo
tanto la elaboracin final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales
previos al informe final, los que son elementos de contraste entre opinin entre
auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.


168

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditora y la fecha de
redaccin del mismo. Se incluyen los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicacin de la jefatura,
responsabilidad y puesto de trabajo que ostente.
Definicin de objetivos y alcance de la auditora.
Enumeracin de temas considerados: antes de tratarlos con profundidad, se
enumerarn lo ms exhaustivamente posible todos los temas objeto de la
auditora.
Cuerpo expositivo: Para cada tema, se seguir el siguiente orden a saber:

a. Situacin actual. Cuando se trate de una revisin peridica, en la que se
analiza no solamente una situacin sino adems su evolucin en el tiempo,
se expondr la situacin prevista y la situacin real.
b. Tendencias. Se tratarn de hallar parmetros que permitan establecer
tendencias futuras.
c. Puntos dbiles y amenazas.
d. Recomendaciones y planes de accin. Constituyen junto con la exposicin
de puntos dbiles, el verdadero objetivo de la auditora informtica.
e. Redaccin posterior de la Carta de Introduccin o Presentacin.



Modelo conceptual de la exposicin del informe final


- El informe debe incluir solamente hechos importantes. La inclusin de
hechos poco relevantes o accesorios desva la atencin del lector.
- El Informe debe consolidar los hechos que se describen en el mismo. El
trmino de "hechos consolidados" adquiere un especial significado de
verificacin objetiva y de estar documentalmente probados y soportados.
La consolidacin de los hechos debe satisfacer, al menos los siguientes
criterios:

1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes
derivados de mantener la situacin.
3. No deben existir alternativas viables que superen al cambio
propuesto.
4. La recomendacin del auditor sobre el hecho debe mantener o
mejorar las normas y estndares existentes en la instalacin.

La aparicin de un hecho en un informe de auditora implica
necesariamente la existencia de una debilidad que ha de ser corregida.

169

Flujo del hecho o debilidad:

1. Hecho encontrado.
- Ha de ser relevante para el auditor y para el cliente.
- Ha de ser exacto, y adems convincente.
- No deben existir hechos repetidos.

2. Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean
directamente deducibles del hecho.

3. Repercusin del hecho
- Se redactar las influencias directas que el hecho pueda tener
sobre otros aspectos informticos u otros mbitos de la empresa.

4. Conclusin del hecho
- No deben redactarse conclusiones ms que en los casos en que
la exposicin haya sido muy extensa o compleja.

5. Recomendacin del auditor informtico
- Deber entenderse por s sola, por simple lectura.
- Deber estar suficientemente soportada en el propio texto.
- Deber ser concreta y exacta en el tiempo, para que pueda ser
verificada su implementacin.
- La recomendacin se redactar de forma que vaya dirigida
expresamente a la persona o personas que puedan
implementarla.
- Carta de introduccin o presentacin del informe final:

La carta de introduccin tiene especial importancia porque en ella ha de
resumirse la auditora realizada. Se destina exclusivamente al responsable
mximo de la empresa, o a la persona concreta que encargo o contrato la
auditora.

As como pueden existir tantas copias del informe Final como solicite el
cliente, la auditora no har copias de la citada carta de introduccin.

La carta de introduccin poseer los siguientes atributos:
Tendr como mximo 4 folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de
gran debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de introduccin no se escribirn nunca
recomendaciones.
170
11
__________________________________________________________________




Diferentes enfoques de la
auditora



11.1 Introduccin



Existen estudios en relacin con la funcin informtica que hacen la
siguiente aseveracin " La funcin informtica no est ni ha estado bien
administrada", esto quiere decir que generalmente a la problemtica que se
presenta se le da un seguimiento por excepcin y no por funcin ya que en las
empresas no estn establecidos los controles preventivos, correctivos o detectivos
necesarios para administrarla de manera adecuada y que toda la problemtica se
resuelve despus de haber aparecido de manera momentnea sin establecer un
control definitivo, teniendo como consecuencia un despilfarro en los recursos
informticos y en recursos econmicos, por lo que se hace cada vez mas evidente
la necesidad de establecer una evaluacin peridica y permanente de las reas
involucradas en esta funcin para lograr una operatividad eficiente de acuerdo con
las normas establecidas, que es lo que se conoce como auditora en informtica.
Esta se puede llevar a cabo teniendo dentro de la organizacin esta funcin o
contratando asesores externos.


Las auditorias en informtica pueden ser realizadas con diferentes
metodologas, en donde cada una de ellas es elaborada por para obtener el
mismo producto final, que es el llamado: "informe final" que es donde se plasman
todas las recomendaciones del grupo de auditores con el objetivo de que la
funcin de informtica trabaje de la manera ms eficiente y eficaz y disminuir la
171
incertidumbre de la interrupcin de la misma. Es necesario que los auditores
tomen en cuenta las siguientes tres normas:

Normas personales
Normas de ejecucin del trabajo
Normas de informacin


Normas personales


1. La evaluacin debe de ser realizada por una persona o personas que
tengan el entrenamiento tcnico y la capacidad profesional adecuada
para realizarla.
2. En todos los asuntos relacionados con el trabajo, el auditor o los
auditores deben mantener imparcialidad mental.
3. Tener el debido cuidado y diligencia profesional en el desarrollo de la
evaluacin y en la preparacin del informe.


Normas de ejecucin del trabajo.


1. El trabajo se debe planear adecuadamente y los colaboradores, si es el
caso, deben ser supervisados en forma adecuada.
2. Se debe efectuar un estudio y evaluacin del control interno existente
como base de la confianza que se va a depositar en l, y como
fundamento de la extensin de las pruebas a que debern sujetarse los
procedimientos de auditora.
3. Se debe obtener la evidencia suficiente y competente a travs de
inspecciones en el rea de trabajo, observaciones, investigaciones y
confirmaciones que permitan establecer la base razonable sobre la que
se apoya el dictamen a los sujetos a la revisin.


Normas de informacin


1. El informe deber expresar una opinin relacionada a cada una de las
reas evaluadas, haciendo referencia al cumplimiento o no de la
normatividad establecida en cada una de ellas, en caso de que no se
pueda dar una recomendacin adecuada, deber de establecer las
razones que lo llevan a ello.




172

Primer enfoque


Enrique Hernndez Hernndez autor del Libro "Auditora en Informtica" en
su segunda Edicin, escribe lo siguiente:


Que es necesario la implantacin en la empresa una estructura
organizacional que permita tener dentro de ella la funcin de auditora en
informtica, basada en las siguientes estrategias y cursos de accin



Estrategias:


1) Formalizar la auditora en informtica en la organizacin a travs de:


a) Cursos de accin que justifiquen el desarrollo de la funcin de
auditoria informtica en el negocio.
b) Presentar a la alta direccin el documento de justificacin.
c) Aprobacin del proceso por la alta direccin.
d) Difusin de la auditora en informtica en las reas relacionadas
directa e indirectamente con la informtica.
e) Desarrollo del proceso de auditora en informtica en el negocio.


2) Proporcionar a la empresa o institucin un proceso de auditora en
informtica permanente con objetivo de garantizar a la alta direccin:


a) Que la seguridad, polticas y procedimientos que se orientan hacia
los recursos de informtica y a la informacin que stos manejan
sean eficientes y confiables.
b) Apoyo a los objetivos del negocio al tomar decisiones con base a
informacin que cumpla con los requisitos mnimos exigidos por
auditora, como exactitud, totalidad, autorizacin, actualizacin, etc.
Asimismo, se cumplirn los requerimientos exigidos de calidad y
oportunidad.
c) La verificacin del uso de tecnologa que requiere y justifica cada
rea y nivel organizacional dentro del negocio.
d) La existencia de un proceso de evaluacin y justificacin de cada
proyecto de inversin relacionado con la funcin informtica.
e) La elaboracin y desarrollo formal de un proceso de planeacin en
informtica que se oriente al plan del negocio.
173
f) El uso formal de metodologas, tcnicas y herramientas por el
personal de informtica para el desempeo eficiente de sus tareas y
generador de productos de calidad.
g) Promover que el personal de informtica se desarrolle en un
ambiente de profesionalismo y de alta productividad tomando como
base habilidades, conocimientos y perfiles requeridos por la
organizacin.



Cursos de accin:


1. Lograr que la alta direccin, las reas o departamentos usuarios y el
personal, de informtica tomen conciencia de la necesidad de contar
con una funcin de auditora en informtica que asegure y oriente el uso
eficiente de los recursos involucrados con la misma.
2. Formalizar un procedimiento que contemple la difusin, asimilacin de
los planes, objetivos, beneficios y reas de oportunidad que representa
la auditora en informtica para la organizacin.
3. Una vez aprobada la creacin o contratacin de externos para el
proceso de auditora en informtica, se produce a la planeacin y
desarrollo formal del mismo.
4. El proceso de planeacin de la auditora en informtica ha de reflejar
proyectos que contemplen prioridades para la alta direccin, reas de
oportunidad para el negocio y evaluaciones que la funcin de auditora
en informtica considere fundamentales para el aseguramiento de la
calidad y uso eficiente de los recursos de informtica y de la informacin
manejada por dichos recursos.
5. Coordinar formalmente las visitas y reuniones necesarias con el
personal usuario y de la informtica involucrado en cada proyecto.
6. Ejecutar de manera formal y oportuna cada proyecto de acuerdo con lo
planeado.
7. Entregar a la alta direccin informes ejecutivos y detallados de cada
proyecto aprobado por el comit de trabajo. Dicho comit puede estar
integrado por la direccin general, gerentes usuarios, gerentes de
sistemas, gerentes de auditora interna y auditores externos.
8. Lograr que las reas y los niveles involucrados en los proyectos de
auditora en informtica que reconozcan la importancia que representa
el apoyo formal y oportuno que requiere este tipo de proyectos para la
implantacin de las soluciones emanadas del proceso.
9. Investigar, analizar y formalizar la metodologa de auditora en
informtica utilizado por el personal de la funcin con el objeto de
orientar los requerimientos actuales y futuros de la organizacin,
tomando en cuenta las polticas, procedimientos y estndares
recomendados a nivel nacional e internacional por las asociaciones y
entidades profesionales especializadas en el campo.
174
10. Elaborar un programa de actualizacin de personal de auditora en
informtica, que mida su desempeo con base en los objetivos logrados
contra los objetivos planeados.
11. Orientar los esfuerzos de la funcin de auditora en informtica hacia la
bsqueda y logro de soluciones que apoyen los objetivos del negocio.


Despus de organizar el rea busca la ubicacin jerrquica de la funcin de
auditora informtica, tratando de que los auditores cuenten con:

Independencia funcional.
Libertad de accin.
Facultad para la toma de decisiones.
Negociacin con los niveles gerenciales.
Involucramiento en proyectos de alto impacto para el negocio.

Y esta puede estar de dos formas:

1. A nivel estratgico
2. A nivel tctico


175



1. Nivel estratgico (Equipo de apoyo a la direccin)

Caractersticas Beneficios Posibles limitaciones
Independencia funcional Comunicacin formal y
permanente entre la alta
direccin y los
responsables de auditora
en informtica
El seguimiento del
desempeo de la funcin
por parte de la alta
direccin
El proceso de auditora
opera estratgicamente
Apoyo y soporte
constante de la alta
direccin a la funcin
En gran parte de las
empresas no se acepta la
auditora en informtica
Por lo general se haya en
instituciones financieras,
de crdito
Objetivo en el
desempeo de la funcin
No existen muchos
profesionales con
experiencia, tcnicas y
habilidades requeridas
para ejercer la funcin de
auditora informtica a un
nivel estratgico.
Existe un compromiso
permanente con la alta
direccin

Personal de auditora con
visin del negocio



176


2. Nivel tctico (gerencias, jefaturas)


Caractersticas Beneficios Posibles limitaciones
No hay independencia
funcional respecto a otras
direcciones o gerencias
La alta direccin la
considera una funcin
indispensable para
observar el cumplimiento
de polticas y
procedimientos de
informtica en el negocio
Se debilita el compromiso
y soporte de la alta
direccin hacia la funcin
Se encuentra en los
diversos sectores de la
comunidad, con
frecuencia en ciertas
instituciones de crdito,
gubernamentales y en
grado menor en el sector
industrial y educativo.
La funcin tienen
contacto con los
responsables para la
toma de decisiones
El porcentaje de
empresas que considera
importante contar con
una funcin a este nivel
es mnimo.
Se limita mucho al estilo
de trabajo del nivel
superior al que reporta
Existen asociaciones,
consultores y escuelas
profesionales que
impulsan diariamente la
formalizacin de la
funcin, al menos a un
nivel tctico.
No existen muchos
profesionales con
experiencia, tcnicas y
habilidades requeridas
para ejercer la funcin de
auditora informtica a un
nivel tctico.


Despus de analizar que tipo de estructura tendr la funcin de informtica,
se analiza de quien depender, y para ello se plantean cuatro posibles escenarios:
177

1. Dependiendo de la direccin o gerencia de auditora.

Consideraciones clave de la
funcin en el entorno del
negocio
Ventajas/reas de
oportunidad
Desventajas/restricciones
Independiente de la funcin de
informtica y de las otras
reas de la empresa donde se
dar la auditora en informtica
Integracin de los controles y
polticas de informtica a los
establecidos para las otras
reas del negocio
Las reas del negocio no
aceptan con facilidad ser
evaluadas por personal de la
misma empresa.
Integracin de los controles y
polticas de informtica a los
establecidos para las otras
reas del negocio.
Hay una planeacin y
desarrollo conjunto de
proyectos con las otras reas
de auditora

Se asegura control y
seguimiento sobre todos los
recursos y proyectos de
informtica.




2. Dependiendo de la direccin o gerencia de informtica


Consideraciones clave de la
funcin en el entorno del
negocio
Ventajas/reas de
oportunidad
Desventajas/restricciones
Hay dependencia de tipo
funcional hacia el director o
gerente de informtica
Se facilita en alto grado de
nivel de apoyo de informtica
Incertidumbre acerca de qu
anomalas, carencias e
incumplimiento de la funcin
informtica se hagan del
conocimiento de la alta
direccin de manera formal y
oportuna.
El director o gerente de
informtica debe ser
negociador y facilitador para
impulsar el proceso de
auditora en informtica en
todo el negocio, no slo en su
rea
Conocimiento formal y
oportuno de los proyectos e
inversiones de informtica
El enfoque de la auditora en
informtica es limitarse a ser
una entidad que sugiere, no
que controla o asegura
Se agiliza el proceso de
concientizacin en el personal
de informtica en el
cumplimiento de polticas y
controles


178



3. Como personal de apoyo de la direccin general

Consideraciones clave de la
funcin en el entorno del
negocio
Ventajas/reas de
oportunidad
Desventajas/restricciones
La funcin se ubica como una
entidad estratgica dentro del
negocio
Apoyo permanente de la alta
direccin en la difusin e
implantacin de polticas,
controles y procedimientos
La alta direccin debe dar
seguimiento al desempeo de
informtica con conocimiento
de causa
El responsable de la funcin
debe tener una visin de
negocio
Las reas del negocio se
comprometen a cumplir las
polticas y controles inherentes
a informtica de una manera
formal.
Se reduce el margen de error
en cada uno de los proyectos
de auditora en informtica al
ser evaluados por la alta
direccin.
Hay un compromiso de dar
resultados que generen valor
agregado.
Se justifica el perfil de
ejecutivo del auditor en
informtica.
Se orientan los proyectos de
informtica.

4. Como funcin de auditora en informtica ejercida por externos

Consideraciones clave de la
funcin en el entorno del
negocio
Ventajas/reas de
oportunidad
Desventajas/restricciones
Los proyectos con los
asesores externos deben ser
coordinados por la direccin o
gerencia de auditora o
informtica.
Los despachos o asesores
externos por lo general se
apoyan en mtodos, tcnicas y
estndares de auditora en
informtica comnmente
aceptados a nivel nacional e
internacional.
Pueden darse fugas de
informacin.
Se da cuando se carece de la
funcin de informacin, o si
sta existe se busca asegurar
o validar informacin relevante
para la alta direccin.
Son personal de n nivel
profesional ms que
aceptable, debido a su
experiencia y constante
actualizacin.
Costos altos y difciles de
controlar.
El personal externo ha de
contar con amplia experiencia
en este ramo y ser reconocido
por su trayectoria en el
mercado regional o nacional al
menos.
Existe un compromiso moral y
profesional del auditor en
informtica para ejercer la
asesora de manera tica e
independiente.
El tiempo de asimilacin de lo
que e el negocio puede
prolongarse.
Debe evaluarse su desempeo
una vez terminado su trabajo.
Se exigen resultados y
beneficios desde el inicio de
los proyectos.
En ocasiones las soluciones y
recomendaciones no son las
adecuadas para el negocio.
Si es contratado por el
responsable de la informtica
puede estar influido en el
momento de elaborar y
entregar el informe final del
trabajo.
Se requiere compromiso y
participacin formal de todos
los involucrados.
179


Una vez que es ubicada la funcin de auditora en informtica en
alguna de las cuatro estructuras jerrquicas anteriores, es necesario para
hacer rentable la funcin, establecer las funciones que debe realizar, entra
las que se encuentran como mnimas las siguientes:

a) Evaluacin y verificacin de los controles y procedimientos
relacionados con la funcin de informtica dentro de la
organizacin.
b) La validacin de los controles y procedimientos utilizados para el
aseguramiento estable del uso eficiente de los recursos
informticos dentro de la organizacin.
c) Evaluacin, verificacin e implantacin oportuna de los controles
y procedimientos que se requieren para el aseguramiento del
buen uso y aprovechamiento de la funcin de informtica.
d) Aseguramiento permanente de la existencia y cumplimiento de
los controles y procedimientos que regulan las actividades y
utilizacin de los recursos de informtica de acuerdo con las
polticas de la organizacin.
e) Desarrollar la auditora informtica conforme normas y polticas
estandarizadas a nivel nacional e internacional.
f) Evaluar las reas de riesgo de la funcin de informtica y
justificar su evaluacin con la alta direccin del negocio.
g) Elaborar un plan de auditora en informtica en los plazos
determinados por el responsable de la funcin.
h) Obtener la aprobacin formal de los proyectos del plan y
difundirlos entre los involucrados con el mismo.
i) Administrar o ejecutar de manera eficiente los proyectos
contemplados en el plan de auditora en informtica.



Habla de la necesidad de administrar la funcin de auditora en
informtica con la finalidad de verificar que al menos cumplan con los
principios bsicos del proceso administrativo, con el objetivo de que esta
funcin realmente aporte beneficios a la organizacin, mediante el
desempeo eficiente dentro de la misma, siendo los ms importantes:

a) la planeacin, es necesaria para establecer de manera conjunta
con los dems auditores de la empresa fechas probables de
revisin de las reas, unificacin de metodologas, capacitacin
de personal de auditora de manera conjunta, seguimiento de
debilidades importantes que se hayan detectado, etc.




180

b) el personal, este es verdaderamente importante en la realizacin
de una auditora en informtica, debido que depende mucho de
los conocimientos los auditores, as como de la experiencia
profesional el xito de la misma. Por lo que es importante
recalcar que es necesario establecer el perfil necesario de los
auditores que se necesitan dentro de la organizacin para
tomarlo en cuenta al momento de la contratacin de personal, as
como de la participacin de personal de la funcin de informtica
para su aprobacin.

c) el control, aqu se encuentra la supervisin, que es una parte
importante de la auditora en informtica ya que permite
visualizar mediante un proceso continuo la planeacin de la
auditora finiquitada con la entrega del informe final.

d) el seguimiento del desempeo, es importante para evaluar:

- Productividad y calidad de los proyectos.
- Avances de proyectos
- Resultados.
- reas susceptibles de control y seguimiento.
- Seguimiento individual y de grupo.

con el objetivo de que esta funcin realmente aporte beneficios a la
organizacin , mediante el desempeo eficiente dentro de la misma.

La metodologa para el desarrollo e implantacin de la auditora en
informtica es verdaderamente importante para llevarla a cabo, ya que
brinda al grupo de auditores un camino estructurado que les permita llevar a
cabo tareas, actividades, productos terminados, revisiones, funciones,
responsabilidades, etc.; orientndolos a trabajar en equipo para la
obtencin de productos terminados de buena calidad.

Es conveniente recalcar que una metodologa no augura el xito de
una auditora, adems se requiere de un buen dominio de:

Tcnicas
Herramientas de productividad
Habilidades personales
Conocimientos tcnicos y administrativos
Experiencia en los campos de auditora e informtica
Conocimiento de los factores del negocio y del medio externo al
mismo
Actualizacin permanente


181
Involucramiento y comunicacin constante con asociaciones
nacionales e internacionales.
Otras


La metodologa de auditora en informtica esta formada por seis etapas.


182
1. Etapa preliminar o diagnstico del negocio

Es el primer paso prctico del auditor en informtica dentro de las empresas
o instituciones al efectuar un proyecto de auditora en informtica. Se busca la
opinin de la alta direccin para estimar el grado de satisfaccin y confianza que
tiene en los productos, servicios y recursos de informtica del negocio; de la
misma forma es posible detectar las fortalezas, aciertos y apoyo que brinda dicha
funcin desde la perspectiva de los directivos del negocio.


Tareas Productos terminados Responsables Involucrados
Misin y objetivos del negocio LP/RAI AD
Organizacin de informtica LP/RAI AS
Diagnstico del
negocio
Grado de apoyo al negocio LP/RAI AD/PU

Misin y objetivos de la funcin
de informtica
LP/RAI RI
Organizacin de informtica LP/RAI RI
Control (formalidad) LP/RAI RI/PI
Diagnstico de
informtica
Productos y servicios LP/RAI RI

Detectar rea de
oportunidad
rea de oportunidad para
mejoras inmediatas
LP/RAI AD/PU/RI

Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable
del rea de informtica; PI = Personal de informtica; RAI = Responsable del rea de
Auditora Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en
Informtica.


En esta etapa del proceso metodolgico se estiman las reas de
informtica que deben de auditarse y se bosquejan tiempos, costos y recursos
inherentes a dicha revisin. Esto se hace una vez que el auditor conoci:

1) Del negocio:

Giro de la empresa.
reas organizacionales y procesos bsicos que componen la
empresa.
Planes o proyectos del negocio que involucren a informtica.
Cultura organizacional.
Imagen del desempeo del departamento o rea de informtica
ante la alta direccin.
Apoyo de la direccin a informtica.
Fortalezas y debilidades de informtica, segn la alta direccin.


183

2) Del rea de informtica
Estructura.
Puestos y funciones globales, servicios relevantes, planes o
proyectos del rea cultural de trabajo.
Consideraciones del responsable de informtica relativas al
apoyo que recibe de la alta direccin de la empresa.
Fortalezas y debilidades del rea, segn el responsable de
informtica.

2. Etapa de justificacin.

Una vez finalizada satisfactoriamente la etapa preliminar, el auditor en
informtica debe iniciar la siguiente etapa de la metodologa que corresponde a la
justificacin; cabe mencionar que en esta etapa el auditor puede llevara a cabo
actividades en paralelo lo que es vlido y justificado si ste cuenta con los
recursos y la experiencia necesarios en este tipo de proyectos.

Tareas Reductos
terminados
Responsables Involucrados
Realizar matriz de
riesgo
Matriz de riesgos LP/AI RAI

Justificar la auditora
por cada rea de
revisin
Justificacin de la
matriz de riesgos
LP/AID RAI

Hacer un plan
general de auditora
en informtica
Plan general de
informtica
LP RAI/AI

Aprobacin del plan Plan aprobado LP RAI/RI

Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable
del rea de informtica; PI = Personal de informtica; RAI = Responsable del rea de
Auditora Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en
Informtica.
En esta etapa se obtienen tres productos terminados importantes que son:

1. Matriz de riesgos, que define las reas que van a ser auditadas, en
dnde su formato es el siguiente:
__________________________________________________________________
Empresa: Gerencia: Fecha de elaboracin:

Representante usuario: Representante de informtica: Lder del proyecto

reas susceptibles Aspectos o componentes Riesgo por Clasificacin del riesgo rea por auditar
de auditar por evaluar del rea componente por reas (Total) Segn clasificacin
184


Las consideraciones que se deben de tomar en cuenta al elaborar la matriz
de riesgos son:
Es una tarea relevante y necesaria para el auditor en informtica.
Los parmetros para medir el nivel de riesgos pueden cariar de acuerdo
con factores como la experiencia y conocimiento en la auditora, as
como las reas que conforman informtica o el grado de profundidad y
anlisis que desee darle el auditor en informtica.
Algunos hechos pueden indicar directamente al auditor en informtica la
existencia de riesgos relevantes.
Revisar la matriz de riesgos con el responsable de auditora en
informtica.
Asegurarse de contar con el soporte que requieran las debilidades o
anomalas detectadas (entrevistas, cuestionarios analizados revisados y
documentados) para ser validadas oportunamente.


2. Plan general de auditora en informtica, que consiste en plantear las
tareas ms importantes que se ejecutarn durante cierto perodo al
efectuar la auditora en informtica.
__________________________________________________________________

Empresa: Gerencia: Fecha de elaboracin:

Representante usuario: Representante de informtica: Lder del proyecto:


reas por auditor segn Aspectos o componentes Prioridad Clasificacin del riesgo Fecha de inicio/
Clasificacin y del rea por auditor asignada por rea (total) Fecha de
Prioridades terminacin
(estimadas)



Este se elabora despus de haber terminado la matriz de riesgos y los
principales aspectos que debe contemplarse en su elaboracin, son:

El plan general de auditora en informtica se deriva de los siguientes
elementos:
- reas de oportunidad.
- Matriz de riesgos.
- Prioridades de la alta direccin, de auditora, de informtica o de la
misma funcin de auditora en informtica.
En esta etapa se elabora slo el plan de auditora general ya que slo
se busca la aprobacin y anlisis por parte de la alta direccin.
Es importante la retroalimentacin constante entre el lder del proyecto
u los dems involucrados.


185


Y dentro de las principales actividades del auditor para elaborar el plan
general de auditora en informtica, son:


Estimar el tiempo necesario para auditar cada rea determinada en la
matriz de riesgos y en las tareas de apoyo con el fin de alcanzar las
reas de oportunidad planteadas.
Analizar y definir los aspectos y componentes ms relevantes que se
evaluarn, tomando en cuenta las caractersticas propias del negocio,
Si es necesario verificar la importancia y validez de los puntos
anteriores con los involucrados sin consumir mucho tiempo ni aplicar
tecnicismos en las entrevistas que pueden ser por va telefnica, por fax
o personales.
Asignar prioridades a cada rea por evaluar o revisarlas con los
principales involucrados en el proyecto.
Definir fechas estimadas de inicio y terminacin por rea de revisin, no
por componente.
Establecer fechas de revisin formales (firmas, aprobaciones) e
informales (avances).
Definir responsables e involucrados directos por etapas del proyecto.
Otras de inters para el auditor en informtica segn las caractersticas
del proyecto y del negocio.


3. Compromiso ejecutivo, aqu se otorga el visto bueno al lder del proyecto para
continuar con las siguientes etapas de la metodologa.


En esta etapa, es necesario presentar para lograr el compromiso del
ejecutivo, los siguientes aspectos:


Presentacin del plan con la informacin de soporte requerida bien
documentada y validada con los principales involucrados:
Resumen del diagnstico actual.
reas de oportunidad.
Matriz de riesgos.
Prioridades.
Otros comentarios que sirvan de apoyo.
Ser objetivo y claro al exponer el plan general.
Justificar cada una de las reas a auditar con datos concretos y
bien documentados.



186


Lograr que la alta direccin tome conciencia del compromiso
requerido para la culminacin exitosa del proyecto.
Recibir la aprobacin formal del plan general (firma)
El lder del proyecto debe indicar las fechas de inicio y
terminacin estimadas.


Para la elaboracin del plan general de auditora en informtica, el auditor
en informtica o lder del proyecto deber tomar en cuenta lo siguiente:

Revisin del plan general
Considerar fecha posible de reunin con los involucrados en esta
tarea.
Documentar y resumir el diagnstico actual.
Verificar y documentar reas de oportunidad y matriz de riesgos.
Justificar cada rea de revisin con los datos obtenidos
anteriormente.
Recomendar o negociar fecha de revisin y aprobacin del plan con
los involucrados.
Efectuar reunin.
Exponer y justificar el plan de auditora en informtica.
Obtener aprobacin formal del plan general.
Establecer fechas de inicio del proyecto.
Obtener el compromiso del ejecutivo en el transcurso del proyecto.
Otros que el auditor en informtica considere pertinentes.


3. Etapa de adecuacin

El objetivo principal de esta etapa, es la de adaptar el proyecto de auditora
a las caractersticas del negocio, sin olvidar la referencia de estndares, polticas y
procedimientos de auditora en informtica comnmente aceptados y
recomendados por las asociaciones relacionadas con el proceso, as como las
formuladas y aprobadas de manera particular en los negocios para informtica.

Una vez concluida esta etapa, el auditor en informtica contar con un
proyecto bien especificado y clasificado adaptado a las necesidades de la
empresa en particular a travs de un conjunto de tareas estructuradas, definiendo
con certeza los objetivos y requerimientos particulares para concluir positivamente
la revisin de las rea mencionadas en el plan de auditora informtica.

En est etapa se obtiene como producto terminado, el plan detallado de
auditora en informtica, adems por rea de revisin deber definir:


187

Tcnicas y herramientas.
Estndares, polticas y procedimientos.
Cuestionarios.

Tareas Productos terminados Responsables Involucrados
Definir los objetivos
del proyecto
Objetivos y alcances del
proyecto
LP RAI

Etapas y sus tareas AI LP
Plan actualizado AI LP
Responsables e involucrados AI LP
Productos terminados AI LP
Definir etapas del
proyecto y su detalle
Revisiones (formal e informal) AI LP

Aspectos o elementos por
evaluar por cada rea de
revisin
AI LP
Tcnicas AI LP
Software AI LP
Equipo de cmputo AI LP
Definir los
elementos por reas
de revisin
Otros de inters para el auditor AI LP

Polticas y procedimientos por
verificar de cuerdo con cada
rea que ser auditada
AI LP Definicin o
actualizacin de
polticas por rea
Polticas complementarias AI LP

Elaboracin o
actualizacin de
cuestionarios por
rea
Cuestionarios por cada rea
que ser auditada
AI LP
Cuestionarios adicionales RAI LP

Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable
del rea de informtica; PI = Personal de informtica; RAI = Responsable del rea de
Auditora Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en
Informtica.

Conforme avanza el proyecto de auditora en informtica es probable que
surjan actualizaciones en prioridades, involucrados, requerimientos, etc., que
obligan a actualizar el plan de auditora en informtica que en la etapa anterior se
estableci el compromiso con el ejecutivo; por lo que es necesario:

1. Primero justificar la actualizacin,
2. Llevar una bitcora de cambios, en donde se registre:
El cambio.
Motivo del cambio.
188
Responsable de solicitar el cambio.
Tareas o fechas que afecta.
rea(s) por evaluar afectadas por el cambio.
Responsable de aprobar el cambio.
Fecha del cambio.
Plan actualizado.
Otros que el auditor en informtica considere necesarios para la
culminacin exitosa del proyecto.

3. Evitar caer en 4 el ciclo de actualizacin-terminacin-actualizacin-
terminacin.

Es importante mencionar que en esta etapa es recomendable que se
realicen dos planes detallados con orientacin diferente y objetivo comn: el llevar
a cabo la administracin del proyecto:
1. Un plan interno, que su propsito principal poder verificar el
cumplimiento del proceso metodolgico por parte de los auditores en
informtica. Este plan puede hacerse antes de la etapa preliminar o de
diagnstico.

Tareas Productos Involucrados Responsables Revisiones Duracin
Preliminar
Justificacin
Adecuacin
Formalizacin
Desarrollo
Implantacin

2. Plan detallado de auditoria informtica, el cual contiene datos que
pretenden ser gua del proyecto de auditora en informtica ya que
describen tareas, productos terminados, responsables, involucrados,
fechas de revisin, etc.

Tareas Actividades Productos Responsable Involucrados Fechas inicio/ Fecha

Terminados fecha trmino de revisin

4. Etapa de formalizacin.

Esta etapa puede llevarse a cabo al mismo tiempo que la etapa de
adecuacin si existen los recursos y los involucrados se encuentran disponibles.

Aqu una vez detectadas las debilidades, fortalezas ms importantes, de
haber definido las reas que sern auditadas, y tener todo documentado se busca
la aprobacin formal de la alta direccin la cual no debe de prolongarse
demasiado ya que en ya se obtuvo en la elaboracin del plan detallado en
informtica en la etapa de adecuacin el visto bueno de los usuarios clave y del
personal de informtica.
189

Las tareas, productos terminados, responsables e involucrados son:

Tareas Productos terminados Responsables Involucrados
Prioridades clasificadas LP RAI Verificar prioridades
y cursos de accin rea por auditar verificadas AI/LP RAI

Etapas y sus tareas AI LP Verificar plan y
actividades Plan detallado final AI LP

Presentacin formal
del proyecto
Proyecto revisado de la
auditora
RAI AD/PU/RI

Aprobacin del proyecto AD/PU/PI RAI/LP
Compromiso ejecutivo AD RAI/RI/PU
Aprobacin formal
del proyecto de
auditora en
informtica
Inicio formal del proyecto LP AD/PU/PI

Entendimiento del proyecto RI LP/AI
Aceptacin del proyecto PI/PU LP/AI
Presentacin del
proyecto a los
usuarios de
informtica
Compromiso para cada una
de las reas involucradas
PI/PU LP/AI

Fechas de entrevistas LP PI/PU
Fechas de visitas LP PI/PU
Definir las reas por
visitar y concertar
citas con el personal
que se entrevistar
Fechas para la aplicacin de
cuestionarios.
LP PI/PU

Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable del rea
de informtica; PI = Personal de informtica; RAI = Responsable del rea de Auditora
Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en Informtica.


En esta etapa es importante sealar cuales son las prioridades,
entendindose por prioridad como las acciones que se deben llevar a cabo antes
que las dems sugeridas para el proyecto. Esto se debe de justificar por:

Urgencia de mejorar algn hecho que perjudica en alto grado el
negocio.
Un requerimiento especfico de la alta direccin.
Implantacin de algn proceso previamente justificado.
Otros.

Adems tomar en cuenta las restricciones, que son los hechos o
circunstancias identificables que pueden ocurren o que pueden ocurrir durante el
transcurso de la auditora que afecten directa o indirectamente el proyecto. Estas
limitaciones o carencias por lo general que no se pueden resolver de inmediato o a
lo largo del proyecto. Aqu en esta misma etapa es necesario determinar el
190
alcance del proyecto de tal forma que se defina la cobertura especfica que tendr
el proyecto, adems de aclarar qu se realizar que vendran a ser las tareas y
etapas y los resultados que seran los productos terminados que se obtienen de
cada una de las etapas de la metodologa.


La presentacin formaldel plan de auditora en informtica en una de las
tareas ms importante para el lder del proyecto en informtica ya que esto le
permitir obtener la aprobacin formal del proyecto por parte de la alta direccin
de la empresa y dar paso a la siguiente etapa de la metodologa, por lo que es
importante tomar en cuenta algunas actividades primordiales para su aprobacin,
como son:


Asegurarse de contar con toda la informacin en un formato de
presentacin resumida e inteligible, ya que su principal audiencia ser la
alta direccin, los usuarios clave y el responsable de informtica.
Revisarla y verificarla con este ltimo.
Concertar la cita en fecha y lugar apropiados.
Ser fluido, claro y contundente en la presentacin de la informacin.
Asegurar el entendimiento de la audiencia de los datos presentados.


Para esto se debe tomar en cuenta consideraciones clave como:


Contar con el soporte documentado de los que se presentar.
No concertar la cita para la reunin si tiene sin aclarar dudas o
pendientes de tareas anteriores.
Hacer del conocimiento a la alta direccin de la importancia de su apoyo
para el xito del proyecto conciencia
Tratar que los presentes comprendan que forman un equipo de trabajo.
En caso de ser necesario buscar el apoyo de los usuarios clave y/o del
responsable de informtica.
Presentar un resumen de la matriz de riesgos, reas de oportunidad,
plan detallado de auditora



5. Etapa de desarrollo.

Est es la etapa ms importante del auditor en informtica, ya que aqu es
donde va a ejercer su funcin prctica de acuerdo con los estndares, normas y
procedimientos recomendados por las asociaciones profesionales como la AMAI
(Asociacin Mexicana de Auditora en Informtica) o el IMCP (Instituto Mexicano
de Contadores Pblicos).

191

Es importante la aplicacin de los conocimientos y la experiencia de los
auditores para adecuada evaluacin que salvaguarde la integridad y rentabilidad
de la informacin, adems de otros recursos de informtica en la empresa.

El auditor en informtica siempre debe trabajar con profesionalismo,
entusiasmo y sensibilidad, tica personal, tener una metodologa de trabajo, en la
revisin de las reas seleccionadas, de tal forma que logre combatir la resistencia
hacia el proceso de revisin que permita el trabajo en equipo, para lograr
establecer la se realicen revisiones por parte de la funcin de auditora en
informtica de peridica y programada.

En esta etapa el auditor debe de realizar las siguientes tareas:

Tareas Productos terminados Responsables Involucrados
Concretar citas Fechas aprobadas o
actualizadas
AI PI/PU

Verificar tareas,
involucrados, etc.
Tareas, involucrados, etc.,
revisado
AI PI/PU

Tcnicas clasificadas AI LP
Cuestionarios clasificados AI LP
Clasificar tcnicas,
cuestionarios y
herramientas por usar
Herramientas clasificadas AI LP

Entrevistas realizadas AI PI/PU
Entrevistas documentadas AI AI
Efectuar entrevistas
Entrevistas analizadas LP/AI RAI

Cuestionarios aplicados AI PI/PU
Cuestionarios documentados AI AI
Aplicar cuestionarios
Anlisis de cuestionarios LP/AI RAI

Visitas realizadas AI RI/PI/PU
Comentarios documentados AI AI
Efectuar visitas de
verificacin
Anlisis de comentarios LP/AI RAI

Observaciones (acerca de
debilidades o carencia de
controles)
AI LP
reas de oportunidad AI LP
Alternativas por cada rea de
oportunidad detectada
AI LP
Recomendaciones (acciones
especficas) por alternativa
AI LP
Responsables de ejecutar
cada accin
AI LP
Plazos de ejecucin por
accin
AI LP

reas auditadas clasificadas AI LP
192
Informe documentado,
almacenado y clasificado
AI LP

Revisar el informe por
rea
Borrados de auditora en
informtica revisado
LP RAI/AI

Informe preliminar revisado LP PI/PU/AI
Informe preliminar corregido AI LP
Informe preliminar entregado LP LP
Autorizar el borrador por
rea
Informe preliminar autorizado AD/PI/PU AD/PI/PU

Entrevistas, cuestionarios y
vistas pendientes realizados
LP/AI PI/PU Efectuar entrevista,
cuestionarios y visitas
complementarias Informe actualizado con
observacin de las reas
auditadas
AI LP

Informe final revisado con
informacin de las reas
auditadas
AI LP
Informe con visto bueno del
responsable de la funcin de
auditora en informtica
RAI LP/AI
Informe almacenado en
medios magnticos
(respaldo)
AI AI
Documentacin del informe
para la alta direccin
LP/AI RAI
Elaborar informe final
Documentacin del informe
para responsables de los
usuarios de informtica y
para responsables del rea
de informtica
AI LP

Acciones clasificadas por
plazos sugeridos
LP/AI RAI Elaborar un plan general
de acciones sugeridas
Costo / beneficio del plan LP/AI RAI

Aprobar el informe y plan
de implantacin
Informe de auditora en
informtica y plan aprobados
AD/RI/PU RAI/LP

Informe final presentado a la
alta direccin RAI
RAI AD/RI/LP Presentacin del plan de
auditora en informtica y
plan de implantacin Informe presentado a
personal usuario y de
informtica
LP/AI PI/PU

Aprobar informe final Revisin del informe de
auditora en informtica
AD/RI/PU RAAI/LP/PI
Aprobacin del informe de
auditora en informtica
AD/RI RAI/LP/PU
Compromiso ejecutivo AD/RI RAI/PU
193

Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable del rea de
informtica; PI = Personal de informtica; RAI = Responsable del rea de Auditora Informtica; LP =
Lder del Proyecto de Auditora Informtica; AI = Auditor en Informtica.


Es importante que para obtener un producto final de calidad y beneficios
tangibles para el negocio al final de la etapa de desarrollo, que el auditor en
informtica, al revisar las reas requeridas realice las siguientes acciones:
Basarse en el plan de auditora en informtica elaborado y aprobado
en las etapas anteriores para la secuencia y duracin de su trabajo
en esta etapa.
No interrumpir la continuidad de las operaciones de la empresa.
Utilizar tcnicas y herramientas segn lo demande cada tarea del
rea actual.
Apoyar su trabajo con polticas y estndares comnmente
aceptados.
Involucrar a los usuarios y personal de informtica segn lo amerite
cada tarea.
Utilizar los cuestionarios para cada rea auditada.
Aplicar entrevistas de manera profesional y adecuarlas al perfil de
cada entrevistado.
Respetar las polticas que imperan en el ' medio cuando se realicen
visitas a las reas de informtica.

Es conveniente que el auditor realice informes preliminares con la siguiente
informacin:

reas de oportunidad para mejorar de inmediato los procesos de
negocio apoyados en informtica.
Observaciones (debilidades) de los aspectos de informtica
auditados.
Recomendaciones preliminares para cada una de las observaciones
recomendadas.
Responsables de ejecutar las recomendaciones.
Actualizacin del plan de auditora informtica
Revisin detallada de los aspectos que tengan un impacto
considerable en la operacin del negocio o que soporten alguna
estrategia del negocio.
Comunicacin abierta con, los usuarios y el personal de informtica
involucrados.
Presentar un plan de implantacin de auditora en informtica
factible y realista que contemple los siguientes elementos:
Debilidades o carencias de control, su problemtica y
causas que lo originan.
Acciones inmediatas de corto y mediano plazo.
194
Responsable e involucrados en la implantacin de
estndares, polticas y procedimientos en cada componente
de informtica que as lo requiera.
Anlisis costo / beneficio del proyecto de implantacin.
Aprobacin formal de los directivos, usuarios y del
responsable de informtica.

6. Etapa de implantacin.

En esta etapa es la ms importante para el personal involucrado en la
auditora en informtica ya que termina el trabajo del auditor y a ellos les
corresponde llevar a cabo las recomendaciones hechas en el informe final de
auditora. La labor del auditor estriba en dar seguimiento y apoyo.

Es conveniente hacer mencin que aunque la labor del auditor se menciono
que es de seguimiento y apoyo no debe de desatenderse en esta etapa ya que
una recomendacin puede no llevarse a cabo por distintas razones de la manera
que se indic y provocar que estas no resuelvan las situaciones (debilidades)
encontradas en las reas auditadas.

En esta etapa se obtienen los siguientes productos terminados:
Tareas Productos terminado Responsables Involucrados
Recursos humanos,
tecnolgicos y financieros
requeridos para el xito de la
implantacin sugerida por
auditora en informtica
RI/PU LP
Recursos aprobados AD RI/PU/LP
Personal de trabajo para la
implantacin
RI/PU LP
Equipo de trabajo aprobado AD RI/PU/LP
Funciones y
responsabilidades
RI/PU LP
Fechas de revisin RI/PU LP
Definir requerimiento
para el xito del plan de
implantacin
Resultados esperados RI/PU LP
Anlisis costo / beneficio
revisado
RI/PU LP
Anlisis costo / beneficio
revisado
AD RI/PU/LP

Inicio de la implantacin RI/PU LP

Plan de implantacin
revisado segn los
resultados de la primera
tarea.
RI/PU LP/AI
Plan de implantacin
corregido y actualizado
PI AI/PU
Desarrollar el plan de
implantacin detallado
Documentar plan final RI AI/PU
195
Plan final aprobado AD PI/PU/LP

Inicio de los proyectos PI/PU RI
Tareas terminadas PI/PU RI
Presentacin de implantacin RI AD/RAI/LP
Efectuar la implantacin
sugerida por auditora
en informtica
Implantacin aprobada AD/PI/PU RI/RAI/LP

Acciones de seguimiento
seleccionadas
LP RAI/AI
Seguimiento de la
implantacin
LP AI
Revisiones informales LP AI
Revisiones formales LP AI
Aseguramiento de calidad LP RAI
Implantacin exitosa final LP RAI
Seguimiento a la
implantacin del plan
recomendado por la
auditora
Implantacin aprobada RAI RAI

Nomenclatura : AD = Alta Direccin; PU = Personal Usuario; RI = Responsable del rea
de informtica; PI = Personal de informtica; RAI = Responsable del rea de Auditora
Informtica; LP = Lder del Proyecto de Auditora Informtica; AI = Auditor en Informtica.

En esta etapa es necesario y conveniente que el auditor en informtica,
realice revisiones posteriores a la implantacin que le den la certidumbre de que la
empresa va por buen camino, realizando:
Visitas rpidas a las reas ms importantes de la funcin de informtica
que se evaluaron con el objetivo de tomar las medidas necesarias que
aseguren la correcta implantacin de estndares, polticas o
procedimientos relativos a informtica.

Fortalezas y debilidades de la metodologa.

Fortalezas.

1. Tener un camino estructurado para llevar a cabo acciones de auditora
en informtica.
2. Esta orientada en gran parte a buscar la implementacin de la funcin
de auditora en informtica dentro de la empresa buscando la estructura
organizacional ms adecuada.
3. Busca mediante la participacin de directivos, usuarios clave y personal
de informtica desarrollar conciencia de la importancia de auditora en
informtica como prctica permanente.
4. Obtener un informe final que permita detectar las debilidades de la
empresa con formalidad y oportunidad para que puedan ser resueltas
satisfactoriamente.
5. El personal participante (alta direccin, usuarios clave y personal de
informtica) se desarrolla como un equipo de trabajo, para lograr el
xito del proyecto.

196
6. Recomienda el respeto a los estndares, polticas y procedimientos
establecidos en la empresa.
7. Se tiene identificado plenamente los productos terminados por cada una
de las etapas de la metodologa, de tal manera que sabemos
perfectamente para que se estn realizando cada una de las tareas.
8. Permite establecer tiempos de duracin de la auditora.
9. Establece prioridades.


Debilidades.

1. Define que es auditora en informtica, pero no define todas las dems
auditorias que tienen relacin con la informtica como:

Auditora de sistemas.
Auditora administrativa
Auditora financiera / contable
Etc.

2. Para poder dar inicio al Desarrollo de la auditora en informtica, es
necesario antes llevar a cabo la etapa de: diagnstico, justificacin,
adecuacin y formalizacin; en las cuales existe una inversin
considerable de tiempo.
3. No menciona la forma de interpretar la informacin de los datos
obtenidos en el desarrollo de la auditora en informtica a travs de
cuestionarios, entrevistas, visitas fsicas a las reas a evaluar, etc.
4. Si la auditora se llevara a cabo por personal externo el
desconocimiento de la empresa conlleva a una gran inversin de
tiempo.
5. No se habla de llevar a cabo auditorias de cumplimiento.
6. No existe una recomendacin de tiempo para llevar a cabo las
auditorias entre una y otra.
7. Manejo de conceptos muy bsicos.


197


Segundo enfoque

El autor Jos Antonio Echenique en su libro titulado Auditora en
Informtica, hace mencin del desarrollo que han presentado las empresas a
travs del tiempo mediante la utilizacin de la tecnologa informtica para el
procesamiento de datos para la generacin de informacin, que es usada para la
toma de decisiones y la cual para que realmente pueda ser til debe de ser:
confiable, veraz y oportuna.

Las estructuras organizacionales en las empresas tambin ha venido
cambiando de tal forma que existe una descentralizacin de equipos aunada a una
centralizacin de informacin provoca una gran diversidad de problemas para la
toma de decisiones y organizacin de las reas de informtica. Por lo que unos de
los problemas ms frecuentes dentro de las reas de informtica es la falta de
organizacin que les permita realizar su trabajo de una forma eficiente y eficaz que
les permita avanzar al ritmo de las exigencias de la organizacin.

No resulta extrao que existan reas de informtica en donde no se
conozca el uso adecuado de las tcnicas y herramientas por parte del personal
originado una serie de problemas que provocan el incumplimiento o interrupcin
de la funcin informtica; por lo que es necesario establecer los controles
preventivos, correctivos y detectivos a travs de un seguimiento por funcin para
lograr establecerlos de manera permanente y disminuir la incertidumbre de fallas
imprevistos que originan prdida de recursos humanos, materiales y econmicos.

Por lo anterior expuesto, es necesario tomar conciencia de la importancia
de la auditora en informtica dentro de las empresas llevada a cabo por personal
de la empresa o por asesores externos.

En este estudio el autor divide su revisin en tres partes:
1. Evaluacin de la funcin informtica.
2. Evaluacin de los sistemas.
3. Evaluacin del proceso de datos y de los equipos de cmputo,
incluyendo la evaluacin de la seguridad.

La auditora en informtica inicia con una planeacin de la auditora en
informtica que debe sealar en forma detallada el alcance y direccin esperados
y debe comprender un plan de trabajo para que, en caso de que existan cambios o
condiciones inesperadas que ocasiones modificaciones al plan general, sean
justificadas por escrito. La planeacin de la auditora en informtica, se hace de
acuerdo a tres puntos de vista:


198


1. Evaluacin administrativa del rea de procesos electrnicos,
2. Evaluacin de los sistemas y procedimientos,
3. Evaluacin de los equipos de cmputo,
y da inicio con una investigacin preliminar en donde se debe conocer la
informacin sobre:

a) Administracin, qu permita tener una visin general del rea de
informtica por medio de observaciones, entrevistas preliminares y
solicitudes de documentos para poder definir alcances y objetivos del
mismo. Para lo cual se debe de solicitar:
Informacin a nivel organizacional.
Informacin a nivel del rea de informtica.
Recursos materiales y tcnicos.
Informacin de los sistemas.

Una vez terminada la planeacin se debe de analizar cul ser el personal
participante en donde se recomienda que el grupo de trabajo sea multidisciplinario,
cuente con las caractersticas necesarias para llevar a cabo la auditora en
informtica; pero tambin se debe de pensar en el personal asignado por la
empresa para asesorar en la auditora as como el apoyo de la alta direccin para
logra el xito del mismo.

Una vez que se tiene la planeacin de la auditora en informtica y el
personal participante es necesario formalizar el trabajo mediante una carta
compromiso del auditor dirigida a la empresa para la confirmacin del mismo.

Es importante llevar un control de avance de la auditora que permita
cumplir con los procedimientos de control y que permita asegurar que el trabajo se
lleva a cabo de acuerdo con el programa de auditora, con los recursos estimados
y en el tiempo sealado en la planeacin.

En la evaluacin de la funcin informtica se debe de:

1. Recopilar la informacin organizacional, para determinar si:
a. Las responsabilidades en la organizacin estn definidas
adecuadamente.
b. La estructura organizacional est adecuada a las necesidades.
c. El control organizacional es el adecuado.
d. Se tienen los objetivos y polticas adecuadas, se encuentran
vigentes y estn bien definidas.
e. Existe la documentacin de las actividades, funciones y
responsabilidades.
f. Los puestos se encuentran definidos y sealadas sus
responsabilidades.


199

g. El anlisis y descripcin de puestos est de acuerdo con el
personal que los ocupa.
h. Se cumplen los lineamientos organizacionales.
i. El nivel de salarios comparado con el mercado de trabajo
j. Los planes de trabajo concuerdan con los objetivos de la
empresa.
k. Se cuenta con los recursos humanos necesarios que garanticen
la continuidad de la operacin o se cuenta con "indispensables".
I. Se evalan los planes y se determinan desviaciones.

2. Evaluar la estructura orgnica.

3. Evaluar los recursos humanos.

4. Entrevistar al personal de informtica, que sirve para determinar:
a. Grado de cumplimiento de la estructura organizacional
administrativa.
b. Grado de cumplimiento de las polticas y los procedimientos
administrativos.
c. Satisfaccin e insatisfaccin.
d. Capacitacin.
e. Observaciones generales.

5. Conocer la situacin presupuestal y financiera, para conocer:
a. Los costos del departamento de informtica, desglosado por
reas y controles.
b. Presupuesto del departamento de informtica, desglosado por
reas.
c. Caractersticas de los equipos, nmero de ellos y contratos.

En la evaluacin de los sistemas realiza:

1. Evaluacin de sistemas.
2. Evaluacin de anlisis.
3. evaluacin del diseo lgico del sistema.
4. evaluacin del desarrollo del sistema.
5. Control de proyectos.
6. control y diseo de sistemas y programacin.
7. Instructivos de operacin.
8. Forma de implantacin.
9. Equipo y facilidades de programacin.
10. entrevistas a usuarios.




200

En la evaluacin del proceso de datos y de los equipos de cmputo se
revisan:
1. Controles.
2. Orden en el centro de cmputo.
3. Evaluacin de la configuracin del sistema de cmputo.
4. Productividad.

En la evaluacin de la seguridad de revisa:
1. Seguridad lgica y confidencial dad.
2. Seguridad en el personal.
3. Seguridad fsica.
4. Seguros.
5. Seguridad en la utilizacin del equipo.
6. Procedimientos de respaldo en caso de desastre.
7. Condiciones, procedimientos y controles para otorgar soporte a otras
instituciones.

Una vez realizadas las evaluaciones se procede a la interpretacin de la
informacin que permite realizar las conclusiones de la auditora y presentarla de
la siguiente forma:
1. Dando una breve descripcin de la situacin actual en la cual se reflejen
los puntos ms importantes.

2. Una descripcin detallada que comprenda: a. Los problemas
detectados.
b. Posibles causas, problemas y fallas que originaron la situacin
presentada.
c. Repercusiones que puedan tener los problemas detectados.
d. Alternativas de solucin.
e. Comentarios y observaciones de la direccin de informtica y de
los usuarios sobre las soluciones propuestas.
f. Si se opta por alguna alternativa de solucin, cules son sus
repercusiones, ventajas y desventajas y el tiempo estimado para
efectuar el cambio.

3. Se debe de hacer hincapi en cmo se corregir el problema o se
mejorar una determinada situacin, se obtendrn los beneficios, en
cunto tiempo y cules son los puntos dbiles.

4. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos
por medio de conclusiones concretas que sean sencillas (procurando
que se entiendan los trminos tcnicos y, si es posible, usar tcnicas
audiovisuales).


201


Fortalezas y debilidades de la metodologa.

Fortalezas.

1. Por ser ms prctica y conocer el negocio de una manera ms rpida la
inversin de recursos es menos.
2. La clasificacin de los recursos para realizar la auditora en informtica,
permite que se pueda realizar por partes.
3. Puede ser realizada por personal de la empresa o por personal externo,
ya que no pretende establecer la funcin de auditora en informtica.
4. Existe una definicin de las auditorias, as como la relacin existente
con las auditorias en informtica, lo que permite determinar cual de ellas
se va a llevar a cabo en cada una de las partes.
5. Proporciona elementos de control de proyectos.
6. Establece un procedimiento para ayudar a la interpretacin de la
informacin recolectada durante la evaluacin.
7. Proporciona elementos para la evaluacin de las reas.


Debilidades.

1. No se habla de llevar a cabo auditorias de cumplimiento.
2. No se establecen los productos terminados ni los involucrados por rea.

202

12
__________________________________________________________________



Conclusiones


La globalizacin de la economa y el aumento de volmenes de informacin
en las organizaciones tanto a nivel nacional como mundial hace necesario la
implementacin e implantacin de tecnologas modernas, que originan algunas
ventajas y desventajas, como:

a) una acentuada dependencia hacia los sistemas de informacin
que la genera,

b) creacin de reas de oportunidad,

c) aumento considerable a la comisin de delitos informticos por
personal externo o interno a la organizacin,

d) generacin de informacin de forma ms eficiente, e) altos
costos por compra o desarrollo de software, f) altos costos de
inversin inicial...

lo que hace necesario la bsqueda de un mbito adecuado para evitar al mximo
las prdidas por las debilidades o amenazas que presenta la organizacin; y es
aqu donde la auditora en informtica cobra importancia, ya que con su
desarrollo se logra el aseguramiento continuo de que los recursos de informtica
operen en un ambiente de seguridad y control eficientes; para lograr proporcionar
a los altos directivos de las organizaciones informacin para la toma de decisiones
que cumpla con los conceptos bsicos de integridad, totalidad, exactitud,
confiabilidad, etc., ya que su mbito de accin se centra, en revisar y evaluar: los
procesos de planificacin, inversin en tecnologa, organizacin, los controles
generales y de aplicacin en proyectos de automatizacin de procesos crticos, el
soporte de las aplicaciones, aprovechamiento de las tecnologas, sus controles
especficos; los riesgos inherentes a la tecnologa, tales como, la seguridad de sus
recursos, redes, aplicaciones, comunicaciones, instalaciones y otras.
203

Los cambios en el campo de la tecnologa como en la metodologa para
realizar auditorias informticas, hacen necesario bibliografa y personal cada vez
ms actualizado, en el desarrollo de esta investigacin se podr consultar sobre
dos metodologas para la realizacin de las auditorias en informtica en donde
cada una tiene sus respectivas fortalezas y debilidades. Es necesario tomar en
cuenta que independientemente de la metodologa que se este llevando a cabo en
la realizacin de la auditora en informtica, se debe de obtener la autorizacin y el
apoyo de los altos directivos que es uno de los pasos que nos llevar a la
culminacin de la misma con xito.

Es importante conocer cual es el tipo de seguimiento que se le va a dar a
los problemas que se presentan en el rea de informtica para su solucin. El
seguimiento puede ser:


1. Seguimiento por excepcin.

Es el que va dirigido meramente a la correccin momentnea y no al
establecimiento de controles en funcin de las causas. Un esquema de esto, es
como se muestra a continuacin:


Errores en el tiempo


Como se puede apreciar, con un seguimiento por excepcin la cantidad de
errores es frecuente y su impacto es elevado. Prcticamente, al no analizar las
causas y no establecer los controles, la probabilidad de que un mismo tipo de error
se presente de nuevo es alta; y sumada la frecuencia el impacto se vuelve crtico.


2. Seguimiento por funcin.

Aqu el error se analiza, se corrige y se deja establecido un control, tender
necesariamente a su eliminacin, o cuando menos, a su aparicin en espacios de
tiempo ms aislados. La aparicin repetida en este caso puede obedecer a la
misma dinmica de los sistemas. Al cambiar stos, pueden hacer que un
procedimiento establecido ya no sea adecuado. El impacto tiende a minimizarse.
Grficamente puede visualizarse as:
204




Las debilidades dentro de una organizacin que pueden ser sntomas de la
necesidad de llevar a cabo una auditora en informtica pueden ser:


1. Descoordinacin y desorganizacin
2. Debilidades econmico-financiero
3. Inseguridad (lgica, fsica, confidencialidad)


Estas conllevan a la necesidad de planear periodicidad de realizacin de
auditorias (cada 6 meses o mnimo una al ao); y a buscar la forma ms adecuada
para realizarla, tomando en cuenta lo siguiente:


1. Estableciendo la funcin de auditora en informtica dentro de la
estructura organizacional de la empresa buscando que la ubicacin sea
la ms adecuada para que no existan nexos que puedan quitarle
credibilidad a la funcin.
2. Si la empresa no tiene los suficientes recursos econmicos o de
infraestructura para implementar la funcin de auditora en informtica
dentro de su estructura organizacional, puede recurrir a la realizacin
de auditora por personal externo a la empresa.
3. Sin tener definida la funcin de auditora en informtica dentro de la
empresa esta puede llevarse a cabo por personal de la empresa,
buscando para su xito el apoyo de los altos directivos de la empresa.


La primera y la tercera se llevan a cabo generalmente en las empresas
grandes, y la segunda an teniendo un grupo de auditores dentro de las
organizaciones, en ocasiones es conveniente utilizar los servicios de asesores
externos:


para contrastar los resultados de los auditores internos con los de los
externos,
205

para auditar una materia de gran especializacin, tener una visin
desde fuera de la empresa,
otros.


En conclusin, hoy en da la empresa pblica o privada que tiene
implantado sistemas de informacin, no est conciente de la importancia de
establecer revisiones de manera preventiva que permitan que existan prdidas
que pueden repercutir en un descontrol organizacional y minar su economa, por lo
que deben de considerar necesario el someterse a un control estricto de medicin
de eficiencia y eficacia con el objetivo de que stos sistemas de informacin
generen informacin confiable veraz y oportuna que realmente pueda ser til en la
toma de decisiones. Para esto es necesario establecer la calidad en el software
que el American Heritage Dictionary lo define como una caracterstica o atributo.
Como atributo de un artculo, la calidad se refiere a caractersticas mensurables,
que en el software pueden encontrar dos tipos de calidad: calidad del diseo, que
se refiere a las caractersticas que especifican los ingenieros de software para el
artculo y calidad de concordancia que es el grado de cumplimiento de las
especificaciones de diseo durante su realizacin y es centrado principalmente en
la implementacin. Se debe tener claro que en la actualidad para ser competitivos
es necesario hacer uso de la tecnologa e implantar sistemas de informacin en
las empresas; pero esto no es lo que asegura el xito, ya que si su funcin de
informtica es lenta, propensa a errores, inestable y vulnerable no lo va a lograr,
por lo que el cumplimiento de estndares de calidad como el ISO 9001 que es el
estndar de garanta de calidad que se aplica a la ingeniera de software,
contempla 20 requisitos que son: Responsabilidad de la gestin, sistema de
calidad, revisin de contrato, control de diseo, control de datos y documentos,
compras, control del producto suministrado por el cliente, identificacin y
posibilidad de seguimiento del producto, control del proceso, inspeccin y prueba,
control de inspeccin, medicin y equipo de pruebas, inspeccin y estado de
prueba, control de producto no aceptado, accin correctora y preventiva,
tratamiento, almacenamiento, empaquetamiento, preservacin y entrega, control
de registros de calidad, auditorias internas de calidad, formacin, servicios y
tcnicas estadsticas y implementacin e implantacin de la auditoria informtica
en las empresas deben formar parte de las actividades planeadas y programadas
de manera continua que logren que la funcin de informtica de la empresa sea lo
ms eficiente y eficaz posible.
206
BIBLIOGRAFA


[1] Hernndez Hernndez, Enrique; Auditora en informtica; Editorial CECSA,
2 edicin

[2] Echenique, Jos Antonio; Auditora en informtica; Editorial Mc Graw Hill,
primea edicin.

[3] http://www.monografas.com/trabajos3/concepaudit/concepaudit.shtml;

[4] http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml;

[5] http://www.monografas.com/trabajos/maudisist/maudisist.shtml;
Portales, Diego; Centro de formacin tcnica, Chile.

[6] http://www.lafacu.com/apuntes/informaticalaudit inforldefault.htm;
canaves@infovia.com.ar

[7] http://dmi.uib.es/-bbuades/auditorialsid003.htm; Gabrial Buades

207




















ANEXOS
















Anexo 1

PROGRAMA DE AUDITORIA EN INFORMTICA



ORGANISMO_____________________________ HOJA N___________DE______

FECHA DE FORMULACIN______________

PERIODO
ESTIMADO
FASE DESCRIPCIN ACTIVIDAD NM.
DEL PERSONAL
PARTICIPANTE INICIO TRMINO
DAS
HAB.
EST.
DAS
HOM.
EST.




































Anexo 2


AVANCE DEL CUMPLIMIENTO DEL PROGRAMA
DE AUDITORIA EN INFORMTICA



ORGANISMO______________________HOJA N___________DE_________

FECHA DE FORMULACIN____________


SITUACIN DE LA AUDITORIA PERIODO REAL DE LA
AUDITORIA
FASE
NO
INICIADA
EN
PROCESO
TERMINADA INICIADA TERMINADA
DIAS
REALES
UTILIZADOS
GRADO
DE
AVANCE
DIAS
HOM-
BRE
EST.
EXPLICACIN
DE LA
VARIACIONES
EN RELACIN
CON LO
PROGRAMADO

































Anexo 3



CONTROL DE PROYECTOS


NOMBRE DEL PROYECTO______________________________________________________________PROYECTO N_________
COORDINADOR________________________________________________________________________FECHA________________
(anotar en la primera lnea las fechas estimadas y en la segunda las reales)


N



ACTIVIDADES

RESPONSABLE

ENE

FEB

MAR

ABR


MAY

JUN

JUL

AGO

SEP

OCT

NOV

DIC













































Anexo 4
CALENDARIO DE ACTIVIDADES
ANLISIS Y PROGRAMACIN

RESPONSABLE

APLICACIN


FECHA
HOJA_________DE

% DE AVANCE
MES: NM
DE
ACT.
DESCRIPCIN 0 1
0
2
0
3
0
4
0
5
0
6
0
7
0
8
0
9
0
1
0
0
SEMANA 1 SEMANA 2 SEMANA 3 SEMANA 4 SEMANA 5
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R

E = ESTIMADO R= REAL




Anexo 5

FECHA_____________

CONTROL DE ACTIVIDADES DEL PROGRAMADOR

SISTEMA__________________________________________________________
PROGRAMA________________________IDENTIF.________________________
PROGRAMADOR___________________________________________________

PLANEADO REAL ACTIVIDAD
INICIO TERMIN.DIF. INICIO TERMIN. DIF.
DIF.
1. ANLISIS
2. DIAGRAMA LGICO
3. CREC. DE PRUEBAS
4. PRUEBA ESCRITORIO
5. CODIFICACIN
6. CAPTURA
7. COMPILACIN
8. GENER. PRUEBAS
9. DEPURACIN
10. PRUEBAS
11. VERIF. PRUEBAS
12. CORRECCIONES
13. DOCUMENTACIN


FINAL

ESPECIFICAR EL NMERO DE
COMPILACIONES REALIZADAS______________________________________

PRUEBAS REALIZADAS____________________________________________


OBSERVACIONES










Anexo 6

FECHA________________

REPORTE SEMANAL DE LOS RESPONSABLES DE SISTEMA

SISTEMAS METAS FIJADAS METAS ALCANZADAS COMENTARIOS











RECURSOS



SISTEMAS


MOV. EJECUTIVOS

HRS. PROGRAM.

HRS. ANLISIS

HRS. PRUEBA
















Anexo 7



CONTROL DE PROGRAMADORES

DIAGRAMA DE
FLUJO
CODIFICACIN CAPTURA PRUEBAS IMPLANTACIN OPERACIN PROGRAMA
A
REALIZAR
NOMBRE
DEL
RESPONSABLE FECHA
INIC.
FECHA
FINAL
FECHA
INIC.
FECHA
FINAL
FECHA
INIC.
FECHA
FINAL
FECHA
INIC.
FECHA
FINAL
FECHA
INIC.
FECHA
FINAL
FECHA
IMC.
FECHA
FINAL





























Anexo 8


CONTROL DE PROGRAMACIN

TIEMPO DE
PROGRAMACIN
GRADO
DIFICULTAD
DE
NOMBRE
DEL
PROGRAMA
COD.
DEL
PROG.
FECHA
DE
ENTR.
EST. REAL

P R C A 0 LECTURA DIAG.
FLUJO
REVIS.
ANALIZ.
PRUEBA
ESCRITA
CODIFI-
CACIN
CAPTURA COMPI-
LACIN
REVIS.
SUPER.
DATOS
PRUEB.
REVIS.
PRUEBA
DOCU-
MENTO





















Anexo 9


FECHA____________

PLANEACIN DE PROGRAMACIN

SISTEMA_____________________________________________________





PROGRAMADOR_______________________________________

FECHA DE ENTREGA

FASE___________________________________________

PROGRAMA_____________________________________

PRIOR. DURAC.
EN
DAS
ORIGI. 'ACTUAL REAL
NM DESCRIPCIN PRODUCTO A OBTENER




































Anexo 10

HOJA DE PLANEACIN DE ACTIVIDADES


SISTEMA:


FECHA


USUARIO:




FECHAS REALES NM. FECHA DE ENTREGA CLAVE
ACTIVIDAD
ACTIVIDADES
INIC. TERM. PROD. ORIG. ACTU. REAL
































HOJA DE




Anexo 11

INFORME DE AVANCE DE PROGRAMACIN

FECHA: HOJA DE
SISTEMA:

RESPONSABLE:



PROGRAMAS TERMINADOS A LA FECHA PROA. CON DESVIACIN O CANCELACIN
NM. FASE NM.
PROG.
FECHA
ENTREGA
NM. FASE NM.
PROG.
FECHA
NUEVA


















NUEVOS PROGRAMAS A INCLUIR EN EL PLAN
NM.
FASE
NM.
PROG.
DESCRIPCIN DURACIN DAS FECHA DE ENTREGA
DEL PROGRAMA





















Anexo 12

CONTROL DE AVANCE DE PROGRAMACIN

SISTEMA_______________________________________FECHA_____________

PROGRAMADOR___________________________________________________



FECHA REAL DAS AVANCE DURANTE EL MES EN DAS
INICIO TERMIN
NM.
DE
PROG

NUM
DE
COMP
NUM
DE
PRUE




















OBSERVACIONES














CDIGO DE ACTIVIDADES


A INTERPRETACIN
B DIAGRAMACIN LGICA
C CREACIN DE PRUEBAS
D PRUEBAS DE ESCRITORIO
E CODIFICACIN
F CAPTURA
G COMPILACIN
H CREACIN DE PARALELO
1 DEPURACIN
J PRUEBAS EN PARALELO
K VERIFIC. DE PRUEBAS
L CORRECCIONES
M DOCUMENTACIN


HOJA DE





Anexo 13

FECHA_______________

AVANCE DE PROGRAMA

SISTEMA__________________________________________________________

FECHA DE INICIO__/__/__ FECHA DE TERMINACIN___/___/___


PROGRAMA
NM NOMBRE A B C D E F G H I J K L M
GDO.
DIF.
FECHA
TERMIN.
PERSONA
ASIGNADA































SIGNIFICADO DE LAS CLAVES

A INTERPRETACIN H GENERACIN DE PRUEBAS
B DIAGRAMACIN LGICA I DEPURACIN
C CREACIN DE PRUEBAS J PRUEBAS
D PRUEBAS DE ESCRITORIO K VERIFICACIN DE PRUEBAS
E CODIFICACIN L CORRECCIONES
F CAPTURA M CORRECCIONES
G COMPILACIN




Anexo 14

HOJA DE PLANEACIN DE ACTIVIDADES Y CONTROL DE AVANCE


SISTEMA:

CLIENTE:


PROGRAMADOR___________________________________________________

PROGRAMA__________________________ FASE______________________

FECHA REALES NM FECHAS DE ENTREGA CLAVE
ACTIVIDAD
ACTIVIDADES
INICIA TERMINA PROD. ORIGI. ACTU. REAL



































FECHA HOJA DE