METODOLOGA

CRMR
Auditora Informtica
INTEGRANTES:
Yessica Quintana Hernndez
Lidia Carballo Guatzozon
Diana Laura Reyes
Jorge Leonardo Vzquez Yez

Definicin de la Metodologa
CRMR

CRMR son las siglas de Computer resource management

review, su traduccin ms adecuada, Evaluacin de la
gestin de recursos informticos..

No tiene el grado de profundidad de una auditora

informtica global, pero proporciona soluciones ms
rpidas a problemas concretos y notorios.

Aplicacin
El mtodo CRMR puede aplicarse cuando se producen algunas de las
situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los

usuarios.

Los resultados del Centro de Procesos de Datos no estn a disposicin de

los usuarios en el momento oportuno

Se genera con alguna frecuencia informacin errnea por fallos de datos

o proceso.

Existen sobrecargas frecuentes de capacidad de proceso.

Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Areas de Aplicacin
Las reas en que el mtodo CRMR puede ser aplicado se
corresponden con las sujetas a las condiciones de
aplicacin sealadas en punto anterior:
Gestin

de Datos
Control de Operaciones
Control y utilizacin de recursos
materiales y humanos
Interfaces y relaciones con usuarios
Planificacin
Organizacin y administracin

Objetivos

CRMR tiene como objetivo fundamental evaluar el grado de

bondad o ineficiencia de los procedimientos y mtodos de
gestin que se observan en un Centro de Proceso de Datos.

Las Recomendaciones que se emitan como resultado de la

aplicacin del CRMR, tendrn como finalidad algunas de las
que se relacionan:
Identificar y fijar responsabilidades
Mejorar la flexibilidad de realizacin de actividades
Aumentar la productividad
Disminuir costes
Mejorar los mtodos y procedimientos de Direccin

Alcance

Reducido. El resultado consiste en sealar las

reas de actuacin con potencialidad
inmediata de obtencin de beneficios.

Medio. En este caso, el CRMR ya establece

conclusiones y Recomendaciones, tal y como
se hace en la auditora informtica ordinaria.

Amplio. El CRMR incluye Planes de Accin,

aportando tcnicas de implementacin de las
Recomendaciones, a la par que desarrolla las
conclusiones.

Informacin necesaria para la

evaluacin

Los requisitos necesarios para que esta simbiosis de

auditora y consultora pueda llevarse a cabo con xito.

1.

El trabajo de campo del CRMR ha de realizarse

completamente integrado en la estructura del Centro
de Proceso de Datos del cliente, y con los recursos de
ste.

2.

Se deber cumplir un detallado programa de trabajo

por tareas.

3.

El auditor-consultor recabar determinada informacin

necesaria del cliente.

Informacin necesaria para la

realizacin

El cliente es el que facilita la informacin que el auditor

contrastar con su trabajo de campo.

Datos de mantenimiento preventivo de Hardware

Informes de anomalas de los sistemas
Procedimientos estndar de actualizacin.
Procedimientos de emergencia.
Monitoreo de los Sistemas.
Informes del rendimiento de los Sistemas.
Mantenimiento de las Libreras de Programas.
Gestin de Espacio en disco.
Documentacin de entrega de Aplicaciones a Explotacin.
Documentacin de alta de cadenas en Explotacin.
Utilizacin de CPU, canales y discos.
Datos de paginacin de los Sistemas.
Volumen total y libre de almacenamiento.
Ocupacin media de disco.
Manuales de Procedimientos de Explotacin.

Fase 1: Definicin de Alcance y Objetivos

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones
no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud posible los
objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del
cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos
generales y comunes de a toda auditora Informtica: La operatividad de los Sistemas y los
Controles Generales de Gestin Informtica.

Fase 2: Estudio Inicialdel entorno auditable

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la

informtica.
Para su realizacin el auditor debe conocer lo siguiente:
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama:
2) Departamentos:
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
4) Flujos de Informacin:
5) Nmero de Puestos de trabajo
6) Nmero de personas por Puesto de Trabajo

Fase 3: Entorno Operacional

El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:
a.

Situacin geogrfica de los Sistemas:

b.

Arquitectura y configuracin de Hardware y Software:

c.

Inventario de Hardware y Software:

d. Comunicacin y Redes de Comunicacin:

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informticos realizados
en la empresa auditada. Para ello debern conocer lo siguiente:
a. Volumen, antigedad y complejidad de las Aplicaciones
b. Metodologa del Diseo

c. Documentacin

d. Cantidad y complejidad de Bases de Datos y Ficheros.

Estos datos proporcionan una visin aceptable de las caractersticas de la carga informtica.

Fase 4: Determinacin de recursos de la Auditora Informtica

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la
auditora.
Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas de software propias del
equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y
cliente. Los recursos materiales del auditor son de dos tipos:
a.

Recursos materiales Software

Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las ejecuciones de los procesos del cliente para
verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad
de los datos ya existentes.
b.

Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.
Para lo cul habr de convenir el, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado depende de la materia auditable.
Es igualmente sealable que la auditora en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia
multidisciplinaria.

Fase 5: Actividades de la Auditora Informtica

Auditora por temas generales o por reas especficas:

La auditora Informtica general se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor
calidad y el empleo de ms tiempo total y mayores recursos.
Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el
resultado se obtiene ms rpidamente y con menor calidad.
Tcnicas de Trabajo:

Anlisis de la informacin recabada del auditado

Anlisis de la informacin propia

Cruzamiento de las informaciones anteriores

Entrevistas

Simulacin

Muestreos

Herramientas:

Cuestionario general inicial

Cuestionario Checklist

Estndares

Monitores

Simuladores (Generadores de datos)

Paquetes de auditora (Generadores de Programas)

Matrices de riesgo

Fase 6: Informe Final

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste
entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo
auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.

Definicin de objetivos y alcance de la auditora.

Enumeracin de temas considerados:

Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora.

Cuerpo expositivo:

Para cada tema, se seguir el siguiente orden a saber:

a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su
evolucin en el tiempo, se expondr la situacin prevista y la situacin real
b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras.
c) Puntos dbiles y amenazas
d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora
informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.

Modelo conceptual de la exposicin del informe final:

El informe debe incluir solamente hechos importantes.

La inclusin de hechos poco relevantes o accesorios desva la atencin del lector.

El Informe debe consolidar los hechos que se describen en el mismo.

El trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva

y de estar documentalmente probados y soportados. La consolidacin de los hechos debe
satisfacer, al menos los siguientes criterios:
1.

El hecho debe poder ser sometido a cambios.

2.
Las ventajas del cambio deben superar los inconvenientes derivados de mantener la
situacin.
3.

No deben existir alternativas viables que superen al cambio propuesto.

4.
La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y
estndares existentes en la instalacin.
La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de
una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1 Hecho encontrado
Ha de ser relevante para el auditor y pera el cliente
Ha de ser exacto, y adems convincente.
No deben existir hechos repetidos.
2 Consecuencias del hecho
Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.
3 Repercusin del hecho
Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la
empresa.
4 Conclusin del hecho
No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy extensa o compleja.
5 Recomendacin del auditor informtico
Deber entenderse por s sola, por simple lectura.
Deber estar suficientemente soportada en el propio texto.
Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin.
La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan
implementarla.

Fase 7: Carta de Introduccin o Presentacin del Informe Final

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina
exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la
citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios.

Incluir fecha, naturaleza, objetivos y alcance.

Cuantificar la importancia de las reas analizadas.

Proporcionar una conclusin general, concretando las reas de gran debilidad.

Presentar las debilidades en orden de importancia y gravedad.

En la carta de Introduccin no se escribirn nunca recomendaciones.

TCNICAS Y
HERRAMIENTAS EN
AUDITORIA INFORMATICA.

CUESTIONARIOS

Se inicia solicitando la cumplimentacin de

cuestionarios pre impreso, estos cuestionarios no
pueden ni deben ser repetidas para instalaciones
distintas, esta primera fase puede omitirse en caso
que el auditor haya conseguido informacin por
medio de otras fuentes.

ENTREVISTAS

Esto se realiza por medio de tres formas las cuales son:

1. Mediante la peticin de documentacin concreta sobre
alguna materia de su responsabilidad.
2. Mediante entrevistas en las que no se sigue un plan
predeterminado ni un mtodo estricto de sometimiento
a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un
mtodo preestablecido buscando finalidades concretas.
La entrevista es una de las actividades personales ms
importante del auditor; en ellas, ste recoge ms
informacin de forma precisa.

CHECKLIST

Es una herramienta til para resolver problemas y

organizar ideas.
Existen dos modelos de Checklist:

El de rango que es enfocado a preguntas que el

auditor debe puntuar dentro de un rango
preestablecido.

El Checklist binario es una elaboracin inicial ms

compleja. Deben ser de gran precisin. Una vez
construidos, tienen la ventaja de exigir menos
uniformidad del equipo auditor y el inconveniente
genrico del s o no.

Son funciones que rastrean los caminos que siguen

los datos a travs del programa. Se utilizan para
comprobar la ejecucin de las validaciones de
datos previstas. Las mencionadas trazas no deben
modificar en absoluto el Sistema.

TRAZAS Y/O HUELLAS

SOFTWARE DE INTERROGACIN

Se orientan principalmente hacia lenguajes que

permiten la interrogacin de ficheros y bases de
datos de la empresa auditada. Estos productos son
utilizados solamente por los auditores externos, por
cuanto los internos disponen del software nativo
propio de la instalacin.