• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Auditoriainformaticatesis 120531132448-phpapp02
 

Auditoriainformaticatesis 120531132448-phpapp02

on

  • 733 views

 

Statistics

Views

Total Views
733
Views on SlideShare
733
Embed Views
0

Actions

Likes
0
Downloads
20
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Auditoriainformaticatesis 120531132448-phpapp02 Auditoriainformaticatesis 120531132448-phpapp02 Document Transcript

    • UNIVERSIDAD DE COLIMAFACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICALA AUDITORIA EN LA INFORMÁTICA ENSAYO QUE PARA OBTENER EL GRADO DE: MAESTRA EN CIENCIAS COMPUTACIONALES PRESENTA: LORENA CARMINA MORENO JIMÉNEZ ASESOR: MC. ANDRÉS GERARDO FUENTES COVARRUBIAS COQUIMATLÁN, COLIMA, ABRIL DE 2003
    • UNIVERSIDAD DE COLIMA FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA EXPEDIENTE: 510 NUM. 92-5131MORENO JIMÉNEZ LORENA CARMINAAVE. NIÑOS HÉROES #427VILLA DE ÁLVAREZ, COLIMA Informo a usted que ha sido APROBADO por el H. CONSEJO TÉCNICO DE LA MAESTRÍA ENCOMPUTACIÓN, como tema de titulación para obtener el grado de MAESTRA EN CIENCIASCOMPUTACIONALES.El solicitado por usted bajo el título: "LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)"Desarrollado bajo los siguientes puntos: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C.ANDRÉS GERARDO FUENTES COVARRUBIAS. En cada uno de los ejemplares de titulación que presente para examen, deberá aparecer en primertermino copia del presente oficio.C.c.p. EXPEDIENTE ALUMNORFC7AGFC/laal*Km 9 Carretera Colima-Coquimatlán, Colima, Colima, México, Cp 28400Tel. 01 (3) 316 1165, Ext. 51451, Ext Fax 51454
    • H. CONSEJO TÉCNICO DE POSGRADO EN COMPUTACIÓN FACULTAD DEINGENIERÍA MECÁNICA Y ELÉCTRICAUNIVERSIDAD DE COLIMA Por medio del presente conducto informo que la C. MORENO JIMÉNEZLORENA CARMINA, terminó su período de revisión de tesis. El trabajo al cual sehace mención fue denominado: LA AUDITORIA EN LA INFORMÁTICA (ENSAYO) Cuyo contenido es el siguiente: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA El cual cumple con los requisitos necesarios para su aprobación, por lo cuallo autorizo para su impresión.C.c.p. Expediente
    • EXPEDIENTE: 510 FECHA: 05-04-2003 Acta No. :23MORENO JIMÉNEZ LORENA CARMINAAVE. NIÑOS HÉROES #427VILLA DE ÁLVAREZ, COLIMATEL: 01-312-3136872 En cumplimiento a lo dispuesto por los artículos 13 y 14 del reglamento de titulación vigente, alartículo 40, inciso A del reglamento de estudios de posgrado vigente y al artículo 46 de las normascomplementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingenieríaMecánica y Eléctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Técnico su tema detesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LAAUDITORIA EN LA INFORMÁTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS, 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Así mismo, hacemos de su conocimiento que de acuerdo con la línea de investigación en la cual seenmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDOFUENTES COVARRUBIAS. A partir de la fecha de aprobación tendrá como plazo un año para presentar su examen de grado, encaso contrario tendrá usted derecho a una prorroga única de seis meses so pena de perder el registro de suproyecto, lo anterior bajo la consideración del Consejo Técnico y la aprobación de su director de tesis. Una vez concluidos los tramites de revisión de su documento de tesis e integrado su expediente detitulación deberá recoger el oficio que acompañara el visto bueno de su director de tesis, los cualesencabezarán cada uno de los ejemplares de sus tesis.
    • DEDICATORIAAgradezco, a mi familia por el apoyo incondicional y el aliciente que meproporcionan para seguir adelante, en particular a mi esposo elDr. Nicandro Farias Mendoza, que formo parte importante en laculminación de mi trabajo. A la Universidad de Colima por brindarme la oportunidad deseguir preparándome. A mis maestros por trasmitir sus conocimientos. Al maestro Andrés Gerardo Fuentes Covarrubias porhaberme brindado la oportunidad de trabajar con él en eldesarrollo del trabajo.
    • CONTENIDOINTRODUCCIÓNCAPITULO 1 ANTECEDENTESCAPITULO 2 TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 2.1 Informática 9 2.2 Auditoria 12 2.3 Tareas principales de la auditoria 13 2.4 Auditoria en informática 13CAPITULO 3 AUDITORIA INFORMÁTICA 3.1 Importancia de la auditoria informática 15 3.2 Formas de llevar a cabo una auditoria informática 15 3.3 Síntomas de necesidad de una auditoría informática 16 3.4 Herramientas y técnicas para la auditoría informática 18 3.4.1 Cuestionarios 18 3.4.2 Entrevistas 18 3.4.3 Checklist 19 3.4.4 Trazas y/o huellas 22 3.4.5 Software de interrogación 23CAPITULO 4 TIPOS DE AUDITORIAS 4.1. Concepto de auditoría en informática 25 4.2. Auditoria interna y auditoría contable/financiera 27 4.2.1 Definición de control interno 27 4.2.2 Objetivos del control interno 27 4.2.3 Clases de controles internos 31 4.2.3.1 Atendiendo al momento que se actúa 31 4.2.3.2 Controles de supervisión 31 4.3. Auditoria administrativa 37 4.4. Concepto de auditoría con informática 38 4.5 Concepto de auditoría de programas 44 4.6 Concepto de auditoria de seguridad 45 4.6.1 Consideraciones inmediatas 45 4.6.2 Consideraciones para elaborar un sistema de seguridad integral 49 4.6.3 Etapas para implementar un sistema de seguridad 50 4.6.4 Etapas para implementar un sistema de seguridad en marcha 51 4.6.5 Beneficios de un sistema de seguridad 51
    • CAPITULO 5 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 5.1 Planeación de la auditoría en informática 52 5.1.1 Investigación preliminar 53 5.1.2 Personal participante 56CAPITULO 6 AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 6.1 Recopilación de la información organizacional 58 6.2 Evaluación de la estructura orgánica 59 6.3 Evaluación de los recursos humanos 73 6.4 Entrevistas con el personal de informática 79 6.5 Situación presupuestal y financiera 80CAPITULO 7 EVALUACIÓN DE SISTEMAS 7.1 Evaluación de sistemas 84 7.2 Evaluación del análisis 86 7.3 Evaluación del diseño lógico del sistema 88 7.4 Evaluación del desarrollo del sistema 93 7.5 Control de proyectos 94 7.6 Control de diseño de sistemas de información 96 7.7 Instructivos de operación 99 7.8 Forma de implantación 100 7.9 Equipo y facilidades de programación 100 7.10 Entrevistas a usuarios 100CAPITULO 8 EVALUACIÓN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO 8.1 Controles 104 8.1.1 Controles de los datos fuente y manejo de cifras de control 104 8.1.2 Control de operación 107 8.1.3 Controles de salida 112 8.1.4 Control de asignación de trabajo 112 8.1.5 Control de medios de almacenamiento masivos 114 8.1.6 Control de mantenimiento 117 8.2 Orden en el centro de cómputo 124 8.3 Evaluación de la configuración del sistema de cómputo 125 8.4 Productividad 126
    • CAPITULO 9 EVALUACIÓN DE LA SEGURIDAD 9.1 Seguridad lógica y confidencialidad 128 9.2 Seguridad en el personal 137 9.3 Seguridad física 137 9.4 Seguros 144 9.5 Seguridad en la utilización de equipo 146 9.6 Procedimiento de respaldo en caso de desastre 150 9.7 Condiciones, procedimientos y controles para otorgar soporte a otras instituciones 155CAPITULO 10 INFORME FINAL 10.1 Técnicas para la interpretación de la información 156 10.1.1 Análisis crítico de los hechos 156 10.1.2 Metodología para obtener el grado de madurez del sistema 157 10.1.3 Uso de diagramas 158 10.2 Evaluación de los sistemas 159 10.3 Evaluación de los sistemas de información 163 10.4 Controles 165 10.5 Confección y redacción del informe final 167CAPITULO 11 DIFERENTES ENFOQUES DE LA AUDITORIA 11.1 Introducción 170CAPITULO 12 CONCLUSIONES 202BIBLIOGRAFÍA 206ANEXOS 207
    • Introducción A finales del siglo XX, los Sistemas Informáticos se han constituido en lasherramientas más poderosas para materializar uno de los conceptos más vitales ynecesarios para cualquier organización empresarial, los Sistemas de Informaciónde la empresa. La Informática hoy, está subsumida en la gestión integral de la empresa, ypor eso las normas y estándares propiamente informáticos deben estar, por lotanto, sometidos a los generales de la misma. En consecuencia, lasorganizaciones informáticas forman parte de lo que se ha denominado el"management" o gestión de la empresa. Cabe aclarar que la Informática nogestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decidepor sí misma. Por ende, debido a su importancia en el funcionamiento de unaempresa, existe la Auditoria Informática. El término de Auditoría se ha empleado incorrectamente con frecuencia yaque se ha considerado, como una evaluación cuyo único fin es detectar errores yseñalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" comosinónimo de que, en dicha entidad, antes de, realizarse la auditoría, ya se habíandetectado fallas. El concepto de auditoría es mucho más que esto. La palabra auditoría proviene del latín auditorius, y de esta proviene lapalabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por otra parte, el diccionario Español Sopena lo define como: Revisor deCuentas colegiado. En un principio esta definición carece de la explicación delobjetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia. Si consultamos el Boletín de Normas de auditoría del Instituto mexicano decontadores nos dice: " La auditoría no es una actividad meramente mecánica queimplique la aplicación de ciertos procedimientos cuyos resultados, una vez llevadoa cabo son de carácter indudable." De todo esto sacamos como deducción que la auditoría es un examencrítico pero no mecánico, que no implica la preexistencia de fallas en la entidadauditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de unasección o de un organismo. El auditor informático ha de velar por la correcta utilización de los ampliosrecursos que la empresa pone en juego para disponer de un eficiente y eficazSistema de Información. Claro está, que para la realización de una auditoríainformática eficaz, se debe entender a la empresa en su más amplio sentido, yaque una Universidad, un Ministerio o un Hospital son tan empresas como una 1
    • Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionarsus "negocios" de forma rápida y eficiente con el fin de obtener beneficioseconómicos y reducción de costos. Por eso, al igual que los demás órganos de la empresa (Balances yCuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos estánsometidos al control correspondiente, o al menos debería estarlo. La importanciade llevar un control de esta herramienta se puede deducir de varios aspectos. Heaquí algunos: • Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad. • Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos. • Un Sistema Informático mal diseñado puede convertirse en una herramienta peligrosa para la empresa: como las máquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas. 2
    • __________________________________________________________________ 1Antecedentes La información es inherente a la existencia de las personas y de lassociedades. Permite conocer la realidad, interactuar con el medio físico, apoyar enla toma de decisiones, y evaluar las acciones de individuos y grupos elaprovechamiento de la información propicia la mejoría de los niveles de bienestary permite aumentar la productividad y competitividad de las naciones. El importante aporte de la información se ha visto acrecentado por laposibilidad que ha traído consigo la informática, surgida de la convergenciatecnológica de la computación, la microelectrónica y las telecomunicaciones, paraproducir información en grandes volúmenes, y para consultarla y transmitirla através de enormes distancias. De hecho, el mundo de fin de siglo XX esta inmerso en una nuevaRevolución tecnológica basada en la informática. Esta encuentra su principalimpulso en el acceso expedito y en la capacidad de procesamiento de informaciónsobre prácticamente todos los temas y sectores. La nueva Revolución tecnológicaha contribuido a que culturas y sociedades se transformen aceleradamente, tantoeconómica como social y políticamente, con el objetivo fundamental de alcanzar laplenitud de sus potencialidades. En el mundo, hoy la informática es de carácter estratégico sus aplicaciones,ya han afectado prácticamente todas las actividades humanas de la manerasiguiente: • permitiendo la comunicación instantánea de conocimiento a distancia. (por ejemplo permitir integrar grupos de personas que radiquen en distintos sitios, con afinidades o necesidades especifica, para resolver problemas que les son comunes, generando los que se denomina inteligencia colectiva, etc..) • ampliando las capacidades intelectuales del hombre. • estableciendo al conocimiento como factor productivo. • facilitando la generación de nuevas tecnologías y la automatización de procesos. • permitiendo la reducción de tiempos y costos de producción. 3
    • • impulsando la aparición de nuevos productos. • propiciando nuevos servicios y de mejor calidad. (en el sector publico, algunos, como los de salud, enseñanza y seguridad social prestándose en mayor escala y de manera mas eficaz. las computadoras y las telecomunicaciones pueden coadyuvar en el suministro de estos servicios a comunidades marginadas, etc... todo esto se traduce a beneficios tangibles para la población.) • generando nuevos empleos, principalmente en los servicios (mantenimiento, instalación y reparación de equipo, capacitación, etc...) • modificando la composición y estructuras de los sectores productivos. (se efientizan estructuras, se redefinen responsabilidades de los directivos y trabajadores, etc...) • da lugar a la noción del mundo como aldea global. (ya que los avances tecnológicos que se perfilan, hacen posible la transformación de los servicios para acercarlos a las necesidades particulares de las personas. (por ejemplo, la conexión a redes de computadoras nacionales e internacionales.) A estos efectos se están sumando transformaciones igualmenteimportantes, en el ámbito social, al cambiar la manera en que se llevan a caboinnumerables actividades cotidianas. Por la magnitud de sus efectos, esta Revolución tecnológica es comparablea dos importantes acontecimientos históricos de desarrollo tecnológico estratégico: Imprenta (siglo XV) • permitió una mayor comunicación de ideas a distancia en forma impresa. • impulso la generación del conocimiento. • propicio el surgimiento de la escritura y la lectura como habilidad social. • motivo la evolución cultural, social, política y económica. Revolución Industrial (siglo XVIII) • Incremento capacidades productivas y la disponibilidad de satisfactores. • Amplio opciones de empleo y de organización productiva. • Causo desplazamiento del campo a la ciudad. • Motivo desarrollo heterogéneo entre las naciones redefiniendo la arquitectura del mundo. En conclusión las sociedades que han incorporado la informática a su formade vida cuentan con una ventaja económica y social invaluable en el contexto dela globalización debido a ello, múltiples naciones están enfocando sus esfuerzos adiseñar políticas y estrategias en informática. 4
    • El mundo no puede sustraerse de este contexto: los futuros niveles debienestar y la viabilidad competitiva, dependen en gran medida de una estrategiainformática que permita aprovechar el potencial que representa esta tecnología,haciendo de ella un instrumento eficaz que sirva para resolver problemas y paraenfrentar con optimismo renovado los retos que el presente y el futuro presenten,por lo que es necesario en definitiva, para obtener un buen aprovechamiento evitarque por una falta de estándares y metodologías, y por una falta de formación ycultura generalizada, sobre todo en los aspectos de control y de seguridadinformática, a pesar de los grandes adelantos tecnológicos, se produzca en lasáreas de informática islotes de mecanización y de procesos manuales difíciles decontrolar y caros de mantener por una falta de asimilación de las nuevastecnologías, por una infrautilización de los equipos informáticos, por undescontento generalizado de los usuarios, por una obsolescencia de lasaplicaciones informáticas actuales, por una falta de planificación de los Sistemasde Información, por falta de seguridad física y lógica y por soluciones planteadasparcialmente que, todo esto puede ser resueltos mediante la auditoría enInformática que es válida para cualquier tamaño de empresa y que teniéndolacomo un ejercicio práctico y formal, brindará a sus ejecutantes, así como a losnegocios, un sentimiento de satisfacción justificado por el entendimiento ycompromiso que implica asegurar la utilización correcta de los recursos deinformática para lograr los objetivos de la organización. Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo quese relaciona con el hecho de que cualquier organización desea mantener susactivos en las mejores condiciones posibles y salvaguardar su integridad. La función de del auditor en informática no es fungir como capataz o policíadel negocio, como tantas veces se ha planteado en forma sarcástica ocostumbrista en las organizaciones. Este profesionista se orienta a funcionar comoun punto de control y confianza para la alta dirección, además de que se busca serun facilitador de soluciones. Por analogía el auditor se asemeja al médico que evalúa al paciente y lerecomienda el tratamiento idóneo para estar en óptimas condiciones de salud.Según la situación del enfermo, recomendará tratamientos ligeros o fuertes yestrictos. Lo importante es que el paciente sepa que puede mejorar su salud. Esa esla orientación del auditor en informática: conducir a la empresa a la búsquedapermanente de la "salud" de los recursos de informática y de aquellos elementosque se relacionan con ella. No hay que pensar que este proceso cambiará la cultura organizacional dela noche a la mañana, los métodos de trabajo, la mala calidad, ni laimproductividad en las áreas relacionadas con la informática; es un elementoestratégico directo que apoya la eliminación de cada una de las debilidadesmencionadas. Sin embargo ha de coexistir con el personal responsable yprofesional, así como con directores ya accionistas comprometidos con laproductividad, calidad y otros factores recomendados para ser empresas de clasemundial. Se espera que cada auditor sea un profesional, un experto, pero sobre todoque sea un ser sensible, humano, que entienda el contesto real del negocio. Su 5
    • principal objetivo es conferir la dimensión justa a cada problemática, convirtiéndolaen un área de oportunidad y orientándola hacia la solución del negocio. En los años cuarenta empezaron a presentarse resultados relevantes en elcampo de la computación, a raíz de los sistemas de apoyo para estrategiasmilitares; posteriormente se incrementó el uso de las computadoras y susaplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación,salud, industria, política, banca, aeronáutica, comercio, etc. En aquellos años la seguridad y control de ese medio se limitaba aproporcionar custodia física a los equipos y a permitir la utilización de los mismosal personal altamente calificado (no existía un gran número de usuarios, ya fuerantécnicos o administrativos). En el presente, la informática se ha extendido a todas las ramas de lasociedad, es decir, resulta factible controlar un vuelo espacial por medio de unacomputadora, así como seleccionar las compras del hogar en una computadorapersonal con acceso a internet, por ejemplo. Esta rapidez en el crecimiento de la informática permite deducir que losbeneficios se han incrementado con la misma velocidad, algunos con medicionestangible -como reducción de costos e incremento porcentual en ventas- y otroscon aspectos intangibles -como mejoría en la imagen o satisfacción del cliente-,pero ambos con la misma importancia para seguir impulsando la investigación yactualización constante de la tecnología. La idea de que se obtienen mayores beneficios que antes no se halla muylejos de la realidad; no obstante, también es válido afirmar que los costos han sidoaltos y en muchas ocasiones han rebasado los límites esperados, ocasionandograndes pérdidas y decepciones en los negocios. Las empresas y organismos interesados en que la informática continúecreciendo para beneficio de la humanidad (educación, productividad, calidad,ecología, etc.) desean que este incremento se controle y oriente de maneraprofesional: se debe obtener el resultado planeado y esperado en cada inversiónde esta rama. Asegurar que las inversiones y proyectos inherentes a la función deinformática sean justificados y brinden los resultados esperados es unaresponsabilidad de quien administre dicha función y, de igual manera, esresponsabilidad de la dirección no aprobar proyectos que no aseguren larentabilidad de la inversión. Con el paso de los años la informática y los elementos tecnológicos que larodean han creado necesidades en cada sector social y se han tornado en unrequerimiento permanente para alcanzar soluciones. El incremento persistente de las expectativas y necesidades relacionadascon la informática, al igual que la actualización continua de los elementos quecomponen la tecnología de este campo, obligan a las entidades que la aplican adisponer de controles, políticas y procedimientos que aseguren la alta dirección delos recursos humanos, materiales y financieros involucrados para que se protejanadecuadamente y se oriente a la rentabilidad y competitividad del negocio. Si se pregunta ¿por qué preocuparse de cuidar esa caja etiquetada con elnombre de informática, y la respuesta que brinde a cualquiera de las siguientespreguntas es negativa, le convendría reafirmar o considerar la necesidad de 6
    • asumir la responsabilidad del control y otorgamiento de seguridad permanente alos recursos de informática? • ¿Los usuarios y la alta dirección conocen la situación actual de la función de informática en la empresa (organización, políticas, servicios, etc.)? • ¿Se aprueba formal y oportunamente el costo / beneficio de cada proyecto relacionado en forma directa con la informática? • ¿La informática apoya las áreas críticas del negocio? • ¿El responsable de la informática conoce los requerimientos actuales y futuros del negocio que necesitan apoyo de los servicios y productos de su área ? • ¿Cada uno de los elementos del negocio conoce las políticas y procedimientos inherentes al control y seguridad de la tecnología informática? • ¿Existen dichas políticas y procedimientos de manera formal? • ¿Hay un plan de seguridad en la informática? • ¿Se ha calculado el alcance e impacto de la informática en la empresa? • ¿Hay un plan estratégico de informática alineado al negocio? • ¿Existen responsables que evalúen formal e imparcialmente la función de informática? • ¿Se cuenta con un control formal de cada proyecto relativo al área? • ¿Es importante para usted la informática? • ¿Evalúa periódica y formalmente dicha función de la informática? • ¿Auditan sólo sistemas de información y no otras áreas de la información? Cada una de las preguntas encierra una importancia específica para el buenfuncionamiento informático de cualquier negocio; están interrelacionadas y lanegación de alguna es una pequeña fuga de gas que, con el tiempo y un pequeñochispazo, puede ocasionar graves daños a los negocios, ya sean fraudes,proyectos cancelados con alto porcentaje de costos no recuperables, rechazo delos servicios de informática por los usuarios clave del negocio, improductividad ybaja calidad de los recursos de informática, planes de informática no orientados alas metas y estrategias del negocio, piratería de software, fuga de informaciónhacia la competencia o proveedores, entre otros daños. La improductividad, el mal servicio y la carencia de soluciones totales de lafunción informática fueron, son y pueden continuar siendo mal de muchasorganizaciones. El problema real radica en que los proyectos prioritarios hacengala del apoyo que obtienen de la informática; entonces, ¿por qué no cuidarla? Algunos de los problemas por las debilidades o fallas de la informática son: • Debilidades en la planeación del negocio al no involucrar la informática generan inconsistencias. • Resultados negativos (improductividad, duplicidad de funciones, etc.) en el desarrollo, operación y mantenimiento de sistemas de información. • Falta de actualización del personal de informática y técnico donde se encuentran instalados los sistemas y las soluciones del negocio. • Mínimo o nulo involucramiento de los usuarios en el desarrollo e implantación de soluciones de informática. • Capacitación deficiente en el usos de los sistemas de información, el 7
    • software (base de datos, procesadores de palabras, hojas de cálculo, graficadores, etc.) y el hardware (equipos de cómputo, impresoras y otros periféricos, etc.).• Administración de proyectos que no es formal ni completa (no se alinea a los objetivos del negocio)• Carencia de un proceso de análisis costo / beneficio formal previo al arranque de cada proyecto de informática.• Metodologías de planeación y desarrollo de sistemas informales no estandarizadas y en muchos casos inexistentes.• Uso y entendimiento mínimo o inexistente de técnicas formales para el desempeño de funciones en las áreas de informática: • Análisis y diseño de sistemas de información • Entrevistas a usuarios operativos y ejecutivos • Cuestionarios • Modelación de procesos • Modelación de datos • Costo / beneficio, etcétera. • Control de proyectos.• Trabajo en equipo de desempeño.• Involucramiento mínimo o informal de la alta dirección en los proyectos de informática.• Proyectos de auditoría o evaluación de informática esporádicos e informales y en muchos casos inexistente.• Otros. 8
    • __________________________________________________________________ 2Terminología de la auditoría eninformática 2.1 Informática La informática se desarrolla con base en normas, procedimientos y técnicasdefinidas por institutos establecidos a nivel nacional e internacional. La informática es el campo que se encarga del estudio y aplicación prácticade la tecnología, métodos, técnicas y herramientas relacionados con lascomputadoras y el manejo de información por medios electrónicos, el cualcomprende las áreas de la tecnología de información orientadas al buen uso yaprovechamiento de los recursos computacionales para asegurar que lainformación de las organizaciones fluya(entidades internas y externas de losnegocios) de manera oportuna y veraz; además es el proceso metodológico quese desarrolla de manera permanente en las organizaciones para el análisis,evaluación, selección, implantación y actualización de los recursos humanos(conocimientos, habilidades, normas, etc), tecnológicos (hardware, software, etc.)materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones)encaminados al manejo de la información, buscando que no se pierdan lospropósitos confiabilidad, oportunidad, integridad y veracidad entre otrospropósitos. Hardware se refiere a los componentes físicos y tangibles de lascomputadoras, generalmente clasificados en cuatro grandes ramas: • computadoras personales • Redes (locales, abiertas, etc.) • Minicomputadoras • Supercomputadoras (mainframes) Software implica la parte no física de las computadoras. Esto significa quees la porción intangible de los equipos de cómputo, es decir, programas con 9
    • orientaciones específicas para la administración de la informática y el uso eficientede los recursos de cómputo. Su clasificación se puede resumir en los siguientestérminos: Software de aplicaciones (sistemas de información) • Administrativos. • Financieros. • De manufactura. • Otros. Software de paquetes computacionales (paquetería) • Hojas electrónicas. • Procesadores de palabras. • Otros. Software de programación • Lenguajes de tercera generación • Lenguajes de cuarta generación Software de sistemas operativos • Para computadoras personales. • Para minicomputadoras. • Para supercomputadoras. Productos CASE (ComputerAided Software Enaineering) • Para planeación de sistemas de información. • Para análisis de sistemas de información. • Para diseño de sistemas de información. • Para todo ciclo de desarrollo e implantación de sistemas de información (CDISI). Para Propósitos específicos • Arquitectura. • Auditoría. • Ingeniería. • Medicina. • Otras ciencias. Sistemas de información: Son el conjunto de módulos computacionales omanuales organizados e interrelacionados de manera formal para laadministración y uso eficiente de los recursos (humanos, materiales, financieros,tecnológicos, etc.) de un área específica de la empresa (manufactura,administración, dirección, etc.), con la finalidad de representar los procesos realesdel negocio y orientar los procedimientos, políticas y funciones inherentes paralograr las metas y objetivos del negocio de forma eficiente. Los sistemas de información pueden orientarse al apoyo de los siguientesaspectos: - Niveles operativos del negocio - Niveles tácticos del negocio - Niveles estratégicos del negocio Sistemas de información estratégica (SIE): Son aquellos que de manerapermanente proporcionan a la alta dirección una serie de parámetros y accionesencaminadas a la toma de decisiones que apoyarán al negocio en el seguimiento 10
    • de la rentabilidad y competitividad respecto a la competencia. Metodología: Es un conjunto de etapas (fases o módulos) formalmenteestructurados, de manera que brinden a los interesados los siguientes parámetrosde acción en el desarrollo de sus proyectos: • Plan general y detallado. • Tareas y acciones. • Tiempos. • Aseguramiento de calidad. • Involucrados. • Etapas (fases o módulos). • Revisiones de avance. • Recursos requeridos. • Otros. Una buena metodología debe responder a los siguientes cuestionamientos:¿qué hacer?, ¿Dónde debo hacerlo?,¿cómo plantearlos?, ¿por qué aprobarlo?,¿cuándo revisarlo?, ¿cuándo empezarlo?, ¿quién debe hacerlo?, ¿por qué debohacerlo?, ¿cómo aprobarlo?, ¿quiénes deben comprometerse?, ¿por quérevisarlo?, ¿cuándo terminarlo?, ¿cómo justificarlo?, etcétera. Técnicas: Es el conjunto de procedimientos y pasos ordenados que se usancon el desarrollo de un proyecto con el propósito de finalizar las etapas, fases omódulos definidos en el proceso metodológico. Algunas de las técnicas generalmente aceptadas son: • Análisis estructurado • Diseño estructurado • Gráficas de Pert • Gráficas de Gantt • Documentación • Programación estructurada • Modulación de datos y procesos • Entrevistas • Otras Las técnicas son el conjunto de pasos ordenados lógicamente paraapoyarse en la terminación (cómo hacerlo) de las acciones o tareas estimadas enel proyecto emanado de la metodología. Herramientas: Es el conjunto de elementos físicos utilizados para llevar acabo las acciones y pasos definidos en la técnica. Antes del auge de lascomputadoras, así como de otros elementos tecnológicos relacionados con laingeniería, arquitectura, etc., dichas herramientas eran simples máquinas outensilios manuales que apoyaban el desarrollo de las tareas de cada uno de losproyectos. Herramientas de productividad: Ayudan a optimizar el tiempo de losrecursos en el desarrollo de un proyecto; así mismo, se encaminan a proporcionar 11
    • resultados de alta calidad para apoyar el logro de las actividades administrativasrelacionadas con procesos de información, por ejemplo; • Procesadores de palabras (documentación, entrevistas y cuestionarios entre otros) • Diagramadores (diagramas de flujo, diagramas organizacionales, etc) • Graficadores (estadísticas, estimación de actividades en tiempo, costos, etcétera) • Productos CASE (modelación de datos, modelación de procesos, validación de datos y procesos, generadores de diccionarios de datos, por citar algunos casos) • Impresoras (láser, por ejemplo) • Computadoras personales • Otros. Las herramientas de productividad no se asocian necesariamente coninversiones elevadas en la compra de hardware y software especializado; serelacionan con los recursos mecánicos o automatizados que apoyan al personalen la obtención de productos de calidad en niveles de productividad aceptados porlos líderes de proyectos, o definidos por los estándares de trabajo del negocio. 2.2 Auditoria Con frecuencia la palabra auditoria se ha empleado incorrectamente y seha considerado como una valuación cuyo único fin es detectar errores y señalarfallas; por eso se ha llegado a acuñar la frase "tiene auditoria" como sinónimo deque, desde antes de realizarse, ya se encontraron fallas y por lo tanto se estahaciendo la auditoria. El concepto de auditoria es más amplio: no sólo detectaerrores, sino que es un examen crítico que se realiza con objeto de evaluar laeficiencia y eficacia de una sección o de un organismo. La palabra auditoría viene del latín auditorius, y de ésta proviene auditor,que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentasauditor". El auditor tiene la virtud de oír y revisar cuentas, pero debe estarencaminado a un objetivo específico que es el de evaluar la eficiencia y eficaciacon que se está operando para que, por medio del señalamiento de recursosalternativos de acción, se tome decisiones que permitan corregir los errores, encaso de que existan, o bien mejorar la forma de actuación. Si consultamos nuevamente el diccionario encontramos que eficacia es:"virtud, actividad, fuerza, para poder obrar" mientras que eficiencia es: "virtud yfacultad para lograr un efecto determinado", por lo que eficiencia es el poder lograrlo planeado con los menores recursos posibles, mientras que eficacia es lograr losobjetivos. El Boletín "C" de Normas de Auditoria del Instituto Mexicano de Contadoresnos dice. "La auditoria no es una actividad meramente mecánica que implique laaplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo,son de carácter indudable. La auditoría requiere el ejercicio de un juicioprofesional, sólido y maduro, para juzgar los procedimientos que debe de seguir y 12
    • estimar los resultados obtenidos". Así como existen normas y procedimientos específicos para la realizaciónde auditorias contables, debe haber también normas y procedimientos para larealización de auditorias en informática como parte de una profesión . Puedenestar basadas en las experiencias de otras profesiones pero con algunascaracterísticas propias y siempre detección de errores, y además la auditoría debeevaluar para mejorar lo existente, corregir errores y proponer alternativas desolución. 2.3 Tareas principales de la auditoría • Estudiar y actualizar permanentemente las áreas susceptibles de revisión. • Apegarse a las tareas que desempeñen las normas, políticas, procedimientos y técnicas de auditoría establecidas por organismos generalmente aceptados a nivel nacional e internacional. • Evaluación y verificación de las áreas requeridas por la alta dirección o responsables directos del negocio. • Elaboración del informe de auditoría (debilidades y recomendaciones). • Otras recomendadas para el desempeño eficiente de la auditoría. 2.4 Auditoría en informática La auditoría en informática se desarrolla en función de normas,procedimientos y técnicas definidas por institutos establecidos a nivel nacional einternacional; por ello, nada más se señalarán algunos aspectos básicos para suentendimiento. Así, la auditoría en informática es: a) Un proceso formal ejecutado por especialistas del área de auditoría y de informática; se orienta a la verificación y aseguramiento para que las políticas y procedimientos en la organización se realicen de una manera oportuna y eficiente. b) Las actividades ejecutadas por profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).Dicha evaluación deberá ser la pauta para la entrega del informe de auditoría en informática, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio. c) El conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o 13
    • niveles ejecutivos la certeza de que la información que circula por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etcétera.d) Proceso metodológico que tiene el propósito principal de evaluar los recursos (humanos, materiales, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que a su vez apoyen la productividad y rentabilidad de la organización. 14
    • __________________________________________________________________ 3Auditoría informática 3.1 La importancia de la auditoría en informática La tecnología de informática, traducida en hardware, software, sistemas deinformación, investigación tecnológica, redes locales, base de datos, ingeniería desoftware, telecomunicaciones, servicios y organización de informática, es unaherramienta estratégica que brinda rentabilidad y ventajas competitivas a losnegocios frente a sus similares en el mercado, pero puede originar costos ydesventajas si no es bien administrada por el personal encargado. Para darse cuenta si se está administrando de manera correcta la funciónde la informática es necesario que se evalúe dicha función mediante evaluacionesoportunas y completas por personal calificado consultores externos, auditores eninformática o evaluaciones periódicas realizadas por el mismo personal deinformática, entre otras estrategias. 3.2 Formas de llevar a cabo una auditoria en informática La auditoría interna es la realizada con recursos materiales y personas quepertenecen a la empresa auditada. Los empleados que realizan esta tarea sonremunerados económicamente. La auditoría interna existe por expresa decisión dela empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas afines a laempresa auditada; es siempre remunerada. Se presupone una mayor objetividadque en la auditoría Interna, debido al mayor distanciamiento entre auditores yauditados. La auditoría en informática interna cuenta con algunas ventajas adicionalesmuy importantes respecto de la auditoría externa, las cuales no son tanperceptibles como en las auditorias convencionales. La auditoría interna tiene laventaja de que puede actuar periódicamente realizando revisiones globales, comoparte de su Plan Anual y de su actividad normal. Los auditados conocen estosplanes y se habitúan a las auditorias, especialmente cuando las consecuencias de 15
    • las recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan einforman sobre las posibilidades técnicas y los costos de tal sistema. Con voz,pero a menudo sin voto, el área de informática trata de satisfacer lo másadecuadamente, posible aquellas necesidades. La empresa necesita controlar suInformática y ésta; necesita que su propia gestión esté sometida a los mismosprocedimientos y estándares que el resto de aquella. La conjunción de ambasnecesidades cristaliza en la figura del auditor interno en informática. En cuanto a empresas se refiere, solamente las más grandes puedenposeer una auditoría propia y permanente, mientras que el resto acuden a lasauditorias externas. Puede ser que algún profesional informático sea trasladadodesde su puesto de trabajo a la auditoría Interna de la empresa cuando éstaexiste. Finalmente, la propia Informática requiere de su propio grupo de controlinterno, con implantación física en su estructura, puesto que si se ubicase dentrode la estructura Informática ya no sería independiente. Hoy, ya existen variasorganizaciones Informáticas dentro de la misma empresa, y con diverso grado deautonomía, que son coordinadas por órganos corporativos de Sistemas deInformación de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe enocasiones contratar servicios de auditoría externa. Las razones para hacerlosuelen ser: • Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. • Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. • Servir como mecanismo protector de posibles auditorias en informática externas decretadas por la misma empresa. • Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorias externas como para tener una visión desde afuera de la empresa. La auditoría en informática, tanto externa como interna, debe ser unaactividad exenta de cualquier contenido o matiz "político" ajeno a la propiaestrategia y política general de la empresa. La función de auditoria puede actuarde oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, porencargo de la dirección o cliente. 3.3 Síntomas de necesidad de una Auditoria Informática: Las empresas acuden a las auditorias en informática cuando existensíntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse enclases: Síntomas de descoordinación y desorganización: • No coinciden los objetivos de la Informática de la empresa y de la propia 16
    • empresa. • Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante] Síntomas de mala imagen e insatisfacción de los usuarios: • No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. • No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. • No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financiero: • Incremento desmesurado de costos. • Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). • Desviaciones Presupuestarias significativas. • Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). Síntomas de Inseguridad: Evaluación de nivel de riesgos • Seguridad Lógica • Seguridad Física • Confidencial ¡dad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales] • Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales. • Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, seria prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.* Planes de Contingencia:Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigooperando en otro lugar? Lo que generalmente se pide es que se haganBackups de la información diariamente y que aparte, sea doble, para tener unBackup en la empresa y otro afuera de ésta. Una empresa puede tener unasoficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintosde los de la empresa principal, es decir, si a la empresa principal le proveía 17
    • teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando. 3.4 Herramientas y Técnicas para la Auditoria Informática: 3.4.1 Cuestionarios: Las auditorias en informática se materializan recabando información ydocumentación de todo tipo. Los informes finales de los auditores dependen desus capacidades para analizar las situaciones de debilidad o fortaleza de losdiferentes entornos. El trabajo de campo del auditor consiste en lograr toda lainformación necesaria para la emisión de un juicio global objetivo, siempreamparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la complementaciónde cuestionarios preimpresos que se envían a las personas concretas que elauditor cree adecuadas, sin que sea obligatorio que dichas personas sean lasresponsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalacionesdistintas, sino diferentes y muy específicos para cada situación, y muy cuidados ensu fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modoque tal análisis determine a su vez la información que deberá elaborar el propioauditor. El cruzamiento de ambos tipos de información es una de las basesfundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditoreshayan adquirido por otro medios la información que aquellos preimpresos hubieranproporcionado. 3.4.2 Entrevistas: El auditor comienza a continuación las relaciones personales con elauditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad, 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del 18
    • auditor; en ellas, éste recoge más información, y mejor matizada, que laproporcionada por medios propios puramente técnicos o por las respuestasescritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditory auditado se basa fundamentalmente en el concepto de interrogatorio; es lo quehace un auditor, interroga y se interroga a sí mismo. El auditor informático expertoentrevista al auditado siguiendo un cuidadoso sistema previamente establecido,consistente en que bajo la forma de una conversación correcta y lo menos tensaposible, el auditado conteste sencillamente y con pulcritud a una serie depreguntas variadas, también sencillas. Sin embargo, esta sencillez es soloaparente. Tras ella debe existir una preparación muy elaborada y sistematizada, yque es diferente para cada caso particular. 3.4.3 Checklist: El auditor profesional y experto es aquél que reelabora muchas veces suscuestionarios en función de los escenarios auditados. Tiene claro lo que necesitasaber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis,cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter alauditado a unas preguntas estereotipadas que no conducen a nada. Muy por elcontrario, el auditor conversará y hará preguntas "normales", que en realidadservirán para la complementación sistemática de sus Cuestionarios, de susChecklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideranque leerle una pila de preguntas recitadas de memoria o leídas en voz altadescalifica al auditor informático. Pero esto no es usar Checklists, es una evidentefalta de profesionalismo. El profesionalismo pasa por un procesamiento interno deinformación a fin de obtener respuestas coherentes que permitan una correctadescripción de puntos débiles y fuertes. El profesionalismo pasa por poseerpreguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvoexcepciones, las Checklists deben ser contestadas oralmente, ya que superan enriqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditadoresponderá desde posiciones muy distintas y con disposición muy variable. Elauditado, habitualmente informático de profesión, percibe con cierta facilidad elperfil técnico y los conocimientos del auditor, precisamente a través de laspreguntas que éste le formula. Esta percepción configura el principio de autoridady prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muysistematizadas, coherentes y clasificadas por materias, todavía lo es más el modoy el orden de su formulación. Las empresas externas de Auditoría Informáticaguardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada yoportunamente. No debe olvidarse que la función auditora se ejerce sobre basesde autoridad, prestigio y ética. El auditor deberá aplicar el Checklist de modo que el audítado responda 19
    • clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamenteen los casos en que las respuestas se aparten sustancialmente de la pregunta. Enalgunas ocasiones, se hará necesario invitar a aquél a que exponga con mayoramplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente lapresión sobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector,deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formularápreguntas equivalentes a las mismas o a distintas personas, en las mismasfechas, o en fechas diferentes. De este modo, se podrán descubrir con mayorfacilidad los puntos contradictorios; el auditor deberá analizar los matices de lasrespuestas y reelaborar preguntas complementarias cuando hayan existidocontradicciones, hasta conseguir la homogeneidad. El entrevistado no debepercibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomarálas notas imprescindibles en presencia del auditado, y nunca escribirá cruces nimarcará cuestionarios en su presencia. Los cuestionarios o Checklists responden fundamentalmente a dos tipos defilosofía" de calificación o evaluación: a. Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo) Ejemplo de Checklist de rango: Se supone que se está realizando una auditoria sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados: 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable. 4 : Aceptable. 5 : Correcto. Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeño guión. La complementación del Checklist no debe realizarse en presencia del auditado. -¿Existe personal específico de vigilancia externa al edificio? -No, solamente un guarda por la noche que atiende además otra instalación 20
    • adyacente. <Puntuación: 1 > -Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno en los aledaños del Centro de Cálculo? -Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuación: 2> -¿Hay salida de emergencia además de la habilitada para la entrada y salida de máquinas? -Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan. <Puntuación: 2> -El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras? -No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente salvo causa muy justificada, y avisando casi siempre al Jefe de Explotación. <Puntuación: 4> El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) 14 = 2,25 Deficiente.b. Checklist Binaria Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1 (uno) o 0(cero), respectivamente. Ejemplo de Checklist Binaria: Se supone que se está realizando una Revisión de los métodos de pruebas de programas en el ámbito de Desarrollo de Proyectos. -¿Existe Normativa de que el usuario final compruebe los resultados finales de los programas? <Puntuación: 1> -¿Conoce el personal de Desarrollo la existencia de la anterior normativa? <Puntuación: 1> -¿Se aplica dicha norma en todos los casos? <Puntuación: 0> -¿Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales? <Puntuación: 0> 21
    • Obsérvese como en este caso están contestadas las siguientes preguntas: -¿Se conoce la norma anterior? <Puntuación: 0> -¿Se aplica en todos los casos? <Puntuación: 0> Los Checklists de rango son adecuados si el equipo auditor no es muygrande y mantiene criterios uniformes y equivalentes en las valoraciones. Permitenuna mayor precisión en la evaluación que en los checklist binarios. Sin embargo,la bondad del método depende excesivamente de la formación y competencia delequipo auditor. Los Checklists Binarios siguen una elaboración inicial mucho más ardua ycompleja. Deben ser de gran precisión, como corresponde a la suma precisión dela respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidaddel equipo auditor y el inconveniente genérico del <si o no> frente a la mayorriqueza del intervalo. No existen Checklists estándar para todas y cada una de las instalacionesinformáticas a auditar. Cada una de ellas posee peculiaridades que hacennecesarios los retoques de adaptación correspondientes en las preguntas arealizar. 3.4.4 Trazas y/o Huellas: Con frecuencia, el auditor informático debe verificar que los programas,tanto de los sistemas como de usuario, realizan exactamente las funcionesprevistas, y no otras. Para ello se apoya en productos Software muy potentes ymodulares que, entre otras funciones, rastrean los caminos que siguen los datos através del programa. Muy especialmente, estas «Trazas" se utilizan para comprobar la ejecuciónde las validaciones de datos previstas. Las mencionadas trazas no debenmodificar en absoluto el Sistema. Si la herramienta auditora produce incrementosapreciables de carga, se convendrá de antemano las fechas y horas másadecuadas para su empleo. Por lo que se refiere al análisis del Sistema, los auditores informáticosemplean productos que comprueban los valores asignados por Técnica deSistemas a cada uno de los parámetros variables de las Librerías más importantesdel mismo. Estos parámetros variables deben estar dentro de un intervalomarcado por el fabricante. A modo de ejemplo, algunas instalacionesdescompensan el número de iniciadores de trabajos de determinados entornos otoman criterios especialmente restrictivos o permisivos en la asignación deunidades de servicio según cuales tipos carga. Estas actuaciones, en principioútiles, pueden resultar contraproducentes si se traspasan los límites. No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en ladescripción de la auditoría informática de Sistemas: el auditor informático empleapreferentemente la amplia información que proporciona el propio Sistema: Así, losficheros de <Accounting> o de <contabilidad>, en donde se encuentra laproducción completa de aquél, y los <Log*> de dicho Sistema, en donde se 22
    • recogen las modificaciones de datos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automáticamente exacta informaciónsobre el tratamiento de errores de maquina central, periféricos, etc. [La auditoría financiero-contable convencional emplea trazas con muchafrecuencia. Son programas encaminados a verificar lo correcto de los cálculos denóminas, primas, etc.].*Log: El log vendría a ser un historial que informa que fue cambiando y cómo fuecambiando (información). Las bases de datos, por ejemplo, utilizan el log paraasegurar lo que se llaman las transacciones. Las transacciones son unidadesatómicas de cambios dentro de una base de datos; toda esa serie de cambios seencuadra dentro de una transacción, y todo lo que va haciendo la Aplicación(grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. Latransacción tiene un principio y un fin, cuando la transacción llega a su fin, sevuelca todo a la base de datos. Si en el medio de la transacción se cortó por xrazón, lo que se hace es volver para atrás. El log te permite analizarcronológicamente que es lo que sucedió con la información que está en el Sistemao que existe dentro de la base de datos. 3.4.5 Software de Interrogación: Hasta hace ya algunos años se han utilizado productos software llamadosgenéricamente <paquetes de auditoría>, capaces de generar programas paraauditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreosestadísticos que permitieran la obtención de consecuencias e hipótesis de lasituación real de una instalación. En la actualidad, los productos de software especiales para la auditoríainformática se orientan principalmente hacia lenguajes que permiten lainterrogación de ficheros y bases de datos de la empresa auditada. Estosproductos son utilizados solamente por los auditores externos, por cuanto losinternos disponen del software nativo propio de la instalación. Del mismo modo, la proliferación de las redes locales y de la filosofía"Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces detransporte de datos entre computadoras personales y mainframe, de modo que elauditor informático copia en su propia PC la información más relevante para sutrabajo. Cabe recordar, que en la actualidad casi todos los usuarios finales poseendatos e información parcial generada por la organización informática de laCompañía. Efectivamente, conectados como terminales al "Host", almacenan los datosproporcionados por este, que son tratados posteriormente en modo PC. El auditorse ve obligado (naturalmente, dependiendo del alcance de la auditoría) a recabarinformación de los mencionados usuarios finales, lo cual puede realizar con suma 23
    • facilidad con los polivalentes productos descritos. Con todo, las opiniones másautorizadas indican que el trabajo de campo del auditor informático deberealizarse principalmente con los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccionepersonalmente determinadas partes del Informe. Para ello, resulta casiimprescindible una cierta soltura en el manejo de Procesadores de Texto,paquetes de Gráficos, Hojas de Cálculo, etc. 24
    • __________________________________________________________________ 4Tipos de auditorias 4.1. Concepto de auditoria en informática Después de analizar los conceptos de auditoría y de informática, losdiferentes tipos de auditoría, así como su interrelación con informática, noshacemos las preguntas: ¿Qué es auditoría en informática? ¿Y cual es su campode acción? Auditoría en informática es la revisión y evaluación de los controles,sistemas, procedimientos de informática, de los equipos de computo, suutilización, eficiencia y seguridad, de la organización que participan en elprocesamiento de la información, a fin de que por medio del señalamiento decursos alternativos se logre una utilización más eficiente y segura de lainformación que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de losequipos de computo o de un sistema o procedimiento específico, sino que ademáshabrá de evaluar los sistemas de información en general desde sus entradas,procedimientos, controles, archivos, seguridad y obtención de información. Ellodebe incluir los equipos de computo como la herramienta que permite obtener lainformación adecuada y la organización específica (departamento de computo,departamento de informática, gerencia de procesos electrónicos, etc) que haráposible el uso de los equipos de computo. Su campo de acción será: A. La evaluación administrativa del departamento de proceso electrónicos. B. La evaluación de los sistemas y procedimientos, y de la eficacia que se tiene en el uso de la informática. C. La evaluación del proceso de datos y de los equipos de computo. Para lograr los puntos antes señalados necesitas: 25
    • A. Evaluación administrativa del departamento de informática. Esto comprende la evaluación de: - Los objetivos de departamento, dirección o gerencia. - Metas, planes, políticas y procedimientos de procesos electrónicos estándar. - Organización del área y su estructura orgánica. - Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos. - Integración de los recursos materiales y técnicos. - Dirección costos y controles presupuéstales. - Controles administrativos del área de procesos electrónicos. B. Evaluación de los sistemas v procedimientos, y de la eficiencia que se tienen en el uso de la información que comprende: - Evaluación del análisis de los sistemas y sus diferentes etapas - Evaluación del diseño lógico del sistema - Evaluación del desarrollo físico del sistema. - Control de proyectos. - Control de sistemas y programación - Instructivos y documentación - Formas de implantación - Seguridad física y lógica de los sistemas - Confidencialidad de los sistemas - Controles de mantenimiento y forma de respaldo de los sistemas. - Utilización de los sistemas. C. Evaluación del proceso de datos y de los equipos de computo que comprende: - Controles de los datos fuente y manejo de cifras de control - Control de operación - Control de salida - Control de asignación de trabajo. - Control de medios de almacenamiento masivos. - Control de otros elementos de computo - Orden en el centro de computo - Seguridad física y lógica - Confidencialidad - Respaldos. La interrelación que debe existir entre la auditoría en informática y losdiferentes tipos de auditoría en la siguiente: El núcleo o centro de la informática son los programas, los cuales puedenser auditados por medio de la auditoría de programas. Estos programas se usan 26
    • en la computadoras de acuerdo con la organización del centro de computo(personal). La auditoría en informática debe evaluar el todo (informática, organizacióndel centro de computo, computadoras y programas) con auxilio de los principios deauditoría administrativa, auditoría interna, auditoría contable/financiera y, a su vez,puede proporcionar información a esos tipos de auditoría, y las computadorasdeben ser una herramienta para la realización de cualquiera de las auditorias. Como se ve, la evaluación a desarrollar para la realización de la auditoríaen informática deben hacerla personas con alto grado de conocimiento eninformática y con mucha experiencia en el área. 4.2 Auditoria interna y auditoria contable/financiera El boletín E-02 del Instituto Mexicano de Contadores, señala con respectoal control interno: "El estudio y evaluación del control interno se efectúa con el objeto decumplir con la norma de ejecución del trabajo que requiere que: el auditor debeefectuar un estudio y evaluación adecuados del control interno existente, que lessirvan de base para determinar el grado de confianza que va a depositar en el, asímismo, que el permita determinar la naturaleza, extensión y oportunidad que va adar a los procedimientos de auditoria". 4.2.1 Definición de control interno. "El control interno comprende el plan de organización y todos los métodos yprocedimientos que en forma coordinada se adoptan en un negocio parasalvaguardar sus activos, verificar la razonabilidad y confiabilidad de suinformación financiera, promover la eficiencia operacional y provocar la adherenciaa las políticas prescriptas por la administración". 4.2.2 Objetivos del control interno. a) Los básicos son: (1) La protección de los activos de la empresa. (2) La obtención de información financiera veraz, confiable y oportuna. (3) La promoción de la eficiencia en la operación del negocio. (4) Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los administradores de la empresa. Se ha definido que los dos primeros objetivos abarcan el aspecto decontroles internos contables y los dos últimos se refieren a controles internosadministrativos. 27
    • b) Generales El control contable comprende el plan de organización y los procedimientosy registros que se refieren a la protección de los activos y a la confiabilidad de losactivos y la confiabilidad de los registros financieros. Por lo tanto, el control internocontable está diseñado en función de los objetivos de la organización para ofrecerseguridad razonable de que: las operaciones se realizan de acuerdo con lasnormas y políticas señalados por la administración. Cuando hablamos de los objetivos de los controles contables internospodremos identificar dos niveles. a) Objetivos generales de control interno aplicables a todos los sistemas y b) Objetivos de control interno aplicables a ciclos de transacciones Los objetivos generales de control aplicables a todos los sistemas sedesarrollan a partir de los objetivos básicos de control interno enumeradosanteriormente, siendo más específicos para facilitar su aplicación. Los objetivos decontrol de ciclos se desarrollan a partir de los objetivos generales de control desistema, para que se aplique a las diferentes clases de transacciones agrupadasen un ciclo. Los objetivos generales de control interno de sistema pueden resumirse acontinuación: 1. Objetivos de autorización. Todas las operaciones deben realizarse de acuerdo con autorizacionesgenerales o especificaciones de la administración. Las autorizaciones deben estar de acuerdo con criterios establecidos por elnivel apropiado de la administración. Las transacciones deben ser válidas para conocerse y ser sometidasoportunamente a su aceptación. Todas aquellas que reúnan los requisitosestablecidos por la administración deben reconocerse como tales y procesarse atiempo. Los resultados del procedimiento de transacciones deben comunicarseoportunamente y estar respaldados por archivos adecuados. 2. Objetivos del procesamiento y clasificación de transacciones Todas las operaciones deben registrarse para permitir la preparación deestados financieros en conformidad con los principios de contabilidadgeneralmente aceptados o con cualquier otro criterio aplicable a los estados y paramantener en archivos apropiados los datos relativos a los activos sujetos acustodia. Las transacciones deben clasificarse en forma tal que permitan lapreparación de estados financieros en conformidad con los principios decontabilidad generalmente aceptados y el criterio de la administración. Las transacciones deben quedar registradas en el mismo periodo contable,cuidando especialmente que se registren aquellas que afectan más de un ciclo. 28
    • 3. Objetivo de salvaguarda física. El acceso a los activos sólo debe permitirse de acuerdo con autorizacionesde la administración. 4. Objetivo de verificación y evaluación. Los datos registrados relativos a los activos sujetos a custodia debencompararse con los activos existentes a intervalos razonables y tomar las medidasapropiadas respecto a las diferencias que existan. Así mismo, deben existir controles relativos a la verificación y evaluaciónperiódica de los saldos que se incluyen en los estados financieros, ya que esteobjetivo complementa en forma importante los mencionados anteriormente. Estos objetivos generales del control interno de sistemas son aplicables atodos los ciclos. No se trata de que se usen directamente para evaluar las técnicasde control interno de una organización, pero representan un base para desarrollarobjetivos específicos de control interno por ciclos de transacciones que seanaplicables a una empresa individual. El área de informática puede interactuar de dos maneras en el controlinterno. La primera es servir de herramienta para llevar a cabo un adecuadocontrol interno y la segunda es tener un control interno del área y deldepartamento de informática. En el primer caso se lleva el control interno por medio de la evaluación deuna organización, utilizando la computadora como herramienta que auxiliará en ellogro de los objetivos del control interno, lo cual se puede hacer por medio depaquetes de auditoria. Y esto debe ser considerado como parte del control internocon informática. En el segundo caso se lleva a cabo el control interno de informática. Esdecir, como se señala en los objetivos del control interno, se deben protegeradecuadamente los activos de la organización por medio del control para que seobtengan la información en forma veraz, oportuna y confiable, se mejore laeficiencia de la operación de la organización mediante la informática y en laejecución de las operaciones de informática se cumplan las políticas establecidaspor la administración de todo ello debe ser considerado como control interno deinformática. Al estudiar los objetivos del control interno podemos ver en primer lugarque, aunque en auditoria en informática el objetivo es más amplio, se deben teneren cuenta los objetivos generales del control interno aplicables a todo ciclo detransacciones. La auditoria en informática debe tener presentes los objetivos deautorización, procesamiento y clasificación de transacciones, así como los desalvaguarda física, verificación y evaluación de los equipos y de la información. Ladiferencia entre los objetivos de control interno desde un punto de vista contablefinanciero es que, mientras éstos están enfocados a la evaluación de unaorganización mediante la revisión contable financiera y de otras operaciones, losobjetivos del control interno a informática están orientados a todos los sistemas engeneral, al equipo de computo y al departamento de informática, para lo cual se 29
    • requieren conocimientos de contabilidad, finanzas, recursos humanos,administración, etc. Y un conocimiento profundo y experiencia en informática. La auditoria interna debe estar presente en todas y cada una de las partesde la organización. Ahora bien, la pregunta que normalmente se plantea es, ¿cuáldebe ser su participación dentro del área de informática? Como ya vimos, la informática es en primer lugar una herramienta muyvaliosa para tener un adecuado control y un auxiliar de la auditoria interna. Pero,según este concepto, la auditoria interna puede considerarse como un usuario delárea de informática. Se ha estudiado que los objetivos generales del control interno son: • Autorización • Procesamiento y clasificación de las transacciones • Salvaguarda física • Verificación y evaluación Con base en los objetivos y responsabilidades del control interno podemoshacer otras dos preguntas: ¿De qué manera puede participar el personal de control interno en el diseñode los sistemas? y ¿qué conocimientos debe tener el personal de control internopara poder cumplir adecuadamente sus funciones dentro del área de informática? Las respuestas a estas preguntas dependerán del nivel que tenga el controlinterno dentro de la organización, pero en el diseño general y detallado de lossistemas se debe incluir a personal de la contraloría interna, que habrá de tenerconocimientos de informática, pero no se requerirá que sea especialistas ya quesólo intervendrán en el diseño general del sistema, diseño de controles, sistemasde seguridad, respaldo y confidencialidad del sistema, sistemas se verificación.Habrá de comprobar que las fórmulas de obtención del impuesto sobre el productodel trabajo, el cálculo del pago del seguro social, etc., pero no deberán interveniren la elaboración de los sistemas, bases de datos o programación. Y tendrán quecomprobar que lo señalado en el diseño general sea igual a lo obtenido en elmomento de implantación, para que puedan dar su autorización a la corrida enparalelo. El auditor interno, en el momento de que se están elaborando los sistemas,debe participar en estas etapas, para: 1. Asegurarse de verificar que los requerimientos de seguridad y de auditoría sean incorporados, y participar en la revisión de puntos de verificación. 2. Revisar la aplicación de los sistemas y de control tanto con el usuario como en el centro de informática. 3. Verificar que las políticas de seguridad y los procedimientos estén incorporados al plan en caso de desastre. 4. Incorporar técnicas avanzadas de auditoría en los sistemas de computo. Los sistemas de seguridad no pueden llevarse a cabo a menos que existan 30
    • procedimientos de control y un adecuado plan en caso de desastre, elaboradosdesde el momento en el que se diseña el sistema. El auditor interno desempeña una importante función al participar en losplanes a largo plazo y en el diseño detallado de los sistemas y su implantación, detal manera que se asegure de que los procedimientos de auditoría y de seguridadsean incorporados a todas y cada una de las fases del sistema. 4.2.3 Clase de controles internos ● 4.2.3.1 Atendiendo al momento en que se actúa, pueden ser: a) Controles preventivos: establecen las condiciones necesarias para que el error no se produzca. Como ejemplos de controles preventivos tenemos la segregación de funciones, la estandarización de procedimientos, las autorizaciones, los passwords, o los formularios prenumerados. b) Controles detectivos: Identifican el error pero no lo evitan, actuando como alarmas que permiten registrar el problema y sus causas. Sirven como verificación del funcionamiento de los procesos y de sus controles preventivos. Como ejemplos tenemos la validación de los datos de entrada, cuando se realiza con posterioridad al procesamiento de dichos datos, los totales de control, los controles cruzados, o los controles de supervisión, estos últimos se componen de tres tipos de controles: 1. Controles de aplicaciones. 2. Controles de tecnologías de la información. 3. Controles de usuario c) Controles correctivos: Permiten investigar y rectificar los errores y sus causas, están destinados a procurar que las acciones necesarias para su solventación sean tomadas. Como ejemplos tenemos los listados de errores, las evidencias de auditoria o las estadísticas de causas de errores. ● 4.2.3.2. Los controles de supervisión Son procedimientos utilizados por la dirección para poder alcanzar losobjetivos del negocio y así controlarlo. Este tipo de controles proporcionan a ladirección (y por lo tanto, a los auditores) seguridad en cuanto a la fiabilidad de lainformación financiera. Dichos controles pueden estar incluido, de un modo intrínseco, en lasactividades recurrentes de una entidad o consistir en una evaluación periódicaindependiente, llevada a cabo normalmente por la dirección. La frecuencia deestas evaluaciones depende del juicio de la dirección. Mediante estos controlespodremos detectar errores significativos y realizar un control continuo de la 31
    • fiabilidad y de la eficacia de los procesos informáticos. Controles de supervisión: controles de las aplicaciones Son un conjunto de procedimientos programados y manuales diseñadosespecialmente para cada aplicación con el fin de cumplir con objetivos específicosde control utilizando una o más técnicas. Los podemos clasificar en: a) Controles sobre captura de datos: sobre altas de movimientos, modificaciones de movimientos, consultas de movimientos, mantenimiento de los ficheros. b) Controles de proceso de datos: normalmente se incluyen en los programas. Se diseñan para detectar o prevenir los siguientes tipos de errores (entrada de datos repetidos, procesamiento y actualización de ficheros o ficheros equivocados, entrada de datos ilógicos, pérdida o distorsión de datos durante el proceso). c) Controles de salida y distribución: Los controles de salida se diseñan para asegurarse de que el resultado del proceso es exacto y que los informes y demás salidas solo las personas que estén autorizadas, lo reciben. Para solucionar deficiencias de control de una aplicación será necesarioretroceder a las etapas iniciales teniendo en cuenta que: 1. Los controles deben contemplar la secuencia de los procesos (manuales y programados) de una aplicación. Muchos controles de aplicación serán efectuados por personas, pero dependerán del ordenador, siendo una combinación de procedimientos de control programados y controles de los usuarios. Dado que muchos controles de aplicación dependen de procedimientos contables y/o de controles programados y el correspondiente procesamiento informático, la eficacia de los controles de las aplicaciones, y, en consecuencia, el logro de los objetivos de control de las mismas, casi siempre dependerán de los controles informáticos. 2. Las técnicas aplicadas se diseñan para cubrir toda la vida de una transacción o documento, desde su inicio hasta su destino final en el ordenador. 3. La extensión y rigidez de los controles pueden ser diferentes dependiendo de que los datos sean permanentes o transitorios. 4. Prestar especial consideración al objetivo verdadero de cada control, evaluando el costo de operación del control y las pérdidas que podría generar su omisión. Totalidad de las entradas Las técnicas de control utilizadas para asegurar la totalidad de las entradas son: a) Conciliación de totales: Un ejemplo de conciliación de totales sería comprobar que el auxiliar de proveedores coincide con el saldo de proveedores en el sistema central. Otro ejemplo sería comprobar que el saldo con el banco según extracto bancario coincide con el saldo según contabilidad, y si no es así buscar las partidas conciliatorias. 32
    • • Verificación de la secuencia numérica. Comprobar que los documentos siguen la secuencia numérica de manera establecida de manera que no falte ningún documento. • Confrontación de ficheros. • Comprobación uno por uno. Exactitud de la entrada Las técnicas de control utilizadas para asegurar la exactitud de las entradas son: • Conciliación de totales. • Confrontación de ficheros. • Comprobación uno por uno. • Controles de validación o edición: a) Prueba de existencia: ¿la información introducida concuerda con información similar existente en un fichero maestro (como ejemplo de documento maestro de una empresa tenemos el fichero con los datos de todos nuestros clientes) o de referencia? b) Prueba de pantalla: los detalles correspondientes a un código o a un número de partida se visualizan en pantalla para que el usuario pueda comprobar dichos detalles c) Prueba de dependencia: ¿tienen sentido los datos introducidos? El ordenador puede comprobar una relación predeterminada entre los datos. d) Prueba de sintaxis o de formato: se comprueba que únicamente se introduzcan datos numéricos cuando el campo sea numérico o datos alfanuméricos, cuando el campo sea alfanumérico. e) Prueba de razonabilidad: consiste en verificar si el valor de un dato está comprendido entre los límites lógicos previamente definidos. Autorización de las entradas Las técnicas de control utilizadas para asegurar la autorización de lasentradas son: • Momento de la autorización. • Confrontación programada. • Autorización manual. • Autorización en línea Los controles sobre las entradas de datos deben contemplarprocedimientos de actuación con las transacciones erróneas que son rechazadaspor los controles preventivos. En sistemas de autorización en línea los errores se detectan en el momentode su entrada, las medidas correctivas se pueden iniciar inmediatamente. Existen,sin embargo, ocasiones en que determinados errores pueden ser detectados enuna fase posterior del proceso. Estos errores deben ser comunicados, tomándose 33
    • las medidas correctivas correspondientes. Con una combinación de procedimientos programados y manuales se debegarantizar la investigación inmediata de las causas de los rechazos, la correcciónadecuada de los errores, el registro y seguimiento de las transacciones pendientesde corregir y la existencia de una nueva autorización de las correcciones hechas alos datos claves o sensibles. Con todos estos controles conseguiremos que todoslos rechazos vuelvan a entrar en el ordenador de forma exacta y autorizada. Totalidad y exactitud de la actualización Las técnicas de control utilizadas para asegurar la totalidad y exactitud delas actualizaciones son principalmente: • Controles de totalidad y exactitud de las entradas. • Conciliación manual de los totales. • Controles de proceso a proceso que incluyen: a) Totales de los ficheros b) Listados de detalle. c) Transacciones generadas por la aplicación En cuanto a este último tipo de controles: En toda aplicación informática los datos contenidos en los ficheros debenser tratados por ciertos procesos antes de la emisión de la información de salida.Los más comunes son: • Cálculo: Generación de información utilizando datos de uno o más ficheros en base a rutinas predeterminadas. • Resumen: Acumulación de los valores de las transacciones de un fichero para generar totales. • Clasificación: Acumulación de totales de un fichero en base al análisis de cuentas, códigos o campos de las transacciones. Para este tipo de procesos, la aplicación debe tener controles que permitanasegurar: • El funcionamiento adecuado y continuo de los programas que efectúan los procesos • El proceso de la totalidad de las transacciones. • La integridad (totalidad y exactitud) de los ficheros utilizados en los procesos. • Que la generación o versión de los ficheros procesados ha sido la correcta. • La comprobación manual de la corrección de la información generada por los procesos. Segregación de funciones El objetivo principal de la segregación de funciones es imposibilitar el fraudepor parte de los empleados, de tal manera que un empleado que tenga laoportunidad de hurtar activos no pueda ocultar el fraude mediante la manipulación 34
    • contable. Controles de supervisión: controles de la tecnología de la información: Son el conjunto de normas y procedimientos que deben existir en todoCentro de Proceso de Datos para asegurar la confidencialidad, integridad ydisponibilidad de los datos informatizados. Aseguran que los procedimientos programados dentro de un sistemainformático se diseñen, implanten, mantengan y operen de forma adecuada y quesolo se introduzcan cambios autorizados en los programas y en los datos. Dentrode los controles de la tecnología de la información nos encontraremos condistintos tipos de controles: • Controles de desarrollo e implantación de aplicaciones. • Controles de mantenimiento: destinados a asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas. • Controles de explotación. • Controles de Seguridad de Programas: destinados a garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados • Controles de Seguridad de Ficheros de datos: destinados a asegurar que no se puedan efectuar modificaciones no autorizadas en los archivos de datos. • Controles de la Operación Informática: destinados a garantizar que los procedimientos programados autorizados se aplican de manera uniforme y se utilizan versiones correctas de los ficheros de datos. • Controles de Conversión de ficheros: destinados a garantizar una completa y exacta conversión de los datos de un sistema antiguo a uno nuevo. • Controles de Software Sistema: destinados a asegurar que se implante un software de sistema apropiado y que se encuentre protegido contra modificaciones no autorizadas. • Controles de implantación: destinados a asegurar que los procedimientos programados para los nuevos sistemas son adecuados y están efectivamente implantados, y que el sistema está diseñado para satisfacer las necesidades del usuario Si los sistemas informáticos estuviesen funcionando inadecuadamente yesta situación pudiese influir en la fiabilidad de los datos o poner en peligro otrosobjetivos de control, ¿tendría conocimiento de ello la alta dirección?. A diferencia de los controles de supervisión de las aplicaciones, loscontroles de supervisión informáticos están relacionados con entornosinformáticos que generalmente cubren varias aplicaciones. Por ejemplo, loscontroles utilizados para supervisar la seguridad de los sistemas generalmenteserán los mismos para el ciclo de ventas y para el ciclo de compras. 35
    • Los controles de supervisión informáticos se consideran en términos decategorías más que de ciclos (a diferencia de los controles de supervisión deaplicaciones). A continuación se tratan más ampliamente algunos de los controlesenumerados anteriormente: • Controles de mantenimiento: Las solicitudes para introducir modificaciones en los programas deben tramitarse de forma adecuada, además de someterse a pruebas. La documentación técnica debe estar actualizada con el fin de reflejar las modificaciones de los programas. Este tipo de controles van a limitar los riesgos que comportan las modificaciones de las aplicaciones. Algunos de los riegos con los que nos podemos encontrar son: la pérdida de solicitudes de cambio, que haya cambios duplicados, cambios que no se ajusten a los requerimientos del usuario, perder demasiado tiempo en la resolución de problemas debido a la falta de documentación técnica o la existencia de cambios no autorizados en las aplicaciones que afecten negativamente a las operaciones y/o a la integridad de la información. • Controles de desarrollo e implantación de aplicaciones: La dirección del proyecto debe garantizar que el control del diseño, desarrollo e implantación de las nuevas aplicaciones es adecuado. Es por eso que las aplicaciones deben diseñarse de forma adecuada para alcanzar las exigencias de control de las aplicaciones y del negocio. Y en caso de que implantemos un paquete informático adaptado nos aseguraremos que cumple con dichas exigencias. En caso de no existir estos controles nos podemos encontrar con varios problemas: que los costos estén por encima de los presupuestados por lo que se podría producir un retraso en la entrega del proyecto, que los proyectos no se ajusten a los requerimientos del usuario, que haya errores en las aplicaciones, que conviertan de forma errónea los datos o que las aplicaciones se infrautilicen o se utilicen incorrectamente debido a la ausencia de documentación técnica y de formación. • Controles de seguridad informática: La dirección debe asegurar la implantación de políticas de control de acceso basadas en el nivel de riesgo que se derivaría del acceso a los programas y a los datos. El acceso a funciones concretas dentro de las aplicaciones debe estar adecuadamente restringido para asegurar la segregación de funciones relevantes y evitar actividades no autorizadas además de estar restringido el acceso físico a los ordenadores. Este tipo de controles evitarán el riesgo de fraude o de que información confidencial o sensible llegue a personas no autorizada dentro o fuera de la sociedad. Otro riesgo que evitaríamos con la seguridad física sería el posible daño o destrucción de las instalaciones informáticas como resultado de incendios, inundaciones o sabotajes que podrían interrumpir la ejecución de los procesos. • Controles de operaciones informáticas: Los procedimientos de 36
    • operaciones que cubren procesos diferidos o por lotes que se realizan en momentos específicos deben estar documentados, programados y mantenidos de forma adecuada. Las copias d seguridad de los programas y de los datos deben estar siempre disponibles para casos de emergencia. Las instalaciones informáticas de los usuarios finales deben ser apropiadas para las necesidades del negocio y controladas para maximizar la compatibilidad y apoyar eficazmente al usuario. Con todos estos controles podremos evitar fallos en los equipos y en el software o como mínimo tendremos capacidad para recuperarnos de ellos (ya que la continuidad del negocio puede estar en juego) o sacar poco rendimiento de los sistemas informáticos. Controles de supervisión: controles de los usuarios Son los procedimientos manuales tradicionales que se deben ejecutarsobre los documentos y transacciones antes y después de su proceso en elordenador para comprobar el adecuado y continuo funcionamiento de los controlesde las aplicaciones. 4.3 Auditoría administrativa [1 página 8-9] Willian P. Leonard la define como "el examen global y constructivo de laestructura de una empresa, de una institución, una sección del gobierno acualquier parte de una organismo, en cuanto a su planes y objetivos, sus métodosy controles, su forma de operación y sus facilidades humanas y físicas". Se lleva a cabo una revisión y consideración de la empresa organizacióncon el fin de precisar: • Pérdidas y deficiencias • Mejores métodos • Mejores formas de control • Operaciones más eficientes • Mejor uso de los recursos físicos y humanos. La auditoria administrativa debe llevarse a cabo como parte de la auditoríadel área de informática. Se ha de considerar dentro del programa de trabajo deauditoría en informática, tomando principios de la auditoría administrativa paraaplicarlos al área de informática. Se deberá evaluar el departamento de informática de acuerdo con: a) su objetivo b) metas, planes, políticas y procedimientos c) organización 37
    • d) estructura orgánica e) funciones f) niveles de autoridad y responsabilidad Es importante tener en cuenta los siguientes factores: • Elemento humano • Organización (manual de organización) • Integración • Dirección • Supervisión • Comunicación y coordinación • Delegación • Recursos materiales • Recursos técnicos • Recursos financieros • Control 4.4 Concepto de auditoria con Informática [1 página 9-16] Los procedimientos de auditoría con informática varían de acuerdo con lafilosofía y técnica de cada departamento de auditoría en particular. Sin embargo,existen ciertas técnicas y/o procedimientos que son compatibles en la mayoría delos ambientes de informática. Estas técnicas caen en dos categorías: métodosmanuales y métodos asistidos por computadora. Utilización de las técnicas de auditorias asistidas por computadora. En general, el auditor debe utilizar la computadora en la ejecución de laauditoría, ya que esta herramienta permitirá ampliar la cobertura del examen,reduciendo el tiempo/costo de las pruebas y procedimientos de muestreo, que deotra manera tendría que efectuarse manualmente. Además, el empleo de lacomputadora por el auditor le permite familiarizarse con la operación del equipo enel centro de computo de la institución. Una computadora puede ser empleada porel auditor en: • Verificación de cifras totales y cálculos para comprobar la exactitud de los reportes de salidas producidos por el departamento de informática. • Pruebas de los registros de los archivos para verificar la consistencia lógica, la validación de condiciones y la razonabilidad de los montos de las operaciones. • Clasificación de datos y análisis de la ejecución de procedimientos. • Selección e impresión de datos mediante técnicas de muestreo y confirmaciones. • Llevar a cabo en forma independiente una simulación del proceso de 38
    • transacciones para verificar la conexión y consistencia de los programas de computadora. Con fines de auditoria el auditor interno puede emplear la computadorapara: a) Utilización de paquetes para auditoría, por ejemplo, paquetes provenientes del fabricante de equipos, firmas de contadores públicos o compañías de software. b) Supervisar la elaboración de programas que permitan el desarrollo de la auditoría interna. c) Utilización de programas de auditoría desarrollados por proveedores de equipo y que básicamente verifican la eficiencia en el empleo del computador o miden la eficiencia de los programas, su operación o ambas cosas. Todos los programas o paquetes empleados en la auditoría debenpermanecer bajo estricto control del departamento de auditoría. Por esto, toda ladocumentación, material de pruebas, listados fuente, programas fuente y objeto,además de los cambios que se les hagan, serán responsabilidad del auditor.En aquellas instalaciones que cuentan con bibliotecas de programas catalogados,los programas de auditoría pueden ser guardados utilizando contraseñas deprotección, situación que sería aceptable en tanto se tenga el control de lasinstrucciones necesarias para la recuperación y ejecución de los programas desdela biblioteca donde están almacenados. Si los procedimientos de control internodentro del sistema de computo no permiten un estricto control del departamentode auditoría, los programas de auditoría no deberían ser catalogados. Losprogramas desarrollados con objeto de hacer auditoría deben estarcuidadosamente documentados para definir sus propósitos y objetivos y aseguraruna ejecución continua. Cuando los programas de auditoría estén siendo procesados, los auditoresinternos deberán asegurarse de la integridad del procesamiento mediantecontroles adecuados como: 1. Mantener el control básico sobre los programas que se encuentren catalogados en el sistema y llevara a cabo protecciones apropiadas. 2. Observar directamente el procesamiento de la aplicación de auditoría. 3. Desarrollar programas independientes de control que monitoreen el procesamiento del programa de auditoría. 4. Mantener el control sobre las especificaciones de los programas, documentación y comandos de control. 5. Controlar la integridad de los archivos que se están procesando y las salidas generadas. Técnicas avanzadas de auditoria con informática. Cuando en una instalación se encuentren operando sistemas avanzados de 39
    • computación como procesamiento en línea, bases de datos y procesamientodistribuido, se podría evaluar el sistema empleado técnicas avanzadas deauditoría. Estos métodos requieren un experto, y por lo tanto, pueden no serapropiados si el departamento de auditoría no cuenta con el entrenamientoadecuado. Otra limitante, incluyendo el costo, puede ser la sobrecarga del sistemay la degradación en el tiempo de respuesta. Sin embargo, cuando se usanapropiadamente, estos métodos superan la utilización en una auditoría tradicional. • Pruebas integrales. Consiste en el procesamiento de datos de un departamento ficticio, comparando estos resultados con resultados predeterminados. En otras palabras, las transacciones iniciadas por el auditor son independientes de la aplicación normal, pero son procesadas al mismo tiempo. Especial cuidado se debe tener con las particiones que se están utilizando en el sistema para prueba de la contabilidad o balances a fin de evitar situaciones anormales. • Simulación. Consiste en desarrollar programas de aplicación para determinada prueba y comparar los resultados de la simulación con la aplicación real. • Revisiones de acceso. Se conserva un registro computarizado de todos los accesos a determinados archivos; por ejemplo información de la identificación tanto de la terminal como del usuario. • Operaciones en paralelo. Consiste en verificar de la exactitud de la información sobre los resultados que produce un sistema nuevo que substituye a uno ya auditado. • Evaluación de un sistema con datos de prueba. Esta verificación consiste en probar los resultados producidos en la aplicación con datos de prueba contra los resultados que fueran obtenidos inicialmente en la pruebas del programa (solamente aplicable cuando se hacen modificaciones a un sistema). • Registros extendidos. Consiste en agregar un campo de control a un registro determinado como un campo especial a un registro extra, que pueda incluir datos de todos los programas de aplicación que forman parte del procesamiento de determinada transacción, como en los siguientes casos. • Totales aleatorios en ciertos programas. Se consiguen totales en algunas partes del sistema para ir verificando su exactitud en forma parcial. • Selección de determinado tipo de transacciones como auxiliar en el análisis de un archivo histórico. Por medio de este método podemos analizar en forma parcial el archivo histórico de un sistema, el cual sería casi imposible de verificar en forma total. • Resultados de ciertos cálculos para comparaciones posteriores. Con ellos podemos comparar en el futuro los totales en diferentes fechas. Al auditor interno, todas las técnicas anteriores le ayudan al establecimientode una metodología para la revisión de los sistemas de aplicación de uninstitución, empleando como herramienta el mismo equipo de computo. Sinembargo, actualmente se desarrollan programas y sistemas de auditoría que 40
    • eliminan los problemas de responsabilidad del departamento de auditoría, alintervenir en las actividades e información cuyo control corresponde estrictamenteal departamento de informática, proporcionando una verdadera independencia alauditor en la revisión de los datos del sistema. El empleo de la microcomputadora en la auditoría constituye unaherramienta que facilita la realización de actividades de revisión como: • Trasladar los datos del sistema a un ambiente de control del auditor • Llevar a cabo la selección de datos • Verificar la exactitud de los cálculos • Muestreo estadístico • Visualización de datos • Ordenamiento de la información • Producción de reportes e histogramas. Lo anterior implica una metodología que garantiza una revisión másextensa e independiente de los sistemas de informática, que podría consistir enlos siguientes pasos: • Selección de un sistema de información que se va a revisar. • Obtención de la documentación de los archivos que incluye: nombre del archivo y descripción, nombre de los campos y descripción (longitud, tipo), codificación empleada, etc. • Trasladar el archivo de datos a una microcompurtadora con una gran capacidad de almacenamiento. • Llevar a cabo con un software de auditoría las verificaciones de auditoría que se mencionan anteriormente. • Participación del auditor interno en el desarrollo de sistemas. El auditor interno debe participar en el diseño general y específico de lossistemas, con el fin de asegurar que se tengan todos los controles de acuerdo conlas políticas internas antes de que se comience la programación del sistema. A continuación se muestran ejemplos de las formas tradicionales deevidencia que existen en un proceso manual y las maneras en que la computadorapuede cambiarlas. • Transacciones originadas por personas y accesadas a un sistema para su proceso. En las aplicaciones computarizadas pueden generarse automáticamente. Por ejemplo, el sistema puede emitir automáticamente una orden de reposición cuando el inventario esté a un nivel por debajo del punto de reorden. Sin la computadora se requería que una persona estuviera revisando y elaborara la orden de reposición cuando el inventario estuviera abajo del mínimo establecido. • El registro manual de la información necesaria para originar una transacción. En las aplicaciones computarizadas, no se producen documentos impresos cuando la información es accesada a través de una terminal. Por ejemplo, un cambio, hecho a las tarifas de nómina 41
    • puede ser accesado a un archivo maestro de nóminas computarizado a través de una terminal de computadora sin dejar registro impreso del cambio, aunque se debe tener una clave de seguridad para poder accesarlo y llevar un registro histórico en el que se tenga la información sobre la persona y terminal en la que se acceso la información.• La revisión de transacciones por el personal, que deja constancia con sus firmas, iniciales o sellos en los documentos para indicar la autorización del proceso. En las aplicaciones computarizadas puede ser automática. Por ejemplo, una venta a crédito puede ser automáticamente aprobada si el límite de crédito previamente determinado no está excedido. Otros métodos de autorización electrónica incluyen el acceso mediante claves de seguridad, insertando una tarjeta de códigos magnéticos o colocando un llave de supervisión en una terminal. Anteriormente se tenían firmas donde ahora sólo se tiene una clave o llave de acceso que es equivalente a la autorización, dejando únicamente un registro (en el mejor de los casos) de la llave de acceso utilizada, la terminal en la que se procesó y la hora y día en que fue autorizada.• El transporte de documentos de una estación de trabajo a otra por personas, correo o servicios similares de un lugar del negocio a otro sitio completamente distinto. Por estos medios se moviliza un documento físicamente. En aplicaciones computarizadas, los datos pueden ser enviados electrónicamente. La información es transcrita, codificado, frecuentemente condensado y entonces enviada electrónicamente por líneas de comunicaciones; y al final queda un registro de cuándo recibió la información el receptor.• Procesamiento manual. Generalmente, los documentos de las transacciones contienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones computarizadas, el proceso se efectúa electrónicamente dentro de la memoria del computador mediante procedimientos programados y siguiendo reglas predeterminadas.• Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabilidad de error. En las aplicaciones computarizadas, el proceso puede ser extremadamente complejo debido a la velocidad y exactitud de la computadora. Por ejemplo, una compañía puede utilizar su computadora para calcular la efectividad de cientos de posibles horarios o cédulas de producción a fin de seleccionar el más adecuado, mientras que en los métodos manuales esto sería casi imposible.• Mantenimiento en manuales de información de naturaleza fija que es necesaria para el proceso, tales como tarifas de nominas o precios de productos. En las aplicaciones computarizadas, esta información se almacena en medios computarizados o bien por medio de catálogos; en los métodos manuales es difícil tener catálogos demasiado amplios.• Listado de los resultados del proceso en documentos impresos, tales como cheques y reportes. Frecuentemente, estos documentos contienen resultados de procesos intermedios. En las aplicaciones 42
    • computarizadas, el proceso puede no dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser transferidos electrónicamente y los reportes de salida ser desplegados en pantallas de video. En algunos sistemas, la información rutinaria es retenida de manera que sólo se recibe noticia de aquellas partidas que requieren acción.• Almacenamiento de documentos de entrada, proceso y salida en registro de archivo o similares. Cuando la información es necesaria, puede localizarse y recobrarse manualmente del área de almacenamiento física. En las aplicaciones computarizadas, la mayoría de los archivos están en medios a computarizados, como cintas y discos. Programas extractivos deben utilizarse para recobrar la información de tales medios, los cuales son normalmente muy rápidos y exactos; por ejemplo, en el caso de bases de datos.• Uso de documentos impresos para construir el proceso. En los procesos manuales estos documentos contienen información fuente, firmas de autorización, métodos de proceso y resultados de salida. Esta información usualmente es suficiente para construir la transacción y rastrearla hacia totales de control o, a partir de éstos, hasta el documento fuente. En las aplicaciones computarizadas, las pistas de auditoría pueden verse fragmentadas, como frecuentemente ocurre en un ambiente de base de datos. Además, gran parte de la información que serviría de pista de auditoría puede estar almacenada en medios computarizados. Las pistas de auditoría computarizadas frecuentemente requieren entender las reglas del proceso del sistema y no siempre es obvio cuales pasos del proceso se ejecutaron, especialmente cuando el proceso computacional es complejo.• Uno o más manuales de procedimientos que contienen información relativa a las transacciones del sistema. Estos manuales guían a la gente en la circulación y proceso de las transacciones. En las aplicaciones computarizadas, pueden ser listados de programas y computadora, listados de diccionarios de datos y documentación de proveedores.• Revisión de procesos por personas, generalmente supervisores, para determinar su razonabilidad, exactitud, totalidad y autorización. En las aplicaciones computarizadas, gran parte de este monitoreo es ejecutado automáticamente mediante una lógica de programa predeterminada. Está llegando a ser más difícil para la gente monitorear los procesos, conforme los sistemas computacionales están más integrados y son más complejos y el ciclo del proceso se acorta.• La división de tareas entre los empleados. En las aplicaciones computarizadas, la distribución de deberes implica no sólo la división de tareas entre los empleados, sino también la división de tareas entre los pasos del proceso automatizado. Por ejemplo, los programas computarizados pueden procesar diferentes partes de una transacción en diversos lugares y terminales, y en ocasiones se requiere que tengan sistemas de seguridad de acceso a nivel sistema, dato o programa 43
    • como en el caso de los sistemas bancarios. • Proceso de grandes cantidades de datos que pueden requerir la repetición o cruzamiento de diversos elementos de la información. Esto es frecuentemente difícil y costoso en un sistema manual y sólo se realiza cuando es necesario. En las aplicaciones computarizadas, grandes cantidades de datos pueden ser almacenadas en una base de datos. La velocidad y capacidades de proceso del computador hacen esta información disponible en el formato deseado. En un ambiente computarizado, son posibles los más complejos análisis y usos secundarios de los datos. 4.5 Concepto de auditoria de programas [1 página 18] La auditoría de programas es la evaluación de la eficiencia técnica, del usode diversos recursos (cantidad de memoria) y del tiempo que utilizan losprogramas, su seguridad y confiabilidad con el objetivo de optimizarlos y evaluar elriesgo que tienen para la organización. La auditoría de programas tiene un mayor grado de profundidad y de detallaque la auditoría en informática, ya que analiza y evalúa la parte central del uso delas computadoras que es el programa, aunque se puede considerar como parte dela auditoría en informática. Para lograr que la auditoría de programas sea eficiente las personas que larealicen han de poseer conocimientos profundos sobre sistemas operativos,sistemas de administración de base de datos, lenguajes de programación,utilerías, bases de datos y el equipo en que fue escrito el programa, y deberáncomenzar con la revisión de la documentación del mismo. Para poder llevar acabo una adecuada auditoría de los programas se necesitan que los sistemasestén trabajando correctamente y se obtengan los resultados requeridos, ya que elcambiar el proceso del sistema en general se cambiaría posiblemente losprogramas. Sería absurdo intentar optimizar un programa de un sistema que noestá funcionando correctamente. Para optimizar los programas se deberá tener pleno conocimiento yaceptación del sistema o sistemas que usan ese programa, y disponer de toda ladocumentación detallada del sistema total. Se considera como banco de datos: El conjunto de datos que guarda entresi una coherencia temática independiente del medio de almacenamiento. La cantidad de información que contiene un banco de datos suele sergrande, del orden de millones de datos. Se considera como base de datos: La organización sistemática de archivosde datos para facilitar su acceso, recuperación y actualización, relacionados losunos con los otros y tratados como una entidad. Puede decirse que una base esun banco de datos organizados como un tipo estructurado de datos. DBMS (Dato base management system = sistema de administración debases de datos): Es un conjunto de programas de permiten manejar cómodamenteuna base de datos, o sea, "el conjunto de facilidades y herramientas de 44
    • actualización y recuperación de información de una base de datos". 4.6 Concepto de auditoría seguridad Las empresas conocen, o has de conocer todos los problemas. Y cuandodeciden darles una solución global, buscando los puntos débiles de su seguridadpara atajarlos de una vez, pueden decidirse por una Auditoría de Seguridad. Lasauditorias son actividades muy comunes en esto entornos empresariales,especialmente las realizadas por personal externo (permitiendo un nivel obvias), ypermiten conocer el nivel de seguridad y las acciones a emprender para corregirlos posibles fallos. Este tipo de auditoría puede durar, en función del tamaño del sistema,desde unos pocos días, hasta varias semanas. Siempre debemos tener en cuentaque el costo de realizar una auditoría de seguridad siempre es menor que el valorque pueden tener los datos internos en la empresa. La auditoría de seguridad cada vez resulta más conveniente realizarla, yaque el desarrollo de Internet es espectacular y las posibilidades del comercioelectrónico son ilimitadas; esto origina una vulnerabilidad en los datos ya que cadavez existen más personas que se dedican a cometer delitos informáticos. El proceso de esta auditoría generalmente comienza con un análisis de lasamenazas potenciales que enfrentan a una organización. Examina sistemas,políticas y prácticas de la organización para identificar sus vulnerabilidades. Elanálisis continúa con una valoración de riesgo y concluye con un informe devaloración y una serie de recomendaciones. Es necesario pensar en el establecimiento de políticas de seguridad, tal ycomo la palabra lo dice, se asemejan a los seguros de la vida cotidiana, muchasveces no se toma una decisión al respecto hasta que no se conocer un casocercano a quien la adversidad le coge por sorpresa. Las seguridad representa ungasto que muchas veces parece inútil y que se podría evitar, aunque el costo deuna buena gestión de seguridad siempre es menor que el valor que pueden tenerlos datos internos de la empresa. 4.6.1 Consideraciones inmediatas para la auditoría de la seguridad1. Uso de la computadora Se debe observar el uso adecuado de la computadora y su software quepuede ser susceptible a: • tiempo de máquina para uso ajeno. • copia de programas de la organización para fines de comercialización (copia pirata) • acceso directo o telefónico a bases de datos con fines fraudulentos 45
    • • evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo3. Cantidad y tipo de Información El tipo y la cantidad de información que se introduce en las computadorasdebe considerarse como un factor de alto riesgo ya que podrían producir que: • la información este en manos de algunas personas • la alta dependencia en caso de perdida de datos4. Control de programación Se debe tener conocer que el delito más común está presente en elmomento de la programación, ya que puede ser cometido intencionalmente o no,para lo cual se debe controlar que: • los programas no contengan bombas lógicas • los programas deben contar con fuentes y sus ultimas actualizaciones • los programas deben contar con documentación técnica, operativa y de emergencia5. Personal Se debe observar este punto con mucho cuidado, ya que hablamos de laspersonas que están ligadas al sistema de información de forma directa y sedeberá contemplar principalmente: • la dependencia del sistema a nivel operativo y técnico • evaluación del grado de capacitación operativa y técnica • contemplar la cantidad de personas con acceso operativo y administrativo • conocer la capacitación del personal en situaciones de emergencia6. Medios de control Se debe contemplar la existencia de medios de control para conocercuando se produce un cambio o un fraude en el sistema. También se debeobservar con detalle el sistema ya que podría generar indicadores que puedenactuar como elementos de auditoría inmediata, aunque esta no sea unaespecificación del sistema.7. Rasgos del personal Se debe ver muy cuidadosamente el carácter del personal relacionado conel sistema, ya que pueden surgir: • malos manejos de administración • malos manejos por negligencia • malos manejos por ataques deliberados8. InstalacionesEs muy importante no olvidar las instalaciones físicas y de servicios, que significanun alto grado de riesgo. Para lo cual se debe verificar: • la continuidad del flujo eléctrico • efectos del flujo eléctrico sobre el software y hardware • evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc. 46
    • • verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones9. Control de residuos Observar como se maneja la basura de los departamentos de mayorimportancia, donde se almacena y quien la maneja.10. Establecer áreas y prado del riesgo Es muy importante el crear una conciencia en los usuarios de laorganización sobre el riesgo que corre la información y hacerles comprender quela seguridad es parte de su trabajo. Para esto se deben conocer los principalesriesgos que acechan a la función informática y los medios de prevención que sedeben tener, para lo cual se debe: a) Establecer el Costo del Sistema de Seguridad (Análisis Costo contraBeneficio) Este estudio se realiza considerando el costo que se presenta cuando sepierde la información contra el costo de un sistema de seguridad. Para realizareste estudio se debe considerar lo siguiente: • clasificar la instalación en términos de riesgo (alto, mediano, pequeño) • identificar las aplicaciones que tengan alto riesgo • cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un alto riesgo • formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera • la justificación del costo de implantar las medidas de seguridad Cada uno de estos puntos es de mucha importancia por lo que se sugiereclasificar estos elementos en áreas de riesgo que pueden ser: a) Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema deinformación, para lo cual es importante considerar responder las siguientes cuatropreguntas: 1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema depende de la aplicación por completo se debe definir el nivel de riesgo. 2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algún modo de cómo se soluciono este problema en el pasado. 3. ¿Existe un procedimiento alternativo y que problemas ocasionaría? Se debe verificar si el sistema es único o es que existe otro sistema también computarizado de apoyo menor. Ejemplo: Sí el sistema principal esta diseñado para trabajar en red sea tipo WAN quizá haya un soporte de apoyo menor como una red LAN o monousuario. E el caso de un sistema 47
    • de facturación en red, si esta cae, quizá pudiera trabajar en forma distribuida con un módulo menor monousuario y q tenga la capacidad de que al levantarse la red existan métodos actualización y verificación automática. 4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, h consecuencias y las soluciones tomadas, considerando: Que exista un sistema paralelo al menos manual Si hay sistemas duplicados en las áreas críticas (tarjetas de red teclados, monitores, servidores, unidades de disco, aire acondicionado). Si hay sistemas de energía ininterrumpida UPS. Si las instalaciones eléctricas, telefónicas y de red son adecuada, (se debe contar con el criterio de un experto). Si se cuenta con un método de respaldo y su manual administrativo. Una vez que se ha definido el grado de riesgo se debe elaborar una lista delos sistemas con las medidas preventivas que se deben tomar y las correctivas encasi de desastre, señalando la prioridad de cada uno. Con el objetivo que en casode desastres se trabajen los sistemas de acuerdo a sus prioridades. Disposiciones que Acompañan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de laorganización, desde el punto de vista de seguridad, contar con un conjunto dedisposiciones o cursos de acción para llevarse a cabo en caso de presentarsesituaciones de riesgo. Para lo cual se debe considerar: • Obtener una especificación de las aplicaciones, los programas y archivos de datos. • Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso. • Prioridades en cuanto a acciones de seguridad de corto y largo plazo. • Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuentes con acceso a la sección de operación ni viceversa. • Que los operadores no sean los únicos en resolver los problemas que se presentan. b) Higiene Otro aspecto que parece de menor importancia es el de orden e higiene,que debe observarse con mucho cuidado en las áreas involucradas de laorganización (centro de computo y demás dependencias), pues esto ayudará adetectar problemas de disciplina y posibles fallas en la seguridad. Tambiénpodemos ver que la higiene y el orden son factores que elevan la moral delrecurso humano, evita la acumulación de desperdicios y limita las posibilidades deaccidentes. Además es un factor que puede perjudicar el desarrollo del trabajotanto a nivel formal como informal. 48
    • c) Cultura Personal Cuando hablamos de información, su riesgo y su seguridad, siempre sedebe considerar al elemento humano, ya que podría definir la existencia o no delos más altos grados de riesgo. Por lo cual es muy importante considerar laidiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo. 4.6.2 Consideraciones para elaborar un sistema de seguridad integral. Como hablamos de realizar la evaluación de la seguridad es importantetambién conocer como desarrollar y ejecutar el implantar un sistema de seguridad.Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigiry controlar las actividades relacionadas a mantener y garantizar la integridad físicade los recursos implicados en la función informática, así como el resguardo de losactivos de la empresa." Un sistema integral debe contemplar: • Definir elementos administrativos • Definir políticas de seguridad • A nivel departamental • A nivel institucional • Organizar y dividir las responsabilidades • Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.) • Definir P Prácticas de seguridad para el personal: Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extintores Números telefónicos de emergencia Definir el tipo de pólizas de seguros Definir elementos técnicos de procedimientos • Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energía Cableados locales y externos • Aplicación de los sistemas de seguridad incluyendo datos y archivos • Planificación de los papeles de los auditores internos y externos • Planificación de programas de desastre y sus pruebas (simulación) • Planificación de equipos de contingencia con carácter periódico • Control de desechos de los nodos importantes del sistema: Política de destrucción de basura copias, fotocopias, etc. Consideración de las normas ISO 14000 4.6.3 Etapas para implementar un sistema de seguridad. 49
    • Para dotar de medios necesarios para elaborar su sistema de seguridad sedebe considerar los siguientes puntos: • Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad. • Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales. • Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando: a) Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debecontemplar: • El plan de seguridad debe asegurar la integridad y exactitud de los datos • Debe permitir identificar la información que es confidencial • Debe contemplar áreas de uso exclusivo • Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles • Debe asegurar la capacidad de la organización para sobrevivir accidentes • Debe proteger a los empleados contra tentaciones o sospechas innecesarias • Debe contemplar la administración contra acusaciones por imprudencia b) Consideraciones para con el personal Es de gran importancia la elaboración del plan considerando el personal,pues se debe llevar a una conciencia para obtener una autoevaluación de sucomportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas InnovarPara apoyar estos objetivos se debe cumplir los siguientes pasos: 1) Motivar Se debe desarrollar métodos de participación reflexionando sobre lo que significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual. 2) Capacitación General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo. Este proceso incluye 50
    • como práctica necesaria la implantación la ejecución de planes de contingencia y la simulación de posibles delitos. 3) Capacitación de Técnicos Se debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas preventivas y correctivas. 4) Ética y Cultura Se debe establecer un método de educación estimulando el cultivo de elevados principios morales, que tengan repercusión a nivel personal e institucional. De ser posible realizar conferencias periódicas sobre: doctrina, familia, educación sexual, relaciones humanas, etc. 4.6.4 Etapas para implantar un sistema integral en marcha Para hacer que el plan entre en vigor y los elementos empiecen a funcionary se observen y acepten las nuevas instituciones, leyes y costumbres del nuevosistema de seguridad se deben seguir los siguiente 8 pasos: 1. Introducir el tema de seguridad en la visión de la empresa. 2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes. 3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de área. 5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel. 8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física. 4.6.5 Beneficios de un sistema de seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos,ya que el la organización trabajará sobre una plataforma confiable, que se reflejaen los siguientes puntos: • Aumento de la productividad. • Aumento de la motivación del personal. • Compromiso con la misión de la compañía. • Mejora de las relaciones laborales. • Ayuda a formar equipos competentes. • Mejora de los climas laborales 51
    • 5__________________________________________________________________Planeación de la auditoría eninformática 5.1 Planeación de la auditoria en informática Para nacer una adecuada planeación de la auditoría en informática, hayque seguir una serie de pasos previos que permitirán dimensionar el tamaño ycaracterísticas del área dentro del organismo a auditar, sus sistemas, organizacióny equipo; con ello podremos determinar el número y características del personalde auditoría, las herramientas necesarias, el tiempo y costo, así como definir losalcances de la auditoria para, en caso necesario, poder elaborar el contrato deservicios. Dentro de la auditoria en general, la planeación es uno de los pasos másimportantes, ya que una inadecuada planeación repercutirá en una serie deproblemas, que pueden provocar que no se cumpla con la auditoría o bien que nose efectúe con el profesionalismo que debe tener el desarrollo de cualquierauditoría. En el caso de la auditoría en informática, la planeación es fundamental,pues habrá que hacer desde el punto de vista de los tres objetivos: • Evaluación administrativa del área de procesos electrónicos. • Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo. Para lograr una adecuada planeación, lo primero que se requiere esobtener información general sobre la organización y sobre la función deinformática a evaluar. Para ello es preciso hacer una investigación preliminar yalgunas entrevistas previas, y con base a esto planear el programa de trabajo, elcual deberá incluir tiempo, costo, personal necesario y documentos auxiliares asolicitar o formular el desarrollo de las mismas. 52
    • 5.1.1 Investigación preliminar "Es necesario iniciar el trabajo de obtención de datos con un contactopreliminar que permita una primera idea global. El objeto de este primer contactoes percibir rápidamente las estructuras fundamentales y diferencias principalesentre el organismo auditar y otras organizaciones que se hayan investigado". Se debe recopilar información para obtener una visión general deldepartamento por medio de observaciones, entrevistas preliminares y solicitudesde documentos; la finalidad es definir el objetivo y alcance del estudio, así como elprograma detallado de la investigación. Se deberá observar el estado general del departamento o área, su situacióndentro de la organización, si existe la información solicitada, si es o no necesaria yla fecha de su última actualización. La planeación de la auditoría debe señalar en forma detallada el alcance ydirección esperados y debe comprender un plan de trabajo para que, en caso deque existan cambios o condiciones inesperadas que ocasionen modificaciones alplan general sean justificadas por escrito (un ejemplo de formato de programa deauditoría se da en anexo 1). En el caso de la auditoría en informática debemos comenzar lainvestigación preliminar con una visita al organismo, al área de informática y a losequipos de cómputo, y solicitar una serie de documentos. Se debe hacer lainvestigación preliminar solicitando y revisando la información de cada una de lasáreas basándose en los siguientes puntos: Administración Se recopila la información para obtener una visión general deldepartamento por medio de observaciones, entrevista preliminar y solicitud dedocumentos para poder definir el objetivo y alcances del departamento. La eficiencia en el departamento de informática sólo se puede lograr si susobjetivos están integrados con los objetivos de la institución y permanentementese adapta a los posibles cambios de éstos. Esta adaptación únicamente puede ser posible si los altos ejecutivos y losusuarios de los sistemas toman parte activa en las decisiones referentes a ladirección y utilización de los sistemas de información, y si el responsable de dichosistema constantemente consulta y pide asesoría y cooperación a los ejecutivos yusuarios. Así mismo el control de la dirección de informática no es posible, a menosque el personal responsable aplique la misma disciplina de trabajo y los métodosque se exigen normalmente a los usuarios. Podemos hablar de tener el control,únicamente cuando sé contemplaron los objetivos, se estableció un presupuesto yse registraron correctamente los costos en el desarrollo de la aplicación y éstacontempla el nivel de servicio en términos de calidad y tiempos mínimos deentrega de resultados de la operación del computador. El éxito de la dirección de informática dentro de una organización, dependefinalmente de que todas las personas responsables del mismo tomen una actitud 53
    • positiva respecto a su trabajo y evalúen constantemente la eficiencia en su propiotrabajo así como el trabajo desarrollado por su área, estableciendo metas yestándares que incrementen su productividad. La dirección de informática, según las diferentes áreas de la organización,es evaluada desde diferentes puntos de vista. Los usuarios a nivel operativo generalmente la ven como una herramientapara incrementar su eficiencia en el trabajo. Para estos usuarios, la dirección deinformática es una función de servicio similar al departamento de nominas. Cadagrupo de usuarios tiene su propia expectativa del tipo y nivel de servicio, sinconsiderar el costo del mismo y normalmente sin tomar en cuenta las necesidadesde otros grupos de usuarios. Los altos ejecutivos consideran a la dirección de informática como unainversión importante, con la función de que participe activamente en elcumplimiento de los objetivos de la organización, y esperan un máximo del retornode su inversión, que los recursos destinados a la dirección de informáticaproporcionen un beneficio máximo a la organización y que participen en laadministración eficiente y en la minimización de los costos mediante informaciónque permita una adecuada toma de decisiones. Esencialmente la meta principal de los administradores de la dirección deinformática, es la misma que inspira cualquier departamento de servicio; combinarun servicio adecuado con una operación económica. El problema estriba en balancear el nivel de servicio a los usuarios, quesiempre puede ser incrementado a costa de un incremento del factor económico oviceversa. Para poder analizar y dimensionar la estructura por auditar se debesolicitar: a) a nivel organizacional total - Objetivos a corto y largo plazo. - Manual de la organización. - Antecedentes o historia del organismo. - Políticas generales. b) a nivel del área de informática - Objetivos a largo plazo - Manual de organización del área que incluya puestos, funciones, niveles jerárquicos y tramos de mando. - Manual de políticas, reglamentos internos y lineamientos generales. - Número de personal y puestos en el área. - Procedimientos administrativos del área. - Presupuestos y costos del área. c) Recursos materiales y técnicos - Solicitar documentos sobre los equipos, números de ellos, localización y características. - Estudios de vialidad. - Número de equipos, localización y las características (de los equipos instalados, por instalar y programados). - Fechas de instalación de los equipos y planes de instalación. 54
    • - Contratos vigentes de compra, renta y servicio de mantenimiento. - Contratos de seguros. - Convenios que se tiene con otras instalaciones. - Configuración de los equipos y capacidades actuales y máximas. - Planes de expansión. - Ubicación general de los equipos. - Políticas de operación. - Políticas de uso de los equipos. d) Sistemas - Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información. - Manual de formas. - Manual de procedimientos de los sistemas - Descripción genérica - Diagrama de entrada, archivos, salida. - Salidas - Fecha de instalación de los sistemas - Proyecto de instalación de nuevos sistemas. En el momento de hacer la planeación de la auditoría o bien su realización,debemos evaluar que pueden presentarse las siguientes situaciones: Se solicita la información y se ve que: 1. No se tiene y se necesita. 2. No se tiene y no se necesita. 3. Se tiene la información pero; a) No se usa. b) Es incompleta. c) No está actualizada d) No es la adecuada. e) Se usa, está actualizada, es la adecuada y está completa. Es el caso de que no se disponga de la información y se considere que nose necesita, se debe evaluar la causa por la que no es necesaria, ya que se puedeestar solicitando un tipo de información que debido a las características delorganismo no se requiera. Eso nos dará un parámetro muy importante para haceruna adecuada planeación de la auditoría. En el caso de que no se tenga la información pero que sea necesaria, sedebe recomendar que se elabore de acuerdo con las necesidades y con el usoque se le va a dar. En el caso de que tenga la información pero no se utilice se debe analizarpor que no se usa. El motivo puede ser que esté incompleta, que no estéactualizada, que no sea la adecuada, etc. Hay que analizar y definir las causaspara señalar alternativas de solución, que dan por resultado la utilización de lainformación. En caso de que se tenga la información, se debe analizar si se usa, si está 55
    • actualizada, si es la adecuada y si está completa; de ser así, se considerarádentro de las conclusiones de la evaluación, ya que como se dijo la auditoría nosólo debe considerar errores, sino también señalar los aciertos. Además de concluir esta etapa no se olvide que el éxito del análisis críticodepende de las consideraciones siguientes: - Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento) - Investigar las causas, no los efectos - Atender razones, no excusas - No confiar en la memoria, preguntar constantemente - Criticar objetivamente y a fondo todos los informes y los datos recabados 5.1.2 Personal participante Una de las partes más importantes dentro de la planeación de la auditoriaen informática es el personal que deberá participar. En este punto no veremos el número de personas que deberá participar yaque esto estaba dado en función de las dimensiones de la organización, de lossistemas y de los equipos. Lo que deberá considerarse son las características delpersonal que habrá de participar en la auditoría. Uno de los esquemas generalmente aceptados para tener un adecuadocontrol es que el personal que intervenga esté debidamente capacitado, con altosentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) yse le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar las características de conocimientos,práctica profesional y capacitación que debe tener el personal que intervendrá enla auditoría. En primer lugar debemos pensar que hay personal asignado por laorganización, con el suficiente nivel para poder coordinar el desarrollo de laauditoría, proporcionarnos toda la información que se solicite y programar lasreuniones y entrevistas requeridas. Éste es un punto muy importante ya que, de no tener el apoyo de la altadirección ni contar con un grupo multidisciplinario en el cual estén presentes una ovarias personas del área a auditar, sería casi imposible obtener información en elmomento y con las características deseadas. También se debe contar con personas asignadas por los usuarios para queen el momento que se solicite información o bien se efectúe alguna entrevista decomprobación de hipótesis, nos proporcionen aquello que se está solicitando, ycomplementen el grupo multidisciplinario, ya que debemos analizar no sólo elpunto de vista de la dirección de informática, sino también el del usuario delsistema. Para complementar el grupo, como colaboradores directos en la realizaciónde la auditoría se debe tener personas con las siguientes características: - Técnico en informática 56
    • - Conocimientos de administración, contaduría y finanzas. - Experiencia en el área de informática - Experiencia en operación y análisis de sistemas - Conocimientos y experiencia en psicología industrial - Conocimientos de los sistemas más importantes. En caso de sistemas complejos se deberá contar con personal conconocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos yexperiencias señaladas, pero si deben intervenir una o varias personas con lascaracterísticas apuntadas. Una vez planteada la forma de llevar a cabo la auditoría, estaremos enposibilidad de presentar la carta convenio de servicios profesionales (en caso deauditores externos) y el plan de trabajo. La carta convenio es un compromiso del auditor dirigida a su cliente para suconfirmación de aceptación; en ella se especifican el objetivo y alcance de laauditoría, las limitaciones y colaboración necesaria, el grado de responsabilidad ylos informes que se han de entregar. Una vez que se ha hecho la planeación, se puede utilizar el formatoseñalado en el anexo 1, el cual servirá para resumir el plan de trabajo de laauditoría. Este formato de programa de auditoría nos servirá de base para llevarun adecuado control del desarrollo de la misma. En él figuran el organismo, la fecha de formulación, las fases y subfasesque comprenden la descripción de la actividad, e número de días hábiles y elnúmero de días-hombre estimados. El control de avance de la auditoría lo podemos llevar mediante el anexo 2,el cual nos permite cumplir con los procedimientos de control y asegurarnos deque el trabajo se está llevando la cabo de acuerdo con el programa de auditoría,con los recursos estimados y en el tiempo señalado en la planeación. El hecho de contar con la información del avance nos permite revisar eltrabajo elaborado por cualquiera de nuestros asistentes. 57
    • __________________________________________________________________ 6Auditoría de la función deinformática [1; pág. 28-50] 6.1 Recopilación de la información organizacional. Una vez elaborada la planeación de la auditoría, la cual servirá como planmaestro de los tiempos, costos y prioridades, y como medio de control de laauditoría, se debe empezar la recolección de la información. Se procederá a efectuar la revisión sistematizada del área a través de laobservación y entrevistas de fondo en cuanto a: a) Estructura Orgánica - Jerarquías (Definición de la autoridad lineal, funcional y de asesoría) - Estructura orgánica - Funciones - Objetivos b) Se deberá revisar la situación de los recursos humanos. c) Entrevistas con el personal de procesos electrónicos: - Jefatura - Análisis - Programadores - Operadores - Capturistas - Personal administrativo d) Se deberá conocer la situación presupuestal y financiera en cuanto a: - Presupuesto - Recursos financieros - Recursos materiales - Mobiliario y equipo e) Se hará un levantamiento del censo de recursos humanos y análisis de situación en cuanto a: - Número de personas y distribución por áreas 58
    • - Denominación de puestos - Salario - Capacitación - Conocimientos - Escolaridad - Experiencia profesional - Antigüedad - Historial de trabajo - Salario y conformación - Movimientos salariales - índice de rotación del personal - Programa de capacitación (vigente y capacitación dada en el último año) f) Por último, se deberá revisar el grado de cumplimiento de los documentos administrativos. - Normas y políticas - Planes de trabajo - Controles - Estándares - Procedimientos La información nos servirá para determinar: - Si las responsabilidades en la organización están definidas adecuadamente - Si la estructura organizacional está adecuada a las necesidades - Si el control organizacional es el adecuado - Si se tienen los objetivos y políticas adecuadas, se encuentran vigentes y están bien definidas - Si existe la documentación de las actividades, funciones y responsabilidades - Si los puestos se encuentran definidos y señaladas sus responsabilidades - Si el análisis y descripción de puestos está de acuerdo con el personal que los ocupa - Si se cumplen los lineamientos organizacionales - Si el nivel de salarios comparado con el mercado de trabajo - Si los planes de trabajo concuerdan con los objetivos de la empresa - Si se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operación o se cuenta con "indispensables" - Si se evalúan los planes y se determinan las desviaciones 6.2 Evaluación de la estructura orgánica Para lograr el objetivo de evaluación de la estructura orgánica se deberásolicitar el manual de organización de la dirección, el cual deberá comprender 59
    • como mínimo: - Organigrama con jerarquías - Funciones - Objetivos y políticas - Análisis, descripción y evaluación de puestos - Manual de procedimientos - Manual de normas - Instructivos de trabajo o guías de actividad También se deben solicitar: - Objetivos de la dirección - Políticas y normas de la dirección El director de informática y aquellas personas que tengan un cargo directivodeben llevar los cuestionarios sobre estructura orgánica, funciones, objetivos ypolíticas de los cuales se presenta un ejemplo. El cuestionario que se presenta a continuación tiene por objeto poderconocer en primer lugar la organización del departamento de informática y sudependencia dentro de la organización total. El departamento de informática básicamente puede estar dentro de algunode estos tipos de dependencia: a) Depende de alguna dirección o gerencia lo cual, normalmente, es la dirección de finanzas. Esto se debe a que inicialmente informática o departamento de procesamiento electrónico de datos, nombre con que se le conocía, procesaba principalmente sistemas de tipo contable, financiero o administrativo, por ejemplo, la contabilidad la nómina, ventas o facturación. El que informática dependa del usuario principal normalmente se da en estructuras pequeñas o bien que inician en el área de informática. La ventaja que tiene es que no se crea una estructura adicional para el área de informática y permite que el usuario principal tenga un mayor control sobre sus sistemas. La ventaja principal es que los otros usuarios son considerados como secundarios y normalmente no se les da la importancia y prioridad requerida; otra desventaja es que, como la información es poder, a veces hace que un área tenga un mayor poder. También, en ocasiones, sucede que el gerente o director del área usuaria del cual depende informática tiene muy poco conocimiento de informática; ello ocasiona que el jefe de informática cree una isla dentro de la gerencia y que acuerde directamente con otras gerencias usuarias, dando lugar a problemas con las líneas de autoridad. b) La segunda posibilidad es que la dirección de informática dependa de la gerencia general; esto puede ser en línea o bien en forma de asesoría. La ventaja de alguna de estas organizaciones es que el director de informática podrá tener un nivel adecuado dentro de la organización, lo cual le permitirá lograr una mejor comunicación con los departamentos usuarios y, por lo tanto, proporcionarles un mejor servicio y asignar las 60
    • prioridades de acuerdo con los lineamientos dados por la gerencia general. La desventaja es que aumentan los niveles de la organización, lo que elevará el costo de la utilización de los sistemas de computo. c) La tercera posibilidad es que estructuras muy grandes en la que hay bases de datos, redes o bien equipos en diferentes lugares. En esta estructura se considera la administración corporativa. La dirección de informática depende de la gerencia general, o de departamentos de informática dentro de las demás gerencias, las cuales reciben todas las normas, políticas, procedimientos y estándares de la dirección de informática, aunque funcionalmente dependan de la gerencia a la cual estás adscritas. Son controladas en cuanto a sus funciones y equipo en forma centralizada por la dirección de informática. Deben estar perfectamente definidas las funciones, organización y políticas de los departamentos para evitar la duplicidad de mando y el que en dos lugares diferentes se estén desarrollando los mismos sistemas o bien que sólo en un lugar se programe, y no se permita usar los equipos para programar en otro lugar que no sea la dirección de informática. Esto se puede dar en instalaciones que tengan equipo en varias ciudades o lugares, y para evitarlo se deben tener bien definidas las políticas y funciones de todas las áreas. La ventaja principal de esta organización consiste en que se puede tener centralizada la información (base de datos) y descentralizados los equipos; pero se debe tener una adecuada coordinación entre la dirección de informática y los departamentos de informática de las áreas usuarias para evitar duplicar esfuerzos o duplicidad de mando. d) La cuarta forma de organización es la creación de una compañía independiente que de servicio de informática a la organización.Cuestionario para conocer la estructura orgánica1.1 Bases jurídicas (principalmente en el sector público) ¿Se ajusta la estructura orgánica actual a las disposiciones jurídicas vigentes? No, ¿porqué razón?____________________________________________________________________________________________________________________________________ ¿Cuáles son los ordenamientos legales en que se sustenta la dirección?____________________________________________________________________________________________________________________________________ Objetivo de la estructura¿La estructura actual está encaminada a la consecución de los objetos del área?Explique en qué forma.__________________________________________________________________ 61
    • Permite la estructura actual que se lleven a cabo con eficiencia- Las atribuciones encomendadas? SI NO- Las funciones establecidas? SI NO- Las distribución del trabajo? SI NO- El control interno? SI NOSi algunas de las respuestas es negativa explique cuál es la razón__________________________________________________________________1.2 Niveles jerárquicos (es conveniente conocer los niveles jerárquicos para poderevaluar si son los necesarios y si bien están bien definidos).¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientespara el desarrollo de las actividades del área?¿Por qué o cuáles son sus recomendaciones?____________________________________________________________________________________________________________________________________Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente la: - Operación? - Supervisión?Los niveles actuales permiten que se tenga una ágil- Comunicación ascendente? SI NO- Comunicación descendente? SI NO- Toma de decisiones? SI NOSi alguna de las respuestas es negativa, explique cuál es la razón.__________________________________________________________________Se considera que algunas áreas debería tener- Mayor jerarquía? SI NO- Menor jerarquía? SI NOPor qué razón____________________________________________________________________________________________________________________________________1.3 DepartamentalizaciónSE consideran adecuados los departamentos, áreas y oficinas en que estádividida actualmente la estructura de la dirección? SI NONo, ¿por qué razón?______________________________________________________________________________________________________________________________________________________________________________________________________ 62
    • ¿El área y sus subáreas tienen delimitadas con claridad sus responsabilidades?SI NONo, ¿qué efectos provoca esta situación?____________________________________________________________________________________________________________________________________Puesto (se debe tener cuidado de que estén bien definidas las funciones de cadapuesto, ya que desafortunadamente existe mucha confusión en los nombres quese dan a los puestos dentro del medio de la informática).¿Los puestos actuales son adecuados a las necesidades que tiene el área parallevar a cabo sus funciones?SI NONo, ¿Por qué razón?______________________________________________________________________________________________________________________________________________________________________________________________________¿El número de empleados que trabajan actualmente es adecuado para cumplircon las funciones encomendadas?SI NOSolicite el manual de descripción de puestos de: - Análisis - Programación - Técnicos - Operación - Captura - Dirección - Administración - OtrosNOTA: (de la pregunta anterior). Pide la plantilla de personal.Especifique el número de personas que reportan a las personas que a su vezreportan a cada puesto. - Dirección - Subdirector - Jefes de departamento - Jefes de sección - Jedes de área¿El número de personas es el adecuado en cada uno de los puestos?SI NO¿Por qué?______________________________________________________________________________________________________________________________________________________________________________________________________ 63
    • No, ¿Cuál es el número de personal que consideraría adecuado? (señale elpuesto o los puestos)____________________________________________________________________________________________________________________________________1.4. Expectativas (dentro de las expectativas se pueden detectar, en algunasocasiones, deficiencias y frustraciones de las personas).¿Considera que debe revisarse la estructura actual, a fin de hacerla más eficiente?SI NOSi, ¿por qué razón?____________________________________________________________________________________________________________________________________¿Cuál es la estructura que propondría?____________________________________________________________________________________________________________________________________De realizar una modificación a la estructura, ¿cuándo considera que deberíahacerse?______________________________________________________________________________________________________________________________________________________________________________________________________1.5. Autoridad¿Se encuentra definida adecuadamente la línea de autoridad?SI NONo, ¿por qué razón?____________________________________________________________________________________________________________________________________¿Su autoridad va de acuerdo a su responsabilidad?SI NONo, ¿por qué razón?____________________________________________________________________________________________________________________________________¿En su área se han presentado conflictos por el ejercicio de la autoridad?SI NOSi, explique en que casos____________________________________________________________________________________________________________________________________¿Existe en el área algún sistema de sugerencias y quejas por parte del personal?SI NO 64
    • 2. Funciones (las funciones en informática pueden diferir de un organismo a otro,aunque se designen con el mismo nombre; por ejemplo, la función delprogramador en una organización puede ser diferente en otra organización).2.1. Existencia¿Se han establecido funciones del área?SI NONo, ¿Por que no?____________________________________________________________________________________________________________________________________¿Las funciones están de acuerdo con las atribuciones legales?Si NO¿Por qué no están de acuerdo?____________________________________________________________________________________________________________________________________sugerencias____________________________________________________________________________________________________________________________________¿Están por escrito en algún documento las funciones del área?SI NO¿Cuál es la causa de que no estén por escrito?____________________________________________________________________________________________________________________________________¿Cuál es la forma de darlas a conocer?____________________________________________________________________________________________________________________________________¿Quién elaboró las funciones?____________________________________________________________________________________________________________________________________¿Participó el área en su formulación?SI NO¿Por qué causas no participó?____________________________________________________________________________________________________________________________________¿Quién las autorizó o aprobó?____________________________________________________________________________________________________________________________________2.2 Coincidencias (se debe tener cuidado en que se conozcan las funciones delárea). 65
    • ¿Las funciones están encaminadas a la consecución de los objetivosinstitucionales e internos?SI NO¿Por qué no?____________________________________________________________________________________________________________________________________Sugerencias____________________________________________________________________________________________________________________________________¿Las funciones del área están acordes al reglamento interior?SI NONo, ¿en qué considera que difieren?____________________________________________________________________________________________________________________________________¿A qué nivel se conocen las funciones del área?____________________________________________________________________________________________________________________________________¿Conocen otras áreas las funciones del área?SI NO¿Por qué no?____________________________________________________________________________________________________________________________________¿Considera que se deben dar a conocer?SI NO¿Por qué no?__________________________________________________________________2.3 Adecuadas (debemos tener cuidado ya que en esta área podemos detectarmalestares del personal debido a que como las funciones no son adecuadas a lasnecesidades, pueden existir problemas de definición de funciones o bien decargas de trabajo).¿Son adecuadas a la realidad las funciones?SI NO¿Por qué no son adecuadas?____________________________________________________________________________________________________________________________________¿Son adecuadas a las necesidades actuales?SI NO¿Por qué no?____________________________________________________________________________________________________________________________________¿Cuáles son sus principales limitaciones?____________________________________________________________________________________________________________________________________ 66
    • Sugerencias____________________________________________________________________________________________________________________________________¿Están adecuadas a las cargas de trabajo?SI NO¿Existen conflictos por las cargas de trabajo desequilibradas?SI NO¿De qué tipo?____________________________________________________________________________________________________________________________________¿Se tiene contemplada la desconcentración?SI NO¿Por que no?___________________________________________________________________________________________________________________________________¿Cómo afecta la desconcentración a las funciones?____________________________________________________________________________________________________________________________________¿Qué funciones se van a desconcentrar?____________________________________________________________________________________________________________________________________¿Participó la de informática en su elaboración?SI NO¿Por qué no?____________________________________________________________________________________________________________________________________2.4 Cumplimiento (esta sección nos sirve para evaluar el grado de cumplimientode las funciones)¿Están delimitadas las funciones?SI NO¿A nivel de departamento? ¿A nivel de puesto?No, ¿por que?____________________________________________________________________________________________________________________________________¿Las actividades que realiza son acordes a las funciones que tiene asignadas?SI NONo, ¿qué tipo de actividades realiza que no están acordes a las funcionesasignadas?____________________________________________________________________________________________________________________________________¿Cuál es la causa?____________________________________________________________________________________________________________________________________¿Quién las ordena?____________________________________________________________________________________________________________________________________ 67
    • ¿Las actividades que realiza actualmente cumplen en su totalidad con lasfunciones conferidas?SI NONo, ¿cuál es su grado de cumplimiento?____________________________________________________________________________________________________________________________________La falta de cumplimiento de sus funciones es por:( ) Falta de personal( ) Personal no capacitado( ) Cargas de trabajo excesivas( ) Porque realiza otras actividades( ) La forma en que las ordena¿Cuáles funciones realiza en forma:Periódica?__________________________________________________________________Eventual?__________________________________________________________________Sistemática?__________________________________________________________________Otras?__________________________________________________________________¿Tienen programas y tareas encomendadas?SI NONo, ¿por qué?__________________________________________________________________¿Permiten cumplir con los programas y tareas encomendadas (necesidades deoperación)?SI NONo, ¿por qué causas?__________________________________________________________________¿Quién es el responsable de ordenar que se ejecuten las actividades?__________________________________________________________________En caso de realizar otras actividades, ¿quién las ordena y autoriza?__________________________________________________________________En caso de no encontrarse el jefe inmediato, ¿quién lo puede realizar?__________________________________________________________________2.5 Apoyos¿Para cumplir con sus funciones requiere de apoyos de otras áreas?SI NOSí, ¿de qué tipo?__________________________________________________________________¿Cuál es el área que proporciona el apoyo?__________________________________________________________________ 68
    • ¿Se lo proporcionan con oportunidad?SI NONo, ¿qué le ocasiona?__________________________________________________________________No, ¿cómo resuelve esa falta de apoyo?__________________________________________________________________¿Con qué frecuencia lo solicita?__________________________________________________________________Para cumplir con sus funciones, ¿proporciona apoyos a otras áreas?SI NOSi, ¿qué tipo de apoyo proporciona?__________________________________________________________________¿A cuántas áreas?__________________________________________________________________¿Cuáles son?__________________________________________________________________2.6 Duplicidad¿Existe duplicidad de funciones en la misma área?SI NOSi, ¿qué conflictos ocasiona y cuáles funciones?__________________________________________________________________¿Existe duplicidad de funciones en otras áreas?SI NOSi, ¿cuáles y dónde?__________________________________________________________________¿Qué conflictos ocasiona?__________________________________________________________________¿La duplicidad de funciones se debe a que el área no puede realizarlas?SI NOSi, ¿cuáles la razón?__________________________________________________________________No, ¿cuál es su opinión al respecto?__________________________________________________________________¿Se pueden eliminar funciones?SI NOSi, ¿cuáles?__________________________________________________________________¿Se pueden transferir funciones?SI NOSi, ¿cuáles y adónde?__________________________________________________________________¿Permite la duplicidad que se dé el control interno?SI NO 69
    • No, ¿porqué?__________________________________________________________________3. Objetivos(Uno de los posibles problemas o descontentos que puede tener el personal es eldesconocimiento de los objetivos de la organización, lo cual puede ser debido auna falta de definición de los objetivos y provoca que no se pueda tener unaplaneación adecuada).3.1 Existencia¿Se han establecido objetivos para el área?SI NO¿Quién los estableció?__________________________________________________________________¿Cuál fue el método para el establecimiento de los objetivos?__________________________________________________________________¿Participó el área en su establecimiento?SI NO¿Cuáles fueron las principales razones de la selección de los objetivos?__________________________________________________________________¿Los objetivos establecidos son congruentes con:- Los de la dirección? SI NO- Los de la subdirección? SI NO- Los del departamento/ oficina? SI NO- Los de otros departamentos/oficinas? SI NO¿Por qué no se han establecido objetivos para el área?__________________________________________________________________¿Nadie le exige establecerlos? SI NO¿Considera importante que se establezcan? SI NO¿Es responsabilidad de otra área establecer los objetivos? SI NO¿Cuál?__________________________________________________________________¿De qué manera planea el trabajo del área?__________________________________________________________________¿Cómo afecta la operación del área el no tener establecidos los objetivos?__________________________________________________________________3.2 Formales¿Se han definido por escrito los objetivos del área? SI NO¿En qué documento? (recabar)¿Por qué no están definidos por escrito?__________________________________________________________________ 70
    • ¿Qué problemas se han derivado de esta situación?__________________________________________________________________Conocimiento¿Se han dado a conocer los objetivos? SI NO¿A quién se han dado a conocer?__________________________________________________________________¿Quién mas debería conocerlos?__________________________________________________________________¿Qué método se ha utilizado para dar a conocer los objetivos?__________________________________________________________________¿Por qué no se han dado a conocer los objetivos?__________________________________________________________________¿Considera importante que los conozca el personal? SI NO¿Cómo afecta la operación del área el hecho de que los objetivos no se hayandado a conocer o que su conocimiento sea parcial?__________________________________________________________________3.3 Adecuados¿Abarcan los objetivos toda la operación del área? SI NO¿Qué aspectos no se cubren?__________________________________________________________________¿Los objetivos son claros y precisos? SI NO¿Son realistas? SI NO¿Se pueden alcanzar? SI NO¿Por qué?__________________________________________________________________¿Están de acuerdo con las funciones del área? SI NO¿Señalan cuales son las realizaciones esperadas? SI NO¿Son congruentes con los objetivos institucionales? SI NO¿Sirven de guía al personal? SI NO¿Sirven para motivar al personal? SI NO¿Se han establecido para el corto, mediano y largo plazo? SI NO¿Qué adecuaciones puede sugerir para los objetivos actuales?__________________________________________________________________3.4 Cumplimiento¿En qué grado se cumplen los objetivos?__________________________________________________________________¿Existen mecanismos para conocer el grado de cumplimiento de los objetivos?SI NOSí, ¿cuáles?__________________________________________________________________ 71
    • No, ¿de qué manera se establece el grado de cumplimiento?__________________________________________________________________¿Se elabora algún reporte sobre el grado de avance en el cumplimiento de losobjetivos?SI NO¿Para quién y con qué frecuencia (recabar)__________________________________________________________________¿Quién elabora este reporte?__________________________________________________________________¿Qué se hace en caso de desviación en el cumplimiento de los objetivos?__________________________________________________________________¿Qué sugerencia puede hacer para lograr el cumplimiento total de los objetivos?__________________________________________________________________3.5 Actualización¿Se revisan los objetivos?SI NO¿Por sistema?SI NO¿Quién revisa los objetivos?__________________________________________________________________¿De qué manera se lleva a cabo la revisión?__________________________________________________________________¿Participa el área en la actualización de los objetivos?SI NO¿Cuándo se hizo la última revisión de los objetivos?__________________________________________________________________¿De qué manera se incorporan las modificaciones derivadas de las revisiones?__________________________________________________________________¿Por qué no se revisan los objetivos?__________________________________________________________________¿Que sugerencias tiene para que la actualización de los objetivos sea más eficaz?__________________________________________________________________4. Análisis de organizaciones Dentro de la estructura organizacional de la dirección de informática noexiste una evaluación concreta y aceptada de las funciones de informática. Lasfunciones que en una organización son consideradas como de programadores enotra pueden ser de analista o de analista programador, y en algunasorganizaciones se han dividido ciertas funciones con diferentes niveles; porejemplo, programador A, programador B, programador C. Esto ha dado por resultado, que al no existir una definición clara de losniveles, funciones y conocimientos se haya tomado para que las personas se 72
    • designen con el título que ellos consideren pertinente; por ejemplo, ingeniero ensistemas (sin haber obtenido el grado), analista de sistemas o bien que en algunospaíses existan escuelas que confieran grados académicos que no son reconocidosoficialmente. Al analizar las organizaciones debemos tener muy en cuenta si estándefinidas las funciones y la forma de evaluar a las personas que ingresan a losdiferentes niveles de la organización. Si no existe un organigrama en la organización, el auditor debe elaboraruno que muestre el actual plan de organización, ya que facilita el estudio y da unaimagen general de la organización. Criterios para analizar organigramas: a) Agrupar funciones similares y relacionarlas entre sí. b) Agrupar funciones que sean compatibles. c) Localizar la actividad cerca de la función a la que sirva. d) Localizar la actividad cerca o dentro de la función mejor preparada para realizarla. e) No asignar la misma función a dos personas o entidades diferentes. f) Separar las funciones de control y aquellas que serán objeto del mismo. g) Ningún puesto debe tener dos o más líneas de dependencia jerárquica. h) El tramo de control no debe ser exagerado, ni muy numerosos los niveles jerárquicos. Cuando se estudia la estructura orgánica es importante hacer algunasanotaciones sobre las tareas asignadas a cada puesto y responder las siguientespreguntas: ¿Existen líneas de autoridad justificadas? ¿Hay una extralimitación defunciones? ¿Hay demasiada supervisión de funcionarios? ¿Es excesiva lasupervisión en general? ¿Hay agrupamientos ilógicos en las unidades? ¿Hayuniformidad en las asignaciones? 6.3 Evaluación de los recursos humanos Se deberá obtener información sobre la situación del personal del área,para lo cual se puede utilizar la tabla de recursos humanos y la tabla deproyección de recursos humanos. Se presenta un ejemplo de cuestionario para obtener información sobre lossiguientes aspectos: - Desempeño y comportamiento - Condiciones de trabajo - Ambiente - Organización en el trabajo - Desarrollo y motivación - Capacitación - Supervisión 73
    • Cuestionario para evaluar los recursos humanos1. Desempeño y cumplimiento¿Es suficiente el número de personal para el desarrollo de las funciones del área?SI NO¿Se deja de realizar alguna actividad por falta de personal?SI NO¿Está capacitado el personal para realizar con eficacia sus funciones?SI NO¿Porqué no?__________________________________________________________________¿Es eficaz en el cumplimiento de sus funciones?SI NO¿Por qué no?__________________________________________________________________¿Es adecuada la calidad del trabajo del personal?SI NO¿Porqué no?__________________________________________________________________¿Es frecuente la repetición de los trabajos encomendados?SI NO¿El personal es discreto en el manejo de información confidencial?SI NONO, repercusiones__________________________________________________________________En general, ¿acata el personal las políticas, sistemas y procedimientosestablecidos?SI NO¿Por qué no?__________________________________________________________________¿Alguna de las situaciones anteriores provoca un desequilibrio de las cargas detrabajo?SI NOSi, ¿que se hace al respecto?__________________________________________________________________¿Respeta el personal la autoridad establecida?SI NO¿Por qué no?__________________________________________________________________ 74
    • ¿Existe cooperación por parte del personal para la realización del trabajo?SI NO¿Por qué no?__________________________________________________________________¿El personal tiene afán de superación?SI NO¿Presenta el personal sugerencias para mejorar el desempeño actual?SI NO¿Cómo considera las sugerencias?__________________________________________________________________¿Qué tratamiento se les da?__________________________________________________________________¿Se toman en cuenta las sugerencias de los empleados? SI NO¿En qué forma?__________________________________________________________________¿Cómo se les da respuesta a las sugerencias?__________________________________________________________________2. Capacitación (uno de los puntos que se deben evaluar con más detalle dentrodel área de informática es la capacitación; esto se debe al proceso cambiante y aldesarrollo de nuevas tecnologías en el área). Los programas de capacitación incluyen al personal de: Dirección ( ) Análisis ( ) Programación ( ) Operación ( ) Administración ( ) Captura ( ) Otros (especifique) ( )¿Se han identificado las necesidades actuales y futuras de capacitación delpersonal del área?SI NO¿Por qué no?__________________________________________________________________¿Se desarrollan programas de capacitación para el personal del área?SI NO¿Por qué?__________________________________________________________________¿Apoya la superioridad la realización de estos programas?SI NO¿Se evalúan los resultados de los programas de capacitación?SI NONo, ¿por qué?__________________________________________________________________Solicite el plan de capacitación para el presente año. 75
    • 3. Supervisión¿Cómo se lleva a cabo la supervisión del personal?__________________________________________________________________¿Porqué no se realiza?__________________________________________________________________¿Cómo se controlan el ausentismo y los retardos del personal?__________________________________________________________________¿Por qué no se llevan controles?__________________________________________________________________¿Cómo se evalúa el desempeño del personal?__________________________________________________________________¿Por qué no se evalúa?__________________________________________________________________¿Cuál es la finalidad de la evaluación del personal?__________________________________________________________________4. Limitantes¿Cuáles son los principales factores internos que limitan el desempeño delpersonal?__________________________________________________________________¿Cuáles son los principales factores externos que limitan el desempeño delpersonal del área?__________________________________________________________________¿Cuál es el índice de rotación de personal en: - Análisis - Operación - Administración - Captura - Programación - Dirección - Técnicos - Otros (especifique)En términos generales, ¿se adapta el personal al mejoramiento administrativo(resistencia al cambio)?SI NO¿Cuál es el grado de disciplina del personal?__________________________________________________________________¿Cuál es el grado de asistencia y puntualidad del personal?__________________________________________________________________ 76
    • ¿Existe una política uniforme y consistente para sancionar la indisciplina delpersonal?SI NO¿Se lleva a efecto esta política?SI NO¿Puede el personal presentar quejas y/o problemas?SI NOSí, ¿cómo se soluciona?__________________________________________________________________¿Otras áreas externas presentan quejas sobre la capacidad y/o atención delpersonal del área?SI NO¿Qué tratamiento se les da?__________________________________________________________________¿Cómo se otorgan los ascensos, promociones y aumentos salariales?__________________________________________________________________¿Cómo se controla las faltas y ausentismos?__________________________________________________________________¿Cuáles son las principales causas de faltas y ausentismo?__________________________________________________________________5. Condiciones de trabajo (para poder trabajar se requiere que se tenga una adecuada área de trabajo, con mayor razón en un área donde se debe hacer un trabajo de investigación e intelectual).¿Conoce el reglamento interior de trabajo el personal del área? SI NO¿Se apoyan en él para solucionar los conflictos laborales? SI NONo, ¿por qué?__________________________________________________________________¿Cómo son las relaciones laborales del área con el sindicato?__________________________________________________________________¿Se presentan problemas con frecuencia?SI NOSi ¿en qué aspectos?__________________________________________________________________¿Cómo se resuelven?__________________________________________________________________6. Remuneraciones (normalmente las personas están inconformes con su remuneración; es importante evaluar que tan cierta es esta inconformidad o si está dada por otros malestares pero son señalados como inconformidad en las remuneraciones, o bien puede deberse a que se desconoce cómo se evalúa a la persona para poder darle una mejor remuneración). 77
    • ¿Está el personal adecuadamente remunerado con respecto a:Trabajo desempeñado? SI NOPuestos similares en otras organizaciones? SI NOPuestos similares en otras áreas? SI NOSi, ¿cómo repercute?__________________________________________________________________No, ¿cómo repercute?__________________________________________________________________Conseguir información sobre los sueldos de los mismos niveles en otrasorganizaciones.Ambiente (el ambiente en el área de informática principalmente en programaciónes muy importante para lograr un adecuado desarrollo).¿El personal está integrado como grupo de trabajo?SI NONo, ¿por qué?__________________________________________________________________¿Cuál es el grado de convivencia del personal?__________________________________________________________________¿Cómo se aprovecha esto para mejorar el ambiente de trabajo?__________________________________________________________________¿Son adecuadas las condiciones ambientales con respecto a:Espacio del área? SI NOIluminación? SI NOVentilación? SI NOEquipo de oficina? SI NOMobiliario? SI NORuido? SI NOLimpieza y/o aseo? SI NOInstalaciones sanitarias? SI NOInstalaciones de comunicación? SI NO7. Organización del trabajo¿Participa en la selección del personal?SI NONo, ¿Por qué?__________________________________________________________________¿Qué repercusiones tiene?__________________________________________________________________¿Se prevén las necesidades?__________________________________________________________________ 78
    • ¿En cantidad? SI NO¿En calidad? SI NONo, ¿por qué?__________________________________________________________________¿Está prevista la sustitución del personal clave?__________________________________________________________________No, ¿Por qué?__________________________________________________________________8. Desarrollo y motivación¿Cómo se lleva a cabo la introducción y el desarrollo del personal del área?__________________________________________________________________¿Por qué no se realiza?__________________________________________________________________¿Cómo se realiza la motivación del personal del área?__________________________________________________________________¿Cómo se estimula y se recompensa al personal del área?__________________________________________________________________¿Existe oportunidad de ascensos y promociones?__________________________________________________________________¿Qué política hay al respecto?__________________________________________________________________ 6.4 Entrevistas con el personal de informática Se deberán efectuar entrevistas con el personal de procesamiento dedatos, para lo cual pueden entrevistarse a un grupo de personas elegidas yseñalará además que quienes deseen externar sus opiniones lo podrán hacer endeterminado lugar y hora (en algunos casos es conveniente señalar un númerotelefónico para poder hacer la reunión fuera de la dirección de informática y hayque solicitar que las opiniones sean debidamente fundamentadas). Ello nos servirá para determinar: 1. Grado de cumplimiento de la estructura organizacional administrativa. 2. Grado de cumplimiento de las políticas y los procedimientos administrativos. 3. Satisfacción e insatisfacción. 4. Capacitación. 5. Observaciones generales. 79
    • Guía de entrevista 1. Nombre del puesto 2. Puesto del jefe inmediato 3. Puestos a que reporta 4. Puestos de las personas que reportan al entrevistado 5. Número de personas que reportan al entrevistado 6. Describa brevemente las actividades diarias de su puesto 7. Actividades periódicas 8. Actividades eventuales 9. ¿Con qué manuales cuenta para el desempeño de su puesto? 10. ¿Cuáles políticas se tienen establecidas para el puesto? 11. Señale las lagunas que considere que existen en la organización 12. En caso de que el entrevistado mencione cargas de trabajo, ¿cómo las establece? 13. ¿Cómo las controla? 14. ¿Cómo se deciden las políticas que han de implantarse? 15. ¿Cómo recibe las instrucciones de los trabajos encomendados? 16. ¿Con qué frecuencia recibe capacitación y de qué tipo? 17. ¿Sobre qué tema le gustaría recibir capacitación? 18. Mencione la capacitación obtenida y dada a su personal durante el último año 19. Observaciones NOTA: En caso de que sea una entrevista solicitada por el personal deinformática, tiene que ser confidencial y no podrán solicitarse las preguntasiniciales. El entrevistado deber hablar abiertamente fundamentando sus opinionesy comentarios. 6.5 Situación presupuestal y financiera 6.5.1. Presupuestos. Obtención y análisis de la situación presupuestal del departamento. Se obtendrá información presupuestal y financiera del departamento, asícomo número de equipos y características para hacer un análisis de su situacióndesde un punto de vista económico. 1. Costos del departamento, desglosado por áreas y controles. 2. Presupuesto del departamento, desglosado por áreas. 3. Características de los equipos, número de ellos y contratos. NOTA: Se deberán pedir los costos, presupuestos y características de losequipos señalados en los puntos 1, 2 y 3 además de contestar el cuestionario. 80
    • Cuestionarlo para la situación presupuestal1. Cuál es el gasto total anual aproximado del área de informática incluyendo venta del equipo y administración del centro de cómputo (gastos directos o indirectos).2. ¿Existe un sistema de contabilidad de costos por: Usuario? ( ) Por aplicación? ( )3. ¿Conocen los usuarios los costos de sus aplicaciones? Si( ) NO( )4. ¿Los reportes de costo permiten la comparación de lo gastado en la dirección de informática contra lo presupuestado? SI( ) NO( )5. Cite a los principales proveedores de su dirección en materia de: Proveedor Volumen Anual Mobiliario en general Papelería Cintas, discos6. ¿Cuáles cargos adicionales se manejan por separado fuera del contrato? Utilización del equipo Servicio de mantenimiento Capacitación del personal Asesoría en sistemas de cómputo Gastos de instalación del equipo impuestos federales, estatales, municipales y especiales Seguros de transporte y compra de equipo Otros especifíquelos7. ¿Cuál es la situación jurídica del equipo? 1). Compra del equipo ( ) 2). Renta del equipo ( ) 3). Renta con opción a compra ( ) 4). Renta de tiempo máquina ( ) 5). Maquila ( ) 6). Otro, ¿cuál? ( )Recursos financierosFormulación¿Quién interviene en la formulación del presupuesto del área?¿Se respetan los planteamientos presupuéstales del área?SI NONo, ¿en qué partidas no se ha respetado y en qué monto? 81
    • Adecuación¿Los recursos financieros con que cuenta el área son suficientes para alcanzar losobjetivos y metas establecidos?SI NONo, ¿qué efectos se han tenido en el área al no contar con suficientes recursosfinancieros?Recursos materialesProgramación¿Existe un programa sobre los requerimientos del área?SI NO¿Qué personas del área intervienen en su elaboración?¿Se respetan los planteamientos del área?SI NONo, ¿en qué aspectos no se respetan?Adecuación¿Los recursos materiales se le proporcionan al área, son suficientes para cumplircon las funciones encomendadas?SI NONo, ¿en qué no son suficientes?¿Los recursos materiales se proporcionan oportunamente?SI NO¿Cuáles son las principales limitaciones que tiene el área en cuanto a los recursosmateriales?¿Qué sugerencias haría para superar las limitaciones actuales?Servicios generales¿Existe un programa sobre los servicios generales que requiere el área?SI NOLos servicios generales que se proporcionan al área, ¿los considera:Adecuados? SI NOSuficientes? SI NOOportunos? SI NOEn caso de que alguna de las respuestas sea negativa especifique cuál es ladeficiencia¿Qué sugerencias haría para superar las limitaciones actuales?Mobiliario y equipo¿Se cuenta con el equipo y mobiliario adecuados y en cantidad suficiente para 82
    • desarrollar su trabajo?SI NO¿Por qué?¿Están adecuadamente distribuidos en el área de trabajo?¿Actualmente se están dejando de realizar actividades por falta de material yequipo?SI NO¿Qué se hace para solucionar este problema?¿Conoce esta situación el jefe de la unidad?¿Qué medidas se han tomado?¿Existe el servicio de mantenimiento del equipo?¿Existen medidas de seguridad?SI NO¿Cuáles?¿Por qué?¿Qué se hace con el equipo en desuso?¿Sobre quién recae la responsabilidad del equipo?¿Con qué frecuencia se renuevan el equipo y mobiliario?¿Se recogen opiniones y sugerencias que nos permitan establecer las medidascorrectivas con las cuales lograr un mejor funcionamiento de estos recursos? 83
    • __________________________________________________________________ 7Evaluación de los sistemas [1; pág. 52-74] 7.1 Evaluación de sistemas La elaboración de sistemas debe ser evaluada con mucho detalle, para locual se debe revisar si existen realmente sistemas entrelazados como un todo obien si existen programas aislados. Otro de los factores a evaluar es si existe unplan estratégico para la elaboración de los sistemas o si se están elaborando sin eladecuado señalamiento de prioridades y de objetivos. El plan estratégico deberá establecer los servicios que se prestarán en unfuturo contestando preguntas como las siguientes: a) ¿Cuáles servicios se implementarán? b) ¿Cuándo se pondrán a disposición de los usuarios? c) ¿Qué características tendrán? d) ¿Cuántos recursos se requerirán? La estrategia de desarrollo deberá establecer las nuevas aplicaciones yrecursos que proporcionará la dirección de informática y la arquitectura en queestarán fundamentados. - ¿Qué aplicaciones serán desarrolladas y cuándo? - ¿Qué tipo de archivos se desarrollarán y cuándo? - ¿Qué bases de datos serán desarrolladas y cuándo? - ¿Qué lenguajes se utilizarán y en qué software? - ¿Qué tecnología será utilizada y cuándo se implementará? - ¿Cuántos recursos se requerirán aproximadamente? - ¿Cuál es aproximadamente el monto de la inversión en hardware y software? En lo referente a la consulta a los usuarios, el plan estratégico debe definirlos requerimientos de información de la organización. - ¿Qué estudios van a ser realizados al respecto? - ¿Qué metodología se utilizará para dichos estudios? - ¿Quién administrará y realizará estos estudios? 84
    • En el área de auditoria interna debe evaluarse cuál ha sido la participacióndel auditor y los controles establecidos. Por último, el plan estratégico determina la planeación de los recursos. - ¿Contempla el plan estratégico las ventajas de la nueva tecnología? - ¿Cuáles serán los conocimientos requeridos por los recursos humanos planeados? - ¿Se contemplan en la estructura organizacional los nuevos niveles jerárquicos requeridos por el plan estratégico? - ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios? El proceso de planeación de sistemas deberá asegurarse de que todos losrecursos requeridos estén claramente identificados en el plan de desarrollo deaplicaciones y datos. Estos recursos (hardware, software y comunicaciones)deberán ser compatibles con la estrategia de la arquitectura de la tecnología, conque se cuenta actualmente. Para identificar los problemas de los sistemas primero debemos detectarlos síntomas, los cuales son un reflejo del área problemática; y después deanalizar los síntomas podremos definir y detectar las causas, parte medular de laauditoría. Debemos aprender a reunir todos los síntomas y a distinguirlos antes deseñalar las causas, evitando tomar los síntomas como causas y dejando fueratodo lo que es rumores sin fundamento. Los sistemas debemos evaluarlos de acuerdo con el ciclo de vida quenormalmente siguen: 1) requerimientos del usuario, 2) estudio de factibilidad, 3) diseño general, 4) análisis, 5) diseño lógico, 6) desarrollo físico, 7) pruebas, 8) implementación, 9) evaluación, 10) modificaciones, 11) instalación, 12) mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar conel de factibilidad. La primera etapa a evaluar del sistema es el estudio de factibilidad, el cualdebe analizar si el sistema es susceptible de realizarse, cuál es su relacióncosto/beneficio y si es conductualmente favorable. Se deberá solicitar el estudio de factibilidad de los diferentes sistemas quese encuentren en operación, así como los que estén en la fase de análisis paraevaluar si se considera la disponibilidad y características del equipo, los sistemasoperativos y lenguajes disponibles, las necesidades de los usuarios, las formas deutilización de los sistemas, el costo y los beneficios que reportará el sistema, el 85
    • efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre elsistema, y la congruencia de los diferentes sistemas. En el caso de sistemas que estén funcionando, se deberá comprobar siexiste el estudio de factibilidad con los puntos señalados, y comparará con larealidad lo especificado en el estudio de factibilidad. Por ejemplo, en un sistema que el estudio de factibilidad señalódeterminado costo y una serie de beneficios de acuerdo con las necesidades delusuario, debemos comparar cuál fue su costo real y evaluar si se satisficieron lasnecesidades indicadas como beneficios del sistema. Para investigar el costo de un sistema se debe considerar, con unaexactitud razonable, el costo de los programas, el uso de los equipos(compilaciones, programas, pruebas, paralelos), tiempo, personal y operación,cosa que en la práctica son costos directos, indirectos y de operación. Los beneficios que justifiquen el desarrollo de un sistema pueden ser elahorro en los costos de operación, la reducción del tiempo de proceso de unsistema, mayor exactitud, mejor servicio, una mejoría en los procedimientos decontrol, mayor confiabilidad y seguridad. Entre los problemas mas comunes en los sistemas están los siguientes 1. Falta de estándares en el desarrollo, en el análisis y la programación. 2. Falta de participación y de revisión por parte de la alta gerencia. 3. Falta de participación de los usuarios. 4. Inadecuada especificación del sistema al momento de hacer el diseño detallado. 5. Deficiente análisis costo/beneficio. 6. Nueva tecnología no usada o usada incorrectamente. 7. Inexperiencia por parte del personal de análisis y del de programación. 8. Diseño deficiente. 9. Proyección pobre de la forma en que se realizará el sistema. 10. Control débil o falta de control sobre las fases de elaboración del sistema y sobre el sistema en sí. 11. Problemas de auditoría. 12. Inadecuados procedimientos de seguridad, de recuperación y de archivos. 13. Falta de integración de los sistemas (elaboración de sistemas aislados programas que no están unidos como sistemas). 14. Documentación inadecuada o inexistente. 15. Dificultad de dar mantenimiento al sistema, principalmente por falta de documentación o excesivos cambios y modificaciones hechos al sistema. 16. Problemas en la conversión e implementación. 17. Procedimientos incorrectos o no autorizados. 7.2 Evaluación del análisis En esta etapa se evaluarán las políticas, procedimientos y normas que se 86
    • tienen para llevar a cabo el análisis Se deberá evaluar la planeación de las aplicaciones que pueden provenirde tres fuentes principales. 1. La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre si y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la organización, independientemente de los recursos que impliquen su desarrollo y justificación en el momento de la planeación. 2. Los requerimientos de los usuarios. 3. El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron. La situación de una aplicación en dicho inventario puede ser alguna de lassiguientes a) Planeada para ser desarrollada en el futuro. b) En desarrollo. c) En proceso, pero con modificaciones en desarrollo. d) En proceso con problemas detectados. e) En proceso sin problemas. f) En proceso esporádicamente. NOTA: Se deberá documentar detalladamente la fuente que generó lanecesidad de la aplicación. La primera parte será evaluar la forma en que seencuentran especificadas las políticas, los procedimientos y los estándares deanálisis, si es que se cumplen y si son los adecuados para la organización. Es importante revisar la situación en que se encuentran los manuales deanálisis y si están acordes con las necesidades de la organización. En algunasocasiones se tiene una microcomputadora, con sistemas sumamente sencillos yse solicita que se lleve a cabo una serie de análisis que después hay que plasmaren documentos señalados en los estándares, lo cual hace que esta fase sea muycompleja y costosa. Los sistemas y su documentación deben estar acordes conlas características y necesidades de una organización específica. Se debe evaluar la obtención de datos sobre la operación, flujo, nivel,jerarquía de la información que se tendrá a través del sistema, así como suslímites e interfases con otros sistemas. Se han de comparar los objetivos de lossistemas desarrollados con las operaciones actuales, para ver si el estudio de laejecución deseada corresponde al actual. La auditoría en informática debe evaluar los documentos y registros usadosen la elaboración del sistema, así como todas las salidas y reportes, la descripciónde las actividades de flujo de la información y de procedimientos, los archivosalmacenados, su uso y su relación con otros archivos y sistemas, su frecuencia deacceso, su conservación, su seguridad y control, la documentación propuesta, lasentradas y salidas del sistema y los documentos fuentes a usarse. 87
    • Con la información obtenida podremos contestar a las siguientes preguntas:1. ¿Se está ejecutando en forma correcta y eficiente el proceso de información?2. ¿Puede ser simplificado para mejorar su aprovechamiento?3. ¿Se debe tener una mayor interacción con otros sistemas?4. ¿Se tiene propuesto un adecuado control y seguridad sobre el sistema?5. ¿Está en el análisis la documentación adecuada? 7.3 Evaluación del diseño lógico del sistema En esta etapa se deberán analizar las especificaciones del sistema. ¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, secuencia y ocurrencia delos datos, el proceso y la salida de reportes Una vez que hemos analizado estas partes, se deberá estudiar laparticipación que tuvo el usuario en la identificación del nuevo sistema, laparticipación de auditoría interna en el diseño de los controles y la determinaciónde los procedimientos de operación y decisión. Al tener el análisis del diseño lógico del sistema debemos compararlo con loque realmente se está obteniendo: como en el caso de la administración en la cualdebemos evaluar lo planeado, cómo fue planeado y lo que realmente se estáobteniendo. Los puntos a evaluar son: a) Entradas b) Salidas c) Procesos d) Especificaciones de datos e) Especificaciones de proceso f) Métodos de acceso g) Operaciones h) Manipulación de datos (antes y después del proceso electrónico de datos) i) Proceso lógico necesario para producir informes identificación de archivos, tamaño de los campos y registros Proceso en línea o lote y su justificación j) Frecuencia y volúmenes de operación k) Sistemas de seguridad I) Sistemas de control m) Responsables n) Número de usuariosDentro del estudio de los sistemas en uso se deberá solicitar: 1) Manual del usuario 2) Descripción de flujo de información 3) Descripción y distribución de información 88
    • 4) Manual deformas 5) Manual de reportes 6) Lista de archivos y especificaciónLo que debemos determinar en el sistema: • En el procedimiento: ¿Quién hace, cuándo y cómo? ¿Qué formas se utilizan en el sistema? ¿Son necesarias, se usan, están duplicadas? ¿El número de copias es el adecuado? ¿Existen puntos de control o faltan? • En la gráfica de flujo de información: ¿Es fácil de usar? ¿Es lógica? ¿Se encontraron lagunas? ¿Hay faltas de control? • En las formas de diseño: ¿Cómo está usada la forma en el sistema? ¿Qué tan bien se ajusta la forma al procedimiento? ¿Cuál es el propósito, por qué se usa? ¿Se usa y es necesaria? ¿El número de copias es el adecuado? ¿Quién lo usa?Lo que debemos revisar en las formas de diseño:Numeración. ¿Está numerada la forma? ¿Es necesaria su numeración? ¿Está situada en un solo lugar fácil de encontrar? ¿Cómo se controlan las hojas numeradas y su utilización?Título. ¿Da el título de la forma una idea clara sobre su función básica?Espacio. Si la forma está mecanografiada: ¿hay suficiente espacio para escribir con máquina rápidamente, conexactitud y eficiencia? Si la forma se llena a mano: ¿hay el espacio adecuado para que se escriba en forma legible?Tabulación. Si la forma está mecanografiada: ¿permite su tabulación llenarla uniformemente? ¿Es la tabulación la mínima posible? 89
    • Una excesiva tabulación disminuye la velocidad y eficiencia para llenarla.Además le da una apariencia desigual y confusa. Zonas. ¿Están juntos los datos relacionados entre sí? Si los datos similares están agrupados por zonas, todas las personas queusan la forma ahorran tiempo. La información similar reunida por zonas, hace másfácil su referencia, se mecanografía más eficientemente y se revisa con másrapidez. Posteriormente se debe verificar que las zonas de las formas que seanutilizadas para captura estén situadas de manera congruente con el diseño de laspantallas de captura. Rayado. ¿Da la forma una apariencia desordenada y difícil de entender por el usoconfuso y excesivo de líneas delgadas, gruesas o de doble raya? Instrucciones. ¿Le dice la forma al usuario cómo debe llenarla? Formas autoinstructivas o que suministran la información de cómo llenarlaspermiten que el personal nuevo y los otros trabajen con supervisión y erroresmínimos. De no ser así existe un manual de llenado de formas, se debe revisar silas instrucciones son claras, si son congruentes con la forma y si son excesivas,ya que un diseño excesivo de instrucciones pueda provocar confusión y hacer quesea poco clara. Firmas. ¿Existe suficiente espacio para una firma legible? ¿Está el espacio debidamente identificado respecto a la firma que necesita? ¿La firma se utiliza como un mero tramite o realmente controla la personaque firma lo que se está firmando? Nombres. ¿Usa la forma los nombres de los puestos, en lugar del nombre delindividuo? No es conveniente imprimir nombres de personas debido a la rotación depersonal. Encabezados ambiguos. ¿Se indica con exactitud qué fechas, qué números, o qué firmas serequieren? Se deben evitar encabezados dudosos o ambiguos. Rótulos. ¿Son demasiados llamativos? ¿Son demasiado discretos? ¿Existe un adecuado contraste entre los rótulos y los textos respecto a sutamaño, color y ubicación para que los datos solicitados sean identificadosfácilmente? Ubicación de los rótulos. ¿Están los rótulos o encabezados debajo de la línea en donde se debemecanografiar? Esto causa pérdida de tiempo, porque la mecanógrafa tiene que mover elcarro para ver el rótulo y acomodarlo nuevamente para escribir la informacióndeseada. 90
    • Casilleros. ¿Se usan pequeños espacios enmarcados ( ) para con una sola indicaciónreducir escritos largos o repetitivos?, ¿Los espacios son suficientes o excesivos? Tipo de papel. ¿Son el peso y calidad del papel apropiado para esa forma? Use papel más pesado y de mejor calidad para aquellas formas querequieren un manejo excesivo. Use papel de menor peso con formas que se usenpoco, para reducir costo y espacio en los archivos. Tamaños estándar. ¿Tiene la forma un tamaño estándar? El tamaño estándar se ajusta a sobres y archivos estándar. Además reduceexistencias de papel, manejo y tiempo y costo de impresión. Se debe considerarque el costo del papel que no es de tamaño estándar es considerablemente mayorque el de tamaño estándar. Color. ¿Permite el contraste del color del papel una lectura eficiente? Las formas en colores como el anaranjado, el verde, el azul, el gris, etc., entonos obscuros, son difíciles de leer porque no ofrecen suficiente contraste entre laimpresión (NEGRO) y el papel. Ciertos colores brillantes cansan la vista. Se debetener cuidado tanto en el color del papel como en el color de la tinta. Las copiasdeben estar identificadas de acuerdo con el color. Análisis de informes Una vez que se ha estudiado los formatos de entrada debemos analizar losinformes para posteriormente evaluarlos con la información proporcionada por laencuesta a los usuarios. Después de describir el contenido de los informes sedebe tener el análisis de datos e información. Ruido, redundancia, Entropía En la auditoría de sistemas hay que estudiar la redundancia, el ruido y laentropía que tiene cada uno de los sistemas. En primer lugar, debemos considerar como comunicación "La transferenciade información del emisor al receptor de manera que éste la comprenda",Koontz/ODonnell/ Weihrich; Administración, Mc Graw Hill. El ruido es todo aquello que interfiere en una adecuada comunicación; nosolamente los sonidos sino todo aquello que impida la adecuada comunicación, yKoontz/ODonnell/WeiHrich definen el ruido como "Cualquier cosa (sea en elemisor, en la transmisión o en el receptor) que obstaculiza la comunicación"; así,por ejemplo; si una persona se encuentra jugando, sin hacer necesariamentealgún sonido, en el momento que otra esté hablando, se considera como tipo deruido para el sistema. En el caso de un sistema computarizado el error en la captura, una pantallade la terminal demasiado llena de información y poco entendible o un reporte 91
    • inadecuado se deben considerar como ruido en el sistema, ya que impide unabuena comunicación de la información. La redundancia es toda aquella duplicidad que tiene el sistema con lafinalidad de que, en caso de que exista ruido, esta redundancia permita que lainformación llegue al receptor en forma adecuada. Podemos enviar un mensaje de la forma siguiente: Llegó por avión el díamartes 31 de octubre de 1988 del presente año, a las 16:00 hrs. de la tarde a laciudad de Cancún, Quintana Roo, México. En el mensaje anterior tenemos excesiva redundancia debido a que el 31de octubre de 1988 es martes y si estamos en 1988 es del presente año. Las16:00 hrs. siempre es de la tarde y la ciudad de Cancún está sólo en el estado deQuintana Roo, México. Y en cambio puede ser incompleta ya que no especifica lalínea aérea ni el vuelo en que llegará. La redundancia anterior puede ser conveniente en el caso de que senecesiten cerciorarse de que la información se recibe correctamente y esto estaráen función de lo delicado que sea la información y del riesgo que se corre en casode una pérdida total o parcial de la misma. Un ejemplo de redundancia dentro de las máquinas es el bit de paridad, elcual permite que en caso de pérdida de un bit, se pueda recuperar la informaciónque contiene el byte. La redundancia es una forma de control que permite que, si existe ruido, lacomunicación pueda llevarse a cabo en forma eficiente, y deberá haber mayorredundancia entre más arriesgada, costosa o peligrosa sea la pérdida deinformación; pero a su vez debemos estar conscientes que el exceso deredundancia puede provocar ruido. Esto se da, por ejemplo, en el caso de que unprofesor desee ser tan claro que se dedique a dar demasiados ejemplos; puedeprovocar ruido en el sentido que llegue a confundir o aburrir a sus alumnos y elnúmero excesivo de ejemplos impida una adecuada comunicación. En la auditoría se debe considerar que todo sistema ha de ofrecer unnúmero adecuado de redundancia según su nivel de importancia, de modo quepermita una buena comunicación aun en el caso de que exista ruido, pero sin serla redundancia de tal magnitud que a su vez provoque ruido. También debemos considerar que con un mayor control y redundancia, seincrementa también el costo de los sistemas. Hay que tener un adecuado nivel decontrol y redundancia que no sea de tal magnitud que provoque ruido o bien queno sea demasiado costoso en relación con el nivel de seguridad que requiere elsistema. Entropía El diccionario la define como: "Cantidad de energía que por su degradaciónno puede aprovecharse", Nuevo Diccionario Español Ilustrado SOPENA. La entropía en un sistema, por ejemplo de un motor, es el calor que genera,el cual es energía que por sus características no puede aprovecharse. En el casodel sistema llamado motor se utiliza esta entropía; por ejemplo, en la calefaccióndel automóvil o bien para calentar el aire y la gasolina que entra al motor (en el 92
    • caso de motores turbo). En un sistema computarizado debemos procurar reducir al máximo estaentropía, y una de las formas de reducirla es interconectar sistemas, en tal formaque esa cantidad de energía no usada en un sistema pueda ser utilizada en otrosistema. Por ejemplo, al capturar el catálogo de clientes para el sistema decobranzas, con un poco de información adicional lo podemos utilizar encontabilidad. Matriz de recepción y distribución de documentos Una forma objetiva de evaluar la información que se encuentra en unsistema es emplear la matriz de recepción y distribución de documentos, en la cualse define de modo gráfico la distribución de documentos y los resultadosobtenidos en un proceso. Matriz de entrada/salida Otra forma de analizar la información es recurrir al impacto de los datos enentrada/salida, la cual puede ser establecida por medio de la matriz deentrada/salida en que se ve en forma objetiva cómo la información está dentro delsistema y puede detectar la redundancia, analizar información faltante y optimizarlos reportes que se obtienen. La matriz de entrada/salida puede, por ejemplo darnos la imagen de losreportes que con pequeñas diferencias son iguales (redundantes), de lainformación que puede pedir el usuario pero que no es posible proporcionardebido a que no se capturó, de los datos que son capturados pero que no seutilizan, así como los posibles reportes adicionales que se pueden obtener si elusuario llegase a solicitarlos. Esta matriz es muy importante en el caso de que tengamos un programageneradores de reportes en el que los usuarios elaboran directamente susreportes, ya que se pueden hacer reportes en forma indiscriminada provocandoduplicidad y "reportitis" (tendencia a generar reportes sin tener una adecuadajustificación) o bien informes que deben ser obtenidos por medio de pantallas parano utilizar papel y para una forma más adecuada de utilización. 7.4 Evaluación del desarrollo del sistema En esta etapa del sistema se deberán auditar los programas, su diseño, ellenguaje utilizado, interconexión entre los programas y características delhardware empleado (total o parcial) para el desarrollo del sistema. Como se analizó en la auditoria de los programas, es conveniente hacer laevaluación cuando el sistema ya se implementó y se encuentra trabajandocorrectamente. Al evaluar un sistema de información se tendrá presente que todo sistemadebe proporcionar información para planear, organizar y controlar de manera 93
    • eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener unamayor seguridad en la forma más económica posible. De ese modo contará conlos mejores elementos para una adecuada toma de decisiones. Al tener un proceso distribuido, es preciso considerar la seguridad delmovimiento de la información entre nodos. El proceso de planeación de sistemasdebe definir la red óptima de comunicaciones, recordando que el plan deaplicaciones proporciona información de la ubicación planeada de las terminales,los tipos de mensajes requeridos, el tráfico esperado en las líneas decomunicación y otros factores que afectan el diseño. Es importante considerar las variables que afectan a un sistema: ubicaciónen los niveles de la organización, el tamaño y los recursos que utiliza. Lascaracterísticas que deben evaluarse en los sistemas son: • Dinámicos (susceptibles de mortificarse). • Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo). • Integrados (un sólo objetivo). En él habrá sistemas que puedan ser interrelacionados y no programas aislados. • Accesibles (que estén disponibles). • Necesarios (que se pruebe su utilización). • Comprensibles (que contengan todos los atributos). • Oportunos (que esté la información en el momento que se requiere). • Funcionales (que proporcionen la información adecuada a cada nivel). • Estándar (que la información tenga la misma interpretación en los distintos niveles). • Modulares (facilidad para ser expandidos o reducidos). • Jerárquicos (por niveles funcionales). • Seguros (que sólo las personas autorizadas tengan acceso). • Únicos (que no duplique información). 7.5 Control de proyectos Debido a las características propias del análisis y la programación, es muyfrecuente que la implantación de los sistemas se retrase y se llegue a suceder queuna persona lleva trabajando varios años dentro de un sistema o bien que sepresenten irregularidades en las que los programadores se ponen a realizaractividades ajenas a la dirección de informática. Para poder controlar el avance delos sistemas, ya que ésta es una actividad intelectual de difícil evaluación, serecomienda que se utilice la técnica de administración por proyectos para suadecuado control. ¿Qué significa que un sistema sea liberado en el plazo establecido y dentrodel presupuesto? Pues sencillamente que el grado de control en el desarrollo delmismo es el adecuado o tal vez el óptimo. Pero esto no se consigue gratuitamenteo porque la experiencia o calidad del personal de desarrollo sea alta, sino porqueexiste un grado de control durante su desarrollo que le permite obtener estacualidad. Cabe preguntar aquí: ¿quién es el elemento adecuado para proporcionar 94
    • este grado de control? Para poder tener una buena administración por proyectos se requiere queel analista o el programador y su jefe inmediato elaboren un plan de trabajo en elcual se especifiquen actividades, metas, personal participante y tiempos. Este plandebe ser revisado periódicamente (semanal, mensual o bimestralmente) paraevaluar el avance respecto a lo programado. La estructura estándar de la planeación de proyectos deberá incluir lafacilidad de asignar fechas predefinidas de terminación de cada tarea. Dentro deestas fechas debe estar el calendario de reuniones de revisión, las cuales tendrándiferentes niveles de detalle. Son necesarias las reuniones a nivel técnico querequieran la participación del personal especializado de la dirección de informáticapara definir la factibilidad de la solución y los resultados planeados. Son muyimportantes las reuniones con los usuarios finales, para verificar la validez de losresultados esperados y, finalmente, se deben planear. La evaluación de proyectos y su control puede realizarse de acuerdo condiferentes autores y a manera de ejemplo presentamos el siguiente.Cuestionario para la evaluación de proyectos, ¿Existe una lista de proyectos de sistema de procesamiento de informacióny fechas programadas de implantación que puedan ser considerados como planmaestro? ¿Está relacionado el plan maestro con un plan general de desarrollo de ladependencia? ¿Ofrece el plan maestro la atención de solicitud? ¿Asigna el plan maestro un porcentaje del tiempo total de producción alreproceso o fallas de equipo? Poner la lista de proyectos a corto plazo y a largo plazo. Poner una lista de sistemas en proceso periodicidad y usuarios. ¿Quiénautoriza los proyectos? ¿Cómo se asignan los recursos? ¿Cómo se estiman los tiempos de duración? ¿Quién interviene en la planeación de los proyectos? ¿Cómo se calcula el presupuesto del proyecto? ¿Qué técnicas se usan en el control de los proyectos? ¿Quién asigna las prioridades? ¿Cómo se asignan las prioridades? ¿Cómo se controla el avance del proyecto? ¿Con qué periodicidad se revisa el reporte de avance del proyecto? ¿Cómo se estima el rendimiento del personal? ¿Con que frecuencia se estiman los costos del proyecto para compararlocon lo presupuestado? ¿Qué acciones correctivas se toman en caso de desviaciones? ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos? Enumérelos secuencialmente. ( ) Determinación de los objetivos. ( ) Señalamiento de las políticas. 95
    • ( ) Designación del funcionario responsable del proyecto. ( ) Integración del grupo de trabajo. ( ) Integración de un comité de decisiones. ( ) Desarrollo de la investigación. ( ) Documentación de la investigación. ( ) Factibilidad de los sistemas. ( ) Análisis y valuación de propuestas. ( ) Selección de equipos. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar siaún cumplen con los objetivos para los cuales fueron diseñados? De análisis SI NO De programación SI NO Observaciones Incluir el plazo estimado de acuerdo con los proyectos que se tienen en queel departamento de informática podría satisfacer las necesidades de ladependencia, según la situación actual. Como ejemplo de formato de control de proyectos véase en el anexo 3, delcalendario de actividades véanse los anexos 4 y 5, del reporte de los responsablesdel sistema, véase el anexo 6, del control de programadores, véanse los anexos 7y 8, de planeación de la programación, véanse los anexos 9 y 10, de los informesde avance de programación, véase el anexo 11, de control de avance deprogramación véanse los anexos 12, 13 y 14. 7.6 Control de diseño de sistemas de programación El objetivo es asegurarse de que el sistema funcione conforme a lasespecificaciones funcionales, a fin de que el usuario tenga la suficienteinformación para su manejo, operación y aceptación. Las revisiones se efectúan en forma paralela desde el análisis hasta laprogramación y sus objetivos son los siguientes: En la etapa de análisis. Identificar inexactitudes, ambigüedades y omisiones en las especificaciones. En la etapa de diseño. Descubrir errores, debilidades, omisiones antes de iniciar la codificación. En la etapa de programación. Buscar la claridad, modularidad y verificar con base en las especificaciones. Esta actividad es muy importante ya que el costo de corregir errores esdirectamente proporcional al momento que se detectan: si se descubren en elmomento de programación será más alto el costo que si se detectan en la etapade análisis. Las pruebas del sistema tratan de garantizar que se cumplan los requisitosde las especificaciones funcionales, verificando datos estadísticos, transacciones,reportes, archivos, anotando las fallas que pudieran ocurrir y realizando los ajustesnecesarios. Los niveles de prueba pueden ser agrupados en módulos, programas 96
    • y sistema total. Esta función tiene una gran importancia en el ciclo de evaluación deaplicaciones de los sistemas de información y busca comprobar que la aplicacióncumple las especificaciones del usuario, que se haya desarrollado dentro de lopresupuestado, que tenga los controles necesarios y que efectivamente cumplacon los objetivos y beneficios esperados. Un cambio hecho a un sistema existente, como la creación de uno nuevo,presupone necesariamente cambios en la forma de obtener la información y uncosto adicional. Ambos deberán ser evaluados. Se debe evaluar el cambio (si lo hay) de la forma en que se ejecutan lasoperaciones, se comprueba si mejora la exactitud de la información generada, si laobtención de los reportes efectivamente reduce el tiempo de entrega o si es máscompleta. Se determina cuánto afecta las actividades del personal usuario o siaumenta o disminuye el personal de la organización, as¡ como los cambios entrelas interacciones entre los miembros de la organización. A fin de saber si aumentao disminuye el esfuerzo realizado y su relación costo/beneficio para generar lainformación destinada a la toma de decisiones, con objeto de estar en condicionesde determinar la productividad y calidad del sistema. El analista deberá proporcionar la descripción del funcionamiento delsistema funcional desde el punto de vista del usuario, indicando todas lasinterrelaciones del sistema, la descripción lógica de cada dato, las estructuras queesto forman, el flujo de información que tiene lugar en el sistema. Lo que elsistema tomara como entrada, los procesos que será realizados, las salidas quedeberá proporcionar, los controles que se efectuarán para cada variable y losprocedimientos.Cuestionarios para la evaluación del diseño y prueba de los sistemas¿Quienes intervienen al diseñar Usuario. Analista. Programadores operadores. Gerente de departamento. Auditores internos. Asesores. Otros.Los analistas son también programadores?SI( ) NO( ) ¿Qué lenguaje o lenguajes conocen los analistas? ¿Cuántos analistas hay y qué experiencia tienen? ¿Qué lenguaje conocen los programadores? ¿Cómo se controla el trabajo de los analistas? ¿Cómo se controla el trabajo de los programadores? Indique qué pasos siguen los programadores en el desarrollo de un programa: ( ) Estudio de la definición ( ) Discusión con el analista ( ) Diagrama de bloques 97
    • ( ) Tabla de decisiones ( ) Prueba de escritorio ( ) Codificación ( ) Compilación ( ) Elaborar datos de prueba ( ) Solicitar datos al analista ( ) Correr programas con datos ( ) Revisión de resultados ( ) Corrección del programa ( ) Documentar el programa ( ) Someter resultados de prueba ( ) Entrega del programa ¿Es enviado a captura o los programadores capturan? ¿Quién los captura? ¿Qué documentación acompaña al programa cuando se entrega? Es muy frecuente que el programador no libere un sistema, esto es, quecontinúe dándole mantenimiento al sistema y sea el único que lo conozca. Ellopuede deberse a amistad con el usuario, falta de documentación, mal análisispreliminar del sistema, resistencia a cambiar a otro proyecto o bien a una situaciónque es muy grave dentro del área de informática: la aplicación de "indispensables"que son los únicos que tienen la información y, por lo tanto, son inamovibles. ¿Qué sucede respecto al mantenimiento o modificación de un sistemacuando el sistema no ha sido bien desarrollado (analizado, diseñado, programado,probado) e instalado? La respuesta es sencilla: necesitará cambios frecuentes poromisiones o nuevos requerimientos. En el caso de sistemas, muchas organizaciones están gastando cerca del80% de sus recursos de cómputo en mantenimiento. El mantenimiento excesivo es consecuencia de falta de planeación y controldel desarrollo de sistemas; la planeación debe contemplar los recursos disponiblesy técnicas apropiadas de desarrollo. El control por su parte debe tener como soporte el establecimiento denormas de desarrollo que han de ser verificadas continuamente en todas lasetapas del desarrollo de un sistema. Estas normas no pueden estar aisladas,primero, del contexto particular de la dirección de informática (ambiente) y,segundo, de los lineamientos generales de la organización, para lo cual esnecesario contar con personal en desarrollo que posea suficiente experiencia en elestablecimiento de normas de desarrollo de sistemas. Estas mismascaracterísticas deben existir en el personal de auditoría de sistemas. Es poco improbable que un proyecto llegue a un final feliz cuando se hainiciado sin éxito. Difícilmente estaremos controlando realmente el flujo de lainformación de un sistema que desde su inicio ha sido mal analizado, maldiseñado, mal programado e incluso mal documentado. El excesivo mantenimiento de los sistemas generalmente ocasionado porun mal desarrollo, se inicia desde que el usuario establece sus requerimientos (enocasiones sin saber qué desea) hasta la instalación del mismo, sin que se hayaestablecido un plan de prueba del sistema para medir su grado de contabilidad en 98
    • la operación que efectuará. Para verificar si existe esta situación, se debe pedir a los analistas y a losprogramadores las actividades que están desarrollando en el momento de laauditoría y evaluar si están efectuando actividades de mantenimiento o derealización de nuevos proyectos. En ambos casos se deberá evaluar el tiempo quellevan dentro del mismo sistema, la prioridad que se le asignó y cómo está en eltiempo real en relación al tiempo estimado en el plan maestro. El que los analistas, los programadores o unos y otros tengan acceso entodo momento a los sistemas en operación puede ser un grave problema yocasionar fallas de seguridad. 7.7 Instructivos de operación Debemos evaluar los instructivos de operación de los sistemas para evitarque los programadores tengan acceso a los sistemas en operación y el contenidomínimo de los instructivos de operación. El instructivo de operación deberá comprender: Diagrama de flujo por cada programa. - Diagrama particular de entrada-salida - Mensaje y su explicación - Parámetros y su explicación - Diseño de impresión de resultados - Cifras de control - Fórmulas de verificación - Observaciones - instrucciones en caso de error - Calendario de proceso y resultados 7.8 Forma de implantación La finalidad de evaluar los trabajos que se realizan para iniciar la operaciónde un sistema, esto es, la prueba integral del sistema, adecuación, aceptación porparte del usuario, entrenamiento de los responsables del sistema, etc. Indica cuáles puntos se toman en cuenta para la prueba de un sistema: Prueba particular de cada programa ( ) Prueba por fase validación, actualización ( ) Prueba integral del paralelo ( ) Prueba en paralelo sistema ( ) Otro (especificar) ( ) 99
    • 7.9 Equipo y facilidades de programación La selección de la configuración de un sistema de cómputo incluye lainteracción de numerosas y complejas decisiones de carácter técnico. El impactoen el rendimiento de un sistema de cómputo debido a cambios trascendentales enel sistema operativo o en el equipo puede ser determinado por medio de unpaquete de pruebas (benchamark) que haya sido elaborado para este fin en ladirección de informática. Es conveniente solicitar pruebas y comparaciones entreequipos (benchamark) para evaluar la situación del equipo y del software enrelación a otros que se encuentran en el mercado. 7.10 Entrevistas a usuarios La entrevista se deberá llevar a cabo para comparar datos proporcionadosy la situación de la dirección de informática desde el punto de vistas de losusuarios. Su objeto es conocer la opinión que tienen los usuarios sobre los serviciosproporcionados, así como la difusión de las aplicaciones de la computadora y delos sistemas en operación. Las entrevistas se deberán hacer, en caso de ser posible, a todos losusuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los másimportantes como de los de menor importancia, en cuanto al uso del equipo. Desde el punto de vista del usuario los sistemas deben: 1) Cumplir con los requerimientos totales del usuario. 2) Cubrir todos los controles necesarios. 3) No exceder las estimaciones del presupuesto inicial. 4) Serán fácilmente modificables. Para que un sistema cumpla con los requerimientos del usuario, se necesitauna comunicación completa entre usuario y el responsable del desarrollo delsistema; en ella se deben definir claramente los elementos con que cuenta elusuario, las necesidades de proceso de información y los requerimientos deinformación de salida, almacenada o impresa. En esta misma etapa debió haberse definido la calidad de la informaciónque será procesada por la computadora, estableciéndose los riesgos de la mismay la forma de minimizarlos. Para ello se debieron definir los controles adecuados,estableciéndose además los niveles de acceso a la información, es decir, quiéntiene privilegio de consultar, modificar o incluso borrar información. Esta etapa habrá de ser cuidadosamente verificada por el auditor internoespecialista en sistemas y por el auditor en informática, para comprobar que selogró una adecuada comprensión de los requerimientos del usuario y un controlsatisfactorio de información. Para verificar si los servicios que se proporcionan a los usuarios son los 100
    • requeridos y se están proporcionando en forma adecuada, cuando menos serápreciso considerar la siguiente información: • Descripción de los servicios prestados. • Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado. • Reporte periódico del uso y concepto del usuario sobre el servicio. • Registro de los requerimientos planteados por el usuario. Con esta información se puede comenzar a realizar la entrevista paradeterminar si los servicios proporcionados y planeados por la dirección deinformática cubren las necesidades de información de la organización. Guía de cuestionario para la entrevista con el usuario ¿Considera que la dirección de informática le da los resultados esperados? SI ( ) NO ( ) ¿Porqué? ¿Cómo considera usted, en general y el servicio proporcionado por ladirección de informática? 1. Deficiente 2. Aceptable 3. Satisfactorio 4. Excelente ¿Por qué? ¿Cubre sus necesidades de procesamiento? 1. No las cubre 2. Parcialmente 3. La mayor parte 4. Todas ¿Por qué? ¿Cómo considera la calidad del procesamiento que se le proporciona? 1. Deficiente 2. Aceptable 3. Satisfactorio 4. Excelente ¿Por qué? ¿Hay disponibilidad de procesamiento para sus requerimientos? 1. Generalmente no existe 2. Hay ocasionalmente 3. Regularmente 4. Siempre ¿Por qué? ¿Conoce los costos de los servicios proporcionados? ¿Que opina del costo del servicio proporcionado por el departamento deprocesos electrónicos? 1. Excesivo 2. Mínimo 101
    • 3. Regular 4. Adecuado al servicio 5. No lo conoce ¿Por qué? ¿Son entregados con puntualidad los trabajos? 1. Nunca 2. Rara vez 3. Ocasionalmente 4. Generalmente 5. Siempre ¿Por qué? ¿Qué Piensa de la presentación de los trabajos solicitados? 1. Deficiente 2. Aceptable 3. Satisfactoria 4. Excelente ¿Por qué? ¿Qué piensa de la atención brindada por el personal de procesoselectrónicos? 1. Insatisfactoria 2. Satisfactoria 3. Excelente ¿Por qué? ¿Qué piensa de la asesoría que se imparte sobre informática? 1. No se proporciona 2. Es insuficiente 3. Satisfactoria 4. Excelente ¿Por qué? ¿Qué piensa de la seguridad en el manejo de la información proporcionadapara su procesamiento? 1. Nula 2. Riesgosa 3. Satisfactoria 4. Excelente 5. Lo desconoce ¿Por qué? ¿Existen fallas de exactitud en los procesos de información? ¿Cuáles? ¿Cómo utiliza los reportes que se le proporcionan? ¿Cuáles no utiliza? De aquellos que no utiliza ¿por qué razón los recibe? ¿Qué sugerencias presenta en cuanto a la eliminación de reportes:modificación, fusión, división de reporte? ¿Se cuenta con un manual del usuario por sistema? Si ( ) NO( ) 102
    • ¿Es claro y objetivo el manual del usuario? SI ( ) NO( ) ¿Qué opinión tiene sobre el manual? NOTA: Pida el manual del usuario para evaluarlo ¿Quién interviene de su departamento en el diseño de sistemas? ¿En qué sistemas tiene actualmente su servicio de computación? ¿Qué sistemas desearía que se incluyeran? Observaciones: 103
    • __________________________________________________________________ 8Evaluación del proceso de datos yde los equipos de cómputo [1; pág. 76-99 ] 8.1 Controles Los datos son uno de los recursos más valiosos de las organizaciones y,aunque son intangibles, necesitan ser controlados y auditados con el mismocuidado que los demás inventarios de la organización, por lo cual se debe tenerpresente: a) La responsabilidad de los datos es compartida conjuntamente por alguna función determinada de la organización y la dirección de informática. b) Un problema que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poder determinar los propietarios o usuarios posibles (principalmente en el caso de redes y banco de datos) y la responsabilidad de su actualización y consistencia. c) Los datos deberán tener una clasificación estándar y un mecanismo de identificación que permita detectar duplicidad y redundancia dentro de una aplicación y de todas las aplicaciones en general. d) Se deben relacionar los elementos de los datos con las bases de datos donde están almacenados, así como los reportes y grupos de procesos donde son generados. 8.1.1 Control de los datos fuente y manejo de cifras de control. La mayoría de los delitos por computadora son cometidos pormodificaciones de datos fuente al: • Suprimir u omitir datos, • Adicionar datos, • Alterar datos • Duplicar procesos 104
    • Esto es de suma importancia en caso de equipos de cómputo que cuentancon sistemas en línea, en los que los usuarios son los responsables de la capturay modificación de la información al tener un adecuado control con señalamiento deresponsables de los datos (uno de los usuarios debe ser el único responsable dedeterminado dato), con claves de acceso de acuerdo a niveles. El primer nivel es el que puede hacer únicamente consultas. El segundonivel es aquel que puede hacer captura, modificaciones y consultas y el tercernivel es el que sólo puede hacer todo lo anterior y además puede realizar bajas. NOTA: Debido a que se denomina de diferentes formas la actividad detranscribir la información del dato fuente a la computadora, en el presente trabajose le denominará captura o captación considerándola como sinónimo de digitalizar(capturista, digitalizadora). Lo primero que debemos evaluar es la entrada de la información y que setengan las cifras de control necesarias para determinar la veracidad de lainformación. Guía de cuestionario para el control de datos fuente ¿Existen normas que definan el contenido de los instructivos de captaciónde datos? Indique el porcentaje de datos que se reciben en el área de captación yverifique si contiene su instructivo correspondiente. Indique el contenido de la orden de trabajo que se recibe en el área decaptación de datos:Número de folio ( ) Número(s) de formatos) ( )Fecha y hora de Nombre, del departamento,Recepción ( ) Usuario ( )Nombre del documento ( ) Nombre responsable ( )Volumen aproximado Clave de cargode registros ( ) (número de cuenta) ( )Número de registros ( ) Fecha y hora de entrega deClave del capturista ( ) documentos y registros captados ( )Fecha estimada de entrega ( )Indique cuál(es) control(es) interno(s) existe(n) en el área de captación de datos:Firmas de autorización ( )Recepción de trabajos ( )Control de trabajos atrasados ( )Revisión del documento ( )Avance de trabajos ( )Fuente (legibilidad, verificación de datos completos, etc.) ( )Verificación ( )Prioridades de captación ( )Errores por trabajo ( )Producción de trabajo ( ) 105
    • Corrección de errores ( )Producción de cada operador ( )Entrega de trabajos ( )Verificación de cifras de control de entrada con las de salida ( )Costo mensual por trabajo ( )¿Existe un programa de trabajo de captación de datos?a) ¿Se elabora ese programa para cada turno?SI NO ( ) Diariamente ( ) Semanalmente ( ) Mensualmenteb) La elaboración del programa de trabajo se hace: ( ) Internamente ( ) Se les señalan a los usuarios las prioridades ( ) Se les señala a los usuarios la posible fecha de entregac) ¿El programa de trabajo es congruente con el calendario de producción?SI NOd) Indique el contenido del programa de trabajo de captaciones. Nombre de usuario Clave de trabajo Fecha programada Recepción Hora programada de recepción Volumen estimado de registros por trabajo Fecha programada de entrega Hora programada de entregae) ¿Qué acción(es) se toma(n) si el trabajo programado no se recibe a tiempo?Cuando la carga de trabajo supera la capacidad instalada se requiere: ( ) Tiempo extra ( ) Se subcontrata¿Quién controla las entradas de documentos fuente?¿En qué forma las controla?¿Qué cifras de control se obtienen?Sistema Cifras que se obtienen observaciones¿Qué documentos de entrada se tienen?Sistemas Documentos ** Departamento que proporciona el documento **Periodicidad ** Observaciones¿Se anota qué persona recibe la información y su volumen?SI NO¿Se anota a qué capturista se entrega la información, el volumen y la hora?SI NO¿Se verifica la calidad de la información recibida para su captura?SI NO¿Se revisan las cifras de control antes de enviarlas a captura?SI NO¿Para aquellos procesos que no traigan cifras de control se han establecido 106
    • criterios a fin de asegurar que la información es completa y válida?SI NO ¿Existe un procedimiento escrito que indique cómo tratar la informacióninválida? (Sin firma, ilegible, no corresponden las cifras de control). En caso de resguardo de información de entrada en sistemas, ¿secustodian en un lugar seguro. Si se queda en el departamento de sistemas, ¿por cuánto tiempo seguarda? ¿Existe un registro de anomalías en la información debido a malacodificación? ¿Existe una relación completa de distribución de listados, en la cual seindiquen personas, secuencia y sistemas a los que pertenecen? ¿Se verifica que las cifras de las validaciones concuerden con losdocumentos de entrada? ¿Se hace una relación de cuándo y a quién fueron distribuidos los listados? ¿Se controlan separadamente los documentos confidenciales? ¿Se aprovecha adecuadamente el papel de los listados inservibles? ¿Existe un registro de los documentos que entran a captura? ¿Se hace un reporte diario, semanal o mensual de captura? ¿Se hace un reporte diario, semanal o mensual de anomalías en lainformación de entrada? ¿Se lleva un control de la producción por persona? ¿Quién revisa este control? ¿Existen instrucciones escritas para capturar cada aplicación o, en sudefecto existe una relación de programas? 8.1.2 Control de operación La eficiencia y el costo de la operación de un sistema de cómputo se venfuertemente afectados por la calidad e integridad de la documentación requeridapara el proceso en la computadora. Los instructivos de operación proporcionan aloperador información sobre los procedimientos que debe seguir en situacionesnormales y anormales en el procesamiento, y si la documentación es incompleta oinadecuada lo obliga a improvisar o suspender los procesos mientras investiga loconducente, generando probablemente errores, reprocesos, desperdicio de tiempode máquina, se incrementan, pues, los costos del procesamiento de datos. El objetivo del presente ejemplo de cuestionario es señalar losprocedimientos e instructivos formales de operación, analizar su estandarización yevaluar el cumplimiento de los mismos. ¿Existen procedimientos formales para la operación del sistema decomputo? SI ( ) NO( ) ¿Esos procedimientos describen detalladamente tanto la organización de lasala de maquinas como la operación del sistema de cómputo? 107
    • SI ( ) NO( ) ¿Están actualizados los procedimientos? SI ( ) NO ( ) Indique la periodicidad de la actualización de los procedimientos: ( ) Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo Observe la forma en que está operando la máquina, como se distribuyenlos trabajos en lotes?,¿cuál es el límite de trabajos en lotes y si se tiene unadecuado orden y control en los procesos por lotes? SI ( ) NO ( ) Indique el contenido de los instructivos de operación para cada aplicación: ( ) Identificación del sistema ( ) Identificación del programa ( ) Periodicidad y duración de la corrida ( ) Especificación de formas especiales ( ) Especificación de cintas de impresora ( ) Etiquetas de archivos de salida, nombre archivo lógico y fechas decreación y expiración ( ) Instructivo sobre materiales de entrada y salida ( ) Altos programados y las acciones requeridas ( ) Instructivos específicos a los operadores en caso de falla del equipo ( ) Puntos de reinicio, procedimientos de recuperación para proceso degran duración ( ) Identificación de todos los dispositivos de la máquina a ser usados ( ) Especificaciones de resultados (cifras de control, registros de salida porarchivo, etc.) ¿Existen órdenes de proceso para cada corrida en la computadora(incluyendo pruebas, compilaciones y producción)? SI ( ) NO( ) ¿Son suficientemente claras para los operadores estas órdenes? SI ( ) NO( ) ¿Existe una estandarización de las órdenes de proceso? Si ( ) NO( ) ¿Existe un control que asegure, la justificación de los procesos en elcomputador? (Que los procesos que se están trabajando están autorizados y tengan unarazón de ser procesados). SI ( ) NO ( ) ¿Cómo programan los operadores los trabajos dentro de la sala demáquinas? ( ) Primero que entra, primero que sale ( ) Se respetan las prioridades ( ) Otra (especifique) ¿Los retrasos o incumplimientos con el programa de operación diaria, serevisa y analiza? 108
    • SI ( ) NO( ) ¿Quién revisa este reporte en su caso? ¿Cómo controlan los operadores las versiones correctas y cómo seidentifican las que son de prueba? Analice la eficiencia con que se ejecutan los trabajos dentro de la sala demáquinas, tomando en cuenta equipo y operador, a través de inspección visual, ydescriba sus observaciones: ¿Existen procedimientos escritos para la recuperación del sistema en casode las fallas? ¿Cómo se actúa en caso de errores? ¿Existen instrucciones específicas para cada proceso, con las indicacionespertinentes? ¿Se tienen procedimientos específicos que indiquen al operador qué hacercuando un programa interrumpe su ejecución u otras dificultades en proceso? ¿Puede el operador modificar los datos de entrada? ¿Se prohibe a analistas y programadores la operación de la máquina? ¿Puede el operador de mesa de control operar la máquina? ¿Se prohíbe al operador modificar información de archivos o biblioteca deprogramas? ¿El operador realiza funciones de mantenimiento diario en dispositivos queasí lo requieran? ¿Las intervenciones de los operadores: Son muy numerosas? SI( ) NO( ) Se limitan los mensajes esenciales Si( ) NO( ) Otras (especifique) SI( ) NO( ) ¿Se tiene un control adecuado sobre los sistemas y programas que estánen operación? Si ( ) NO( ) ¿Cómo se controlan los trabajos dentro de la sala de máquinas ¿Se rota al personal del control de información con los operadoresprocurando un entrenamiento cruzado y evitando la manipulación fundamental dedatos?. SI( ) NO ( ) ¿Cuentan los operadores con una bitácora para mantener registros decualquier evento y acción tomada por ellos?. ( ) SI ( ) Por máquina ( ) Escrita manualmente ( ) NO Verificar que exista un registro de funcionamiento que muestra el tiempo deparos y mantenimiento o instalaciones de software. ¿Existen procedimientos para evitar las corridas de programas noautorizados? SI( ) NO( ) ¿Existe un plan definido para el cambio de turno de operación que evite eldescontrol y discontinuidad de la operación? 109
    • Verificar que sea razonable el plan para coordinar el cambio de turno. ¿Se hacen inspecciones periódicas de muestreo?. Si( ) NO ( ) Enuncie los procedimientos mencionados en la pregunta anterior: ¿Se permite a los operadores el acceso a los diagramas de flujo,programas fuente, etc., fuera de la sala de máquinas?. SI( ) NO ( ) ¿Se controla estrictamente acceso a la documentación de programas o deaplicaciones rutinarias? SI( ) NO( ) ¿Cómo? Verifique que los privilegios del operador se restrinjan a aquellos que le sonasignados a la clasificación de seguridad de operador. ¿Existen procedimientos formales que se deban observar antes de quesean aceptados en operación , sistemas nuevos o modificaciones a los mismos?. SI( ) NO( ) ¿Estos procedimientos incluyen corridas en paralelo de los sistemasmodificados con las versiones anteriores? SI( ) NO( ) ¿Durante cuánto tiempo? ¿Qué precauciones se toman durante el periodo de implantación? ¿Quién da la aprobación formal cuando las corridas de prueba de unsistema modificado o nuevo están acordes con los instructivos de operación? ¿Secatalogan los programas liberados para producción rutinaria? SI( ) NO( ) Mencione qué instructivos se proporcionan a las personas que intervienenen la operación rutinaria de un sistema. Indique qué tipo de controles tiene sobre los archivos magnéticos de losarchivos de datos, que aseguren la utilización de los datos precisos en losprocesos correspondientes. ¿Existe un lugar para archivar las bitácoras del sistema del equipo decómputo? SI( ) NO( ) Indique cómo está organizado este archivo de bitácora. ( ) Por fecha ( ) Por fecha y hora ( ) Por turno de operación ( ) Otros ¿Cuál es la utilización sistemática de las bitácoras? ¿Además de las mencionadas anteriormente, qué otras funciones o áreasse encuentran en la sala de máquinas actualmente? Verifique que se lleve un registro de utilización del equipo diario, sistemasen línea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo. ¿Se tiene inventario actualizado de los equipos y terminales con sulocalización? SI( ) NO( ) 110
    • ¿Cómo se controlan los procesos en línea? ¿Se tienen seguros sobre todos los equipos? SI( ) NO( ) ¿Con qué compañía? NOTA: Solicitar pólizas de seguros y verificar tipo de seguro y montos.¿Cómo se controlan las llaves de acceso (password)? Instructivos de operación Se debe verificar que el instructivo de operación contenga los siguientesdatos: Diagrama particular de entrada/salida ( ) Mensajes y su explicación ( ) Parámetros y su explicación ( ) Diseño de impresión de resultados ( ) Cifras de control ( ) Fórmulas de verificación ( ) Observaciones ( ) Instrucciones de caso de error ( ) Calendario de proceso y de entrega de resultados ( ) 111
    • 8.1.3 Controles de salida ¿Se tienen copias de los archivos en otros locales? ¿Dónde se encuentran esos locales? ¿Qué seguridad física se tiene en esos locales? ¿Qué confidencialidad se tiene en esos locales? ¿Quién entrega los documentos de salida? ¿En qué forma se entregan? ¿Qué documentos?Sistema Documentos A quien se Periodicidad Observaciones Comentarios entrega ¿Qué controles se tienen?Sistema Control Observaciones Comentarios ¿Se tiene un responsable (usuario) de la información de cada sistema? ¿Cómo se atienden solicitudes de información a otros usuarios del mismosistema? ¿Se destruye la información no utilizada, o bien que se hace con ella? Destruye ( ) Vende ( ) Tira ( ) Otro________________ 8.1.4 Control de asignación de trabajo Esta parte se relaciona con la dirección de las operaciones de lacomputadora en términos de la eficiencia y satisfacción del usuario. Esta seccióndebe ser comparada con la opinión expresada por el usuario. La función clave delprogramador de cargas de máquina está relacionada con el logro eficiente y 112
    • efectivo que: - Satisfaga las necesidades de tiempo del usuario. - Sea compatible con los programas de recepción y transcripción de datos. - Permiten niveles efectivos de utilización de los equipos y sistemas de operación. - Es ágil la utilización de los equipos en línea. La experiencia muestra que los mejores resultados se logran enorganizaciones que utilizan sistemas formales de programación de actividades, loscuales intentan balancear los factores y medir resultados. Se deberán evaluar los procedimientos de programación de cargasmáquina para determinar si se ha considerado atenuar los picos de los procesos,generados por cierres mensuales, y poder balancear las cargas de trabajo debatch y línea, dando prioridad a los procesos en línea. ¿Opera la sala de máquinas en base a programas de trabajo? SI( ) NO( ) Indique los periodos que abarcan los programas de trabajo: Indique el puesto o departamento responsable de la elaboración de losprogramas de trabajo: ¿Se cambian frecuentemente los programas de trabajo? Si( ) NO( ) ¿Cuál es la causa principal? ¿Se comunica oportunamente a los usuarios las modificaciones a losprogramas de trabajo? SI( ) NO( ) Dentro del programa de trabajo de la máquina, ¿se tiene previstas?: Demandas inesperadas? ( ) Fallas de la máquinas? ( ) Soporte de los usuarios ( ) Manteniendo preventivo ( ) Otras (especifique) ¿Con qué frecuencia se asigna la computadora, en su totalidad, para unasola aplicación (la de mayor utilización)? Especifique los elementos que sirven como base para programar las cargasde máquina. Se deberá procurar que la distribución física del equipo sea funcional, quela programación de las cargas de máquina satisfaga en forma eficaz al usuario; setendrá cuidado con los controles que se tengan para la utilización de equipo y queel mantenimiento satisfaga las necesidades del equipo. 8.1.5 Control de medios de almacenamientos masivos 113
    • Los dispositivos de almacenamiento representan, para cualquier centro decómputo, archivos extremadamente importantes cuya pérdida parcial o total podríatener repercusiones muy serias, no sólo en la unidad de informática, sino len ladependencia de la cual se presta servicio. Una dirección de informática bienadministrada debe tener perfectamente protegidos estos dispositivos dealmacenamiento, además de mantener registros sistemáticos de la utilización deestos archivos, de modo que sirvan de base a los programas de limpieza (borradode información), principalmente en el caso de las cintas. Además se deben tener perfectamente identificados los carretes parareducir la posibilidad de utilización errónea o destrucción de la información. Un manejo adecuado de estos dispositivos permitirá una operación máseficiente y segura, mejorando además los tiempos de proceso. El cuestionario puede ser extensivo a todo tipo de cintas y disquetes. Control de almacenamiento masivo Objetivos El objetivo de este cuestionario es evaluar la forma como se administran losdispositivos de almacenamiento básico de la dirección. Los locales asignados a la cintoteca y discoteca tienen: ( ) Aire acondicionado ( ) Protección contra el fuego (señalar que tipo de protección) ( ) Cerradura especial ( ) Otra ¿Tienen la cintoteca y discoteca protección automática contra el fuego? SI( ) NO( ) (señalar de que tipo) ¿Qué información mínima contiene el inventario de la cintoteca y ladiscoteca? ( ) Número de serie o carrete ( ) Nombre o clave del usuario ( ) Nombre del archivo lógico ( ) Nombre del sistema que lo genera ( ) Fecha de generación del archivo ( ) Fecha de expiración del archivo ( ) Número de volumen ( ) Otros ¿Se verifican con frecuencia la validez de los inventarios de los archivosmagnéticos? Si( ) NO( ) En caso de existir discrepancia entre las cintas o discos y su contenido, ¿seresuelven y explican satisfactoriamente las discrepancias? SI( ) NO( ) 114
    • ¿Qué tan frecuentes son estas discrepancias? Cuántas veces al mes? ¿Se tienen procedimientos que permitan la reconstrucción de un archivo encinta o disco, el cual fue inadvertidamente destruido? SI( ) NO( ) ¿Se tienen identificados los archivos con información confidencial y secuenta con claves de acceso? Si( ) NO( ) ¿Cómo? ¿Existe un control estricto de las copias de estos archivos? SI( ) NO( ) ¿Qué medio se utiliza para almacenarlos? ( ) Mueble con cerradura ( ) Bóveda Otro (especifique) Este almacén está situado: ( ) En el mismo edificio de la dirección de informática ( ) En otro lugar ¿Cuál? ¿Se borran los archivos de los dispositivos de almacenamiento, cuando sedesechan éstos? SI( ) NO( ) ¿Se certifica la destrucción o baja de los archivos defectuosos? SI( ) NO( ) ¿Se registran como parte del inventario las nuevas cintas que recibe labiblioteca? SI( ) NO( ) ¿Se tiene un responsable, por turno, de la cintoteca y discoteca? SI( ) NO( ) ¿Se realizan auditorias periódicas a los medios de almacenamiento? SI( ) NO( ) ¿Con qué periodicidad? ¿Qué medidas se toman en caso de extravío de algún dispositivo dealmacenamiento? ¿Se restringe el acceso a los lugares asignados para guardar losdispositivos de almacenamiento, al personal autorizado? Si( ) NO( ) ¿Se tiene relación del personal autorizado para firmar la salida de archivosconfidenciales? SI( ) NO( ) ¿Existe un procedimiento para registrar los archivos que se prestan y lafecha en que se devolverán? SI( ) NO( ) ¿Se lleva control sobre los archivos prestados por la instalación? Si( ) NO( ) En caso de préstamo, ¿con qué información se documentan? ( ) Nombre de la institución a quien se hace el préstamo. ( ) Fecha de recepción 115
    • ( ) Fecha en que se debe devolver ( ) Archivos que contiene ( ) Formatos ( ) Cifras de control ( ) Código de grabación ( ) Nombre del responsable que los prestó Otros Indique qué procedimiento se sigue en el reemplazo de las cintas quecontiene los archivos maestros: ¿Se conserva la cinta maestra anterior hasta después de la nueva cinta? Si( ) NO( ) ¿El cintotecario controla la cinta maestra anterior previendo su usoincorrecto o su eliminación prematura? Si( ) NO( ) ¿La operación de reemplazo es controlada por el cintotecario? Si( ) NO( ) ¿Se utiliza la política de conservación de archivos hijo-padre-abuelo? SI( ) NO( ) En los procesos que manejan archivos en línea, ¿existen procedimientospara recuperación de archivos? Si( ) NO( ) ¿Estos procedimientos los conocen los operadores? SI( ) NO( ) ¿Cómo los consigue? ¿Con qué periodicidad se revisan estos procedimientos? ( ) Mensual ( ) Anual ( ) Semestral ( ) Otra ¿Existe un responsable en caso de falla? Si( ) NO( ) Explique qué políticas se siguen para la obtención de archivos de respaldo: ¿Existe un procedimiento para el manejo de la información de la cintoteca? Si( ) NO( ) ¿Lo conoce y lo sigue el cintotecario? Si( ) NO( ) ¿Se distribuyen en forma periódica entre los jefes de sistemas yprogramación informes de archivos para que liberen los dispositivos dealmacenamiento? SI( ) NO( ) ¿Con qué frecuencia? 8.1. 6 Control de mantenimiento 116
    • Como se sabe existen básicamente tres tipos de contrato demantenimiento: El contrato de mantenimiento total que incluye el mantenimientocorrectivo y preventivo, el cual a su vez puede dividirse en aquel que incluye laspartes dentro del contrato y el que no incluye partes. El contrato que incluyerefacciones es propiamente como un seguro, ya que en caso de descompostura elproveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato esnormalmente el más caro, pero se deja al proveedor la responsabilidad total delmantenimiento a excepción de daños por negligencia en la utilización de losequipos. (Este tipo de mantenimiento normalmente se emplea en equiposgrandes.) El segundo tipo de mantenimiento es "por llamada", en el cual en caso dedescompostura se le llama al proveedor y éste cobra de acuerdo a una tarifa y altiempo que se requiera para componerlo (casi todos los proveedores incluyen, enla cotización de compostura, el tiempo de traslado de su oficina a donde seencuentre el equipo y viceversa). Este tipo de mantenimiento no incluyerefacciones. El tercer tipo de mantenimiento es el que se conoce como "en banco", y esaquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y éste haceuna cotización de acuerdo con el tiempo necesario para su compostura más lasrefacciones ( este tipo de mantenimiento puede ser el más adecuado paracomputadoras personales). Al evaluar el mantenimiento debemos primero analizar cuál de los tres tiposes el que más nos conviene y en segundo lugar pedir los contratos y revisar condetalles que las cláusulas estén perfectamente definidas en las cuales se eliminetoda la subjetividad y con penalización en caso de incumplimiento, para evitarcontratos que sean parcialmente hacia el proveedor. Para poder exigirle el cumplimiento del contrato se debe tener un estrictocontrol sobre las fallas, frecuencia, y el tiempo de reparación Para evaluar el control que se tiene sobre el mantenimiento y las fallas sepueden utilizar los siguientes cuestionarios: Especifique el tipo de contrato de mantenimiento que se tiene (solicitarcopia de contrato). ¿Existe un programa de mantenimiento preventivo para cada dispositivo desistema de computo? SI( ) NO( ) ¿Se lleva a cabo tal programa? SI( ) NO( ) ¿Existen tiempos de respuesta y de compostura estipulados en loscontratos? SI( ) NO( ) Si los tiempos de reparación son superiores a los estipulados en el contrato,¿qué, acciones correctivas se toman para ajustarlos a lo convenido? Solicite el plan de mantenimiento preventivo que debe ser proporcionadopor proveedor 117
    • ¿Existe algún tipo de mantenimiento preventivo que pueda dar el operadorautorizado por el proveedor? SI( ) NO( ) ¿Cuál? ¿Cómo se notifican las fallas? ¿Cómo se les da seguimiento? Control de fallas ¿Se mantienen registros actualizados de las fallas de los dispositivos delsistema de cómputo y servicios auxiliares (aire acondicionado, sistema de energíaininterrumpida, etc.)? SI( ) NO( ) (Solicitar los registros de los últimos seis meses) ¿Es posible identificar por medio de estos registros, los problemas másrecurrentes o fallas mayores que afectan en forma determinante el funcionamientode la sala de máquinas? Si( ) NO( ) ¿Cómo se identifican? Tiempo de respuesta promedio que ha tenido con el contrato demantenimiento (tiempo de respuesta es el periodo entre la notificación o aviso dela existencia de un problema o la llegada del personal técnico que realizó lasreparaciones del equipo). ¿Cuáles son las actitudes de los ingenieros de servicio que mantienen susequipos? ¿Cuál considera que es la competencia técnica de los ingenieros deservicio que dan mantenimiento a sus equipos? ¿Por qué? ¿Cuál es el tiempo promedio que toma el investigar y resolver el problema? ¿Cuál es la disponibilidad de refacciones necesarias para darmantenimiento a sus equipos? ¿Cuál es la efectividad del proveedor para resolver sus problemas demantenimiento? ¿Cuáles son las medidas de mantenimiento preventivo realizadas al darservicio a su equipo? ¿Cuál es en general la calidad de los servicios ofrecidos bajo su"CONTRATO DE MANTENIMIENTO"? Evaluación del mantenimiento Cuando se evalúa la capacidad de los equipos, no se debe olvidar que lacapacidad bruta disponible se deberá disminuir por las actividades demantenimiento preventivo, fallas internas y externas no previstas y mantenimiento 118
    • e instalación de nuevos sistemas. El enfoque de esta sección se orienta a evaluar, a través de los controlesque se tengan en la dirección, la utilización del sistema de cómputo. Un controladecuado permitirá sustentar sólidamente cualquier solicitud de expansión de laconfiguración presente. Indique los registros que se llevan de la utilización del sistema de cómputo(especificando la periodicidad). ( ) Tiempo de uso del procesador central ( ) Tiempo de compilación y prueba de programas ( ) Tiempo dedicado a producción ( ) Tiempo dedicado a mantenimiento correctivo del sistema operativo ( ) Tiempo dedicado a mantenimiento preventivo ( ) Tiempo de operación del sistema de cómputo ( ) Tiempo de falla de los dispositivos del sistema de cómputo ( ) Tiempo de uso de cada unidad de cinta ( ) Tiempo ocioso ( ) Tiempo de uso de terminales (promedio por terminal) ( ) Tiempo de uso de impresora ( ) Tiempo de reproceso ( ) Tiempo de la computadora utilizado en demostraciones ( ) Tiempo de falla por servicios auxiliares ( ) Número de programas corridos por compilador ( ) Número de programas objeto ejecutados Anote los siguientes datos: ( ) Tiempo promedio dJoperaciones por día Hrs. ( ) Número promedio de compilaciones por día ( ) Número promedio de programas corridos por día ( ) Tiempo promedio de respuesta para compilaciones, horas ( ) Tiempo promedio de respuesta para programas de producción concintas Hrs. ( ) Tiempo promedio de respuesta para programas de producción Hrs. ( ) Número promedio al día que se consideran como horas de producción ( ) Número promedio de trabajos en cola de espera de ejecución en horaspico ( ) Número promedio de trabajos en cola de espera de impresión en horaspico ( ) Número promedio de trabajos de ejecución en horas pico Anote los porcentajes de tiempo por turno de operación que se dedica a: 119
    • turno 1 er. 2°. 3er. Compilación Prueba Producción Evalúe la relación de uso de impresora con respecto a la mezcla de trabajo. Estudie la frecuencia de cambio de papel y determine si se debe: a) Incrementar el número de impresora b) Restaurar las cargas de trabajo c) Utilizar salida a microfilm d) Utilizar impresora de mayor velocidad (láser) e) ¿Es excesivo el volumen de impresión? Si( ) NO( ) En caso de contestar si, señale las causas: ( ) Reportes muy largos ( ) Reportes no utilizados ( ) Procesos en lote que deban estar en línea Otros (especificar cuáles) f) Especificar si existen procesos que deban cambiarse de batch a línea aviceversa Evalúe la utilización del sistema de cómputo a través de las siguientesrelaciones: Si________________tiempo ocioso excede el 35% Tiempo disponible El equipo instalado está sobrado de capacidad para la carga de trabajoactual: Si________________ tiempo de prueba de programas en mayor al 30% Tiempo de uso de procesador central Se puede concluir que los procedimientos de depuración de programas sonpobres (excepto en instalaciones nuevas): Si_________________ tiempo de mantenimiento al sistema operativosobrepasa el 5% Tiempo total disponible del sistema de cómputo Se deberá exigir al proveedor que mejore la calidad de soporte al sistemaoperativo: Si__________________tiempo de falla del sistema de computo es mayor al5% Tiempo disponible Nota: éstos son solamente ejemplos de factores que pueden obtenerse, loscuales pueden ser ampliados, y los porcentajes dependerán del tipo de equipo y laexperiencia que se tenga. El servicio de mantenimiento correctivo que proporciona el proveedor esmuy pobre y deberá revisarse las cláusulas del contrato relativas a este renglón. ( ) Número total de trabajos procesados ( ) Número de programas corridos por usuarios y departamentos de ladirección de informática 120
    • ( ) Detalle de programas con terminación anormal especificado la causa(por departamento y usuario) ( ) Tiempo de uso de los diversos equipos de captura por equipo y porusuario ( ) Número de líneas impresas en cada impresora ( ) Otros Esta sección está orientada a revisar las acciones que realiza la direcciónde informática para evaluar, mantener y auditar los sistemas implantados. Indique qué tipo de evaluación se realiza a los sistemas implantados: Ninguna ( ) De objetivos ( ) Económica ( ) De oportunidad ( ) De beneficios ( ) De operación ( ) Otros (especificar) ( ) Indique qué instructivos se elaboran: De codificación ( ) De captación ( ) Del usuario ( ) De operación ( ) Otros (especificare ( ) ¿Qué porcentaje del personal de programación se dedica a darmantenimiento a los sistemas existentes? ¿El responsable del área de producción formula las estadísticas deutilización de equipos, mostrando la frecuencia de fallas de los mismos y lasestadísticas de producción por aplicación? (detalle cómo se realiza y dé unejemplo) ¿En qué porcentaje se cumplen los calendarios de producción? Indique las estadísticas de elaboración de programas que se llevan en elárea de informática: Por programador ( ) Por sistemas ( ) Por programa ( ) Por toda el área ( ) Otras (especificar) ( ) De las unidades de entrada/salida instaladas, proporciones los siguientesdatos: Número Número Utilización Velocidad De de Dispositivos unidades (Inventario) impresas por día 121
    • Terminales Unidades de cinta Impresoras Otras(especificar) Se deberá controlar el uso que se le da al equipo de computo, evitando; Tiempo de Impresora Utilización Promedio de h/día número de Páginas impresas por día - Programadores que utilizan la computadora para conocer sus errores, sin hacer pruebas de escritorio. En este caso están los programadores que no saben qué instrucción poner, y en lugar de consultar su manual o hacer pruebas de escritorio, mandan compilar el programa hasta encontrar la opción o rutina correcta. - Utilización del equipo o del tiempo de los programadores para aplicaciones ajenas a la organización. - Personal de la dirección de informática que utiliza la computadora para trabajos personales, trabajos no autorizados o juegos. - Programas que, por estar mal elaborados (generalmente cuando se usan grandes archivos), degradan la máquina. Degradación del equipo por fallas en equipos periféricos. La computadora puede considerarse como un proceso en línea el cual al fallar alguna de las unidades principales (memoria, unidad central) no permite la utilización del resto del equipo. Pero existen unidades secundarias (cintas, impresoras, terminales, discos) que al fallar provocan que se vea reducida la posibilidad de utilización del equipo. Por ejemplo, si tenemos una impresora y se descompone un alto porcentajede utilización del equipo se ve disminuida aunque para el proveedor sóloconsidere que una unidad secundaria fue la dañada. Lo mismo sucede si se tienendos unidades de disco y se descompone una (en caso de tener solo una unidad dediscos la falla es total). Para controlar este tipo de degradación se puede tener un reporte quecontenga: 1. Dispositivo que integra la configuración del equipo (por ejemplo, cinta, disco, impresora). 2. Número del dispositivo, si tenemos por ejemplo 2 cintas, se anota 1 y 2 dependiendo de cuál fue la que falló. 3. Tipo de falla. Se anotará una buena descripción del tipo de falla, para lo cual se puede elaborar un catálogo. 4. Porcentaje de degradación. Este dato deberán anotarlo los responsables de la dirección de informática basándose en la experiencia y en las implicaciones que tenga en el sistema total (por ejemplo, si se tienen 2 unidades de disco la degradación es del 50%, si se descomponen las dos es el 100% y si se tiene solo una, o sea el 100%, en el caso de la 122
    • impresora si se tiene solo una puede ser el 66.6% etc.)5. Número de horas en las que duró la falla, desde el momento de la descompostura hasta el momento en que la entrega reparada el proveedor. 123
    • 8.2 Orden en el centro de cómputo Una dirección de informática bien administrada debe tener y observarreglas relativas al orden y cuidado de la sala de máquinas. Los dispositivos delsistema de cómputo, los archivos magnéticos, pueden ser dañadas si se manejanen forma inadecuada y eso puede traducirse en pérdidas irreparables deinformación o en costos muy elevados en la reconstrucción de archivos. Se debenrevisar las disposiciones y reglamentos que coadyuven al mantenimiento del ordendentro de la sala de máquinas. Indique la periodicidad con que se hace la limpieza de la sala de máquinasy de la cámara de aire que se encuentra abajo del piso falso y los ductos de aire: ( ) Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( ) No hay programa ( ) Otro (especifique) ¿Existe un lugar asignado a las cintas y discos magnéticos? ¿Se tiene asignado un lugar específico para papelería y utensilios detrabajo? SI( ) NO( ) ¿Son funcionales los muebles asignados para la cintoteca y discoteca? Si( ) NO( ) ¿Se tienen disposiciones para que se acomoden en su lugarcorrespondiente, después de su uso, las cintas, los discos magnéticos, lapapelería, etc? SI( ) NO( ) Indique la periodicidad con que se limpian las unidades de cinta: Al cambio de turno ( ) Cada semana ( ) Cada día ( ) Otra (especificar) ( ) ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en la salade máquinas? SI( ) NO( ) ¿Se cuentan con carteles en lugares visibles que recuerdan dichaprohibición? SI( ) NO( ) Mencione los casos en que personal ajeno al departamento de operaciónopera el sistema de cómputo: 124
    • 8.3 Evaluación de la configuración del sistema de cómputo Los objetivos son evaluar la configuración actual tomando en consideraciónlas aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con elcual el sistema operativo satisface las necesidades de la instalación y revisar laspolíticas seguidas por la unidad de informática en la conservación de suprogramoteca. Esta sección está orientada a: a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cómputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y largo plazo. b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso c) Evaluar la utilización de los diferentes dispositivos periféricos. De acuerdo con los tiempos de utilización de cada dispositivo del sistemade computo, ¿existe equipo: Con poco uso? SI( ) NO( ) Ocioso? SI( ) NO( ) Con capacidad superior a la necesaria? SI( ) NO( ) Describa cuál es: ¿El equipo mencionado en la pregunta anterior puede reemplazarse porotro más lento y de menor costo? SI( ) NO( ) Si la respuesta a la pregunta anterior es negativa, ¿el equipo puede sercancelado? SI( ) NO( ) De ser negativa la respuesta a la pregunta anterior, explique las causas porlas que no puede ser cancelado o cambiado. ¿El sistema de cómputo tiene capacidad de teleproceso? SI( ) NO( ) ¿Se utiliza la capacidad de teleproceso? SI( ) NO( ) En caso negativo, exponga los motivos por los cuales no utiliza elteleproceso. 125
    • ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios? SI( ) NO( ) Indique si existen políticas, para aplicaciones soportadas por teleproceso,para fijar: El tamaño máximo de programas SI( ) NO( ) Número de archivos SI( ) NO( ) Tamaño máximo para cada archivo SI( ) NO( ) Nivel de acceso SI( ) NO( ) ¿La capacidad de memoria y de almacenamiento máximo del sistema decómputo es suficiente para atender el proceso por lotes y el proceso remoto? Si( ) NO( ) 8.4 Productividad El objetivo es evaluar la eficiencia con que opera el área de captación yproducción. Verifique que se cuente con una descripción completa de los trabajos quese corren y la descripción de las características de carga. Verifique la existencia de un pronóstico de cargas o trabajos que seefectuarán durante el año, con el objeto de que se prevean los picos en las cargasde trabajo y se pueda distribuir adecuadamente estas cargas. ¿Se tiene un programa de trabajo diario? ¿semanal? ¿en el año? En caso de que no se tenga la programación diaria, ¿cómo se realiza laproducción? Verifique que se contemplen dentro de los planes de producción periodosde mantenimiento preventivo. Verifique que se disponga de espacio y tiempo para realizar corridasespeciales, corridas de prueba de sistemas en desarrollo y corridas que debenrepetirse. Verifique que se tengan definidos el espacio y tiempo para el respaldo de lainformación. ¿Se tiene una programación del mantenimiento previo? ¿Se tiene un plan definido de respaldo de la información? ¿Se contempla dentro del plan tiempo para realizar corridas de pruebas? ¿Se revisa el cumplimiento de los programas de producción establecidas? Verifique que se tenga conocimiento de los próximos sistemas que estaránen producción, con el objeto de que se les programe su incorporación. ¿Quién revisa estos planes? ¿Se cumplen generalmente estos planes? Si no, explique por qué ¿Se repiten con frecuencia corridas por anomalías? 126
    • Indique los estándares de producción que se tienen en la dirección deinformática. Por tipo de equipo ( ) Por formato de captación ( ) Por formato y equipo de captación ( ) ¿Existen índices de error aceptables para cada tipo de trabajo? ¿Cuándo fue la última revisión de esos estándares? ¿El personal de captación conoce esos estándares? Indique los medios utilizados para medir la eficiencia de los operadores decaptación: ( ) Estadísticas mensuales de producción por trabajo y por operador ( ) Estadísticas mensuales de error por trabajo y por operador ( ) Estadísticas mensuales de producción por trabajo ( ) Estadísticas mensuales de error por trabajo ( ) Estadísticas de producción por trabajo y operador por hora ( ) Otros(especificar) Indique qué medida(s) se toma(n) cuando el rendimiento para un trabajoestá abajo del estándar: ( ) Se analiza el documento fuente con objeto de rediseñarlo ( ) Se consulta a los operadores sobre los problemas observados en eltrabajo ( ) Se revisan los instructivos de capacitación ( ) Se capacitan a los operadores sobre el manejo del equipo ( ) Se imparten pláticas sobre el trabajo ( ) Otros ¿Se tienen incentivos para el personal que tenga un rendimiento superior alestándar? ¿Cada cuándo se imparten cursos de capacitación sobre la operación delequipo? Observe los niveles de iluminación y ruido y corrija cuando estén fuera delrango estipulado en los estándares. Analice si el área de trabajo es adecuada para efectuar la captación. ¿Seregistran los tiempos de respuesta a las solicitudes? Si( ) NO( ) ¿Cuál es el tiempo de respuesta promedio? Hrs. 127
    • __________________________________________________________________ 9Evaluación de la seguridad [1; pág.102-126] 9.1 Seguridad lógica y confidencialidad Las computadoras son un instrumento que estructura gran cantidad deinformación, la cual puede ser confidencial para individuos, empresas oinstituciones, y puede ser mal utilizado o divulgada a personas que hagan mal usode esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen ladestrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en elmomento preciso puede provocar retrasos sumamente costosos. Ante estasituación, en el transcurso del siglo XX, el mundo ha sido testigo de latransformación de algunos aspectos de seguridad y de derecho. Imagínese que, por una u otra razón, el centro de computo a las libreríassean destruidos o usados inapropiadamente, ¿cuánto tiempo pasaría para queesta organización estuviese nuevamente en operación? El centro de cómputopuede ser el activo más valioso y al mismo tiempo el más vulnerable. En la situación actual de criminología, los delitos de "cuello blanco" hanincluido la modalidad de los delitos hechos mediante la computadora o lossistemas de información de los cuales el 95% de los detectados han sidodescubiertos por accidentes y la gran mayoría no han sido divulgados para evitardar ideas a personas mal intencionadas. Es así como la computadora hamodificado las circunstancias tradicionales del crimen; muestra de ello son losfraudes, falsificaciones y venta de información hechos a las computadoras o pormedio de computadoras. Durante mucho tiempo se consideró que los procedimientos de auditoría yseguridad eran responsabilidad de la persona que elabora los sistemas sinconsiderar que son responsabilidad del usuario y del departamento de auditoríainterna. 128
    • Entre los crímenes más conocidos (muchos de ellos no son identificados odivulgados para evitar repercusiones) están el del Banco Wells Fargo Co. ($21.3millones de dólares), en el cual se evidenció que la protección de los archivos estodavía inadecuada, y la publicada el 17 de septiembre de 1987 en la que dosalemanes entraron a los archivos confidenciales de la NASA. Otro de los delitosque se han cometido en los bancos están en insertar mensajes fraudulentos o bientransferir dinero de una cuenta, otra, con la consecuente ganancia de losintereses. Existe también el caso de un muchacho de 15 años que entró a lacomputadora de la Universidad de Berkeley en California y destruyó los archivos, yel estudiante de la escuela Dalton en Manhattan que entró a la red canadiense,identificándose como un usuario de alta prioridad y tomó el control de los sistemasde una embotelladora de Canadá. Ejemplos como éstos existen muchos y lamayoría de ellos no se dan a conocer para no dar ideas a personas que puedancometer delitos o bien para evitar problemas de publicidad negativa. En la actualidad, y principalmente en las computadoras personales, se hadado otro factor que hay que considerar: el llamado "virus" de las computadoras,el cual, aunque tiene diferentes intenciones, se encuentra principalmente parapaquetes que son copiados sin autorización ("piratas") y borra toda la informaciónque se tiene en un disco. Se trata de pequeñas subrutinas escondidas en los programas que seactivan cuando se cumple alguna condición; por ejemplo, haber obtenido unacopia en forma ilegal, y puede ejecutarse en una fecha o situaciónpredeterminada. El virus normalmente los ponen los diseñadores de algún tipo deprograma (software) para "castigar" a quienes lo roban o copian sin autorización obien por alguna actitud de venganza en contra de la organización. (En laactualidad existen varios productos para detectar los virus.) Existen varios tipos de virus pero casi todos actúan como "caballos deTroya", es decir, se encuentran dentro de un programa y actúan a determinadaindicación. Un ejemplo es la destrucción de la información de la compañía USPA & IRAde Forth Worth; cuando despidieron a un programador en 1985, éste dejó unasubrutina que destruía mensualmente la información de las ventas. Este incidenteprovocó el primer juicio en Estados Unidos contra una persona por sabotaje a lacomputadora. Existe otro caso conocido como el virus de Navidad, en el cual el empleadode una compañía multinacional elaboró un programa que automáticamenteentraba al correo electrónico internacional y dejaba un mensaje de felicidades. Almomento en que la persona que recibía el mensaje entraba a su correoelectrónico (para lo que debía teclear su llave de seguridad) encontraba unmensaje de felicitación por la Navidad. Automáticamente el programa tomaba el 129
    • directorio del usuario, enviaba mensajes idénticos a todas las personas que seencontraban en el directorio. Esto, que aparentemente tuvo buenas intenciones,generó mensajes en forma exponencial bloqueando toda la red internacional de lacompañía. Otro virus es el conocido como Pakistaní, debido a que fue elaborado porestudiantes pakistaníes de 19 a 26 años. Este virus fue introducido en un paquetede computadoras personales y fue copiado para todo turista que comprara elpaquete en Pakistán como una forma de "escarmiento" para los que adquirían esacopia pirata. Durante una convención de Makintosh en Montreal, un estudiante introdujoun virus para probar sus conocimientos. En este caso aparecía un mensaje ydestruía la información. Debido a un descuido este virus fue distribuidomundialmente. Éstos son solamente algunos ejemplos de virus que existen, los cualestambién pueden ser activados como si fueran "bomba de tiempo", en una fechadeterminada y pueden causar la destrucción de la información, el que suene labocina de la computadora en forma constante o que aparezca un carácter en lapantalla que se mueve por todo el video. Al auditar los sistemas, se debe tener cuidado que no se tengan copias"piratas" o bien que, al conectarnos en red con otras computadoras, no exista laposibilidad de transmisión del virus. El crecimiento de los fraudes por computadora ha hecho patente que lapotencialidad de los crímenes crece en forma más rápida que en los sistemas deseguridad (se considera que en los Estados Unidos se cometieron anualmentecrímenes, denunciados o no, por más de tres mil millones de dólares). Los motivos de los delitos por computadora normalmente son por: • Beneficio personal • Beneficios para la organización • Síndrome de Robin Hood (por beneficiar a otras personas) • Jugando a jugar • Fácil desfalcar • El departamento es deshonesto • Odio a la organización (revancha) • El individuo tiene problemas financieros • La computadora no tiene sentimientos ni delata • Equivocación de ego (deseo de sobresalir en alguna forma) • Mentalidad turbada 130
    • Se considera que hay en cuatro factores que han permitido el incrementoen los crímenes por computadora. Estos factores son: 1. El aumento del número de personas que se encuentran estudiando computación. 2. El aumento del número de empleados que tienen acceso a los equipos. 3. La facilidad en el uso de los equipos de cómputo. 4. El incremento en la concentración del número de aplicaciones y, consecuentemente, de la información. Estos cuatro factores, aunque son objetivos de todo centro de cómputo,también constituyen una posibilidad de uso con fines delictivos. El uso inadecuado de la computadora comienza desde la utilización detiempo de máquina para usos ajenos al de la organización, la copia de programaspara fines de comercialización sin reportar los derechos de autor hasta el accesopor vía telefónica a bases de datos a fin de modificar la información con propósitosfraudulentos. Estos delitos pueden ser cometidos por personas que no deseancausar un mal, por ejemplo, un muchacho de 15 años que desde la computadorase conectó al banco de datos de la Universidad de Berkeley California y destruyóarchivos de investigación muy valiosa que se estaba procesando. Otro ejemplo publicado en 1980 fue el caso de un estudiante de DaltonSchool que, usando la computadora de su clase, entró a la red canadiense decomunicación de datos (Canadian Data Comunication Network), y destruyóarchivos de los clientes. El estudiante utilizó una rutina muy simple para entrar a lared y obtener una prioridad muy alta; ésta rutina era tan simple que los expertos sequedaron sorprendidos. En el caso de compañías que tienen altos gastos de envío de publicidad porcorreo, ¿cuánto podría costarles que la competencia adquiera su lista de clientes?,¿o bien que la información sea cambiada o dañada?. Cabe mencionar aquí unacompañía que vende enciclopedias en los Estados Unidos; uno de sus empleadosvendió a la competencia una cinta con la lista de clientes; la pérdida se estimó en3 millones de dólares. En la actualidad las compañías cuentan con grandes dispositivos paraseguridad física de las computadoras y se tiene la idea que los sistemas nopueden ser violados si no se entra al centro de cómputo, olvidándose del uso determinales y de sistemas remotos de teleproceso. Se piensa, como en el caso dela seguridad de incendio o robo, que "eso no me puede suceder a mí o es pocoprobable que suceda aquí". Algunos gerentes creen que las computadoras y sus programas son tancomplejos que nadie fuera de su organización los va a entender y no les van aservir; pero en la actualidad existe un gran número de personas que puedencaptar y usar la información que contiene un sistema y considerar hacer esto comoun segundo ingreso. 131
    • En forma paralela al aumento de los fraudes hechos a los sistemascomputarizados, se han perfeccionado los sistemas de seguridad tanto físicacomo lógica; pero la gran desventaja del aumento en la seguridad lógica es que serequiere consumir un número mayor de recursos de cómputo para lograr tener unaadecuada seguridad, lo ideal es encontrar un sistema de acceso adecuado al nivelde seguridad requerido por el sistema con el menor costo posible. En los desfalcospor computadora (desde un punto de vista técnico), hay que tener cuidado con los"caballos de troya" que son programas a los que se les encajan rutinas que seránactivadas con una señal específica. El tipo de seguridad puede comenzar desde la simple llave de acceso(contraseña o password) hasta, sistemas más complicados, pero se debe evaluarque, cuando más complicados sean los dispositivos de seguridad, resultan máscostosos. Por lo tanto, se debe mantener una adecuada relación de seguridad-costo en los sistemas de información. Los sistemas de seguridad normalmente no consideran la posibilidad defraude cometida por los empleados en el desarrollo de sus funciones. Laintroducción de información confidencial a la computadora puede provocar queeste concentrada en las manos de unas cuantas personas y una alta dependenciaen caso de pérdida de los registros. El más común de estos delitos está dado en elmomento de programación, en el cual por medio de ciertos algoritmos se mandaborrar un archivo. Por ejemplo, en un sistema de nómina al momento deprogramarlo se puede incluir una rutina que verifique si se tiene dentro del archivode empleados el registro federal de causantes del programador. En caso deexistir, continúa el proceso normalmente, si no existe significa que el programadorque elaboró el sistema renunció o fue despedido y en ese momento borra todoslos archivos. Esta rutina, aunque es fácil de detectar puede provocar muchosproblemas en caso de que no se tenga los programas fuente o bien no seencuentre debidamente documentado. También en el caso de programadoreshonestos, en ocasiones en forma no intencional, pueden tener fallas o negligenciaen los sistemas. La dependencia con ciertos individuos clave, algunos de loscuales tienen un alto nivel técnico, comúnmente pone la organización en manosde unas cuantas personas, las cuales suelen ser las únicas que conocen lossistemas debido a que no los documentan. Un método eficaz para proteger sistemas de computación es el software decontrol de acceso. Dicho simplemente, los paquetes de control de accesoprotegen contra el acceso no autorizado, pues piden del usuario una contraseñaantes de permitirle el acceso a información confidencial. Dichos paquetes han sidopopulares desde hace muchos años en el mundo de las computadoras grandes, ylos principales proveedores ponen a disposición de clientes algunos de estospaquetes. Sin embargo, los paquetes de control de acceso basados encontraseñas pueden ser eludidos por delincuentes sofisticados en computación yno podría dependerse de esos paquetes por sí solos para brindar seguridadadecuada. 132
    • El sistema integral de seguridad debe comprender: Elementos administrativos Definición de una política de seguridad Organización y división de responsabilidades Seguridad física y contra catástrofes (incendio, terremoto etc.) Prácticas de seguridad del personal Pólizas de seguros Elementos técnicos y procedimientos de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales) Aplicación de sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeación de programas de desastre y su prueba Uno de los puntos que se debe auditar con más detalle es el de tener lascifras de control y el medio adecuado que nos permita conocer en el momento quese produce un cambio o un fraude en el sistema. Otro ejemplo es en el caso de lacontabilidad en forma manual. Se tienen una serie de indicadores (volumen deoperaciones, cantidades, etc.) que nos permiten auditar en forma rápida y eficienteal sistema; este tipo de indicadores deben ser incluidos dentro del sistemacomputarizado, logrando en lo posible que el mismo sistema y la computadora"actúe" como su propio auditor. Los accidentes pueden surgir por un mal manejo de la administración, pornegligencia o bien por ataques deliberados hechos por ladrones, fraudessabotajes o bien por situaciones propias de la organización (huelgas). El podertrabajar con la posibilidad de que ocurra un desastre debe ser algo común, aunquese debe evitar en lo más posible y planear de antemano las medidas en caso deque esto ocurra. Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgo, conun gran impacto en la organización o en la comunidad, si es que el servicio seinterrumpe cierto periodo; otras pueden fácilmente continuar sin afectargrandemente a la organización por medio de utilización de métodos manuales. Se debe evaluar el nivel de riesgo que puede tener la información parapoder hacer un adecuado estudio costo/beneficio entre el costo por pérdida deinformación y el costo de un sistema de seguridad, para lo cual se debe considerarlo siguiente: Clasificar la instalación en términos de riesgo (alto, mediano, pequeño)identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensión del servicio en aquellasaplicaciones con un alto riesgo 133
    • Formular las medidas de seguridad necesarias dependiendo del nivel deseguridad que se requiera. La justificación del costo de implantar las medidas de seguridad Para poder clasificar el riesgo e identificar las aplicaciones de alto riesgodebemos preguntarnos lo siguiente: ¿Qué sucedería si no se puede usar el sistema? Si la contestación es que no se podría seguir trabajando, esto nos sitúa enun sistema de alto riesgo. Por ejemplo, si vemos el sistema de reservaciones de boletos de avión,éste es un sistema de alto riesgo, de menor riesgo podría ser la nómina y porúltimo la contabilidad (en periodos normales, no en periodos de entrega deinformación contable). La siguiente pregunta es: ¿Qué implicaciones tiene el que no se tenga elsistema, y cuánto tiempo podríamos estar sin utilizarlo? En el caso de reservaciones no se pueden trabajar si no se tiene el sistemay no podemos estar sin él más que unos minutos. En el caso de la nóminadepende de cuándo se debe entregar (semanal, quincenal, mensualmente), lomismo que la contabilidad. ¿Existe un procedimiento alterno y qué problemas nos ocasionaría? En lasreservaciones, el procedimiento alterno de utilizar otro sistema ajeno a lacompañía no es posible debido a las redes y a los bancos de datos, y elprocedimiento alterno consistiría en que sólo se reciban reservaciones en unaoficina o bien que se estén comunicando por teléfono para que una oficinaconcentre las reservaciones. Ello provocaría una gran ineficiencia y un pésimoservicio. Al terminar la emergencia se deben dar de alta al sistema lasreservaciones captadas manualmente. En la nómina se puede hacer manual (lo cual puede ser muy complicado) obien pagar lo mismo que la nómina anterior, lo que provocaría reclamos por partedel personal al que se le pague menos, y después de la emergencia procesar lanómina nueva y sacar un programa de diferencias que permita pagar la diferenciade más o de menos y ajustar los impuestos. En caso de contar con respaldos sepuede tener como procedimiento alterno procesarlo en otro sistema. En la contabilidad puede obtenerse en forma manual o bien, en caso detener respaldo, procesarse en otro sistema. ¿Qué se ha hecho para un caso de emergencia? En el caso de sistemas 134
    • como el de reservaciones, de bancos o casas de bolsa, el único procedimientopara evitarlos es tener sistemas simultáneos (tándem o en paralelo) que permitanpasar de un equipo a otro en forma instantánea, disponer de sistemas duplicadosen áreas críticas (aires acondicionados, discos, etc.) y tener sistemas de energíano interrumpible (no break), ya que debido a su alto riesgo son los que debentener mayor seguridad. En la nómina existe un riesgo intermedio ya que, aunque se puede pagarcon la nómina anterior, quizás surjan grandes problemas con el personal, yutilizando otro sistema se debe tener mucho cuidado con los respaldos, suactualización y probar constantemente los sistemas alternos para estar seguros deque pueden utilizarse. En el caso de contabilidad, el riesgo es menor pero también se debe tenercuidado de hacer los respaldos y la posibilidad de utilización de otros equipos. Una vez que hemos definido el grado de riesgo, hay que elaborar una listade los sistemas con las medidas preventivas que se deben tomar, así como lascorrectivas en caso de desastre señalándole a cada uno su prioridad. En caso de desastre se procurará trabajar los sistemas de acuerdo con susprioridades, ya que no se podrán trabajar los sistemas en otra instalación, en lamisma forma que se venían trabajando en la instalación original. Hay que tener mucho cuidado con la información que sale de la oficina, suutilización y que sea borrada al momento de dejar la instalación que está dandorespaldo. Según una de las 8 grandes firmas estadounidenses de contadorespúblicos, los planes de seguridad deben asegurar la integridad y exactitud de losdatos; permitir identificar la información que sea confidencial, de uso exclusivo odelicada en alguna otra forma; proteger y conservar los activos de desastresprovocados por la mano del hombre y de actos abiertamente hostiles; asegurar lacapacidad de la organización para sobrevivir accidentes; proteger a los empleadoscontra tentaciones o sospechas innecesarias y la administración contra cargos porimprudencia. Para clasificar la instalación en términos de riesgo se debe: a) Clasificar los datos, información y programas que contiene información confidencial que tenga un alto valor dentro del mercado de competencia, organización, e información que sea de difícil recuperación. b) Identificar aquella información que tenga un gran costo financiero en caso de pérdida o bien que pueda provocar un gran impacto en la toma de decisiones. 135
    • c) Determinar la información que tenga una pérdida en la organización y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa información. Un ejemplo de alto riesgo puede ser la información confidencial de tiponacional o bien la información sobre el mercado y la publicidad de una compañía.Un ejemplo de riesgo medio es la nómina, la cual puede ser hecha a mano, utilizarprocedimientos alternos o bien un adecuado sistema de respaldos. Un ejemplo debajo riesgo pueden ser los balances, los cuales pueden ser reestructurados concierta facilidad, salvo el caso de los días de presentación con fines fiscales. Para cuantificar el riesgo es necesario que se efectúen entrevistas con losaltos niveles administrativos que sean directamente afectados por la suspensiónen el procesamiento y que cuantifiquen el impacto que les puede causar este tipode situaciones. Para evaluar las medidas de seguridad se debe: • Especificar la aplicación, los programas y archivos • Las medidas en caso de desastre, pérdida total, abuso y los planes necesarios • La prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo. En cuanto a la división del trabajo se debe evaluar que se tomen lassiguientes precauciones, las cuales dependerán del riesgo que tenga lainformación y del tipo y tamaño de la organización. a) El personal que prepara la información no debe tener acceso a la operación. b) Los analistas y programadores no deben tener acceso al área de operación y viceversa. c) Los operadores no deben tener acceso irrestringido a las librerías ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librería y de operación. d) Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados. e) Al implantar sistemas de seguridad, puede reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia. f) Otro de los puntos que hay que evaluar y revisar en forma visual es el orden y limpieza, no tan sólo en la sala de cómputo, lo cual es esencial, sino también en las oficinas ya que una inadecuada limpieza en el trabajo refleja problemas de disciplina y crea posibilidades de fallas en la seguridad, además de que perjudica el desarrollo normal del trabajo. 136
    • 9.2 Seguridad en el personal Un buen centro de cómputo depende, en gran medida, de la integridad,estabilidad y lealtad de personal, por lo que al momento de reclutarlo esconveniente hacerle exámenes psicológicos, médicos y tener muy en cuenta susantecedentes de trabajo. Se deben considerar los valores sociales y, en general, su estabilidad yaque normalmente son personas que trabajan bajo presión y con mucho estrés, porlo que importan mucho su actitud y comportamiento. En los equipos de cómputo es normal que se trabajen horas extras, congran presión y que no haya una adecuada política de vacaciones debido a ladependencia que se tiene con algunas personas, lo cual va haciendo que se crean"indispensables", que son muy difíciles de sustituir y que ponen en gran riesgo laorganización. Se debe verificar que existan adecuadas políticas de vacaciones (locual nos permite evaluar la dependencia con algunas personas, y evitar estadependencia) y de reemplazo. La adecuada política de reemplazo en caso derenuncia de alguna persona permitirá que, en caso necesario, se pueda cambiar auna persona sin arriesgar el funcionamiento de la organización. También se deben tener políticas de rotación de personal que disminuyanla posibilidad de fraude, ya que un empleado puede estar haciendo otra actividaden un mes y sería muy arriesgado cometer un fraude, sabiendo que la nuevapersona que esté en su lugar puede detectarlo fácilmente. Esto se debe hacerprincipalmente en funciones de alto nivel de confianza, aunque impliquen un altocosto. Este procedimiento de rotación de personal nos permita además, detectarlos indispensables y eliminarlos. Se deberá también evaluar la motivación del personal, ya que un empleadomotivado normalmente tiene un alto grado de lealtad y disminuirá la posibilidad deataques intencionados a la organización. El programador honesto en ocasiones elabora programas que ponen enpeligro la seguridad de la empresa, ya que no se consideran procedimiento deauditoría dentro de los programas tales que excluyan las posibilidades de fraude. 9.3 Seguridad física El objetivo es establecer políticas, procedimientos y prácticas para evitar lasinterrupciones prolongadas del servicio de procesamiento de datos, informacióndebido a contingencias como incendio, inundación, huelgas, disturbios, sabotaje, 137
    • etc. y continuar en un medio de emergencia hasta que sea restaurado el serviciocompleto. En el pasado se acostumbraba poner los equipos de cómputo en un lugarvisible, con grandes ventanales, y constituían el orgullo de la organización, por loque se consideraba necesario que estuviese a la vista del público y con una grancantidad de invitados a visitarlos. Esto ha cambiado de modo radical,principalmente por el riesgo de terrorismo o sabotaje. Pensemos que una personaque desea perjudicar a la organización querrá dañar su cerebro o centro deinformación, por lo que en la actualidad se considera extremadamente peligrosotener el centro de computo en las áreas de alto tráfico de personas o bien en lacalle en un alto numero de invitados. Otras de las precauciones referentes al material y construcción del edificiodel centro de computo es que existen materiales que son altamente inflamables,que despiden humo sumamente tóxicos o bien paredes que no quedaperfectamente selladas y despiden polvos (ejemplo, el tiro) planchado). También en lo posible se debe tomar precauciones en cuanto a laorientación del centro de computo (por ejemplo, centro de computo sumamentecaluroso a los que todo el día le esta dando el sol) y se deben evitar en lo posiblelas grandes ventanas, los cuales además permite la entrada del sol pueden serarriesgados para la seguridad del centro de computo. Entre las precauciones que se deben revisar están: - Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas de polvo y se habrá de contar con detectores de humo que indiquen la posible presencia de fuego. - En las instalaciones de alto riesgo se debe tener equipos de fuente no interrumpible, tanto en la computadora corno en la red y los equipos de teleproceso. - En cuanto a los extintores, se debe revisar en número de éstos, su capacidad, fácil acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder que no se encuentren recargados o bien que sean de difícil acceso de un peso tal que sea difícil el utilizarlos. - Estos es común en lugares en donde se encuentran trabajando hombre y mujeres y los extintores están a tal altura o con un peso tan grande que una mujer no pueda utilizarlo. - Otro de los problemas es la utilización de extintores inadecuados que pueden provocar mayor perjuicio a las máquinas (extintores líquidos) o que producen gases tóxicos. - También debe ver si el personal sabe usar los equipos contra incendio y si ha habido prácticas en cuanto a su uso. - Se debe verificar que existan suficientes salidas de emergencia y que estén debidamente controladas Para evitar robos por medio de estas salidas. 138
    • - Los materiales más peligro son las cintas magnéticas que, al quemarse producen gases tóxicos y el papel carbón es altamente inflamable. Cuestionario para la evaluación física ¿Se han adoptado medidas d seguridad en la dirección de informática? SI( ) NO ( ) ¿Existe una persona responsable de la seguridad? SI( ) NO ( ) ¿Se ha dividido la responsabilidad para tener un mejor control de laseguridad ? SI( ) NO ( ) ¿Existe personal de vigilancia en la institución de seguridad? SI( ) NO ( ) ¿La vigilancia se contrata: a) Directamente? b) Por medio de empresas que venden ese servicio? ¿Existe una clara definición de funciones entre los puestos clave? SI( ) NO( ) ¿Se investiga a los vigilantes cuando son contratados directamente? SI( ) NO( ) ¿Se controla el trabajo fuera de horario? SI( ) NO( ) ¿Se registran las acciones de los operadores para evitar que realicenalguna que pueda dañar el sistema? SI( ) NO( ) ¿Existe vigilancia en el cuarto de máquinas las 24 horas? SI( ) NO( ) ¿A la entrada del cuarto de máquinas existe a) Vigilante? b) Recepcionista? c) Tarjeta de control de acceso? d) Nadie? ¿Se permite el acceso a los archivos y programas a los programadores,analistas y operadores? SI( ) NO ( ) ¿Se ha instruido a estas personas sobre qué medidas tomar en caso deque alguien pretenda entrar sin autorización? SI( ) NO( ) 139
    • ¿El edificio donde se encuentra la computadora está situado a salvo de: a) Inundación? b)Terremoto? c) Fuego? d) Sabotaje? ¿El centro de cómputo da al exterior? SI( ) NO( )Describa brevemente la construcción del centro de cómputo, de preferenciaproporcionando planos y material con que fue construido y equipo (muebles, sillas,etc.) dentro del centro. ¿Tiene el cuarto de máquinas una instalación de escaparate y, si es así,pueden ser rotos los vidrios con facilidad? SI( ) NO( ) ¿Existe control en el acceso a este cuarto a) Por identificación personal? b) Por tarjeta magnética? c) Por claves verbales? d) Otras? ¿Son controladas las visitas y demostraciones en el centro de cómputo? SI( ) NO( ) ¿Cómo son controladas? ¿ Se registra el acceso al cuarto de personas ajenas a la dirección deinformática? SI( ) NO( ) ¿Existe alarma para a) Detectar fuego (calor o humo) en forma automática? b) Avisar en forma manual la presencia del fuego? c) Detectar una fuga de agua? d) Detectar magnetos? e) No existe ¿Estas alarmas están a) En el cuarto de máquinas? b) En la cintoteca y discoteca? ¿Existe alarma para detectar condiciones anormales del ambiente? a) En el cuarto de máquinas b) En la cintoteca y discoteca c) En otros lados ¿Cuáles? 140
    • ¿La alarma es perfectamente audible? SI( ) NO( ) ¿Esta alarma también está conectada a) Al puesto de guardias? b) A la estación de bomberos? c) A ningún otro lado? d) Otro ¿Existen extintores de fuego a) Manuales? b) Automáticos? c) No existen ¿Se ha adiestrado el personal en el manejo de los extintores? SI( ) NO( ) ¿Los extintores, manuales o automáticos, funcionan a base de TIPO SI NO a) Agua? b) Gas? c) Otros ¿Se revisa de acuerdo con el proveedor el funcionamiento de losextintores? SI( ) NO( ) NOTA: verifique el número de extintores y su estado. Si es que existen extintores automáticos, ¿son activados por los detectoresautomáticos de fuego? SI( ) NO( ) Si los extintores automáticos son a base de agua, ¿se han tomado medidaspara evitar que el agua cause más daño que el fuego? SI( ) NO( ) Si los extintores automáticos son a base de gas, ¿se han tomado medidaspara evitar que el gas cause más daño que el fuego? SI( ) NO ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintoresautomáticos, para que el personal a) Corte la acción de los extintores por tratarse de falsas alarmas? b) Pueda cortar la energía eléctrica? c) Pueda abandonar el local sin peligro de intoxicación? d) Es inmediata su acción? ¿Los interruptores de energía están debidamente protegidos, etiquetados ysin obstáculos para alcanzarlos? SI( ) NO ( ) 141
    • ¿Saben qué hacer los operadores del cuarto de máquinas en caso de queocurra una emergencia ocasionada por fuego? SI( ) NO( ) ¿El personal ajeno a operación sabe qué hacer en el caso de unaemergencia (incendio) SI( ) NO ¿Existe salida de emergencia? SI( ) NO( ) ¿Esta puerta sólo es posible abrirla: a) Desde el interior? b) Desde el exterior? c) Ambos lados ¿Se revisa frecuentemente que no este abierta o descompuesta lacerradura de esta puerta y las ventanas, si es que existen SI( ) NO( ) ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojarlas instalaciones en caso de emergencia? SI( ) NO( ) ¿Se han tornado medidas para minimizar la posibilidad de fuego: a) Evitando artículos inflamables en el cuarto de máquinas? b) Prohibiendo fumar a los operadores en el interior? c) Vigilando y manteniendo el sistema eléctrico? d) No se ha previsto ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en elinterior del cuarto de máquinas para evitar daños al equipo? SI( ) NO( ) ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso? SI( ) NO( ) ¿Se controla el acceso y préstamo en la: a) Discoteca? b) Cintoteca? c) Programoteca? Explique la forma como se ha clasificado la información vital, esencial , noesencial etc. ¿Se cuenta con copias de los archivos en lugares distintos a la de lacomputadora SI ( ) NO( ) Explique la forma en que están protegidas físicamente estas copias(bóveda, caja de seguridad, etc. que garantice su integridad en caso de incendio,inundación, terremoto etc.) 142
    • ¿Se tienen establecidos procedimientos de actualización a estas copias? SI( ) NO( ) Indique el número de copias que se mantienen de acuerdo con la forma enque se clasifique la información. 0 2 1 3 ¿Existe departamento de auditoría interna conoce todos los aspectos de lossistemas?. SI( ) NO( ) ¿Este departamento de auditoria interna conoce todos los aspectos de lossistemas?. SI( ) NO( ) ¿Qué tipos de controles ha propuesto? ¿Se cumplen? SI( ) NO( ) ¿Se auditan los sistemas en operación? SI( ) NO( ) ¿Con qué frecuencia? a) Cada seis meses b) Cada año c) Otra (especifique) ¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quiénes? a) Usuario b) Director de informática c) Jefe de análisis y programación d) Programador e) Otras (especifique)¿La solicitud de modificaciones a los programas se hacen en forma: a) Oral? b) Escrita? En caso de ser escrita solicite formatos. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a losinteresados? SI( ) NO( ) ¿Existe control estricto en las modificaciones? SI( ) NO( ) ¿Se revisa que tengan la fecha de las modificaciones cuando se hayanefectuado? SI( ) NO( ) Si se tienen terminales conectadas, ¿se han establecido procedimientos de 143
    • operación? SI( ) NO( ) Se verifica identificación: a) De la terminal b) Del usuario c) No se pide identificación ¿Se ha establecido qué información puede ser accesada y por quépersona? SI( ) NO( ) ¿Se ha establecido un número máximo de violaciones en sucesión paraque la computadora cierre esa terminal y se de aviso al responsable de ella? SI( ) NO( ) ¿Se registra cada violación a los procedimientos con el fin de llevarestadísticas y frenar las tendencias mayores? SI( ) NO( ) ¿Existen controles y medidas de seguridad sobre las siguientesoperaciones?, ¿Cuáles son? ( ) Recepción de documentos ( ) Información confidencial ( ) Captación de documentos ( ) Cómputo electrónico ( ) Programas ( ) Discotecas y cintotecas ( ) Documentos de salida ( ) Archivos magnéticos ( ) Operación del equipo de computación En cuanto al acceso de personal ( ) Identificación del personal ( ) Policía ( ) Seguros ( ) Cajas de seguridad ( ) Otras lesoecifiauel 9.4 Seguros Los seguros de los equipo en algunas ocasiones se dejan en segundotermino aunque son de gran importancia. Existe un gran problema en la obtenciónde seguros ya que a veces el agente de seguros es una persona que conocemucho de seguros, riesgos comerciales, riesgos de vida, etc. Pero muy pocosobre computadoras, y el personal de informática conoce mucho sobrecomputación y muy poco sobre seguros. 144
    • Se tiene poco conocimiento de los riesgos que entraña la computación, yaque muchas veces el riesgo no es claro para los vendedores de seguros, debido alo nuevo de la herramienta y la poca experiencia existe sobre desastres. Como ejemplo de lo anterior tenemos las pólizas de seguro contradesastres, ya que algunos conceptos son cubiertos por el proveedor del serviciode mantenimiento, lo cual hace, que se duplique el seguro o bien sobrevienedesastres que no son normales en cualquier otro tipo de ambiente. Se debe verificar las fechas de vencimiento de las pólizas, puede sucederque se tenga la póliza adecuada pero vencida, y que se encuentre actualizada conlos nuevos equipos. El seguro debe cubrir todo el equipo y su instalación, por lo que es probableque una sola póliza no pueda cubrir todo el equipo con las diferentescaracterísticas (existe equipo que pueda ser unidades de disco duro) por lo que talvez convenga tener dos o más pólizas por separado, cada una con lasespecificaciones necesarias. Debemos tomar en cuenta que existen riesgos que son difíciles de evaluary de asegurar como el caso de negligencia. El costo de los equipos puede variar, principalmente en aquellos países quetienen grandes tasas de inflación o de devaluación, por lo que los seguros debenestar a precio de compra (valor de adquisición de nuevo equipo con igualescaracterísticas) y no a precio al momento de contratación del seguro. El seguro debe cubrir tanto daños causados por factores externos(terremoto, inundación, etc.) como por factores internos (daños ocasionados pornegligencia de los operadores, daños debidos al aire acondicionado, etc.) También se debe asegurar la pérdida de los programas (software), de lainformación, de los equipos y el costo de recuperación de lo anterior. En el caso de los programas se tendrá en cuenta en el momento deasegurarlos el costo de elaborarlos en determinado equipo, el costo de crearlosnuevamente y su valor comercial. En el caso del personal, se pueden tener fianzascontra robo, negligencia, daños causados por el personal, sabotaje, accionesdeshonestas, etc. Es importante que la dirección de informática esté preparada para evitar enlo posible el daño físico al personal, oficinas, equipo de cómputo, así como alsistema de operación. Además deberá tener cuidado de que existan normas yprácticas eficaces. 145
    • 9.5 Seguridad en la utilización del equipo En la actualidad los programas y los equipos son altamente sofisticados ysólo algunas personas dentro del centro de cómputo conocen al detalle el diseño,lo que puede provocar que puedan producir algún deterioro a los sistemas si no setoman las siguientes medidas: 1) Se debe restringir el acceso a los programas y a los archivos. 2) Los operadores deben trabajar con poca supervisión y sin la participación de los programadores, y no deben modificar los programas ni los archivos. 3) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. Como ejemplo de los problemas ocasionados por un mal uso de los respaldos está el de una instalación en que al mismo tiempo que estaba capturando la información para el archivo maestro, el programador hacía pruebas y cambios a los programas. El capturista capturaba el 15 de enero y en ese momento el programador deseaba que pusieran en el mismo usuario que el capturista la información del 13 de enero. El capturista continuaba capturando pero ya no en los archivos del 15 sino del día 13, y cuando volvían nuevamente a poner la información del día 15 descubría que había información que había capturado pero no la encontraba. 4) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales. 5) En los casos de información confidencial debe usarse, de ser posible, en forma codificada o criptografiada. 6) Se debe realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos. 7) Se debe monitorear periódicamente el uso que se les está dando a las terminales. 8) Se deben hacer auditorías periódicas sobre el área de operación y la utilización de las terminales. 9) El usuario debe ser responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto sólo se logrará por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseño general del sistema. 10) Debe existir una perfecta división de responsabilidades entre los capturistas de datos y los operadores de computadora, y entre los operadores y las personas responsables de las librerías. 11) Deben existir registros que reflejen la transferencia de información entre las diferentes funciones de un sistema. 146
    • 12) Debe controlarse la distribución de las salidas (reportes, cintas, etc.). 13) Se deben guardar copias de los archivos y programas en lugares ajenos al centro de cómputo y en las instalaciones de alta seguridad; por ejemplo: los bancos. 14) Se debe tener un estricto control sobre el transporte de discos y cintas de la sala de cómputo al local de almacenaje distante. 15) Se deben identificar y controlar perfectamente los archivos. 16) Se debe tener estricto control sobre el acceso físico a los archivos. 17) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versión. Esto nos servirá para identificar el número de veces que se ha compilado o corrido un programa, y nos permitirá costear en el momento que se encuentre un sistema en producción. También evitará que el programador ponga nombres que no signifiquennada y que sean difíciles de identificar, lo que evitará que el programador utilice lacomputadora para trabajos personales. Otro de los puntos en los que hay que tener seguridad es en el manejo deinformación; por ejemplo, existe un gran robo de información confidencial pormedio de fotocopiado, se da el caso de compañías en que sus competidores hanconocido los planes confidenciales por medio del desperdicio de papel o bien elcaso de una compañía que elaboró una serie de políticas de personal sumamenteconfidenciales y en que los operadores y, consecuentemente, toda la compañíaconoció la información al momento de obtener los listados por medio de lacomputadora. Lo más drástico en este caso es que los listados que se obtuvieroneran planes, que servirán como alternativas de solución, pero que no habían sidoautorizados. Para controlar este tipo de información se debe: 1. Cuidar que no se obtengan fotocopias de información confidencial sin la debida autorización. 2. Sólo el personal autorizado debe tener acceso a la información confidencial. 3. Controlar los listados tanto de los procesos correctos como aquellos procesos con terminación incorrecta. 4. Controlar el número de copias, y la destrucción de la información y del papel carbón de los reportes muy confidenciales. El factor más importante de la eliminación de riesgos en la programación esque, todos los programas y archivos estén debidamente documentados, por locual se debe considerar la necesidad de tener un alto grado de seguridad desde elmomento de hacer el diseño preliminar del sistema, siguiendo uno de los pasosdel diseño detallado y de la programación. 147
    • El siguiente factor en importancia es contar con los respaldos, y duplicadosde los sistemas, programas, archivos y documentación necesarios para que puedafuncionar el plan de emergencia. En los sistemas de cómputo en que se tiene sistemas en tiempo real, basesde datos y red de computadoras se deben tomar medidas de alta seguridad encuanto a: - Equipo, programas y archivos - Control de aplicaciones por terminar (definir qué aplicaciones se pueden correr en una terminal específica) - Definir una estrategia de seguridad de la red y de respaldos - Requerimientos físicos - Estándar de aplicaciones y de control - Estándar de archivos - Auditoría interna en el momento del diseño del sistema, su implantación y puntos de verificación y control Seguridad al restaurar el equipo En un mundo que depende cada día más de los servicios proporcionadospor las computadoras, es vital definir procedimientos en caso de una posible fallao siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalleel motivo que la originó y el daño causado, lo que permitirá recuperar en el menortiempo posible el proceso perdido. También se debe analizar el impacto futuro enel funcionamiento de la organización y prevenir cualquier implicación negativa. En todas las actividades relacionadas con las ciencias de la computación,existe un riesgo aceptable; y es necesario analizar y entender estos factores paraestablecer los procedimientos que permitan eliminarlos al máximo y, en caso queocurran, poder reparar el daño y reanudar la operación lo más rápidamenteposible. En una situación ideal, se deberían elaborar planes para manejar cualquiercontingencia que se presente. Analizando cada aplicación se deben definir planes de recuperación yreanudación, para asegurarse que los usuarios se vean afectados lo menosposible en caso de falla o siniestro. Las acciones de recuperación disponibles anivel operativo pueden ser algunas de las siguientes: - En algunos casos es conveniente no realizar ninguna acción y reanudar el proceso. - Mediante copias periódicas de los archivos se puede reanudar un proceso a partir de una fecha determinada. - El procesamiento anterior complementado con un registro de las 148
    • transacciones que afectaron los archivos permitirá retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo y a partir de él reanudar el proceso. - Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de emergencia. - Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones. Cualquier procedimiento que se determine que es el adecuado para uncaso de emergencia deberá ser planeado y probado previamente. Este grupo de emergencia deberá tener un conocimiento de los posiblesprocedimientos que pueda utilizar, además de un conocimiento de lascaracterísticas de las aplicaciones, tanto desde el punto técnico como de suprioridad, el nivel de servicio planeado y su influjo en la operación de laorganización. Además de los procedimientos de recuperación y reinicio de la información,se deben contemplar los procedimientos operativos de los recursos físicos comohardware y comunicaciones planeando la utilización de equipos que permitanseguir operando en caso de falla de la corriente eléctrica, caminos alternos decomunicación y utilización de instalaciones de cómputo similares. Estas y otrasmedidas de recuperación y reinicio deberán ser planeadas y probadaspreviamente como en el caso de la información. Con frecuencia un problema en algún programa, un error en los datos, unerror de operación o una falla del equipo hacen que una corrida en la máquinaaborte antes de terminar el proceso. Generalmente cuando esto sucede, no sepuede iniciar el trabajo donde se produjo la interrupción. El objetivo del siguiente cuestionario es evaluar los procedimientos derestauración y repetición de procesos en el sistema de cómputo: ¿Existen procedimientos relativos a la restauración y repetición de procesosen el sistema de cómputo? SI( ) NO( ) Enuncie los procedimientos mencionados en la pregunta anterior ¿Cuentan los operadores con alguna documentación en donde se guardenlas instrucciones actualizadas para el manejo de restauraciones? SI( ) NO( ) En el momento en que se hacen cambios o correcciones a los programasy/o archivos se deben tener las siguientes precauciones: 1. Las correcciones de programas deben ser debidamente autorizadas y probadas. Con esto se busca evitar que se cambien por nueva versión que antes no ha sido perfectamente probada y actualizada. 149
    • 2. Los nuevos sistemas deben estar adecuadamente documentados y probados. 3. Los errores corregidos deben estar adecuadamente documentados y las correcciones autorizadas y verificadas. Los archivos de nuevos registros o correcciones ya existentes deben estardocumentados y verificados antes de obtener reportes. Los datos de entrada deben estar debidamente probados y verificadoscontra la entrada de datos durante el procesamiento. Uno de los fraudes máscomunes se comete durante el periodo en el cual ya se obtuvieron las cifras decontrol pero no se han emitido los reportes definitivos; por ejemplo, la obtención decheques. Esto se puede hacer si es que se permite que se metan datos en elperiodo previo a la obtención de los reportes definitivos, y si no se tiene controlsobre estos datos introducidos posteriormente a las cifras de control. 9.6 Procedimiento de respaldo en caso de desastre Se debe establecer en cada dirección de informática un plan deemergencia, el cual ha de ser aprobado por la dirección de informática y contenertanto procedimiento como información para ayudar a la recuperación deinterrupciones en la operación del sistema de cómputo. Algunas compañías se resisten a tener un plan para casos de desastre oemergencia, considerando que esto es imposible. Eso puede ser cierto en lossistemas en línea o en tiempo real, ya que un sistema en línea difícilmente puedeser usado en otro equipo y lo único que queda es tener una alta seguridad en losequipos o bien computadoras en forma de "tándem". El sistema debe ser probado y utilizado en condiciones anormales, paraque en caso de usarse en situaciones de emergencia se tenga la seguridad quefuncionará. La prueba del plan de emergencia debe hacerse sobre la base de que laemergencia existe y se han de utilizar respaldos (posiblemente en otrasinstituciones). Hay que cambiar la configuración y, posiblemente se tengan queusar algunos métodos manuales, no sólo simulando un ambiente ficticio cercano ala realidad sino considerando que la emergencia existe. Se deben evitar suposiciones que, en un momento de emergencia, haganinoperante el respaldo; en efecto, aunque el equipo de cómputo seaaparentemente el mismo, puede haber diferencias en la configuración, el sistemaoperativo, en discos, etc. 150
    • Las revisiones al plan se deben realizar cuando se haya efectuado algúncambio en la configuración del equipo o bien en periodos semestrales. Una de lasprincipales objeciones al plan de emergencia es su costo; pero como en el caso deun seguro contra incendio, sólo podemos evaluar sus ventajas sidesafortunadamente el desastre ocurre. El plan de emergencia, una vez aprobado, se distribuye entre personalresponsable de su operación, por precaución es conveniente tener una copia fuerade la dirección de informática. En virtud de la información que contiene el plan de emergencia, seconsiderará como confidencial o de acceso restringido. La elaboración del plan y de los componentes puede hacerse en formaindependiente de acuerdo con los requerimientos de emergencia. La estructura delplan debe ser tal que facilite su actualización. Algunas emergencias pueden no afectar a toda la instalación, sino aalgunas partes tales como la discoteca y la cintoteca. Para la preparación del plan se seleccionará el personal que realice lasactividades claves del plan. El grupo de recuperación en caso de emergencia debeestar integrado por personal de administración de la dirección de informática (porejemplo, el jefe de operación, el jefe de análisis y programación y de auditoríainterna). Cada uno de ellos debe tener tareas específicas como la operación delequipo de respaldo, la interfaz administrativa, de logística; por ejemplo, elproporcionar los archivos necesarios para el funcionamiento adecuado. Cadamiembro del grupo debe tener asignada su tarea con una persona de respaldopara cada uno de ellos. Se deberá elaborar un directorio que contenga losnombres, direcciones y números telefónicos. Los desastres que pueden suceder podemos clasificarlos así: a) Completa destrucción del centro de cómputo b) Destrucción parcial del centro de cómputo c) Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (electricidad, aire acondicionado, etc.) d) Destrucción parcial o total de los equipos descentralizados e) Pérdida total o parcial de información, manuales o documentación j) Pérdida del personal clave g) Huelga o problemas laborales El plan en caso de desastre debe incluir: - La documentación de programación y de operación 151
    • Los equipos. - El equipo completo - El ambiente de los equipos - Datos y archivos - Papelería y equipo accesorio - Sistemas (sistemas operativos, bases de datos, programas de utilería, programas) El plan en caso de desastre debe considerar todos los puntos por separadoy en forma integral como sistema. La documentación estará en todo momento tanactualizada como sea posible, ya que en muchas ocasiones no se tienenactualizadas las últimas modificaciones y eso provoca que el plan de emergenciano pueda ser utilizado. Cuando el plan sea requerido debido a una emergencia, el grupo deberá: - Asegurar que todos los miembros sean notificados - Informar al director de informática - Cuantificar el daño o pérdida del equipo, archivos y documentos para definir qué parte del plan debe ser activada - Determinar el estado de todos los sistemas en proceso - Notificar a los proveedores del equipo cuál fue el daño - Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en cuenta: - Elaboración de una lista con los métodos disponibles para realizar la recuperación - Señalamiento de la posibilidad de alternar los procedimientos de operación (por ejemplo, cambios en los dispositivos, sustitución de procesos en línea por procesos en lote) - Señalamiento de las necesidades para armar y transportar al lugar de respaldo todos los archivos, programas, etc., que se requieren - Estimación de las necesidades de tiempo de las computadoras para un periodo largo Cuando ocurra la emergencia, se deberá reducir la carga de procesos,analizando alternativas como: - Posponer las aplicaciones de prioridad más baja - Cambiar la frecuencia del proceso de trabajos - Suspender las aplicaciones en desarrollo 152
    • Por otro lado, se debe establecer una coordinación estrecha con el personalde seguridad a fin de proteger la información. Respecto a la configuración del equipo hay que tener toda la informacióncorrespondiente al hardware y software del equipo propio y del respaldo. Deberán tenerse todas las especificaciones de los servicios auxiliares talescomo energía eléctrica, aire acondicionado, etc., a fin de contar con servicios derespaldo adecuados y reducir al mínimo las restricciones de proceso, se deberántomar en cuenta las siguientes consideraciones: - Mínimo de memoria principal requerida y el equipo periférico que permita procesar las aplicaciones esenciales - Se debe tener documentados los cambios de software - En caso de respaldo en otras instituciones, previamente se deberá conocer el tiempo de computadora disponible Es conveniente incluir en el acuerdo de soporte recíproco los siguientespuntos: - Configuración de equipos - Configuración de equipo de captación de datos - Sistemas operativos - Configuración de equipos periféricos Finalmente se deberá estudiar que se tenga una lista de los requerimientosmínimos que deben tener para un efectivo plan de recuperación en caso dedesastre. Lo más importante es identificar el número y tipo de componentesesenciales que puedan ser críticos en caso de emergencia o de desastre. I Equipo principal (equipo, canales de comunicación, memoria, etc.) Equipo Proyecto en ¿Es esencial fabricado el equipo para procesar? II Unidades de disco (incluyendo controladores, número de unidades,paquetes de discos, número de discos por paquete). Fabricante Número de Capacidad Proyectos en ¿Es unidades que se usa esencial para procesar? 153
    • III Unidades de cinta. IV Unidades de almacenamiento (en línea o fuera de línea) V Equipo periférico (lectoras, impresoras., etc.) VI Unidades de comunicación, controladores. Equipo Número de Proyecto en ¿Es equipo el que se esencial conectado usa para procesar? VII Sistemas operativos VIII Terminales. Equipo Unidad/ Localización Proyecto en el ¿Es esencial modelo que se usa para procesar? IX Equipo adicional - Electricidad KVA - Aire acondicionado BTU - Temperatura requerida - Humedad requerida Red de comunicación 1. Descripción de la red de comunicación. 1.1 En caso de emergencia, ¿es esencial el uso de la red decomunicación?. Describa el porqué de su respuesta. 2. Programas necesarios para la comunicación.Identificación Fabricante Tipo/ Vaduz Protocolode los circuitos Condición Velocidad AsíncronoEjemplo A++ C-1 9600 Punto final 154
    • Servicio Computadora Interfase Tipo Localizacióndedicado DispositivoMultipunto Timeplex mux Bell z/2 ADM. II Coyoacán Méx. D.F. Se debe contar con: a) Copia de programas de producción b) Copia de archivos maestros de las aplicaciones clave y sistemas operativos c) Copia de la documentación de los sistemas e instructivos de operación d) Copia de los archivos necesarios para procesar las transacciones e) Inventario de formas especiales utilizadas en la operación normal (se deben incluir también papelería normal, cintas magnéticas, cintas de impresión) j) Un local con las instalaciones necesarias (energía, aire acondicionado, piso adecuado, etc.) k) Convenios para el uso de computadoras compatibles 9.7 condiciones, procedimientos y controles para otorgar soporte a otras instituciones Una práctica conveniente, que desde hace tiempo se ha venido observandoen los centros de procesamiento es establecer arreglos con otros centros parautilizar su equipo. En caso de fallas mayores o en caso de desastre, como fuego,inundaciones, explosiones, etc., a fin de evitar interrupciones de los servicios deprocesamiento por un largo periodo. Es muy conveniente que este tipo de arreglose llevan acabo de una manera formal, interviniendo en ellos los nivelesjerárquicos más adecuados para asegurar la seriedad del compromiso. A. A quiénes se les otorga B. Condiciones y controles C. Procedimientos D. Tiempo, periodicidad y costo NOTA: Es muy importante que señales si nos proporcionan servicio o sinosotros proporcionamos el respaldo o si se tiene. 155
    • 10__________________________________________________________________Informe final 10.1 Técnicas para la interpretación de la información. Para interpretar la información podemos utilizar desde técnicas muysencillas hasta técnicas complejas de auditoría. 10.1.1 Análisis crítico de los hechos Una de las primeras técnicas es el análisis crítico de los hechos. Estatécnica sirve para discriminar y evaluar la información; es una herramienta muyvaliosa para la evaluación y se basa en la aplicación de las siguientes preguntas. PREGUNTA FINALIDAD Qué el propósito Dónde el lugar Cuándo el orden y el momento, sucesión Quién la persona responsable Cómo los medios Cuándo la cantidad La pregunta más importante es "qué", pues la respuesta permitirá saber sipuede ser: Eliminada Modificada o cambiada Simplificada Las respuestas que se obtengan deben ser sometidas a una nuevapregunta "Por qué", la cual planteará un nuevo examen que habrá de justificar lainformación obtenida. Cada interrogante se debe descomponer de la siguientemanera: 156
    • 1. Propósito a) qué se hace b) por qué se hace c) qué otra cosa podría hacerse d) qué debería hacerse 2. Lugar a) dónde se hace b) por qué se hace ahí c) en qué otro lugar podría hacerse d) dónde debería de hacerse 3. Sucesión a) cuándo se hace b) por qué se hace entonces c) cuándo podría hacerse d) cuándo deberá hacerse 4. Persona a) quién lo hace b) por qué lo hace esa persona c) qué otra persona podría hacerlo d) quién debería hacerlo 5. Medios a) cómo se hace b) por qué se hace de ese modo c) de qué otro modo podría hacerse d) cómo debería hacerse 6. Cantidad a) cuánto se hace b) por qué se hace esa cantidad (volumen) c) cuánto podría hacerse d) cuánto debería hacerse 10.1.2 Metodología para obtener el grado de madurez del sistema Para poder interpretar la información de los sistemas debemos evaluar elgrado de madurez de los mismos. - Verificar si el sistema está definido - Verificar si el sistema está estructurado - Verificar si el sistema es relativamente estable - Verificar si los resultados son utilizados o no 157
    • CARACTERÍSTICAS MADURO INMADURODEFINIDO COMPLETAMENTE INCOMPLETOESTRUCTURADO ALTO BAJAESTABLE NO CAMBIA MUCHOS CAMBIOSRESULTADOS UTILIZADOS NO UTILIZADOS Dependiendo del grado de madurez y su grado de estructuración, sedetermina si debe estar automatizado y la posible madurez que repercutirá en unamejor utilización y en disminución de cambios. Si el sistema está estructurado y maduro, se debió usar la técnica desistema de información; si está estructurado pero no está maduro se debió seguirhaciéndolo manualmente; si está semiestructurado y maduro se podrá usar latécnica de soporte en la toma de decisiones (DSS= Decisión system support). Si el sistema está semiestructurado pero no está maduro, debió seguirsehaciendo en forma manual; si no está estructurado y maduro es un sistema guiadopor la intuición y deberá seguirse haciendo en forma manual. Si no estáestructurado ni maduro el sistema no tiene razón de existir.NIVEL DE MADUREZ MADURO INMADURONIVEL ESTRUCTURA ESTRUCTURADO SISTEMA DE INFORMACIÓN GENERALSEMIESTRUCTURADO SISTEMA DE MANUAL SOPORTE DE DECISIONESNO ESTRUCTURADO INTUITIVO SIN RAZÓN 10.1.3 Uso de diagramas Otra forma de analizar los hechos es seguir la ruta de información desde suorigen hasta su destino y disponer de este camino en una secuencia cronológica,con el fin de clarificar dónde aparece, cómo avanza a lo largo del sistema y cómollega a su destino. Esta técnica ayuda a hacer un estudio objetivo de todos losparos por los cuales deberá de pasar la información. 158
    • 10.2 Evaluación de los sistemas Se debe evaluar el desarrollo que ha tenido el sistema por medio deanalizar los pasos que comprendieron el desarrollo del sistema y comparar lo quese planeó contra lo que realmente se esta obteniendo. ANÁLISIS Se debe evaluar la información obtenida en los sistemas para poder: Determinar el objeto y compararlo con lo obtenido Buscar la interrelación con otros sistemas Evaluar la secuencia y flujo de las interacciones ETAPAS DEL ANÁLISIS 1. Análisis conceptual - Evaluar el sistema funcional - Evaluar la modularidad del sistema - Evaluar la segmentación del sistema - Evaluar la fragmentación del sistema - Evaluar la madurez del sistema - Evaluar los objetivos particulares del sistema - Evaluar el flujo actual de información - Definir el contenido de los reportes y compararlo con el objetivo 2. Detalle de análisis actuales y esperados - Evaluar los modelos de los reportes - Evaluar los controles de operación - Cuantificar el volumen de información - Evaluar la presentación y ajustes Se debe conocer en términos generales el nivel del sistema funcional paraobtener los elementos suficientes que permitan evaluar el nivel de interacción, sugrado de estructuración y la madurez del sistema con el fin de determinar si sejustifica su automatización. 1. EVALÚE EL OBJETIVO Evalúe que el objetivo general y el alcance del sistema funcional estén en forma clara y precisa. Esta actividad se encarga de delimitar el sistema obteniendo todo lo relacionado con él, mediante las entrevistas a los usuarios involucrados con el fin de evaluar si se cumplió con el objetivo. Las versiones que ofrezcan los usuarios deberán ser confrontadas para verificar su compatibilidad 159
    • 2. EVALÚE LA INTERACCIÓN CON OTRO SISTEMAS Se debió analizar la información del sistema con el propósito de localizarsus interacciones y sus contactos con otros sistemas a fin de determinar siexiste un sistema integral de información, sistemas aislados o simplementeprogramas o si existe redundancia y ruido y cuáles son los controles conque cuenta el sistema. Para evaluar todas las entradas y salidas que tienenlugar en el sistema, esta parte de la auditoría determina el flujo deoperación y también todas las entradas y salidas que ocurren internamente.La manera de desarrollar esta actividad es usar aquellos documentos deinformación que maneja el sistema rastreando las fuentes y destinoselaborando o reservando la matriz de recepción/distribución de losdocumentos y la matriz de entradas/salidas.3. EVALÚE SI SE OBTIENE LA SECUENCIA Y EL FLUJO DE LAS INTERACCIONES Para llevar a cabo esta actividad es necesario establecer el flujo deinformación a través del sistema, tomando la matriz de entradas/salidas yagregándole el orden de ocurrencia así como la periodicidad. Grafíquela enun plano horizontal para tratar de encontrar duplicidad de información. Esteplano debe hacerse de tal manera que refleje un período de tiempo asícomo el orden de ocurrencia.4. EVALÚE EL SISTEMA FUNCIONAL Dado que ya se evaluó el objetivo, las interacciones y su flujo, lo que sehace es analizarlo para tener una idea más clara de su función. Tomandocomo base los elementos de los primeros tres pasos, se debe verificar si escongruente con su objetivo, es decir, si la descripción define sus propósitos.En esta etapa se evalúa "qué hace" el sistema.5. EVALÚE LA MODULARIDAD DEL SISTEMA Esta actividad subdivide el sistema en partes que puedan ser procesadasen forma independiente, pero cuyo objetivo particular es buscar el objetivogeneral del sistema funcional, correspondiendo a cada módulo una funcióngeneral del sistema. Así mismo una función general del sistema consiste en identificaraquellas partes de él donde ocurre una entrada, un proceso y se obtiene unresultado parcial.6. EVALÚE LA SEGMENTACIÓN DEL SISTEMA Este paso tiene por objeto subdividir los módulos en funcionesparticulares, de tal manera que el conjunto de funciones defina al móduloen cuestión. En esta parte deben evaluarse aquellas funciones que sonrealizadas para distintos módulos (interconexión modular); cada funciónextraída del módulo debió ser consistente y validada con el usuario. 160
    • 7. EVALÚE LA FRAGMENTACIÓN DEL SISTEMA Se subdivide el segmento en funciones específicas o procedimientos,pues cada función particular o segmento puede contener uno o másprocedimientos. As su vez cada procedimiento puede estar formado pordistintos niveles (Jerarquía de procedimientos); dependiendo de sucomplejidad en esta parte se debe evaluar haciendo énfasis en "qué hace"y no el cómo lo hace ya que esto se evalúa en el análisis detallado.8. EVALÚE EL FLUJO FUNCIONAL DE INFORMACIÓN DEL SISTEMA Identifique en cada documento su origen y su seguimiento a través de lasdiferentes entidades o departamentos por donde transita; a la vez vayaidentificando sus adiciones y supresiones de información. Por últimoidentifique cómo y dónde llega a su destino. Se recomienda el uso de 1diagrama de flujo de información.9. EVALÚE LOS DOCUMENTOS DE ENTRADA Y EL CONTENIDO DE LOS REPORTES Se deben evaluar las formas de entrada, su contenido, claridad,controles, copias solicitadas y autorizaciones, verificar que los reportes opantallas de salida contengan todos los datos necesarios sin importar dedónde provienen. El uso que se le da, quién los prepara y a quién vandirigidos.10. EVALUÉ LOS CONTROLES DE OPERACIÓN DEL SISTEMA Se debe evaluar claramente en qué parte del proceso operacional si sellevan a cabo controles, analizando sobre qué variables se ejerce y cómo sejerce (procedimiento) y las acciones a tomar en cada situación dada, esdecir, se evalúan su razón de ser, su método y su grado de sensibilidad.11. CUANTIFIQUE EL VOLUMEN DE INFORMACIÓN QUE SE MANEJARÁ La importancia de este paso es tener una idea en la aproximación de losrecursos que se necesitan se están siendo usados correctamente lasituación del equipo y la posibilidad de incremento de equipo. Se obtiene sumando los caracteres involucrados en los reportes ydocumentos utilizados, especificando el número de veces que ocurre cadarubro y la longitud de ellos. El sistema deberá tener las siguientes características:GENERALIDAD. Que busca objetivos amplios pensando en que lasaplicaciones pueden ser ampliadas.FLEXIBLE. Que puede ser susceptible de ser implantado en diferentesambientes y equipos.CONFIABILIDAD. Esto es, que sea capaz de detectar posibles errores paraque éstos no se procesen. 161
    • SEGURIDAD. Que el sistema cuente con dispositivos para que sólo la gente autorizada pueda tener acceso a la información. Fácil de usarse y operable, o sea que tenga la capacidad para recuperarse de una falla del equipo. CONFIDENCIALIDAD. Accesible sólo a aquellas personas autorizadas para su manejo, consulta y explotación. MODIFICABLE. Que se traduce en la capacidad del sistema para adiciones, sustituciones o eliminación de elementos con el fin de efectuar nuevas funciones o deje de efectuar otras, sin alterarse las que no se deseen. 12. EVALUACIÓN DE LOS ARCHIVOS. Analice al detalle los archivos de información involucrados en el sistema señalando sus atributos y propiedades, su estructura, clasificación, organización, factor de bloque, frecuencia de uso, campos, códigos, tamaño. Se recomienda hacer referencia a los programas que lo usan. 13. EVALUACIÓN DE REPORTES. Se evaluarán las formas de salida de los reportes, o sea la infraestructura de lo mismo, mediante el diseño de la forma y la distribución de su contenido, validándola con el usuario. Programa que lo genera Archivos usados Frecuencia Usuario Contenido PRUEBAS Y REVISIONES. El objetivo es asegurarse que el sistema funcione de acuerdo a lasespecificaciones funcionales a fin de que el usuario tenga la suficiente informaciónpara su manejo, operación y aceptación. (Es recomendable utilizar la informaciónobtenida en las opiniones de los usuarios). Esta actividad es muy importante ya que el costo de corregir errores esdirectamente proporcional al momento en que se detecta. Las pruebas del sistema buscan asegurar que se cumplan los requisitos delas especificaciones funcionales, verificando datos estadísticos, transacciones,reportes, archivos anotando las fallas que pudieran ocurrir y realizando los ajustesnecesarios. Los niveles de prueba pueden ser agrupados en módulos, programasy en el sistema total. 162
    • 10.3 Evaluación de los sistemas de información Esta función tiene gran importancia en el ciclo de evaluación de lasaplicaciones de sistemas de información por computadora. Busca comprobar quela aplicación cumpla las especificaciones requeridas por el usuario, que hayadesarrollado dentro de lo presupuestado y que efectivamente cumpla con losobjetivos y beneficios esperados. Un cambio a un sistema existente, como la creación de un nuevo, introducenecesariamente cambios en la forma de obtener la información y un costoadicional. Ambos deberán ser evaluados antes y después del desarrollo. Se debe evaluar el cambio (si lo hay) de la forma en que las operacionesson ejecutadas, comprobar si mejora la exactitud de la información generada, si laobtención de los reportes efectivamente reduce el tiempo de entrega, si es máscompleta, en que tanto afecta las actividades del personal usuario, si aumenta odisminuye el personal de la organización, los cambios de las interacciones entrelos miembros de la organización. De ese modo se sabrá si aumenta o disminuye elesfuerzo por generar la información para la toma de decisiones, con el objeto deestar en condiciones de determinar la productividad y calidad del sistema. El análisis deberá proporcionar: la descripción del funcionamiento delsistema desde el punto de vista del usuario, indicando todas la interacciones delsistema, la descripción lógica de cada dato, las estructuras que forman éstos, elflujo de información que tiene lugar en el sistema. Lo que el sistema tomará comoentradas, los procesos que serán realizados, así como las salidas que deberáproporcionar, los controles que se afectarán para cada variable y losprocedimientos. De este modo se agruparán en cuatro grandes temas. EVALUACIÓN EN LA EJECUCIÓN EVALUACIÓN EN EL IMPACTO EVALUACIÓN ECONÓMICA EVALUACIÓN SUBJETIVA 1. EVALUACIÓN EN LA EJECUCIÓN Se refiere al uso de cuestionarios para recabar datos acerca de la actuaciónde la aplicación en la computadora, con objeto de conocer qué tan bien o qué tanmal está siendo usada y opera eficientemente. Los cuestionarios son medios para recopilar datos acerca de los recursosde informática y pueden ser cuestionarios manuales, encuestas de opiniones,evaluación de documentación, obtención de información electrónica integrada alequipo (hardware) y de programas ejecutándose (software), obteniéndose enambas las estadísticas acerca de su uso. 163
    • Existen dos tipos de estadística: 1. Estadística de software Son un juego de instrucciones ejecutables, conectadas al sistema operativo con el fin de colectar datos acerca de la operación del sistema ya„cerca de los programas de aplicación; éste requiere memoria y proceso adicional, decrementando la rapidez del microprocesador. Esta estadística ayuda a detectar qué recursos adicionales se necesitan o qué recursos existentes deben ser ejecutados para lograr más eficiencia, ayuda a identificar cuáles son los lenguajes más usados, qué tipo de proceso es más común, etc. 2. Estadística de hardware Puede ser utilizada para medir la cantidad de tiempo de la unidad de procesamiento central, pero también podrá ser concentrada a los canales de comunicación y dispositivos de almacenamiento secundario para determinar la frecuencia y la cantidad utilizada. Estos dos tipos de estadística normalmente son proporcionados por elfabricante de computadoras, pero algunos pueden ser desarrollados por la propiaorganización. 2. EVALUACIÓN EN EL IMPACTO Es la evaluación que se hace sobre la manera en que afecta a la gente queinterviene en la aplicación (usuarios) con el objeto de determinar como laimplantación y el uso del sistema de información que afecta a la organización,distinguiendo qué factores son directamente atribuibles al sistema. Las principalesáreas que nos deben interesar son las que intervienen en la toma de decisiones yen las actividades de operación. Esta evaluación se hace con el fin de detectar a la gente involucrada , lasactividades que son necesarias realizar, la calidad de la información y el costo deoperación resultante. Algunas expectativas deben ser elaboradas y jerarquizadas antes deempezar a diseñar el sistema con el fin de que, cuando se instale, se compruebesi los resultados satisfacen plenamente lo planeado. Asimismo se debe evaluar el efecto que se tiene sobre el ambiente delsistema (personas, leyes, etc.). Para ello contamos con varias técnicas que nosayudan en este propósito, las cuales son: a) Bitácora de eventos b) Registro de actitudes c) Contribución y peso d) Análisis de sistemas 164
    • PRESUPUESTO 3. EVALUACIÓN ECONÓMICA Aquí se obtiene el costo de una aplicación y cuantifican los beneficiosesperados con el objeto de justificar o no su desarrollo, o comprobar que laaplicación se desarrolló según lo presupuestado. Es importante para la organización obtener la evaluación económica que lepermitirá justificar su desarrollo e implantación. Cuando la aplicación ha sido realizada, se busca obtener el costo realcontra el beneficio real para comprobar o determinar el porqué de la diferencia delos presupuestado y/o la calidad de la aplicación. Se debe evitar crear sistemas que perjudiquen la organización y minen sueconomía. Hay que tratar de obtener el mayor beneficio con el equipo disponible einvertir en equipos adicionales sólo cuando esté plenamente justificada lainversión por los beneficios que se obtendrán. 4. EVALUACIÓN SUBJETIVA Partiendo de la premisa de que los usuarios son los principales afectadosdirectamente por el sistema, sus puntos de vista y necesidades deberán serconsiderados para la evaluación. Los que procesan los datos, el personal de sistemas y personal de altadirección deberán también participar en la determinación de los beneficioseconómicos de la actividad particular a ser desarrollada. La justificación de la evaluación subjetiva se centra en que la opinión delgrupo usuario proporciona un punto de vista más completo de la aplicación,ayudando a obtener aquellos factores que se hubieran pasado por alto. Los métodos de la evaluación subjetiva pueden ser: a) Uso de cuestionarios b) Desarrollo de una metodología que midiera el valor de la información generada por la aplicación y por la ganancia de su uso. 10.4 Controles Un punto muy importante a considerar dentro de la auditoría en informáticason los controles, los cuales se dividen en generales, operativos (dependiendo delsistema) y técnicos (equipos y sistemas). 165
    • Los controles generales normalmente se aplican a todo procesamiento dela información y son independientes de las aplicaciones, estos controles incluyen: - Planeación - Organización - Políticas y procedimientos - Estándares - Administración de recursos - Seguridad - Confidencialidad Los controles operativos comprenden cada uno de los sistemas en formaindividual y constan de: - Control de flujo de la información y tabla de decisiones - Control de proyectos - Organización del proyecto - Reporte de avance - Revisiones del diseño del sistema - Control de cambios a programa - Requisición del cambio - Bitácora de cambios - Mantenimiento y documentación - Producción - Controles de documentación - Documentación (sistema, programa) - Mantenimiento y acceso a la documentación - Control de sistemas y programas - Sistemas en lote - Control de programas - Etiquetado de archivos - Sistemas en línea - Controles de salida - Control de programa - Controles de salida Los controles técnicos que se deben de evaluar son: - Controles de operación y uso de la computadora - Supervisor - Capturistas - Bibliotecario - Operadores - Mesa de control 166
    • - Controles de entrada y salida - Reporte de fallas y mantenimiento preventivo - Controles sobre archivos - Recuperación de desastres - Controles de usuarios De origen de datos - Controles de entrada de datos - Controles de salida de datos - Controles técnicos - Aplicaciones Sistemas - Equipos - Controles lógicos del sistema - Sistemas operativos - Sistemas de utilería - Sistemas de bibliotecas - Sistemas de mantenimiento de archivo - Sistemas de seguridad - Control de acceso al sistema - Control de cambios al sistema - Redundancia en la información - Inconsistencia de datos - Seguridad - Controles de seguridad, respaldo y confidencialidad 10.5 Confección y redacción del Informe Final La función de la auditoría se materializa exclusivamente por escrito. Por lotanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parcialesprevios al informe final, los que son elementos de contraste entre opinión entreauditor y auditado y que pueden descubrir fallos de apreciación en el auditor. 167
    • Estructura del informe final:• El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.• Definición de objetivos y alcance de la auditoría.• Enumeración de temas considerados: antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.• Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: a. Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. b. Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c. Puntos débiles y amenazas. d. Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e. Redacción posterior de la Carta de Introducción o Presentación. Modelo conceptual de la exposición del informe final - El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector. - El Informe debe consolidar los hechos que se describen en el mismo. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios: 1. El hecho debe poder ser sometido a cambios. 2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. 3. No deben existir alternativas viables que superen al cambio propuesto. 4. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. La aparición de un hecho en un informe de auditoría implicanecesariamente la existencia de una debilidad que ha de ser corregida. 168
    • Flujo del hecho o debilidad: 1. Hecho encontrado. - Ha de ser relevante para el auditor y para el cliente. - Ha de ser exacto, y además convincente. - No deben existir hechos repetidos. 2. Consecuencias del hecho - Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3. Repercusión del hecho - Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. 4. Conclusión del hecho - No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. 5. Recomendación del auditor informático - Deberá entenderse por sí sola, por simple lectura. - Deberá estar suficientemente soportada en el propio texto. - Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación. - La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. - Carta de introducción o presentación del informe final: La carta de introducción tiene especial importancia porque en ella ha deresumirse la auditoría realizada. Se destina exclusivamente al responsablemáximo de la empresa, o a la persona concreta que encargo o contrato laauditoría. Así como pueden existir tantas copias del informe Final como solicite elcliente, la auditoría no hará copias de la citada carta de introducción. La carta de introducción poseerá los siguientes atributos: • Tendrá como máximo 4 folios. • Incluirá fecha, naturaleza, objetivos y alcance. • Cuantificará la importancia de las áreas analizadas. • Proporcionará una conclusión general, concretando las áreas de gran debilidad. • Presentará las debilidades en orden de importancia y gravedad. • En la carta de introducción no se escribirán nunca recomendaciones. 169
    • 11__________________________________________________________________Diferentes enfoques de laauditoría 11.1 Introducción Existen estudios en relación con la función informática que hacen lasiguiente aseveración " La función informática no está ni ha estado bienadministrada", esto quiere decir que generalmente a la problemática que sepresenta se le da un seguimiento por excepción y no por función ya que en lasempresas no están establecidos los controles preventivos, correctivos o detectivosnecesarios para administrarla de manera adecuada y que toda la problemática seresuelve después de haber aparecido de manera momentánea sin establecer uncontrol definitivo, teniendo como consecuencia un despilfarro en los recursosinformáticos y en recursos económicos, por lo que se hace cada vez mas evidentela necesidad de establecer una evaluación periódica y permanente de las áreasinvolucradas en esta función para lograr una operatividad eficiente de acuerdo conlas normas establecidas, que es lo que se conoce como auditoría en informática.Esta se puede llevar a cabo teniendo dentro de la organización esta función ocontratando asesores externos. Las auditorias en informática pueden ser realizadas con diferentesmetodologías, en donde cada una de ellas es elaborada por para obtener elmismo producto final, que es el llamado: "informe final" que es donde se plasmantodas las recomendaciones del grupo de auditores con el objetivo de que lafunción de informática trabaje de la manera más eficiente y eficaz y disminuir la 170
    • incertidumbre de la interrupción de la misma. Es necesario que los auditorestomen en cuenta las siguientes tres normas: • Normas personales • Normas de ejecución del trabajo • Normas de información Normas personales 1. La evaluación debe de ser realizada por una persona o personas que tengan el entrenamiento técnico y la capacidad profesional adecuada para realizarla. 2. En todos los asuntos relacionados con el trabajo, el auditor o los auditores deben mantener imparcialidad mental. 3. Tener el debido cuidado y diligencia profesional en el desarrollo de la evaluación y en la preparación del informe. Normas de ejecución del trabajo. 1. El trabajo se debe planear adecuadamente y los colaboradores, si es el caso, deben ser supervisados en forma adecuada. 2. Se debe efectuar un estudio y evaluación del control interno existente como base de la confianza que se va a depositar en él, y como fundamento de la extensión de las pruebas a que deberán sujetarse los procedimientos de auditoría. 3. Se debe obtener la evidencia suficiente y competente a través de inspecciones en el área de trabajo, observaciones, investigaciones y confirmaciones que permitan establecer la base razonable sobre la que se apoya el dictamen a los sujetos a la revisión. Normas de información 1. El informe deberá expresar una opinión relacionada a cada una de las áreas evaluadas, haciendo referencia al cumplimiento o no de la normatividad establecida en cada una de ellas, en caso de que no se pueda dar una recomendación adecuada, deberá de establecer las razones que lo llevan a ello. 171
    • Primer enfoque Enrique Hernández Hernández autor del Libro "Auditoría en Informática" ensu segunda Edición, escribe lo siguiente: Que es necesario la implantación en la empresa una estructuraorganizacional que permita tener dentro de ella la función de auditoría eninformática, basada en las siguientes estrategias y cursos de acción Estrategias: 1) Formalizar la auditoría en informática en la organización a través de: a) Cursos de acción que justifiquen el desarrollo de la función de auditoria informática en el negocio. b) Presentar a la alta dirección el documento de justificación. c) Aprobación del proceso por la alta dirección. d) Difusión de la auditoría en informática en las áreas relacionadas directa e indirectamente con la informática. e) Desarrollo del proceso de auditoría en informática en el negocio. 2) Proporcionar a la empresa o institución un proceso de auditoría en informática permanente con objetivo de garantizar a la alta dirección: a) Que la seguridad, políticas y procedimientos que se orientan hacia los recursos de informática y a la información que éstos manejan sean eficientes y confiables. b) Apoyo a los objetivos del negocio al tomar decisiones con base a información que cumpla con los requisitos mínimos exigidos por auditoría, como exactitud, totalidad, autorización, actualización, etc. Asimismo, se cumplirán los requerimientos exigidos de calidad y oportunidad. c) La verificación del uso de tecnología que requiere y justifica cada área y nivel organizacional dentro del negocio. d) La existencia de un proceso de evaluación y justificación de cada proyecto de inversión relacionado con la función informática. e) La elaboración y desarrollo formal de un proceso de planeación en informática que se oriente al plan del negocio. 172
    • f) El uso formal de metodologías, técnicas y herramientas por el personal de informática para el desempeño eficiente de sus tareas y generador de productos de calidad. g) Promover que el personal de informática se desarrolle en un ambiente de profesionalismo y de alta productividad tomando como base habilidades, conocimientos y perfiles requeridos por la organización.Cursos de acción:1. Lograr que la alta dirección, las áreas o departamentos usuarios y el personal, de informática tomen conciencia de la necesidad de contar con una función de auditoría en informática que asegure y oriente el uso eficiente de los recursos involucrados con la misma.2. Formalizar un procedimiento que contemple la difusión, asimilación de los planes, objetivos, beneficios y áreas de oportunidad que representa la auditoría en informática para la organización.3. Una vez aprobada la creación o contratación de externos para el proceso de auditoría en informática, se produce a la planeación y desarrollo formal del mismo.4. El proceso de planeación de la auditoría en informática ha de reflejar proyectos que contemplen prioridades para la alta dirección, áreas de oportunidad para el negocio y evaluaciones que la función de auditoría en informática considere fundamentales para el aseguramiento de la calidad y uso eficiente de los recursos de informática y de la información manejada por dichos recursos.5. Coordinar formalmente las visitas y reuniones necesarias con el personal usuario y de la informática involucrado en cada proyecto.6. Ejecutar de manera formal y oportuna cada proyecto de acuerdo con lo planeado.7. Entregar a la alta dirección informes ejecutivos y detallados de cada proyecto aprobado por el comité de trabajo. Dicho comité puede estar integrado por la dirección general, gerentes usuarios, gerentes de sistemas, gerentes de auditoría interna y auditores externos.8. Lograr que las áreas y los niveles involucrados en los proyectos de auditoría en informática que reconozcan la importancia que representa el apoyo formal y oportuno que requiere este tipo de proyectos para la implantación de las soluciones emanadas del proceso.9. Investigar, analizar y formalizar la metodología de auditoría en informática utilizado por el personal de la función con el objeto de orientar los requerimientos actuales y futuros de la organización, tomando en cuenta las políticas, procedimientos y estándares recomendados a nivel nacional e internacional por las asociaciones y entidades profesionales especializadas en el campo. 173
    • 10. Elaborar un programa de actualización de personal de auditoría en informática, que mida su desempeño con base en los objetivos logrados contra los objetivos planeados. 11. Orientar los esfuerzos de la función de auditoría en informática hacia la búsqueda y logro de soluciones que apoyen los objetivos del negocio. Después de organizar el área busca la ubicación jerárquica de la función deauditoría informática, tratando de que los auditores cuenten con: • Independencia funcional. • Libertad de acción. • Facultad para la toma de decisiones. • Negociación con los niveles gerenciales. • Involucramiento en proyectos de alto impacto para el negocio. Y esta puede estar de dos formas: 1. A nivel estratégico 2. A nivel táctico 174
    • 1. Nivel estratégico (Equipo de apoyo a la dirección)Características Beneficios Posibles limitacionesIndependencia funcional Comunicación formal y El seguimiento del permanente entre la alta desempeño de la función dirección y los por parte de la alta responsables de auditoría dirección en informáticaEl proceso de auditoría Apoyo y soporte En gran parte de lasopera estratégicamente constante de la alta empresas no se acepta la dirección a la función auditoría en informáticaPor lo general se haya en Objetivo en el No existen muchosinstituciones financieras, desempeño de la función profesionales conde crédito experiencia, técnicas y habilidades requeridas para ejercer la función de auditoría informática a un nivel estratégico.Existe un compromisopermanente con la altadirecciónPersonal de auditoría convisión del negocio 175
    • 2. Nivel táctico (gerencias, jefaturas)Características Beneficios Posibles limitacionesNo hay independencia La alta dirección la Se debilita el compromisofuncional respecto a otras considera una función y soporte de la altadirecciones o gerencias indispensable para dirección hacia la función observar el cumplimiento de políticas y procedimientos de informática en el negocioSe encuentra en los La función tienen El porcentaje dediversos sectores de la contacto con los empresas que consideracomunidad, con responsables para la importante contar confrecuencia en ciertas toma de decisiones una función a este nivelinstituciones de crédito, es mínimo.gubernamentales y engrado menor en el sectorindustrial y educativo.Se limita mucho al estilo Existen asociaciones, No existen muchosde trabajo del nivel consultores y escuelas profesionales consuperior al que reporta profesionales que experiencia, técnicas y impulsan diariamente la habilidades requeridas formalización de la para ejercer la función de función, al menos a un auditoría informática a un nivel táctico. nivel táctico. Después de analizar que tipo de estructura tendrá la función de informática,se analiza de quien dependerá, y para ello se plantean cuatro posibles escenarios: 176
    • 1. Dependiendo de la dirección o gerencia de auditoría.Consideraciones clave de la Ventajas/áreas de Desventajas/restriccionesfunción en el entorno del oportunidadnegocioIndependiente de la función de Integración de los controles y Las áreas del negocio noinformática y de las otras políticas de informática a los aceptan con facilidad seráreas de la empresa donde se establecidos para las otras evaluadas por personal de ladará la auditoría en informática áreas del negocio misma empresa.Integración de los controles y Hay una planeación ypolíticas de informática a los desarrollo conjunto deestablecidos para las otras proyectos con las otras áreasáreas del negocio. de auditoría Se asegura control y seguimiento sobre todos los recursos y proyectos de informática.2. Dependiendo de la dirección o gerencia de informáticaConsideraciones clave de la Ventajas/áreas de Desventajas/restriccionesfunción en el entorno del oportunidadnegocioHay dependencia de tipo Se facilita en alto grado de Incertidumbre acerca de quéfuncional hacia el director o nivel de apoyo de informática anomalías, carencias egerente de informática incumplimiento de la función informática se hagan del conocimiento de la alta dirección de manera formal y oportuna.El director o gerente de Conocimiento formal y El enfoque de la auditoría eninformática debe ser oportuno de los proyectos e informática es limitarse a sernegociador y facilitador para inversiones de informática una entidad que “sugiere, noimpulsar el proceso de que controla o asegura”auditoría en informática entodo el negocio, no sólo en suárea Se agiliza el proceso de concientización en el personal de informática en el cumplimiento de políticas y controles 177
    • 3. Como personal de apoyo de la dirección generalConsideraciones clave de la Ventajas/áreas de Desventajas/restriccionesfunción en el entorno del oportunidadnegocioLa función se ubica como una Apoyo permanente de la alta La alta dirección debe darentidad estratégica dentro del dirección en la difusión e seguimiento al desempeño denegocio implantación de políticas, informática con conocimiento controles y procedimientos de causaEl responsable de la función Las áreas del negocio se Se reduce el margen de errordebe tener una visión de comprometen a cumplir las en cada uno de los proyectosnegocio políticas y controles inherentes de auditoría en informática al a informática de una manera ser evaluados por la alta formal. dirección.Hay un compromiso de dar Se justifica el perfil de Se orientan los proyectos deresultados que generen valor ejecutivo del auditor en informática.agregado. informática. 4. Como función de auditoría en informática ejercida por externosConsideraciones clave de la Ventajas/áreas de Desventajas/restriccionesfunción en el entorno del oportunidadnegocioLos proyectos con los Los despachos o asesores Pueden darse fugas deasesores externos deben ser externos por lo general se información.coordinados por la dirección o apoyan en métodos, técnicas ygerencia de auditoría o estándares de auditoría eninformática. informática comúnmente aceptados a nivel nacional e internacional.Se da cuando se carece de la Son personal de n nivel Costos altos y difíciles defunción de información, o si profesional más que controlar.ésta existe se busca asegurar aceptable, debido a suo validar información relevante experiencia y constantepara la alta dirección. actualización.El personal externo ha de Existe un compromiso moral y El tiempo de asimilación de locontar con amplia experiencia profesional del auditor en que e el negocio puedeen este ramo y ser reconocido informática para ejercer la prolongarse.por su trayectoria en el asesoría de manera ética emercado regional o nacional al independiente.menos.Debe evaluarse su desempeño Se exigen resultados y En ocasiones las soluciones yuna vez terminado su trabajo. beneficios desde el inicio de recomendaciones no son las los proyectos. adecuadas para el negocio. Si es contratado por el responsable de la informática puede estar influido en el momento de elaborar y entregar el informe final del trabajo. Se requiere compromiso y participación formal de todos los involucrados. 178
    • Una vez que es ubicada la función de auditoría en informática enalguna de las cuatro estructuras jerárquicas anteriores, es necesario parahacer rentable la función, establecer las funciones que debe realizar, entralas que se encuentran como mínimas las siguientes: a) Evaluación y verificación de los controles y procedimientos relacionados con la función de informática dentro de la organización. b) La validación de los controles y procedimientos utilizados para el aseguramiento estable del uso eficiente de los recursos informáticos dentro de la organización. c) Evaluación, verificación e implantación oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática. d) Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimientos que regulan las actividades y utilización de los recursos de informática de acuerdo con las políticas de la organización. e) Desarrollar la auditoría informática conforme normas y políticas estandarizadas a nivel nacional e internacional. f) Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del negocio. g) Elaborar un plan de auditoría en informática en los plazos determinados por el responsable de la función. h) Obtener la aprobación formal de los proyectos del plan y difundirlos entre los involucrados con el mismo. i) Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de auditoría en informática. Habla de la necesidad de administrar la función de auditoría eninformática con la finalidad de verificar que al menos cumplan con losprincipios básicos del proceso administrativo, con el objetivo de que estafunción realmente aporte beneficios a la organización, mediante eldesempeño eficiente dentro de la misma, siendo los más importantes: a) la planeación, es necesaria para establecer de manera conjunta con los demás auditores de la empresa fechas probables de revisión de las áreas, unificación de metodologías, capacitación de personal de auditoría de manera conjunta, seguimiento de debilidades importantes que se hayan detectado, etc. 179
    • b) el personal, este es verdaderamente importante en la realización de una auditoría en informática, debido que depende mucho de los conocimientos los auditores, así como de la experiencia profesional el éxito de la misma. Por lo que es importante recalcar que es necesario establecer el perfil necesario de los auditores que se necesitan dentro de la organización para tomarlo en cuenta al momento de la contratación de personal, así como de la participación de personal de la función de informática para su aprobación. c) el control, aquí se encuentra la supervisión, que es una parte importante de la auditoría en informática ya que permite visualizar mediante un proceso continuo la planeación de la auditoría finiquitada con la entrega del informe final. d) el seguimiento del desempeño, es importante para evaluar: - Productividad y calidad de los proyectos. - Avances de proyectos - Resultados. - Áreas susceptibles de control y seguimiento. - Seguimiento individual y de grupo.con el objetivo de que esta función realmente aporte beneficios a laorganización , mediante el desempeño eficiente dentro de la misma. La metodología para el desarrollo e implantación de la auditoría eninformática es verdaderamente importante para llevarla a cabo, ya quebrinda al grupo de auditores un camino estructurado que les permita llevar acabo tareas, actividades, productos terminados, revisiones, funciones,responsabilidades, etc.; orientándolos a trabajar en equipo para laobtención de productos terminados de buena calidad. Es conveniente recalcar que una metodología no augura el éxito deuna auditoría, además se requiere de un buen dominio de: Técnicas Herramientas de productividad Habilidades personales Conocimientos técnicos y administrativos Experiencia en los campos de auditoría e informática Conocimiento de los factores del negocio y del medio externo al mismo Actualización permanente 180
    • Involucramiento y comunicación constante con asociaciones nacionales e internacionales. OtrasLa metodología de auditoría en informática esta formada por seis etapas. 181
    • 1. Etapa preliminar o diagnóstico del negocio Es el primer paso práctico del auditor en informática dentro de las empresaso instituciones al efectuar un proyecto de auditoría en informática. Se busca laopinión de la alta dirección para estimar el grado de satisfacción y confianza quetiene en los productos, servicios y recursos de informática del negocio; de lamisma forma es posible detectar las fortalezas, aciertos y apoyo que brinda dichafunción desde la perspectiva de los directivos del negocio.Tareas Productos terminados Responsables InvolucradosDiagnóstico del Misión y objetivos del negocio LP/RAI ADnegocio Organización de informática LP/RAI AS Grado de apoyo al negocio LP/RAI AD/PUDiagnóstico de Misión y objetivos de la función LP/RAI RIinformática de informática Organización de informática LP/RAI RI Control (formalidad) LP/RAI RI/PI Productos y servicios LP/RAI RIDetectar área de Área de oportunidad para LP/RAI AD/PU/RIoportunidad mejoras inmediatas Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsabledel área de informática; PI = Personal de informática; RAI = Responsable del área deAuditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor enInformática. En esta etapa del proceso metodológico se estiman las áreas deinformática que deben de auditarse y se bosquejan tiempos, costos y recursosinherentes a dicha revisión. Esto se hace una vez que el auditor conoció: 1) Del negocio: • Giro de la empresa. • Áreas organizacionales y procesos básicos que componen la empresa. • Planes o proyectos del negocio que involucren a informática. • Cultura organizacional. • Imagen del desempeño del departamento o área de informática ante la alta dirección. • Apoyo de la dirección a informática. • Fortalezas y debilidades de informática, según la alta dirección. 182
    • 2) Del área de informática • Estructura. • Puestos y funciones globales, servicios relevantes, planes o proyectos del área cultural de trabajo. • Consideraciones del responsable de informática relativas al apoyo que recibe de la alta dirección de la empresa. • Fortalezas y debilidades del área, según el responsable de informática. 2. Etapa de justificación. Una vez finalizada satisfactoriamente la etapa preliminar, el auditor eninformática debe iniciar la siguiente etapa de la metodología que corresponde a lajustificación; cabe mencionar que en esta etapa el auditor puede llevara a caboactividades en paralelo lo que es válido y justificado si éste cuenta con losrecursos y la experiencia necesarios en este tipo de proyectos.Tareas Reductos Responsables Involucrados terminadosRealizar matriz de Matriz de riesgos LP/AI RAIriesgoJustificar la auditoría Justificación de la LP/AID RAIpor cada área de matriz de riesgosrevisiónHacer un plan Plan general de LP RAI/AIgeneral de auditoría informáticaen informáticaAprobación del plan Plan aprobado LP RAI/RI Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsabledel área de informática; PI = Personal de informática; RAI = Responsable del área deAuditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor enInformática. En esta etapa se obtienen tres productos terminados importantes que son: 1. Matriz de riesgos, que define las áreas que van a ser auditadas, en dónde su formato es el siguiente:__________________________________________________________________Empresa: Gerencia: Fecha de elaboración:Representante usuario: Representante de informática: Líder del proyectoÁreas susceptibles Aspectos o componentes Riesgo por Clasificación del riesgo Área por auditarde auditar por evaluar del área componente por áreas (Total) Según clasificación 183
    • Las consideraciones que se deben de tomar en cuenta al elaborar la matriz de riesgos son: • Es una tarea relevante y necesaria para el auditor en informática. • Los parámetros para medir el nivel de riesgos pueden cariar de acuerdo con factores como la experiencia y conocimiento en la auditoría, así como las áreas que conforman informática o el grado de profundidad y análisis que desee darle el auditor en informática. • Algunos hechos pueden indicar directamente al auditor en informática la existencia de riesgos relevantes. • Revisar la matriz de riesgos con el responsable de auditoría en informática. • Asegurarse de contar con el soporte que requieran las debilidades o anomalías detectadas (entrevistas, cuestionarios analizados revisados y documentados) para ser validadas oportunamente. 2. Plan general de auditoría en informática, que consiste en plantear las tareas más importantes que se ejecutarán durante cierto período al efectuar la auditoría en informática.__________________________________________________________________Empresa: Gerencia: Fecha de elaboración:Representante usuario: Representante de informática: Líder del proyecto:Áreas por auditor según Aspectos o componentes Prioridad Clasificación del riesgo Fecha de inicio/Clasificación y del área por auditor asignada por área (total) Fecha dePrioridades terminación (estimadas) Este se elabora después de haber terminado la matriz de riesgos y losprincipales aspectos que debe contemplarse en su elaboración, son: • El plan general de auditoría en informática se deriva de los siguientes elementos: - Áreas de oportunidad. - Matriz de riesgos. - Prioridades de la alta dirección, de auditoría, de informática o de la misma función de auditoría en informática. • En esta etapa se elabora sólo el plan de auditoría general ya que sólo se busca la aprobación y análisis por parte de la alta dirección. • Es importante la retroalimentación constante entre el líder del proyecto u los demás involucrados. 184
    • Y dentro de las principales actividades del auditor para elaborar el plangeneral de auditoría en informática, son: • Estimar el tiempo necesario para auditar cada área determinada en la matriz de riesgos y en las tareas de apoyo con el fin de alcanzar las áreas de oportunidad planteadas. • Analizar y definir los aspectos y componentes más relevantes que se evaluarán, tomando en cuenta las características propias del negocio, • Si es necesario verificará la importancia y validez de los puntos anteriores con los involucrados sin consumir mucho tiempo ni aplicar tecnicismos en las entrevistas que pueden ser por vía telefónica, por fax o personales. • Asignar prioridades a cada área por evaluar o revisarlas con los principales involucrados en el proyecto. • Definir fechas estimadas de inicio y terminación por área de revisión, no por componente. • Establecer fechas de revisión formales (firmas, aprobaciones) e informales (avances). • Definir responsables e involucrados directos por etapas del proyecto. • Otras de interés para el auditor en informática según las características del proyecto y del negocio.3. Compromiso ejecutivo, aquí se otorga el visto bueno al líder del proyecto para continuar con las siguientes etapas de la metodología. En esta etapa, es necesario presentar para lograr el compromiso delejecutivo, los siguientes aspectos: • Presentación del plan con la información de soporte requerida bien documentada y validada con los principales involucrados: Resumen del diagnóstico actual. Áreas de oportunidad. Matriz de riesgos. Prioridades. Otros comentarios que sirvan de apoyo. Ser objetivo y claro al exponer el plan general. Justificar cada una de las áreas a auditar con datos concretos y bien documentados. 185
    • Lograr que la alta dirección tome conciencia del compromiso requerido para la culminación exitosa del proyecto. Recibir la aprobación formal del plan general (firma) El líder del proyecto debe indicar las fechas de inicio y terminación estimadas. Para la elaboración del plan general de auditoría en informática, el auditor en informática o líder del proyecto deberá tomar en cuenta lo siguiente: • Revisión del plan general • Considerar fecha posible de reunión con los involucrados en esta tarea. • Documentar y resumir el diagnóstico actual. • Verificar y documentar áreas de oportunidad y matriz de riesgos. • Justificar cada área de revisión con los datos obtenidos anteriormente. • Recomendar o negociar fecha de revisión y aprobación del plan con los involucrados. • Efectuar reunión. • Exponer y justificar el plan de auditoría en informática. • Obtener aprobación formal del plan general. • Establecer fechas de inicio del proyecto. • Obtener el compromiso del ejecutivo en el transcurso del proyecto. • Otros que el auditor en informática considere pertinentes. 3. Etapa de adecuación El objetivo principal de esta etapa, es la de adaptar el proyecto de auditoríaa las características del negocio, sin olvidar la referencia de estándares, políticas yprocedimientos de auditoría en informática comúnmente aceptados yrecomendados por las asociaciones relacionadas con el proceso, así como lasformuladas y aprobadas de manera particular en los negocios para informática. Una vez concluida esta etapa, el auditor en informática contará con unproyecto bien especificado y clasificado adaptado a las necesidades de laempresa en particular a través de un conjunto de tareas estructuradas, definiendocon certeza los objetivos y requerimientos particulares para concluir positivamentela revisión de las área mencionadas en el plan de auditoría informática. En está etapa se obtiene como producto terminado, el plan detallado deauditoría en informática, además por área de revisión deberá definir: 186
    • • Técnicas y herramientas. • Estándares, políticas y procedimientos. • Cuestionarios.Tareas Productos terminados Responsables InvolucradosDefinir los objetivos Objetivos y alcances del LP RAIdel proyecto proyectoDefinir etapas del Etapas y sus tareas AI LPproyecto y su detalle Plan actualizado AI LP Responsables e involucrados AI LP Productos terminados AI LP Revisiones (formal e informal) AI LPDefinir los Aspectos o elementos por AI LPelementos por áreas evaluar por cada área dede revisión revisión Técnicas AI LP Software AI LP Equipo de cómputo AI LP Otros de interés para el auditor AI LPDefinición o Políticas y procedimientos por AI LPactualización de verificar de cuerdo con cadapolíticas por área área que será auditada Políticas complementarias AI LPElaboración o Cuestionarios por cada área AI LPactualización de que será auditadacuestionarios porárea Cuestionarios adicionales RAI LP Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsabledel área de informática; PI = Personal de informática; RAI = Responsable del área deAuditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor enInformática. Conforme avanza el proyecto de auditoría en informática es probable quesurjan actualizaciones en prioridades, involucrados, requerimientos, etc., queobligan a actualizar el plan de auditoría en informática que en la etapa anterior seestableció el compromiso con el ejecutivo; por lo que es necesario: 1. Primero justificar la actualización, 2. Llevar una bitácora de cambios, en donde se registre: • El cambio. • Motivo del cambio. 187
    • • Responsable de solicitar el cambio. • Tareas o fechas que afecta. • Área(s) por evaluar afectadas por el cambio. • Responsable de aprobar el cambio. • Fecha del cambio. • Plan actualizado. • Otros que el auditor en informática considere necesarios para la culminación exitosa del proyecto. 3. Evitar caer en 4 el ciclo de actualización-terminación-actualización- terminación. Es importante mencionar que en esta etapa es recomendable que serealicen dos planes detallados con orientación diferente y objetivo común: el llevara cabo la administración del proyecto: 1. Un plan interno, que su propósito principal poder verificar el cumplimiento del proceso metodológico por parte de los auditores en informática. Este plan puede hacerse antes de la etapa preliminar o de diagnóstico. Tareas Productos Involucrados Responsables Revisiones DuraciónPreliminarJustificaciónAdecuaciónFormalizaciónDesarrolloImplantación 2. Plan detallado de auditoria informática, el cual contiene datos que pretenden ser guía del proyecto de auditoría en informática ya que describen tareas, productos terminados, responsables, involucrados, fechas de revisión, etc.Tareas Actividades Productos Responsable Involucrados Fechas inicio/ Fecha Terminados fecha término de revisión 4. Etapa de formalización. Esta etapa puede llevarse a cabo al mismo tiempo que la etapa deadecuación si existen los recursos y los involucrados se encuentran disponibles. Aquí una vez detectadas las debilidades, fortalezas más importantes, dehaber definido las áreas que serán auditadas, y tener todo documentado se buscala aprobación formal de la alta dirección la cual no debe de prolongarsedemasiado ya que en ya se obtuvo en la elaboración del plan detallado eninformática en la etapa de adecuación el visto bueno de los usuarios clave y delpersonal de informática. 188
    • Las tareas, productos terminados, responsables e involucrados son:Tareas Productos terminados Responsables InvolucradosVerificar prioridades Prioridades clasificadas LP RAIy cursos de acción Área por auditar verificadas AI/LP RAIVerificar plan y Etapas y sus tareas AI LPactividades Plan detallado final AI LPPresentación formal Proyecto revisado de la RAI AD/PU/RIdel proyecto auditoríaAprobación formal Aprobación del proyecto AD/PU/PI RAI/LPdel proyecto de Compromiso ejecutivo AD RAI/RI/PUauditoría en Inicio formal del proyecto LP AD/PU/PIinformáticaPresentación del Entendimiento del proyecto RI LP/AIproyecto a los Aceptación del proyecto PI/PU LP/AIusuarios de Compromiso para cada una PI/PU LP/AIinformática de las áreas involucradasDefinir las áreas por Fechas de entrevistas LP PI/PUvisitar y concertar Fechas de visitas LP PI/PUcitas con el personal Fechas para la aplicación de LP PI/PUque se entrevistará cuestionarios. Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del áreade informática; PI = Personal de informática; RAI = Responsable del área de AuditoríaInformática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática. En esta etapa es importante señalar cuales son las prioridades,entendiéndose por prioridad como las acciones que se deben llevar a cabo antesque las demás sugeridas para el proyecto. Esto se debe de justificar por: • Urgencia de mejorar algún hecho que perjudica en alto grado el negocio. • Un requerimiento específico de la alta dirección. • Implantación de algún proceso previamente justificado. • Otros. Además tomar en cuenta las restricciones, que son los hechos ocircunstancias identificables que pueden ocurren o que pueden ocurrir durante eltranscurso de la auditoría que afecten directa o indirectamente el proyecto. Estaslimitaciones o carencias por lo general que no se pueden resolver de inmediato o alo largo del proyecto. Aquí en esta misma etapa es necesario determinar el 189
    • alcance del proyecto de tal forma que se defina la cobertura específica que tendráel proyecto, además de aclarar qué se realizará que vendrían a ser las tareas yetapas y los resultados que serían los productos terminados que se obtienen decada una de las etapas de la metodología. La presentación formal•del plan de auditoría en informática en una de lastareas más importante para el líder del proyecto en informática ya que esto lepermitirá obtener la aprobación formal del proyecto por parte de la alta direcciónde la empresa y dar paso a la siguiente etapa de la metodología, por lo que esimportante tomar en cuenta algunas actividades primordiales para su aprobación,como son: • Asegurarse de contar con toda la información en un formato de presentación resumida e inteligible, ya que su principal audiencia será la alta dirección, los usuarios clave y el responsable de informática. • Revisarla y verificarla con este último. • Concertar la cita en fecha y lugar apropiados. • Ser fluido, claro y contundente en la presentación de la información. • Asegurar el entendimiento de la audiencia de los datos presentados. Para esto se debe tomar en cuenta consideraciones clave como: • Contar con el soporte documentado de los que se presentará. • No concertar la cita para la reunión si tiene sin aclarar dudas o pendientes de tareas anteriores. • Hacer del conocimiento a la alta dirección de la importancia de su apoyo para el éxito del proyecto conciencia • Tratar que los presentes comprendan que forman un equipo de trabajo. • En caso de ser necesario buscar el apoyo de los usuarios clave y/o del responsable de informática. • Presentar un resumen de la matriz de riesgos, áreas de oportunidad, plan detallado de auditoría 5. Etapa de desarrollo. Está es la etapa más importante del auditor en informática, ya que aquí esdonde va a ejercer su función práctica de acuerdo con los estándares, normas yprocedimientos recomendados por las asociaciones profesionales como la AMAI(Asociación Mexicana de Auditoría en Informática) o el IMCP (Instituto Mexicanode Contadores Públicos). 190
    • Es importante la aplicación de los conocimientos y la experiencia de losauditores para adecuada evaluación que salvaguarde la integridad y rentabilidadde la información, además de otros recursos de informática en la empresa. El auditor en informática siempre debe trabajar con profesionalismo,entusiasmo y sensibilidad, ética personal, tener una metodología de trabajo, en larevisión de las áreas seleccionadas, de tal forma que logre combatir la resistenciahacia el proceso de revisión que permita el trabajo en equipo, para lograrestablecer la se realicen revisiones por parte de la función de auditoría eninformática de periódica y programada. En esta etapa el auditor debe de realizar las siguientes tareas:Tareas Productos terminados Responsables InvolucradosConcretar citas Fechas aprobadas o AI PI/PU actualizadasVerificar tareas, Tareas, involucrados, etc., AI PI/PUinvolucrados, etc. revisadoClasificar técnicas, Técnicas clasificadas AI LPcuestionarios y Cuestionarios clasificados AI LPherramientas por usar Herramientas clasificadas AI LPEfectuar entrevistas Entrevistas realizadas AI PI/PU Entrevistas documentadas AI AI Entrevistas analizadas LP/AI RAIAplicar cuestionarios Cuestionarios aplicados AI PI/PU Cuestionarios documentados AI AI Análisis de cuestionarios LP/AI RAIEfectuar visitas de Visitas realizadas AI RI/PI/PUverificación Comentarios documentados AI AI Análisis de comentarios LP/AI RAI Observaciones (acerca de AI LP debilidades o carencia de controles) Áreas de oportunidad AI LP Alternativas por cada área de AI LP oportunidad detectada Recomendaciones (acciones AI LP específicas) por alternativa Responsables de ejecutar AI LP cada acción Plazos de ejecución por AI LP acción Áreas auditadas clasificadas AI LP 191
    • Informe documentado, AI LP almacenado y clasificadoRevisar el informe por Borrados de auditoría en LP RAI/AIárea informática revisadoAutorizar el borrador por Informe preliminar revisado LP PI/PU/AIárea Informe preliminar corregido AI LP Informe preliminar entregado LP LP Informe preliminar autorizado AD/PI/PU AD/PI/PUEfectuar entrevista, Entrevistas, cuestionarios y LP/AI PI/PUcuestionarios y visitas vistas pendientes realizadoscomplementarias Informe actualizado con AI LP observación de las áreas auditadasElaborar informe final Informe final revisado con AI LP información de las áreas auditadas Informe con visto bueno del RAI LP/AI responsable de la función de auditoría en informática Informe almacenado en AI AI medios magnéticos (respaldo) Documentación del informe LP/AI RAI para la alta dirección Documentación del informe AI LP para responsables de los usuarios de informática y para responsables del área de informáticaElaborar un plan general Acciones clasificadas por LP/AI RAIde acciones sugeridas plazos sugeridos Costo / beneficio del plan LP/AI RAIAprobar el informe y plan Informe de auditoría en AD/RI/PU RAI/LPde implantación informática y plan aprobadosPresentación del plan de Informe final presentado a la RAI AD/RI/LPauditoría en informática y alta dirección RAIplan de implantación Informe presentado a LP/AI PI/PU personal usuario y de informáticaAprobar informe final Revisión del informe de AD/RI/PU RAAI/LP/PI auditoría en informática Aprobación del informe de AD/RI RAI/LP/PU auditoría en informática Compromiso ejecutivo AD/RI RAI/PU 192
    • Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área deinformática; PI = Personal de informática; RAI = Responsable del área de Auditoría Informática; LP =Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática. Es importante que para obtener un producto final de calidad y beneficiostangibles para el negocio al final de la etapa de desarrollo, que el auditor eninformática, al revisar las áreas requeridas realice las siguientes acciones: • Basarse en el plan de auditoría en informática elaborado y aprobado en las etapas anteriores para la secuencia y duración de su trabajo en esta etapa. • No interrumpir la continuidad de las operaciones de la empresa. • Utilizar técnicas y herramientas según lo demande cada tarea del área actual. • Apoyar su trabajo con políticas y estándares comúnmente aceptados. • Involucrar a los usuarios y personal de informática según lo amerite cada tarea. • Utilizar los cuestionarios para cada área auditada. • Aplicar entrevistas de manera profesional y adecuarlas al perfil de cada entrevistado. • Respetar las políticas que imperan en el medio cuando se realicen visitas a las áreas de informática. Es conveniente que el auditor realice informes preliminares con la siguienteinformación: • Áreas de oportunidad para mejorar de inmediato los procesos de negocio apoyados en informática. • Observaciones (debilidades) de los aspectos de informática auditados. • Recomendaciones preliminares para cada una de las observaciones recomendadas. • Responsables de ejecutar las recomendaciones. • Actualización del plan de auditoría informática • Revisión detallada de los aspectos que tengan un impacto considerable en la operación del negocio o que soporten alguna estrategia del negocio. • Comunicación abierta con, los usuarios y el personal de informática involucrados. • Presentar un plan de implantación de auditoría en informática factible y realista que contemple los siguientes elementos: Debilidades o carencias de control, su problemática y causas que lo originan. Acciones inmediatas de corto y mediano plazo. 193
    • Responsable e involucrados en la implantación de estándares, políticas y procedimientos en cada componente de informática que así lo requiera. Análisis costo / beneficio del proyecto de implantación. Aprobación formal de los directivos, usuarios y del responsable de informática. 6. Etapa de implantación. En esta etapa es la más importante para el personal involucrado en laauditoría en informática ya que termina el trabajo del auditor y a ellos lescorresponde llevar a cabo las recomendaciones hechas en el informe final deauditoría. La labor del auditor estriba en dar seguimiento y apoyo. Es conveniente hacer mención que aunque la labor del auditor se mencionoque es de seguimiento y apoyo no debe de desatenderse en esta etapa ya queuna recomendación puede no llevarse a cabo por distintas razones de la maneraque se indicó y provocar que estas no resuelvan las situaciones (debilidades)encontradas en las áreas auditadas. En esta etapa se obtienen los siguientes productos terminados:Tareas Productos terminado Responsables InvolucradosDefinir requerimiento Recursos humanos, RI/PU LPpara el éxito del plan de tecnológicos y financierosimplantación requeridos para el éxito de la implantación sugerida por auditoría en informática Recursos aprobados AD RI/PU/LP Personal de trabajo para la RI/PU LP implantación Equipo de trabajo aprobado AD RI/PU/LP Funciones y RI/PU LP responsabilidades Fechas de revisión RI/PU LP Resultados esperados RI/PU LP Análisis costo / beneficio RI/PU LP revisado Análisis costo / beneficio AD RI/PU/LP revisado Inicio de la implantación RI/PU LPDesarrollar el plan de Plan de implantación RI/PU LP/AIimplantación detallado revisado según los resultados de la primera tarea. Plan de implantación PI AI/PU corregido y actualizado Documentar plan final RI AI/PU 194
    • Plan final aprobado AD PI/PU/LPEfectuar la implantación Inicio de los proyectos PI/PU RIsugerida por auditoría Tareas terminadas PI/PU RIen informática Presentación de implantación RI AD/RAI/LP Implantación aprobada AD/PI/PU RI/RAI/LPSeguimiento a la Acciones de seguimiento LP RAI/AIimplantación del plan seleccionadasrecomendado por la Seguimiento de la LP AIauditoría implantación Revisiones informales LP AI Revisiones formales LP AI Aseguramiento de calidad LP RAI Implantación exitosa final LP RAI Implantación aprobada RAI RAI Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del áreade informática; PI = Personal de informática; RAI = Responsable del área de AuditoríaInformática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática. En esta etapa es necesario y conveniente que el auditor en informática,realice revisiones posteriores a la implantación que le den la certidumbre de que laempresa va por buen camino, realizando: • Visitas rápidas a las áreas más importantes de la función de informática que se evaluaron con el objetivo de tomar las medidas necesarias que aseguren la correcta implantación de estándares, políticas o procedimientos relativos a informática. Fortalezas y debilidades de la metodología. Fortalezas. 1. Tener un camino estructurado para llevar a cabo acciones de auditoría en informática. 2. Esta orientada en gran parte a buscar la implementación de la función de auditoría en informática dentro de la empresa buscando la estructura organizacional más adecuada. 3. Busca mediante la participación de directivos, usuarios clave y personal de informática desarrollar conciencia de la importancia de auditoría en informática como práctica permanente. 4. Obtener un informe final que permita detectar las debilidades de la empresa con formalidad y oportunidad para que puedan ser resueltas satisfactoriamente. 5. El personal participante (alta dirección, usuarios clave y personal de informática) se desarrolla como un equipo de trabajo, para lograr el éxito del proyecto. 195
    • 6. Recomienda el respeto a los estándares, políticas y procedimientos establecidos en la empresa.7. Se tiene identificado plenamente los productos terminados por cada una de las etapas de la metodología, de tal manera que sabemos perfectamente para que se están realizando cada una de las tareas.8. Permite establecer tiempos de duración de la auditoría.9. Establece prioridades.Debilidades.1. Define que es auditoría en informática, pero no define todas las demás auditorias que tienen relación con la informática como: • Auditoría de sistemas. • Auditoría administrativa • Auditoría financiera / contable • Etc.2. Para poder dar inicio al Desarrollo de la auditoría en informática, es necesario antes llevar a cabo la etapa de: diagnóstico, justificación, adecuación y formalización; en las cuales existe una inversión considerable de tiempo.3. No menciona la forma de interpretar la información de los datos obtenidos en el desarrollo de la auditoría en informática a través de cuestionarios, entrevistas, visitas físicas a las áreas a evaluar, etc.4. Si la auditoría se llevara a cabo por personal externo el desconocimiento de la empresa conlleva a una gran inversión de tiempo.5. No se habla de llevar a cabo auditorias de cumplimiento.6. No existe una recomendación de tiempo para llevar a cabo las auditorias entre una y otra.7. Manejo de conceptos muy básicos. 196
    • Segundo enfoque El autor José Antonio Echenique en su libro titulado Auditoría enInformática, hace mención del desarrollo que han presentado las empresas através del tiempo mediante la utilización de la tecnología informática para elprocesamiento de datos para la generación de información, que es usada para latoma de decisiones y la cual para que realmente pueda ser útil debe de ser:confiable, veraz y oportuna. Las estructuras organizacionales en las empresas también ha venidocambiando de tal forma que existe una descentralización de equipos aunada a unacentralización de información provoca una gran diversidad de problemas para latoma de decisiones y organización de las áreas de informática. Por lo que unos delos problemas más frecuentes dentro de las áreas de informática es la falta deorganización que les permita realizar su trabajo de una forma eficiente y eficaz queles permita avanzar al ritmo de las exigencias de la organización. No resulta extraño que existan áreas de informática en donde no seconozca el uso adecuado de las técnicas y herramientas por parte del personaloriginado una serie de problemas que provocan el incumplimiento o interrupciónde la función informática; por lo que es necesario establecer los controlespreventivos, correctivos y detectivos a través de un seguimiento por función paralograr establecerlos de manera permanente y disminuir la incertidumbre de fallasimprevistos que originan pérdida de recursos humanos, materiales y económicos. Por lo anterior expuesto, es necesario tomar conciencia de la importanciade la auditoría en informática dentro de las empresas llevada a cabo por personalde la empresa o por asesores externos. En este estudio el autor divide su revisión en tres partes: 1. Evaluación de la función informática. 2. Evaluación de los sistemas. 3. Evaluación del proceso de datos y de los equipos de cómputo, incluyendo la evaluación de la seguridad. La auditoría en informática inicia con una planeación de la auditoría eninformática que debe señalar en forma detallada el alcance y dirección esperadosy debe comprender un plan de trabajo para que, en caso de que existan cambios ocondiciones inesperadas que ocasiones modificaciones al plan general, seanjustificadas por escrito. La planeación de la auditoría en informática, se hace deacuerdo a tres puntos de vista: 197
    • 1. Evaluación administrativa del área de procesos electrónicos, 2. Evaluación de los sistemas y procedimientos, 3. Evaluación de los equipos de cómputo, y da inicio con una investigación preliminar en donde se debe conocer la información sobre: a) Administración, qué permita tener una visión general del área de informática por medio de observaciones, entrevistas preliminares y solicitudes de documentos para poder definir alcances y objetivos del mismo. Para lo cual se debe de solicitar: • Información a nivel organizacional. • Información a nivel del área de informática. • Recursos materiales y técnicos. • Información de los sistemas. Una vez terminada la planeación se debe de analizar cuál será el personalparticipante en donde se recomienda que el grupo de trabajo sea multidisciplinario,cuente con las características necesarias para llevar a cabo la auditoría eninformática; pero también se debe de pensar en el personal asignado por laempresa para asesorar en la auditoría así como el apoyo de la alta dirección paralogra el éxito del mismo. Una vez que se tiene la planeación de la auditoría en informática y elpersonal participante es necesario formalizar el trabajo mediante una cartacompromiso del auditor dirigida a la empresa para la confirmación del mismo. Es importante llevar un control de avance de la auditoría que permitacumplir con los procedimientos de control y que permita asegurar que el trabajo selleva a cabo de acuerdo con el programa de auditoría, con los recursos estimadosy en el tiempo señalado en la planeación. En la evaluación de la función informática se debe de: 1. Recopilar la información organizacional, para determinar si: a. Las responsabilidades en la organización están definidas adecuadamente. b. La estructura organizacional está adecuada a las necesidades. c. El control organizacional es el adecuado. d. Se tienen los objetivos y políticas adecuadas, se encuentran vigentes y están bien definidas. e. Existe la documentación de las actividades, funciones y responsabilidades. f. Los puestos se encuentran definidos y señaladas sus responsabilidades. 198
    • g. El análisis y descripción de puestos está de acuerdo con el personal que los ocupa. h. Se cumplen los lineamientos organizacionales. i. El nivel de salarios comparado con el mercado de trabajo j. Los planes de trabajo concuerdan con los objetivos de la empresa. k. Se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operación o se cuenta con "indispensables". I. Se evalúan los planes y se determinan desviaciones.2. Evaluar la estructura orgánica.3. Evaluar los recursos humanos.4. Entrevistar al personal de informática, que sirve para determinar: a. Grado de cumplimiento de la estructura organizacional administrativa. b. Grado de cumplimiento de las políticas y los procedimientos administrativos. c. Satisfacción e insatisfacción. d. Capacitación. e. Observaciones generales.5. Conocer la situación presupuestal y financiera, para conocer: a. Los costos del departamento de informática, desglosado por áreas y controles. b. Presupuesto del departamento de informática, desglosado por áreas. c. Características de los equipos, número de ellos y contratos.En la evaluación de los sistemas realiza:1. Evaluación de sistemas.2. Evaluación de análisis.3. evaluación del diseño lógico del sistema.4. evaluación del desarrollo del sistema.5. Control de proyectos.6. control y diseño de sistemas y programación.7. Instructivos de operación.8. Forma de implantación.9. Equipo y facilidades de programación.10. entrevistas a usuarios. 199
    • En la evaluación del proceso de datos y de los equipos de cómputo serevisan: 1. Controles. 2. Orden en el centro de cómputo. 3. Evaluación de la configuración del sistema de cómputo. 4. Productividad. En la evaluación de la seguridad de revisa: 1. Seguridad lógica y confidencial ¡dad. 2. Seguridad en el personal. 3. Seguridad física. 4. Seguros. 5. Seguridad en la utilización del equipo. 6. Procedimientos de respaldo en caso de desastre. 7. Condiciones, procedimientos y controles para otorgar soporte a otras instituciones. Una vez realizadas las evaluaciones se procede a la interpretación de lainformación que permite realizar las conclusiones de la auditoría y presentarla dela siguiente forma: 1. Dando una breve descripción de la situación actual en la cual se reflejen los puntos más importantes. 2. Una descripción detallada que comprenda: a. Los problemas detectados. b. Posibles causas, problemas y fallas que originaron la situación presentada. c. Repercusiones que puedan tener los problemas detectados. d. Alternativas de solución. e. Comentarios y observaciones de la dirección de informática y de los usuarios sobre las soluciones propuestas. f. Si se opta por alguna alternativa de solución, cuáles son sus repercusiones, ventajas y desventajas y el tiempo estimado para efectuar el cambio. 3. Se debe de hacer hincapié en cómo se corregirá el problema o se mejorará una determinada situación, se obtendrán los beneficios, en cuánto tiempo y cuáles son los puntos débiles. 4. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por medio de conclusiones concretas que sean sencillas (procurando que se entiendan los términos técnicos y, si es posible, usar técnicas audiovisuales). 200
    • Fortalezas y debilidades de la metodología.Fortalezas.1. Por ser más práctica y conocer el negocio de una manera más rápida la inversión de recursos es menos.2. La clasificación de los recursos para realizar la auditoría en informática, permite que se pueda realizar por partes.3. Puede ser realizada por personal de la empresa o por personal externo, ya que no pretende establecer la función de auditoría en informática.4. Existe una definición de las auditorias, así como la relación existente con las auditorias en informática, lo que permite determinar cual de ellas se va a llevar a cabo en cada una de las partes.5. Proporciona elementos de control de proyectos.6. Establece un procedimiento para ayudar a la interpretación de la información recolectada durante la evaluación.7. Proporciona elementos para la evaluación de las áreas.Debilidades.1. No se habla de llevar a cabo auditorias de cumplimiento.2. No se establecen los productos terminados ni los involucrados por área. 201
    • 12__________________________________________________________________Conclusiones La globalización de la economía y el aumento de volúmenes de informaciónen las organizaciones tanto a nivel nacional como mundial hace necesario laimplementación e implantación de tecnologías modernas, que originan algunasventajas y desventajas, como: a) una acentuada dependencia hacia los sistemas de información que la genera, b) creación de áreas de oportunidad, c) aumento considerable a la comisión de delitos informáticos por personal externo o interno a la organización, d) generación de información de forma más eficiente, e) altos costos por compra o desarrollo de software, f) altos costos de inversión inicial...lo que hace necesario la búsqueda de un ámbito adecuado para evitar al máximolas pérdidas por las debilidades o amenazas que presenta la organización; y esaquí donde la auditoría en informática cobra importancia, ya que con sudesarrollo se logra el aseguramiento continuo de que los recursos de informáticaoperen en un ambiente de seguridad y control eficientes; para lograr proporcionara los altos directivos de las organizaciones información para la toma de decisionesque cumpla con los conceptos básicos de integridad, totalidad, exactitud,confiabilidad, etc., ya que su ámbito de acción se centra, en revisar y evaluar: losprocesos de planificación, inversión en tecnología, organización, los controlesgenerales y de aplicación en proyectos de automatización de procesos críticos, elsoporte de las aplicaciones, aprovechamiento de las tecnologías, sus controlesespecíficos; los riesgos inherentes a la tecnología, tales como, la seguridad de susrecursos, redes, aplicaciones, comunicaciones, instalaciones y otras. 202
    • Los cambios en el campo de la tecnología como en la metodología pararealizar auditorias informáticas, hacen necesario bibliografía y personal cada vezmás actualizado, en el desarrollo de esta investigación se podrá consultar sobredos metodologías para la realización de las auditorias en informática en dondecada una tiene sus respectivas fortalezas y debilidades. Es necesario tomar encuenta que independientemente de la metodología que se este llevando a cabo enla realización de la auditoría en informática, se debe de obtener la autorización y elapoyo de los altos directivos que es uno de los pasos que nos llevará a laculminación de la misma con éxito. Es importante conocer cual es el tipo de seguimiento que se le va a dar alos problemas que se presentan en el área de informática para su solución. Elseguimiento puede ser: 1. Seguimiento por excepción. Es el que va dirigido meramente a la corrección momentánea y no alestablecimiento de controles en función de las causas. Un esquema de esto, escomo se muestra a continuación: Errores en el tiempo Como se puede apreciar, con un seguimiento por excepción la cantidad deerrores es frecuente y su impacto es elevado. Prácticamente, al no analizar lascausas y no establecer los controles, la probabilidad de que un mismo tipo de errorse presente de nuevo es alta; y sumada la frecuencia el impacto se vuelve crítico. 2. Seguimiento por función. Aquí el error se analiza, se corrige y se deja establecido un control, tenderánecesariamente a su eliminación, o cuando menos, a su aparición en espacios detiempo más aislados. La aparición repetida en este caso puede obedecer a lamisma dinámica de los sistemas. Al cambiar éstos, pueden hacer que unprocedimiento establecido ya no sea adecuado. El impacto tiende a minimizarse.Gráficamente puede visualizarse así: 203
    • Las debilidades dentro de una organización que pueden ser síntomas de lanecesidad de llevar a cabo una auditoría en informática pueden ser: 1. Descoordinación y desorganización 2. Debilidades económico-financiero 3. Inseguridad (lógica, física, confidencialidad) Estas conllevan a la necesidad de planear periodicidad de realización deauditorias (cada 6 meses o mínimo una al año); y a buscar la forma más adecuadapara realizarla, tomando en cuenta lo siguiente: 1. Estableciendo la función de auditoría en informática dentro de la estructura organizacional de la empresa buscando que la ubicación sea la más adecuada para que no existan nexos que puedan quitarle credibilidad a la función. 2. Si la empresa no tiene los suficientes recursos económicos o de infraestructura para implementar la función de auditoría en informática dentro de su estructura organizacional, puede recurrir a la realización de auditoría por personal externo a la empresa. 3. Sin tener definida la función de auditoría en informática dentro de la empresa esta puede llevarse a cabo por personal de la empresa, buscando para su éxito el apoyo de los altos directivos de la empresa. La primera y la tercera se llevan a cabo generalmente en las empresasgrandes, y la segunda aún teniendo un grupo de auditores dentro de lasorganizaciones, en ocasiones es conveniente utilizar los servicios de asesoresexternos: • para contrastar los resultados de los auditores internos con los de los externos, 204
    • • para auditar una materia de gran especialización, tener una visión desde fuera de la empresa, • otros. En conclusión, hoy en día la empresa pública o privada que tieneimplantado sistemas de información, no está conciente de la importancia deestablecer revisiones de manera preventiva que permitan que existan pérdidasque pueden repercutir en un descontrol organizacional y minar su economía, por loque deben de considerar necesario el someterse a un control estricto de mediciónde eficiencia y eficacia con el objetivo de que éstos sistemas de informacióngeneren información confiable veraz y oportuna que realmente pueda ser útil en latoma de decisiones. Para esto es necesario establecer la calidad en el softwareque el American Heritage Dictionary lo define como una característica o atributo.Como atributo de un artículo, la calidad se refiere a características mensurables,que en el software pueden encontrar dos tipos de calidad: calidad del diseño, quese refiere a las características que especifican los ingenieros de software para elartículo y calidad de concordancia que es el grado de cumplimiento de lasespecificaciones de diseño durante su realización y es centrado principalmente enla implementación. Se debe tener claro que en la actualidad para ser competitivoses necesario hacer uso de la tecnología e implantar sistemas de información enlas empresas; pero esto no es lo que asegura el éxito, ya que si su función deinformática es lenta, propensa a errores, inestable y vulnerable no lo va a lograr,por lo que el cumplimiento de estándares de calidad como el ISO 9001 que es elestándar de garantía de calidad que se aplica a la ingeniería de software,contempla 20 requisitos que son: Responsabilidad de la gestión, sistema decalidad, revisión de contrato, control de diseño, control de datos y documentos,compras, control del producto suministrado por el cliente, identificación yposibilidad de seguimiento del producto, control del proceso, inspección y prueba,control de inspección, medición y equipo de pruebas, inspección y estado deprueba, control de producto no aceptado, acción correctora y preventiva,tratamiento, almacenamiento, empaquetamiento, preservación y entrega, controlde registros de calidad, auditorias internas de calidad, formación, servicios ytécnicas estadísticas y implementación e implantación de la auditoria informáticaen las empresas deben formar parte de las actividades planeadas y programadasde manera continua que logren que la función de informática de la empresa sea lomás eficiente y eficaz posible. 205
    • BIBLIOGRAFÍA[1] Hernández Hernández, Enrique; Auditoría en informática; Editorial CECSA,2ª edición[2] Echenique, José Antonio; Auditoría en informática; Editorial Mc Graw Hill,primea edición.[3] http://www.monografas.com/trabajos3/concepaudit/concepaudit.shtml;[4] http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml;[5] http://www.monografas.com/trabajos/maudisist/maudisist.shtml; Portales, Diego; Centro de formación técnica, Chile.[6] http://www.lafacu.com/apuntes/informaticalaudit inforldefault.htm; canaves@infovia.com.ar[7] http://dmi.uib.es/-bbuades/auditorialsid003.htm; Gabrial Buades 206
    • ANEXOS 207
    • Anexo 1 PROGRAMA DE AUDITORIA EN INFORMÁTICAORGANISMO_____________________________ HOJA N°___________DE______ FECHA DE FORMULACIÓN______________FASE DESCRIPCIÓN ACTIVIDAD NÚM. PERIODO DÍAS DÍAS DEL PERSONAL ESTIMADO HAB. HOM. PARTICIPANTE INICIO TÉRMINO EST. EST.
    • Anexo 2 AVANCE DEL CUMPLIMIENTO DEL PROGRAMA DE AUDITORIA EN INFORMÁTICA ORGANISMO______________________HOJA N°___________DE_________ FECHA DE FORMULACIÓN____________FASE SITUACIÓN DE LA AUDITORIA PERIODO REAL DE LA DIAS GRADO DIAS EXPLICACIÓN AUDITORIA REALES DE HOM- DE LA NO EN TERMINADA INICIADA TERMINADA UTILIZADOS AVANCE BRE VARIACIONES INICIADA PROCESO EST. EN RELACIÓN CON LO PROGRAMADO
    • Anexo 3 CONTROL DE PROYECTOSNOMBRE DEL PROYECTO______________________________________________________________PROYECTO N°_________COORDINADOR________________________________________________________________________FECHA________________ (anotar en la primera línea las fechas estimadas y en la segunda las reales)N° ACTIVIDADES RESPONSABLE ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
    • Anexo 4 CALENDARIO DE ACTIVIDADES ANÁLISIS Y PROGRAMACIÓN RESPONSABLE APLICACIÓN FECHA HOJA_________DE % DE AVANCENÚM DESCRIPCIÓN 0 1 2 3 4 5 6 7 8 9 1 MES:DE 0 0 0 0 0 0 0 0 0 0 SEMANA 1 SEMANA 2 SEMANA 3 SEMANA 4 SEMANA 5ACT. 0 E R E R E R E R E R E R E R E R E R E R E R E R E R E R E R E RE = ESTIMADO R= REAL
    • Anexo 5 FECHA_____________ CONTROL DE ACTIVIDADES DEL PROGRAMADORSISTEMA__________________________________________________________PROGRAMA________________________IDENTIF.________________________PROGRAMADOR___________________________________________________ACTIVIDAD PLANEADO REAL DIF. INICIO TERMIN.DIF. INICIO TERMIN. DIF.1. ANÁLISIS2. DIAGRAMA LÓGICO3. CREC. DE PRUEBAS4. PRUEBA ESCRITORIO5. CODIFICACIÓN6. CAPTURA7. COMPILACIÓN8. GENER. PRUEBAS9. DEPURACIÓN10. PRUEBAS11. VERIF. PRUEBAS12. CORRECCIONES13. DOCUMENTACIÓNFINALESPECIFICAR EL NÚMERO DECOMPILACIONES REALIZADAS______________________________________PRUEBAS REALIZADAS____________________________________________OBSERVACIONES
    • Anexo 6 FECHA________________ REPORTE SEMANAL DE LOS RESPONSABLES DE SISTEMASISTEMAS METAS FIJADAS METAS ALCANZADAS COMENTARIOS RECURSOS SISTEMAS MOV. EJECUTIVOS HRS. PROGRAM. HRS. ANÁLISIS HRS. PRUEBA
    • Anexo 7 CONTROL DE PROGRAMADORESPROGRAMA NOMBRE DIAGRAMA DE CODIFICACIÓN CAPTURA PRUEBAS IMPLANTACIÓN OPERACIÓNA DEL FLUJOREALIZAR RESPONSABLE FECHA FECHA FECHA FECHA FECHA FECHA FECHA FECHA FECHA FECHA FECHA FECHA INIC. FINAL INIC. FINAL INIC. FINAL INIC. FINAL INIC. FINAL IMC. FINAL
    • Anexo 8 CONTROL DE PROGRAMACIÓNNOMBRE COD. FECHA TIEMPO DE GRADODEL DEL DE PROGRAMACIÓN DIFICULTADPROGRAMA PROG. ENTR. DE EST. REAL P R C A 0 LECTURA DIAG. REVIS. PRUEBA CODIFI- CAPTURA COMPI- REVIS. DATOS REVIS. DOCU- FLUJO ANALIZ. ESCRITA CACIÓN LACIÓN SUPER. PRUEB. PRUEBA MENTO
    • Anexo 9 FECHA____________ PLANEACIÓN DE PROGRAMACIÓNSISTEMA_____________________________________________________PROGRAMADOR_______________________________________FASE___________________________________________ PRIOR. DURAC. FECHA DE ENTREGA ENPROGRAMA_____________________________________ DÍAS ORIGI. ACTUAL REALNÚM DESCRIPCIÓN PRODUCTO A OBTENER
    • Anexo 10 HOJA DE PLANEACIÓN DE ACTIVIDADESSISTEMA: FECHAUSUARIO: CLAVE ACTIVIDADES FECHAS REALES NÚM. FECHA DE ENTREGAACTIVIDAD INIC. TERM. PROD. ORIG. ACTU. REAL HOJA DE
    • Anexo 11 INFORME DE AVANCE DE PROGRAMACIÓNFECHA: HOJA DESISTEMA:RESPONSABLE: PROGRAMAS TERMINADOS A LA FECHA PROA. CON DESVIACIÓN O CANCELACIÓNNÚM. FASE NÚM. FECHA NÚM. FASE NÚM. FECHA PROG. ENTREGA PROG. NUEVA NUEVOS PROGRAMAS A INCLUIR EN EL PLANNÚM. NÚM. DESCRIPCIÓN DURACIÓN DÍAS FECHA DE ENTREGAFASE PROG. DEL PROGRAMA
    • Anexo 12 CONTROL DE AVANCE DE PROGRAMACIÓNSISTEMA_______________________________________FECHA_____________PROGRAMADOR___________________________________________________ FECHA REAL DÍAS NÚM. AVANCE DURANTE EL MES EN DÍAS NUM NUM DE DE DEINICIO TERMIN PROG COMP PRUECÓDIGO DE ACTIVIDADES OBSERVACIONES A INTERPRETACIÓN B DIAGRAMACIÓN LÓGICA C CREACIÓN DE PRUEBAS D PRUEBAS DE ESCRITORIO E CODIFICACIÓN F CAPTURA G COMPILACIÓN H CREACIÓN DE PARALELO 1 DEPURACIÓN J PRUEBAS EN PARALELO K VERIFIC. DE PRUEBAS L CORRECCIONES M DOCUMENTACIÓN HOJA DE
    • Anexo 13 FECHA_______________ AVANCE DE PROGRAMA SISTEMA__________________________________________________________ FECHA DE INICIO__/__/__ FECHA DE TERMINACIÓN___/___/___PROGRAMA GDO. FECHA PERSONANÚM NOMBRE A B C D E F G H I J K L M DIF. TERMIN. ASIGNADA SIGNIFICADO DE LAS CLAVES A INTERPRETACIÓN H GENERACIÓN DE PRUEBAS B DIAGRAMACIÓN LÓGICA I DEPURACIÓN C CREACIÓN DE PRUEBAS J PRUEBAS D PRUEBAS DE ESCRITORIO K VERIFICACIÓN DE PRUEBAS E CODIFICACIÓN L CORRECCIONES F CAPTURA M CORRECCIONES G COMPILACIÓN
    • Anexo 14 HOJA DE PLANEACIÓN DE ACTIVIDADES Y CONTROL DE AVANCESISTEMA: CLIENTE:PROGRAMADOR___________________________________________________PROGRAMA__________________________ FASE______________________CLAVE ACTIVIDADES FECHA REALES NÚM FECHAS DE ENTREGAACTIVIDAD INICIA TERMINA PROD. ORIGI. ACTU. REAL FECHA HOJA DE