2. CONTROLES
Los datos son recursos valiosos para la organización y necesitan ser auditados y controlados,
por lo cual se debe tener presente:
• Responsabilidad de datos compartida.
• Actualización y consistencia de datos.
• Tener clasificación estándar y mecanismo de identificación.
• Relacionar los elementos de los datos a la base de datos.
3. POLÍTICAS
En todo centro de informática se cuenta con una serie de políticas que permiten mejorar la
operación de los sistemas, estas políticas son:
• POLITICAS DE RESPALDO: se deben realizar mensual, semanal o diario.
• POLITICAS Y PROCEDIMIENTOS: deben estar actualizadas, documentadas y ser de
conocimiento del personal.
• POLITICA DE REVISION DE BITACORA: deben existir bitácoras que registren los
procesos realizados, los resultados de su ejecución, ocurrencia de errores, procesos
ejecutados y la manera en que concluyeron.
• POLITICA DE SEGURIDAD FISCAL DEL SITE: deben ser adecuadas para asegurar el
funcionamiento y continuidad en las operaciones.
4. CONTROL DE DATOS FUENTE Y MANEJO DE
CIFRAS DE CONTROL
La mayoría de delitos por computadora son cometidos por modificaciones de datos fuente al:
• Suprimir u omitir datos.
• Adicionar datos.
• Alterar datos.
• Duplicar procesos.
Se debe tener un adecuado control con responsables delos datos y claves de acceso de
acuerdo a niveles.
1 NIVEL: se hace únicamente consulta
2 NIVEL: se puede hacer captura, modificaciones y consultas.
3 NIVEL: se puede hacer todo lo anterior y además se puede realizar bajas.
5. CONTROL DE OPERACIÓN
Proporcionan al operador información sobre los procedimientos que se deben seguir en
situaciones normales y anormales del procesamiento.
Las siguientes preguntas son algunos ejemplos del cuestionario para señalar procedimientos
e instructivos formales de operación de sistemas para analizar y evaluar el cumplimiento de
los mismos:
• ¿Existen procedimientos formales para la operación de computo? SI NO
• ¿Están actualizados los procedimientos? SI NO
• ¿Son suficientemente claras para las operaciones estas ordenes? SI NO
• ¿Existe una estandarización de las ordenes de proceso? SI NO
6. Se debe verificar que el instructivo de operación contenga los siguientes datos:
• Diagramas.
• Mensajes y su explicación.
• Parámetros y su explicación.
• Formulas de verificación.
• Observaciones e instrucciones en caso de error.
• Calendario de proceso y entrega de resultados.
7. CONTROL DE SALIDA
Las siguientes son algunas de las preguntas que se realizan en el cuestionario de control de
salida:
• ¿se tiene copia de los archivos magnéticos en otros locales?
• ¿Que seguridad física se tiene en esos locales?
• ¿Qué confidencialidad se tiene en esos locales?
• ¿Dónde se encuentran esos locales?
• ¿Quién entrega los documentos de salida de los procesos en lotes?
8. CONTROL DE ASIGNACIÓN DE TRABAJO
Se relaciona con la dirección de las operaciones de la computadora en términos de eficiencia
y satisfacción del usuario. La función clave del personal esta relacio9nada con el logro de
varios aspectos:
• Satisfacer las necesidades de tiempo del usuario.
• Ser compatibles de recepción y trascripción de datos.
• Permitir niveles efectivos de utilización delos equipos y sistemas de operación.
• Volver la utilización de los equipos en línea
• Entregar a tiempo y correctamente los procesos en lotes.
9. CONTROL DE MEDIOS DE ALMACENAMIENTO
MASIVO
Representan, archivos extremadamente importantes, cuya perdida parcial o total podría tener
repercusiones en la dependencia en la cual se presta el servicio.
Las siguientes son algunas de las preguntas del cuestionario para el análisis de archivos:
• ¿Tiene el almacén de archivos protección automática contra el fuego? SI NO
• ¿Se verifican con frecuencia la valides de los inventarios de los archivos magnéticos?
SI NO
• ¿Existe un control estricto de las copias de estos archivos? SI NO
• ¿Se tiene un responsables por turno de los archivos magnéticos]? SI NO
10. CONTROL DE MANTENIMIENTO
Existen tres tipos de contrato de mantenimiento:
1. CONTRATO DEMANTENIMIENTO TOTAL: incluye el mantenimiento correctivo y
preventivo.
2. MANTENIMIENTO POR LLAMADA: en el cual se llama al proveedor en caso de
descompostura.
3. MANTENIMIENTO EN BANCO: aquel en el cual el cliente lleva a las oficinas del
proveedor el equipo.
Para poder exigir el cumplimiento del contrato se debe tener un estricto control sobre las
fallas, la frecuencia y el tiempo de reparación, se pueden utilizar los algunos cuestionarios.
Por ejemplo:
• ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de
computo? SI NO
• ¿Se lleva a cabo tal programa? SI NO
• ¿Cuáles son las actitudes de los ingenieros de servicios que mantiene sus equipos?
11. EVALUACION DEL MANTENIMIENTO
No se debe olvidar que la capacidad bruta disponible se deberá disminuir por las actividades
de mantenimiento preventivo, fallas internas y externas no previstas y mantenimiento e
instalación de nuevos sistemas.
Estas son algunas preguntas del cuestionario que sirve para evaluar el mantenimiento:
• ¿Qué porcentaje del personal de programación se dedica a dar mantenimiento a los
sistemas existentes?
• ¿En que porcentaje se cumplen los calendarios de producción?
• ¿Existen calendarios de producción?
12. ORDEN EN EL CENTRO DE COMPUTO
Una dirección de informática bien administrada debe tener y observar reglas relativas al
orden y cuidado de la sala de maquinas. El siguiente cuestionario ayuda a evaluar el orden
en la sala de maquinas:
• ¿se tiene asignado un lugar especifico para papelería y utensilios de trabajo? SI NO
• ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en la sala de maquinas?
SI NO
• ¿Se cuenta con carteles en lugares visibles que recuerden dicha prohibición? SI NO
• ¿Se tiene restringida la operación del sistema de computo únicamente al personal
autorizado de la dirección de informática? SI NO
• ¿mencione los casos en que personal ajeno al departamento de operación opera el
sistema de computo?
13. EVALUACION DE LA CONFIGURACION DEL
SISTEMA DE COMPUTO
Se debe evaluar la configuración actual en consideración de las aplicaciones y el nivel de uso del
sistema, también evaluar el grado de eficiencia con el cual el sistema operativo satisface las
necesidades de la instalación y revisar las políticas.
14. PRODUCTIVIDAD
• Las siguientes preguntas se pueden utilizar para evaluar la eficiencia con que opera el área
de captación y producción
• ¿Se tiene un programa de trabajo diario?
• ¿Se tienen una programación de mantenimiento previo?
• ¿Se tienen un plan definido de respaldo de la información?
• ¿Que revisa los planes de trabajo?
15. PUNTOS A EVALUAR EN LOS EQUIPOS
• Los quipos de la organización deben cumplir con el esquema de adquisición de la
organización; esto no implica que los equipos deban ser del mismo proveedor.
• Si no se tienen políticas de y estándares de compra de equipos de computo cada
departamento puede decidir adquirir diferentes equipos.
• La decisión de adquirir o cambiar la computadora deberá estar basada en un estudio muy
detallado que muestre el incremento de beneficios en relación a su costo, y en la relación
costo/ benefico de los equipos actuales.
16. RENTA, RENTA CON OPCION A COMPRA O
COMPRA
• Las computadoras y el software puede rentarse, rentarse con opción de compra o compra,
cada una tiene ventajas y desventajas y es función del auditor evaluar si las ventajas son
superiores a las desventajas.
• VENTAJAS
Renta
Compromiso a corto plazo.
Menor riesgo de obsolescencia.
Renta con opción a compra
no requiere inversión inicial.
Menor costo que renta
Compra
Se puede tener valor de recuperación.
Normalmente es menor su costo de compra.
• DESVENTAJAS
Renta
el equipo puede ser usado.
Renta con opción a compra
Es mas caro que compra
Compra
Requiere inversión inicial
Amarra al comprador a su decisión
17. CENTRALIZACION VS DESCENTRALIZACION
• El tener equipos en forma centralizadas o descentralizadas puede tener ventajas y
desventajas dependiendo del tipo de organización las cuales el auditor las evaluara.