CAPITULO IV DISEÑO DE UN MODELO DE AUDITORÍA TI,...
Transcript of CAPITULO IV DISEÑO DE UN MODELO DE AUDITORÍA TI,...
176
CAPITULO IV
DISEÑO DE UN MODELO DE AUDITORÍA TI, COMO HERRAMIENTA DE EVALUACION Y CONTROL PARA LA ADECUADA UTILIZACION DE LOS RECURSOS TECNOLOGICOS EN LAS AREAS FUNCIONALES DE LOS
CENTROS EDUCATIVOS BICULTURALES EN EL SALVADOR
A. Generalidades
El Modelo de Auditoría TI es una propuesta que contribuirá a brindar un servicio más
eficiente, máximo rendimiento del personal en sus actividades asignadas, mejor uso
de los equipos informáticos y mayor compromiso del personal con la Institución.
Este Capítulo contiene los objetivos, justificación, esquema y desarrollo de las cuatro
fases del Modelo de Auditoría TI, mencionadas a continuación:
• Etapa I: Diagnóstico de la situación actual de los Centros Educativos Biculturales.
Comprende el análisis situacional de las áreas funcionales, aplicación de la
Técnica del FODA, herramientas utilizadas para la recolección de la información y
análisis de la situación actual en cuanto a lo financiero, operativo y técnico.
• Etapa II: Planificación del Modelo de Auditoría TI. Se describen las
responsabilidades, funciones y perfil del Auditor Informático.
• Etapa III: Desarrollo del Plan de Aplicación del Modelo de Auditoría TI. Se elabora
el plan de Auditoría, elaboración de manuales tales como: Manual de Auditoría de
Hardware y Software, Manual de Seguridad, Manual de Mantenimiento de
Hardware y Software, Plan de Contingencia y Manual de Políticas.
177
• Etapa IV: Plan de Implantación y Evaluación del Modelo de Auditoría TI.
Comprende aspectos tales como: presentación, revisión, evaluación y autorización
de la propuesta, las condiciones necesarias para implantar el Modelo, el personal
responsable, presupuesto para la ejecución del Modelo y Cronograma de
Actividades.
B. Objetivos del Modelo de Auditoría TI B.1 Objetivo General
Proporcionar a las áreas funcionales de los Centros Educativos Biculturales en El
Salvador un Modelo de Auditoría TI, como herramienta de evaluación y control
para el adecuado uso de los recursos tecnológicos que permita evaluar y prevenir
fallas en los procesos de las áreas administrativa e informática.
B.2 Objetivos Específicos
a) Establecer lineamientos de aplicación de manuales en las áreas funcionales
(Administración e informática) de la Institución.
b) Establecer el perfil que debe poseer la persona especializada en el área de
informática.
c) Presentar políticas de seguridad para el uso del hardware, software y
comunicación de información.
d) Definir responsabilidades del Auditor Informático para garantizar el buen
funcionamiento de los equipos tecnológicos.
e) Elaborar el Plan de Implantación del Modelo que definirá paso a paso el proceso
de su puesta en marcha.
176
C. Justificación del Modelo de Auditoría TI
Desde que la informática se enfocó hacia el apoyo de la sistematización en las áreas
de los negocios, se empezaron a implantar aplicaciones administrativas, como la
contabilidad, el control interno y controles en los procesos de operación, lo cual
origina la Auditoría de la tecnología de información.
Con el paso de los años, la informática y todos los elementos tecnológicos que la
rodean han ido creando necesidades en cada sector social y se han vuelto un
requerimiento permanente para el logro de las soluciones. La sistematización de las
áreas administrativas e informáticas de las Instituciones se conceptualiza en la
disciplina y ordenamiento estructurado y lógico de las actividades necesarias con el
propósito de obtener mayores beneficios aplicados a nuestra realidad.
La función del auditor en tecnología de información, no es ser un capataz o policía de
los procesos que supervisa. Este profesional se orienta a ser un punto de control y
confianza para la Alta Dirección además de ser un facilitador de soluciones.
No hay que pensar que este proceso cambiará de la noche a la mañana la cultura
organizacional, los métodos de trabajo, la mala calidad y la improductividad en las
áreas relacionadas con la informática, es un elemento estratégico directo que apoya
la eliminación de cada una de las debilidades mencionadas se debe contar con el
personal responsable y profesional, así como con directores y accionistas
comprometidos con la productividad, calidad y otros factores recomendados para que
la empresa sea de carácter confiable.
Por esta razón, la presente investigación tiene como finalidad la revisión de los
procesos, procedimientos, funciones y tareas que de alguna manera se utilicen para
realizar Auditoría TI; además, es importante que este Estudio se efectúe totalmente
antes de iniciar cualquier proceso relacionado con el desarrollo del sistema y que las
177
recomendaciones, disposiciones y normativas que emanen de él se pongan a
funcionar antes de iniciar el diseño de la aplicación bajo estudio.
Las áreas administrativas e informáticas de los Centros Educativos Biculturales en El
Salvador, requieren de la realización de una Auditoría que les permita identificar y
verificar cuáles son las debilidades, las fortalezas y las oportunidades que poseen y
con ello aplicar herramientas que los lleven a disminuir significativamente las
amenazas y prestar así un mejor servicio a los estudiantes.
Para lograr cumplir con lo anterior el Modelo de Auditoría TI engloba los siguientes
elementos:
a) La adopción del Modelo de Auditoría TI incluye el desempeño de una persona
especializada en el área de informática.
b) Establecer el perfil idóneo para el puesto del Auditor Informático.
c) La elaboración de un programa de capacitación continuo con el objeto de lograr un
incremento de conocimientos en los empleados de la Institución en todas las
áreas.
d) Creación y divulgación de normas y políticas que regulen el uso adecuado del
hardware y el software.
e) Diseño de manuales de Auditoría y mantenimiento de hardware y software.
D. Beneficios de la Propuesta
Los beneficios de este Trabajo pueden ser múltiples. El simple hecho de crear un
Modelo de Auditoría TI, como herramienta de evaluación y control para el buen uso
de los recursos tecnológicos y crear los diferentes manuales que ayuden al
establecimiento de normas, políticas de acceso, seguridad e implantación de
178
programas; ayudará, en gran medida, a las Instituciones para tomar decisiones y
actuar ante los cambios que se generen en el mercado, y principalmente, poder
adelantarse a los cambios, de tal manera que se puedan obtener ventajas
competitivas, que potencien su desarrollo empresarial.
Entre los beneficios producto de la adquisición e implantación del Modelo de Auditoría
TI se encuentran:
a) Un mejor control y verificación de las necesidades del personal en cuanto al uso
de nuevas tecnologías.
b) Mayor control de los recursos y equipos informáticos para que estos sean
utilizados exclusivamente para realizar actividades laborales y no de índole
personal.
c) Eficiencia en la Administración de los recursos y en el logro de los objetivos de los
Centros Educativos Biculturales.
d) Posibilidad de contar con una persona especializada en el área de informática en
la Institución, que vele por la seguridad de la información y que brinde apoyo
técnico en cuanto al uso, revisión y mantenimiento del equipo informático.
e) Mejorar la eficiencia del recurso humano.
f) Lograr el cumplimiento de normas, políticas y procedimientos previamente
establecidos para las diferentes áreas funcionales de la Institución con la finalidad
de salvaguardar los equipos informáticos e información almacenada en ellos.
179
E. Área de Aplicación del Modelo El Modelo de Auditoría TI, es un Modelo que puede ser implantado con toda facilidad
en los veinte Centros Educativos Biculturales dentro de las áreas administrativa e
Informática, ya que todos estos Centros poseen características similares entre las que
se pueden mencionar:
1. Poseen y utilizan recursos tecnológicos para la realización de sus actividades
laborales.
2. Cuentan con personal que posee conocimientos informáticos.
3. Están regidos por las mismas entidades nacionales entre las que se pueden
mencionar: Ministerio de Educación, Ministerio de Hacienda, Alcaldías.
4. Son auto-sostenibles debido a que los recursos que captan provienen de las
matrículas y colegiaturas pagadas por el alumnado.
F. Diseño de un Modelo de Auditoría TI El Modelo de Auditoría TI, está conformado por cuatro etapas enlazadas, con el
objetivo de proporcionar a los Centros Educativos Biculturales un conjunto de
procedimientos y normas a seguir para garantizar la adecuada utilización de los
recursos, tanto materiales como humanos que interrelacionados entre sí conforman
un elemento clave para el desarrollo de las Instituciones haciendo el uso adecuado de
la tecnología informática. El esquema del Modelo planteado comprende técnicas,
herramientas y manuales que facilitan el desempeño o desarrollo de las actividades
en los Centros Educativos Biculturales.
180
El modelo se ha diseñado de tal manera que su estructura además de ser lógica
facilite la continuidad de cada uno de los procedimientos establecidos en cada una de
las etapas.
A continuación se presentan dos Esquemas del Modelo de Auditoría TI, con el
propósito de representar gráficamente las etapas con las que cuenta el Modelo y
lograr una mejor interpretación mostrando una secuencia lógica de cada una de ellas.
En el primer Esquema se muestra el Modelo con sus cuatro etapas y en el segundo,
se desglosa las actividades a desarrollar en cada una de ellas.
ETAPA IV
Plan de Implantación y Eavaluación del Modelo
de Auditoria TI
MODELO DE AUDITORIA TI
ETAPA I
Diagnostico de la Situación actual de los
Centros Educativos Biculturales
ETAPA II
Planificación del Modelo de Auditoria TI
ETAPA III
Desarrollo del Plan de Aplicación del Modelo de
Auditoria TI
183
ESQUEMA DEL MODELO DE AUDITORÍA TI
1. Objetivo de la Etapa
2. Utilización de la Técnica delFODA
3. Herramientas Utilizadas
4. Informe de la Situación actual de los Centros Educativos Biculturales
ETAPA IDiagnostico de la situaci ón Actual de los Centros Educativos Biculturales
ETAPA IDiagnostico de la Situación Actual dede los Centros Educativos Biculturales
ETAPA IIPlanificaci ón del modelo de Auditoria TI
ETAPA IIPlanificación del Modelo
de Auditoria TI
ETAPA IIIDesarrollo del Plan de Aplicaci ó n
ETAPA IIIDesarrollo del plan de Aplicación del Modelo de Auditoria TI
ETAPA IVPlan de Implementaci ó n del Modelo de Auditoria TI
ETAPA IVPlan de implantación y evaluación del Modelo de Auditoria TI
3 . Perfil del Puesto
2. Asignación de Responsabilidades al Auditor informático
1. Objetivo de la Etapa
7. Plan de Contingencia
2. Descripción de Procedimientos
1. Objetivo de la Etapa
3.Revisión y Autorización de la Propuesta
2. Presentación de la Propuesta
1. Objetivo de la Etapa
5.Presupuesto de Implementación
4. Puesta en marcha del Modelo de Auditoria TI
6.Costo-Beneficio
MEJOR UTILIZACION DE LOS RECURSOS TECNOLOGICOS
MODELO DE AUDITORIA TI
RETROALIMENTACIONRETROALIMENTACION
4. Ubicación dentro de la Estructura Organizativa
4. Manual de Seguridad
5. Manual de Mantenimiento
6. Manual de Políticas
7.Revisión y Evaluación de la Propuesta
8.Seguimiento
8.Cronograma de Actividades
3. Manual de Auditoria de Hardware y Software
176
Etapa I: Diagnóstico de la Situación Actual de los Centros Educativos Biculturales. 1.1 Objetivo de la Etapa Conocer cuál es la situación actual en la que se encuentran los Centros
Educativos Biculturales haciendo uso de la técnica del FODA, en donde se podrán
analizar los diferentes factores que afectan el buen funcionamiento de las
Instituciones mencionadas.
1.2 Utilización de la Técnica del FODA Previamente al desarrollo de las fases del Modelo de Auditoría TI, los Centros
Educativos Biculturales deben hacer un análisis situacional de las áreas
administrativa e informática, mediante el uso de la técnica del FODA.
La técnica del FODA es una herramienta que sirve para identificar las Fortalezas,
Oportunidades, Debilidades y Amenazas que existen dentro de las Instituciones
(para este caso de los Centros Educativos Biculturales). Estos factores pueden ser
internos (fortalezas y debilidades) o externos (oportunidades y amenazas).
Las fortalezas son factores positivos que poseen las áreas administrativa e
informática que constituyen recursos necesarios para alcanzar los objetivos.
Las debilidades son elementos negativos que las áreas administrativa e
informática tienen y que constituyen fuertes barreras para el logro de los objetivos
en dichas áreas.
Las oportunidades son elementos externos a las áreas administrativa e
informática; pero que pueden ser aprovechados o utilizados para el logro de los
objetivos.
177
Las amenazas son elementos externos que influyen negativamente sobre las
áreas administrativa e informática.
La forma de realizar el análisis del FODA será la siguiente:
a. Deberá ser realizado por el encargado de cada área con apoyo del personal
bajo su cargo.
b. El encargado de cada área con apoyo del personal bajo su cargo realizará una
lista identificando las fortalezas, oportunidades, debilidades y amenazas de las
áreas administrativa e informática en donde los factores a considerar son:
b.1) Factores internos: Administración, organización, recursos humanos,
infraestructura, calidad del servicio, finanzas, calidad de dirección, calidad
de empleados.
b.2) Factores externos: económicos, sociales, financieros y tecnológicos.
c. Los factores identificados deberán ser presentados según cuadro que se
muestra a continuación.
Análisis Situacional FODA de las Áreas Administrativa e Informática
Centros Educativos Biculturales en El Salvador Aspectos Internos Aspectos Externos
Fortalezas Oportunidades
Debilidades Amenazas
178
d. Se realizará un análisis de los resultados resumidos en el cuadro y se deberán
buscar lineamientos que permitan:
Convertir las debilidades en fortalezas.
Lograr el aprovechamiento de las oportunidades.
Minimizar las amenazas.
e. Se presentan los resultados a la Junta Directiva (autoridades superiores
competentes) para que se tomen las medidas correctivas pertinentes.
1.3 Herramientas Utilizadas
La recolección de la información se realizó a través de los siguientes medios:
a) Cuestionario: Se elaboró una serie de preguntas relacionadas a la temática en
estudio para cada una de las áreas con el fin de recopilar información que
permitiera conocer la situación actual de los Centros Educativos Biculturales
para tomar referencia de lo que realmente necesitan para mejorar el
desempeño y buen uso de los recursos.
b) Entrevista: Se entrevistó al personal involucrado de las áreas administrativa e
informática, para conocer sus expectativas, necesidades y sugerencias que
permitan el desarrollo de las diferentes fases del Modelo de Auditoría TI.
c) Observación Directa: Se realizaron visitas a los Centros Educativos
Biculturales a través de las cuales se logró visualizar que en el área
administrativa existen deficiencias en cuanto al uso adecuado del equipo
informático y el mantenimiento del mismo; lo cual confirma la necesidad
expresada por el personal a través de las entrevistas de contar con una
persona especializada en el área de informática que pueda brindar soluciones
de manera inmediata a los inconvenientes e imprevistos presentados al
momento de desarrollar sus actividades laborales.
179
1.4 Informe de la Situación Actual de los Centros Educativos Biculturales
a) Financiero: A través de las entrevistas realizadas se pudo conocer que los
Centros Educativos Biculturales poseen solvencia económica para implantar el
Modelo de Auditoría TI. Ya que son Instituciones auto sostenibles (su
financiamiento está basado en el pago mensual de colegiaturas de los
estudiantes).
b) Operativo: El proyecto es factible operacionalmente debido a que el personal
involucrado posee conocimientos informáticos que permiten la fácil aceptación
por parte de los usuarios y el acomodamiento tecnológico. Por otra parte, el
83% del personal administrativo y el 91% del personal informático no cuenta
con herramientas de control y evaluación para el adecuado uso de los recursos
tecnológicos, índices que indican un significativo vacío sobre el cual trabajar.
En la guía de entrevista se pudo observar que las altas autoridades de los
Centros Educativos Biculturales se mostraron interesados en la implantación
del Modelo de Auditoría TI dentro de la Institución, para que contribuya de
manera efectiva a solucionar los problemas encontrados.
c) Técnico: De acuerdo a la investigación de campo realizada a los Centros
Educativos Biculturales se determinó que dichas empresas cuentan con equipo
computacional necesario para realizar las actividades laborales en las áreas
administrativa e informática entre los que se pueden mencionar: computadoras,
impresores, reguladores de voltaje, escáner, cámara web, quemador, unidades
de Zip Drive. Además de poseer herramientas de comunicación tales como
Internet (44% área administrativa y 22% para el área informática) e Intranet
(11% para el área administrativa y 15% para el área informática).
180
2. Etapa II: Planificación del Modelo de Auditoría TI
2.1 Objetivo de la Etapa Establecer las responsabilidades, actitudes, habilidades, preparación académica,
desenvolvimiento profesional, funciones generales y específicas y ubicación
dentro de la estructura organizativa del Auditor Informático.
2.2 Asignación de Responsabilidades al Auditor Informático
2.2.1 Función Principal El Auditor Informático deberá analizar objetivamente los escenarios de la
organización a través de evaluaciones de los procesos, procedimientos y controles
adoptados por la Administración; ya que sus principales funciones están
enfocadas a: un desempeño eficiente de su trabajo, la aplicación de métodos,
técnicas y herramientas comúnmente aceptadas para la informática. Deberá ser
acucioso y observador en cuanto a lo que se encuentre a la vista y tener la
capacidad para la toma de decisiones, con el fin de que la veracidad,
confidencialidad e integridad de la información sea razonable y de acuerdo a las
políticas establecidas por la organización.
2.2.2 Funciones Específicas a) Planear, dirigir y organizar la verificación y evaluación de los recursos
informáticos.
b) Servir de apoyo a la Administración en el proceso de toma de decisiones con el
fin de obtener los resultados esperados.
181
c) Planear y ejecutar proyectos informáticos al cumplimiento formal y oportuno de
las políticas, controles y procedimientos establecidos por la Alta Dirección, así
como del seguimiento permanente de los mismos.
d) Verificar los procesos relacionados con el manejo de los recursos informáticos
de la Institución y recomendar los correctivos que sean necesarios.
e) Asegurar que los recursos informáticos sean orientados al logro de los
objetivos y las estrategias de la Institución.
f) Mantener permanentemente informados a la Administración acerca del estado
del control interno dentro de la Institución, dando cuenta de las debilidades
detectadas y de las fallas en su cumplimiento.
g) Administrar la información obtenida del Administrador y Encargado de
informática para el desarrollo de pruebas de Auditoría.
h) Evaluar las normas definidas para el diseño y desarrollo de sistemas.
i) Evaluar la seguridad física y lógica adoptadas por el Centro Educativo
Bicultural.
j) Elaborar, administrar y ejecutar, de manera eficiente, los proyectos
contemplados en el plan de Auditoría en informática.
k) Evaluación, verificación e implantación oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de los recursos informáticos.
2.2.3 Personal a Supervisar Recurso humano perteneciente a las áreas administrativa e informática.
182
2.3 Perfil del Puesto
Los Centros Educativos Biculturales requieren de un profesional que evalúe y
controle las funciones de todas las áreas funcionales de la Institución, participando
en la verificación del buen uso de las tecnologías informáticas que se relacionen
con cada departamento y para evaluar los controles existentes. Si es necesario,
realizar recomendaciones para evitar riesgos e irregularidades. También tiene que
verificar que se cumplan las políticas de seguridad de Software y Hardware y
procedimientos relacionados a la Auditoría Informática.
2.3.1 Habilidades
a) Habilidad para tomar decisiones.
b) Interpretar el Control interno para dar recomendaciones.
c) Ser preventivo para detectar fallas de los equipos y sistemas y analizar
las causas que las originan.
d) Capacidad de trabajo bajo presión.
e) Capacidad para trabajar en equipo.
f) Capacidad para motivar al personal.
2.3.2 Actitudes:
a) Responsabilidad.
b) Preparación contínua.
c) Ética profesional.
d) Equitativo para la toma de decisiones.
e) Facilidad de comunicación.
f) Cooperación, disciplina y honradez.
g) Imparcialidad en el desempeño de sus labores.
h) Dinamismo.
i) Discrecionalidad.
183
j) Excelentes relaciones personales.
k) Organización.
l) Creatividad e iniciativa.
2.3.3 Preparación Académica
a) Graduado de Ingeniería en Sistemas o Licenciatura en Computación.
b) Manejo de métodos, técnicas y herramientas de evaluación de sistemas.
c) Conocimiento de normas, políticas y estándares de controles de Auditoría.
d) El Auditor Informático deberá tener conocimientos generales en cuanto a:
d.1) Elementos técnicos de informática, sistemas operativos, bases de
datos, programación, redes, sistemas periféricos, seguridad,
mantenimiento y acceso a los sistemas.
d.2) Aspectos administrativos de manera general en cuanto a:
Administración de personal, Auditoría, implantación de procesos y
evaluación de proyectos.
2.3.4 Desenvolvimiento Profesional
a) Experiencia de tres años como mínimo en puestos similares.
2.4 Ubicación dentro la Estructura Organizativa
Debido a que la función de Auditoría dentro de una Institución es de carácter
independiente al resto de actividades e involucra procesos de verificación y
reportes de fallas de forma imparcial a las Altas Autoridades de los Centros
Educativos Biculturales se propone que el Auditor Informático, se encuentre
ubicado a nivel de Staff o consultoría, será contratado a nivel externo y dependerá
184
directamente de la Administración, de acuerdo a estructura organizativa
presentada. (Ver Anexo 4.1)
Lo que se pretende es que a corto plazo se efectué la Auditoría Informática e
informe de todas las inconsistencias encontradas para su pronta corrección, para
luego evaluar los procedimientos en los períodos acordados entre él y las Altas
Autoridades de estos Centros.
3. Etapa III: Desarrollo del Plan de Aplicación del Modelo de Auditoría TI
3.1 Objetivo de la Etapa Proporcionar al personal de los Centros Educativos Biculturales herramientas que
les ayuden a dar solución a las dificultades precisadas, haciendo uso de los
recursos tecnológicos necesarios.
3.2 Descripción de Procedimientos La etapa preliminar se desarrolla cuando se inicia un plan de Auditoría en
informática y es donde se recopilan aspectos necesarios y generalizados para
entender los puntos débiles y fuertes de la función de informática desde el punto
de vista de los usuarios claves y la Alta Dirección, para lo cual se realiza:
a) Diagnóstico de la Institución
b) Diagnóstico de informática
c) Detectar área de oportunidad
Esta fase es necesaria debido a que todo proceso de revisión de cierto
componente de informática deberá ser analizado con anterioridad en base al
entorno de la Institución y la función de informática y así poder empezar
directamente a auditar aspectos relativos de informática.
185
Cabe destacar que para el universo en estudio el área más afectada, que
demanda procedimientos para el desarrollo de las actividades de una forma más
ordenada y eficiente es el área administrativa; ya que es allí, donde se han
detectado debilidades, tales como: pocos conocimientos en la utilización del
equipo informático y desactualización de programas y manejo de paquetes
utilitarios, se logró detectar el poco conocimiento de políticas y normas que sirven
para regular el uso adecuado de los recursos.
La revisión o evaluación de las áreas o funciones relacionadas con las áreas
administrativa e informática, deben justificarse ante la Alta Dirección como
también ante los involucrados, para lograr que el Plan General del Proyecto de
Auditoría en Informática y, más que eso, el implante del Modelo de Auditoría TI,
como medio de evaluación y control para el adecuado uso de los recursos
tecnológicos, sea aprobado por todos: Alta Dirección, usuarios claves y el
responsable de informática.
Se pretende definir los procedimientos básicos que puedan regular y orientar las
actividades a realizar, a fin de asegurar la estandarización de los procesos de
trabajo de las actividades análogas que realizan los empleados de los Centros
Educativos Biculturales en El Salvador en las áreas administrativa e informática.
A continuación se detalla una serie de procedimientos que ayudarán en el mejor
desempeño de las actividades dentro de los Centros Educativos Biculturales, las
cuales se dividen en Administrativas e Informáticas y se describen seguidamente:
a) Contabilidad a.1) Se deberá contar con un Catálogo de Cuentas, debidamente elaborado que
facilite la preparación de los Estados Financieros de una manera lógica y
adecuada, de acuerdo a las Normas Internacionales de Información
Financiera, que incluya todas las cuentas que sean necesarias para reflejar
de manera exacta los movimientos contables de las cuentas de activo,
186
pasivo, capital, ingresos, costos, y gastos, de tal manera que los resultados
obtenidos sean de utilidad para que la Institución tome las decisiones más
adecuadas.
a.2) Se deberá contar con un Manual de Aplicación de Cuentas a través del cual
se especifique: Contenido, codificación, así como el manejo de cada una de
ellas. Explicando cuando se cargan o se abonan.
a.3) Para el manejo de las diversas operaciones de la Institución, se establecen
varios fondos dependiendo del monto de los mismos, si éstos son mayores
al fondo asignado a caja chica , se procederá a la emisión de cheques, todo
lo demás se hará en efectivo.
a.4) Para el manejo de dichos fondos se contará con una Cuenta Corriente, en un
Banco, la cual será custodiada y manejada por la Administración o la Junta
Directiva de la Institución.
a.5) Las funciones de autorización, ejecución y contabilización de las
transacciones sujetas de este fondo, deberán realizarse por diferentes
personas o puestos de trabajo, de tal manera que ningún empleado tenga la
responsabilidad total de una transacción.
a.6) La Institución limitará el acceso solamente al Administrador o Junta Directiva
los Documentos Financieros de fácil convertibilidad en efectivo como los son
quedan, pagarés, cheques posfechados, letras de cambio, etc., siendo el
responsable de su control, custodia y de hacerlos efectivos en el momento
que corresponda.
a.7) Se establecerá una fecha para la emisión y entrega de los cheques, así como
para la recepción de facturas y entrega de quedan.
187
b) Fondo de Caja Chica
b.1) Se constituirá un Fondo de Caja Chica ( el límite de éste será establecido por
las Altas Autoridades de cada Institución) , el cual sirva para la realización de
compras menores que surjan de manera emergente dentro de dichos límites
b.2) Para usar los mencionados fondos deberá llenarse un formulario
prenumerado en donde se establezca una descripción de los usos para los
que se requieren los fondos, su justificación y deberá contar con la firma del
Administrador de la Institución en señal de aprobación.
b.3) Los fondos serán manejados por el Contador o Auxiliar Contable de la
Institución quien esta más a disposición de la Administración, y solamente
entregará fondos cuando el formulario correspondiente esté debidamente
autorizado por el Administrador. Así mismo una vez utilizados los fondos que
se soliciten se le deberá anexar la correspondiente factura o comprobante de
consumidor final que ampare la compra que se efectuó.
b.4) Periódicamente el Contador o Auxiliar Contable hará las correspondientes
liquidaciones de Caja Chica, de tal forma que el fondo asignado sea igual a
los valores en efectivo con que cuente en determinado momento mas las
facturas que amparen las compras efectuadas. Dicha liquidación deberá
efectuarse previendo no quedarse sin fondos para atender las necesidades
durante el tiempo que dure el reintegro.
b.5) El Contador o Auxiliar Contable posterior a las liquidaciones correspondientes
deberá efectuar los contabilización de los gastos.
c) Proceso de Compras
c.1) Toda compra que exceda de los valores determinados para la Caja Chica,
deberá ser solicitada a través de una requisición de compras.
188
c.2) A fin de efectuar la compra de materiales se deben cumplir con las siguientes
condiciones:
Contar con una lista de proveedores autorizados.
Solicitar siempre cotizaciones cuando menos de tres proveedores.
Verificar siempre la recepción exacta de las mercaderías que se compren.
Presentar al encargado de las compras la factura o comprobante de
Crédito Fiscal, que ampare la transacción realizada.
La Asistente o Secretaria deberá verificar los contenidos de las facturas
contra la documentación justificativa, antes de iniciar el proceso de pago.
En toda requisición de compra tramitada, deberá estamparse el sello y
firma de recibido, así como la fecha de recibido de los materiales en la
Institución.
c.3) Deberá establecerse un local o determinarse un mueble para
depositar y resguardar los materiales o artículos que se obtengan, al
cual sólo tendrá acceso la persona que designe la Administración.
c.4) Toda adquisición de bienes y servicios debe estar considerada en el
Presupuesto de Funcionamiento de la Institución, y la que no lo esté deberá
ser autorizada por la Junta Directiva o Administración.
c.5) Toda requisición de compra que ampare artículos de uso frecuente, debe ser
elaborada en base a la cantidad de existencias y a los lotes máximos y
mínimos de inventarios.
c.6) Toda compra que se efectúe deberá contar con su factura o comprobante de
Crédito Fiscal para anexarlo a la requisición de compras.
c.8) Para la emisión de cheques se deberá presentar la documentación justificativa
y deberá estar autorizada por la Administración.
189
c.9) Las fechas posibles de pago deberán establecerse con la suficiente
anticipación, a fin que se puedan tramitar oportunamente las firmas
correspondientes.
d) Contratación de Servicios d.1) Todo servicio de mantenimiento que se contrate ya sea para fotocopiadora,
fax, computadora, vehículos, etc., será sometido a licitación o concurso
privado, mediante invitación a empresas especializadas previamente
calificadas para ello.
d.2) Para la selección de las empresas que prestarán los servicios mencionados,
se deberá definir el alcance de los mismos, a fin que estos sean prestados de
acuerdo a los requerimientos de la Dirección, Administración o Junta
Directiva.
d.3) Corresponderá a la Administración de la Institución, la selección de las
empresas que presten los servicios demandados, considerando factores
como solvencia económica, experiencia comprobada en el campo y precio.
d.4) Se requerirán como mínimo de tres cotizaciones de proveedores de servicios.
e) Registro Académico e.1) El control de estudiantes de la Institución deberá llevarse de una manera
ordenada tanto físico como electrónico con el objetivo de facilitar el control de
la entrada y salida de los estudiantes ya sea por abandono a la Institución o
por egreso.
e.2) Manejará las agendas o actividades a desarrollar dentro de la Institución con
el objetivo de mantener informada a las personas que formen parte de la
190
Institución y que se hayan unido al esfuerzo para lograr un crecimiento de la
Institución, pues el objetivo sigue siendo formar profesionales competentes.
e.3) Elaborará diplomas y certificados de grados los cuales deberán estar
debidamente archivados en los expedientes por alumno y por año.
e.4) Controlará la diferencia de estudiantes año con año de tal forma que permite
conocer la disponibilidad de cupos para cada período.
e.5) Controlará cuadros de notas por materia de tal forma que pueda sacar un
promedio por período de cada uno de los estudiantes y de cada uno de los
niveles.
e.6) Se encargará de preparar una copia de cada cierre de año para verificaciones
posteriores. En caso de contar con la persona encargada del Departamento
de Auditoría le servirá de apoyo para la creación de copias de respaldo
(backup) y mantenimiento de su equipo que en este caso será la fuente de
información para toda la Institución pues controlara el número de estudiantes
por período lo cual permitirá conocer cuánto será la disponibilidad económica
basándose en las cuotas establecidas mensualmente.
e.7) Con apoyo del encargado del área de Auditoría de informática se logra un
mejor control y se evitará la pérdida masiva de información.
f) Profesor de Computación f.1) Tendrá como responsabilidad principal la administración del hardware y el
software de la institución, velando porque se le de el uso adecuado y el
mantenimiento en el tiempo oportuno.
191
f.2) Velará porque los equipos sean tratados de la forma más adecuada
garantizando un mayor tiempo de vida útil de los mismos.
f.3) Reportará a la administración, fallos y desperfectos que presenten los equipos
tecnológicos con el fin de contratar los servicios de mantenimiento y
reparación en el menor tiempo posible con el propósito de no interrumpir las
actividades diarias en el centro de cómputo.
f.4) Indagará en el conocimiento de nuevos programas que sean de utilidad para
la innovación del programa de estudio del centro educativo.
f.5) Se encargará de planificar previamente los guiones de clases elaborando
guías de estudio para reforzar los conocimientos del alumnado.
g) Contratación de Personal g.1) Para la cobertura de puestos vacantes o creación de puestos nuevos, la
Institución procederá a seguir un proceso de Reclutamiento y Selección.
g.2) Será potestad de la Dirección o Junta Directiva cubrir o no las vacantes que
se presenten u optar por otras opciones de personal que considere
conveniente.
g.3) Será responsabilidad del Director el Reclutamiento y Selección de
personal idóneo para cada una de las plazas.
g.4) La Dirección o Junta Directiva autorizará la contratación de personal, para lo
cual deberá contar con una terna de candidatos.
192
g.5) El contratado deberá cubrir los requisitos establecidos y tener la suficiente
preparación académica para el puesto al que aplica, deberá ser especialista
en la materia o actividad a desarrollar.
g.6) Para ingresar a trabajar a la Institución, todo candidato deberá cumplir los
requisitos de ingreso incluidos en el perfil, los cuales serán comprobados a
través de un proceso de selección que incluirá presentación de Currículum
Vitae con la documentación y atestados que comprueben su experiencia y
estudios realizados, realización de exámenes de idoneidad, entrevistas,
investigación de referencias y exámenes de salud.
g.7) Toda persona que ingrese a trabajar a la Institución deberá firmar un Contrato
Individual de Trabajo, en donde se establezcan todas las condiciones de
contratación, vigencia, tipo de contratación, sueldo, período de prueba, etc.
3.2.1 Procedimiento: Elaboración del Plan de Auditoría en Informática
Objetivo: Definir y formalizar proyectos inmersos a la función de Auditoría en
informática, orientados primordialmente al seguimiento de la calidad y control de
los diferentes elementos relacionados con los recursos de informática.
Puesto: Auditor Informático
Actividades:
a) Determina qué áreas serán auditadas a través de un diagnóstico actualizado
del entorno del negocio y de la función de informática, con el fin de detectar
qué áreas son de riesgo o débiles con respecto a la función de informática.
193
b) Realiza matriz de riesgo según los hallazgos de los cuestionarios, detectando
las áreas de mayor riesgo en relación con informática y que requieren una
revisión formal y oportuna.
c) Desarrolla las siguientes actividades para la elaboración del plan general de
Auditoría en informática:
c.1) Estima tiempo necesario para auditar cada área determinada en la matriz
de riesgo.
c.2) Analiza y define los aspectos o componentes que se evaluarán.
c.3) Verifica la importancia y validez de los puntos mencionados en la actividad
anterior. Ya sea vía telefónica, fax o personalmente.
c.4) Asigna prioridades a cada área con los involucrados en el proyecto.
c.5) Define fechas estimadas de inicio y terminación por área de revisión.
c.6) Establecer fechas de revisión (firmas de aprobación).
c.7) Define responsables e involucrados por etapas del proyecto.
d) Elabora el “Plan de Auditoría en Informática”. Determina las áreas a ser auditadas, aspectos del área por auditar, las fechas
y períodos en que se auditarán las áreas, etc. La prioridad de las áreas a
auditar se determina tomando en cuenta que pueda obedecer a la solicitud
efectuada por la Alta Dirección, y al requerimiento de los involucrados en cada
una de las áreas.
e) Presenta “Plan de Auditoría en Informática” a la Alta Dirección para que sea
autorizado formalmente y de esta manera se comprometa dando apoyo a los
diferentes Proyectos que conforman el Plan.
f) Pone en marcha el Plan y lo ejecuta.
194
3.3 Elaboración de Manuales. La Auditoría es una herramienta útil para efectuar la revisión y evaluación de los
controles, determina el estado de seguridad de la información, verifica los
procedimientos de informática con el objetivo de lograr una utilización más
eficiente y segura de la información que servirá para una adecuada toma de
decisiones.
Toda organización para desarrollar eficazmente sus actividades, necesita utilizar
instrumentos y herramientas técnico-administrativas que le permitan alcanzar los
objetivos y las metas propuestas.
Con base en lo anterior se propone a los Centros Educativos Biculturales en El
Salvador la elaboración de una serie de manuales que les permitirán desarrollar
de manera efectiva las actividades descritas en el numeral anterior (Descripción
de Procedimientos), que serán elaborados dando cumplimiento a los
requerimientos obtenidos a través de la información recabada por medio de los
cuestionarios distribuidos al personal clave dentro de las Instituciones, como
también a través de las entrevistas.
Estos instrumentos servirán de guía para la contratación de los servicios de
Auditoría informática externa, del mismo modo proporcionarán una base sobre la
cual las diferentes áreas puedan funcionar con mayor eficiencia buscando la
mejor coordinación de las funciones de los mismos a fin de viabilizar el alcance de
los objetivos.
A continuación se presentan los Manuales que deben ser tomados en
consideración para la implantación del Modelo de Auditoría TI.
195
MANUAL DE AUDITORÍA DE HARDWARE Y SOFTWARE
a) AUDITORÍA DE LA ADMINISTRACION DEL HARDWARE
b) AUDITORÍA DE HARDWARE INSTALADO
c) AUDITORÍA DE LA OPERACIÓN DEL HARDWARE
d) AUDITORÍA DE LA ADMINISTRACION DEL SOFTWARE
e) EVALUACION DE SISTEMAS DE INFORMACION DURANTE EL CICLO DE
DESARROLLO E IMPLANTACION
f) DIAGNOSTICO DE LA SITUACION ACTUAL DE LOS SISTEMAS DE
INFORMACION EN OPERACIÓN
g) EVALUACION SOBRE LA LEGALIZACION DEL SOFTWARE
196
A) AUDITORÍA DE LA ADMINISTRACIÓN DEL HARDWARE
Objetivo: Asegurar la existencia de una administración formal de la
Administración del hardware.
Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría
Informática” (Ver Anexo 4.2)
2. Consulta al personal de la empresa si realiza una Administración formal de
Hardware que dé seguimiento a:
• Planeación de nueva tecnología (hardware / software).
• Operación y mantenimiento del equipo.
• Control y seguridad del equipo.
• Aspectos legales y seguridad del equipo.
• Otros Nota: Esta evaluación se hará a través del “Cuestionario
Administración del Hardware”. (Ver Anexo 4.3) 3. De no contar el personal de la empresa con una Administración formal del
hardware, verifica cuáles son las actividades que realizan para tal función y
cómo les dan seguimiento.
4. Comprueba la existencia de documentación que especifique cada una de las
funciones de Administración del hardware solicitándola a los responsables del
área de informática para su conocimiento.
5. De existir documentación, verifica que las funciones especificadas en el
documento concuerde con la realidad. Para ello, utiliza la “Guía de Observación de Administración del Hardware” para su respectiva
verificación. (Ver Anexo 4.4)
6. De no contar el personal de la empresa con documentación, les consulta
cómo se dan a conocer a los responsables del equipo y al usuario las
funciones de Administración de hardware, por ejemplo:
Análisis y evaluación del equipo.
197
Análisis de número de equipo, características usuario, etc.
Análisis y diagnóstico del software instalado en los equipos de cómputo.
Cantidad de licencias, copias piratas, versiones, número de usuarios, etc.
Otros.
De tal manera, que se brinde un adecuado servicio a los usuarios del equipo
en el uso de sistemas y software al que tiene acceso.
7. Ordena la información recopilada en la evaluación de la Administración del
hardware.
8. Después de recopilar la información necesaria realiza la elaboración del “Informe Final de Auditoría en Informática”. (Ver Anexo 4.5 y 4.5A)
Nota: Es importante aclarar que el orden y forma de este informe puede variar
de acuerdo con la creatividad y estilo de los autores en informática y de los
estándares establecidos por el responsable de la función.
B) AUDITORÍA DE HARDWARE INSTALADO Objetivo: Evaluar si se cuenta con el equipo suficiente, actualizado y compatible
que responda a las necesidades de la Institución.
Responsable: Auditor Informático
1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría Informática” (Ver Anexo 4.2)
2. Comprueba qué el personal encargado de compras lleva a cabo una
planeación y evaluación formal de compras de equipos, así como de su
instalación y verifica que se esté cumpliendo; para lo cual solicita dicho plan y
lo revisa.
3. Consulta al responsable de informática si cuentan con procedimientos que les
faciliten una adecuada instalación del equipo. Para la evaluación hará uso del
“Cuestionario Instalación del Hardware”. (Ver Anexo 4.6)
198
4. Solicita procedimientos para el proceso de instalación del equipo, corrobora
que vayan acorde a la realidad y que se estén cumpliendo, de tal manera que
les permita lo siguiente:
Descripción del equipo adquirido.
Dónde se ha instalado.
Metodología de instalación del equipo y normativa de instalación.
5. Verifica quiénes son los responsables de ejecutar las diferentes actividades
que se realizan durante el proceso de instalación del equipo, como los
responsables del seguimiento del mismo, con el fin que estén cumpliendo
dichas actividades y que estén considerando la metodología y normativa de
instalación.
6. En caso de que personal externo lleve a cabo la instalación del equipo,
verifica que dicha instalación ya sea parcial o total, se realice en base a
políticas de la Institución. Para ello, solicita dichas políticas y realiza
entrevistas al personal externo para chequear cómo están antes de la entrega
y luego compara con las modificaciones que según el personal externo se han
realizado.
7. Ordena toda la información recopilada en la “Evaluación e Instalación del Hardware”. (Ver Anexo 4.7)
8. Desarrolla la elaboración del “Informe Final de Auditoría en Informática”. (Ver Anexo 4.5 y 4.5A)
C) AUDITORÍA DE LA OPERACIÓN DEL HARDWARE
Objetivo: Asegurar que se lleven a cabo controles y procedimientos en la
operación del hardware.
Responsable: Auditor Informático
1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría Informática” (Ver Anexo 4.2)
199
2. Consulta a responsable de operación del hardware si cuentan con manuales
de operación de equipo o alguna documentación que muestre los
procedimientos relativos a esta función. Para la evaluación hace uso de
“Cuestionario Operación del Hardware”. (Ver Anexo 4.8)
3. De existir manuales, los solicita para verificar si el personal responsable de
administrar y operar el equipo fue capacitado y si estos se están aplicando en
la realidad.
4. De no contar con manuales, consulta a responsables de administrar u operar el
equipo, como procede para tal actividad y luego verifica si en realidad se
trabaja como lo ha expuesto.
5. Recopila información acerca de la operación del equipo de cómputo como:
Usuarios que accesaron diferentes equipos de cómputo.
Operaciones realizadas en el equipo.
Tiempos de utilización.
Interrupciones durante el uso del equipo y causas.
Tiempo para reiniciar cada interrupción.
Accesos inválidos a los diferentes equipos.
Otros.
Debe especificar si esta información es generada por algún software o se
produce de manera independiente.
6. Verifica si los equipos poseen controles de acceso a personas no autorizadas y
si estos están diseñados para prevenir, detectar o corregir el acceso no
autorizado a los equipos, además de identificar los responsables de darles
seguimiento.
7. Verifica a través de una guía que los controles contemplen:
Protección de archivos.
Protección a programas de las aplicaciones que estén en los equipos.
Protección a otro software alojado en los equipos.
Métodos para prevenir el monitoreo no autorizado del equipo.
Detección inmediata y automatizada de acceso no autorizado a los
equipos.
200
Contraseñas que autoricen el acceso a los equipos, sin permitir la
entrada en archivos no autorizados.
Otros.
8. Ordena información recabada en la evaluación y desarrolla el “Informe Final de Auditoría en Informática”. (Ver Anexo 4.5 y 4.5A)
D) AUDITORÍA DE LA ADMINISTRACION DEL SOFTWARE Objetivo: Asegurar que exista una Administración formal del software.
Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría
Informática” (Ver Anexo 4.2) 2. Se presenta a las diferentes áreas para identificar el software existente
(paquetes, lenguajes, sistemas de información, sistemas operativos, etc.), con
sus versiones, recopilando la información en “Control del Software Instalado” (Ver Anexo 4.9)
3. Verifica si existe una Administración formal del software, de ser así, solicita
documentación formal que especifique las funciones de Administración del
software. El Auditor Informático revisa la documentación y lleva “Control de Funciones de Administración del Software” detallando las tareas que se
efectúan para cada función y los responsables de efectuarlas. (Ver Anexo 4.10)
4. Revisa la documentación y verifica si las funciones desarrolladas en la
realidad, concuerdan con las funciones documentadas. En caso de no existir
Administración del software, cuestiona al encargado de informática cómo se
realizan las actividades respectivas a esta Administración, auxiliándose del
“Cuestionario de Administración del Software” Indica al personal
responsable y usuarios sobre, qué hacer y cómo llevar a cabo cada una de las
funciones de Administración del software. (Ver Anexo 4.11)
201
5. Verifica si existe personal externo interviniendo en las funciones de
Administración del software y solicita información sobre la especialización de
dicho personal y la razón por la que está participando.
6. Solicita el procedimiento que se utiliza para canalizar dudas, sugerencias y
compromisos entre los usuarios y los responsables de Administración del
software.
7. Cuestiona a la Administración acerca de cómo garantizar que el software que
se está utilizando es el idóneo para el desarrollo de las actividades.
8. Después de recopilar toda la información, desarrolla el “Informe Final de Auditoría Informática” (Ver Anexo 4.5 y 4.5A)
E) EVALUACIÓN DE SISTEMAS DE INFORMACIÓN DURANTE EL CICLO DE
DESARROLLO E IMPLANTACIÓN
Objetivo: Confirmar que el personal de desarrollo de sistemas de información
ejecuten el ciclo de vida de desarrollo e implantación, con el fin de que se asegure
calidad y productividad durante el desarrollo de dichos sistemas.
Responsable: Auditor Informático
1. Efectúa: “Procedimiento Básico para el Desarrollo de una Auditoría en Informática” (Ver Anexo 4.2)
2. Solicita el plan del proyecto del sistema de información, y verifica que las
fechas de realización del proyecto coincidan con la información proporcionada
en los planes.
3. Revisa en la documentación relativa al proyecto: objetivos, requisitos
generales, metodología, responsables y las restricciones de los recursos
(técnicos, humanos, presupuesto y otros). Recopila información, sobre:
descripción del proyecto, necesidad del proyecto, áreas afectadas, riesgos,
costos, ventajas que aporta, adaptación a los planes de la Institución. Solicita
información a la Administración o Encargado de Informática.
202
4. Revisa el plan del proyecto de desarrollo del sistema de información,
verificando que este se encuentre debidamente aprobado por la Alta
Dirección, la Administración y las áreas afectadas. En caso de no existir un
plan del proyecto, se solicita el procedimiento realizado para estudiar la
justificación, llevar a cabo el estudio de viabilidad del proyecto y quién tiene la
capacidad de aprobar formalmente la realización y prioridad del proyecto. Pide
información documentada existente a la Administración.
5. Investiga si existen procedimientos formales para asignar el personal y los
recursos materiales para el desarrollo de sistemas de información en el
proyecto y comprueba si estos son respetados. Si además existe contratación
de servicios externos, se debe comprobar que esté aprobado y se haga uso de
él, así como revisar que en dicho contrato se contemplen los riesgos más
frecuentes como la compatibilidad con los estándares establecidos en el área
de desarrollo y, en todo caso, revisar que se incorporen penalizaciones a
causa de incumplimiento de dicho contrato.
6. Verifica que las áreas afectadas con el proyecto participen en el desarrollo del
mismo, comprobando que los usuarios estén incluidos en un comité, el cual
realizará las siguientes actividades:
Periodicidad de reuniones mínimas y en cualquier caso que lo exija el
desarrollo del proyecto.
Revisar la marcha del proyecto
Asignar los recursos
Modificar la marcha del proyecto en caso de ser necesario.
7. Controla que sigan las etapas del ciclo de vida del proyecto y que se generen
todos los documentos asociados a la metodología usada, verificando que
antes de comenzar una nueva etapa se haya documentado la etapa previa,
haya sido revisada y aceptada. Además verifica que se esté respetando el plan
establecido y, en caso contrario, tomar las medidas oportunas o proceder a la
aprobación de una modificación del plan; así también, verifica que se respete el
uso de los recursos establecidos.
203
8. Revisa las pruebas del sistema de información y verifica que este cumpla con
las especificaciones establecidas en la etapa de análisis.
9. Verifica que los usuarios y la Alta Dirección aprueben formalmente el sistema
durante las pruebas, firmando y aceptando de conformidad el sistema, la
documentación respectiva (pedirá copia de dicha documentación).
10. Presencia la instalación del sistema y verifica que los usuarios reciban la
formación necesaria (fundamentalmente, manuales de usuario).
11. En caso de que existiera un sistema antiguo, verifica que el nuevo sistema
desarrollado se implante de forma coordinada con el retiro del antiguo sistema.
Para lo cual hay un periodo de funcionamiento en paralelo de ambos sistemas.
12. Verifica la consistencia de la información entre el sistema nuevo y el antiguo
durante la conversión de datos. Si el sistema antiguo se va a mantener para
obtener información, se dejará en operación en modo de sólo lectura.
13. Confirma la aceptación del sistema por parte de la Alta Dirección y usuarios a
través de documentación que ha sido firmada, la cual contendrá de forma
explicita la aceptación de la implantación correcta del sistema.
14. Realiza “Informe Final de Auditoría Informática” (Ver Anexo 4.5 y 4.5A)
F) DIAGNOSTICO DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE
INFORMACIÓN EN OPERACIÓN
Objetivo: Llevar un control de evaluación de los sistemas de información, ya que
son un elemento primordial de la organización (manejo de datos en las áreas
Financieras, Registro Académico, Compras, Informática, y administrativas para la
toma de decisiones).
Responsable: Auditor Informático
1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría Informática” (Ver Anexo 4.2)
2. Consulta a los usuarios de los diferentes sistemas de información en
operación y elabora una “Lista de Principales Sistemas de información y
204
Usuarios”, Determina cuáles fueron desarrollados por la empresa y cuáles
comprados a terceros, para saber cuál será la fuente principal de estudio, si
alguno requiere mayor evaluación. (Ver Anexo 4.12)
3. Se presenta donde los principales usuarios de cada sistema que se encuentran
en operación, toma como base los comentarios positivos o negativos de los
mismos con el fin de establecer los volúmenes de transacciones promedio.
4. Registra en formulario “Registro de Fallas o Regularidades de los Sistemas
o Equipo de Computo” todas las fallas y prioridades de operación (Ver
Anexo 4.13).
5. Solicita los informes de desempeño de los sistemas hechos con anterioridad a
los usuarios principales y si los sistemas son confiables, de calidad y
oportunos.
6. Anota la fecha de liberación de los sistemas y la última vez que se auditaron en
el formulario “Registro de Fallas o Regularidades de los Sistemas o Equipo de Computo”. Esto permite valorar la posibilidad y grado de riesgo.
(Ver Anexo 4.13)
7. Solicita se le proporcione una maquina para revisar la configuración del
equipo donde se encuentran instalados los sistemas y estudia la integración a
otros sistemas de información. Los hallazgos encontrados en la revisión del
equipo se detallan en “Registro de Fallas o Regularidades de los Sistemas
o Equipo de Cómputo”
8. Corrobora información recabada, De no existir observaciones, ordena la
información recopilada en dicha evaluación, caso contrario, verifica
observaciones y realiza correcciones.
9. Elabora “Informe Final de Auditoría Informática” (Ver Anexo 4.5 y 4.5A)
G) EVALUACIÓN SOBRE LA LEGALIZACIÓN DEL SOFTWARE Objetivo: Asegurar que la Institución mantenga software debidamente autorizado
y evitar las sanciones que corresponden a este tipo de infracciones, minorizando
riesgos.
205
Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría
Informática” (Ver Anexo 4.2) 2. Realiza procedimientos de adquisición de software y revisa si en dichos
procedimientos se contempla que cada programa de software adquirido posea
su respectiva autorización de uso.
3. Solicita documentación sobre autorización de uso del software adquirido; es
decir, contratos o licencias que autorizan legalmente la utilización del software.
4. Revisa los tipos de contratos que posee la Institución y las condiciones (quién
/ como) bajo las cuales se puede utilizar el software. El auditor informático
realiza su propio “Control de Legalización de Software” (Ver Anexo 4.14).
5. Verifica que se estén cumpliendo las condiciones de utilización del software
que establecen los contratos, a través de la comparación del uso actual del
software y el estipulado en el contrato.
6. Analiza de acuerdo a la información recopilada, si la Institución se encuentra
expuesta a sanciones y riesgos, como:
Virus.
Discos dañados.
Software defectuoso.
Documentación inadecuada.
Imposibilidad de beneficiarse con ofertas o actualizaciones del software.
7. Elaboración “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y
4.5A)
206
MANUAL DE SEGURIDAD
A. AUDITORÍA DE SEGURIDAD DE LOS RECURSOS INFORMATICOS
B. AUDITORÍA DE SEGURIDAD DEL AREA DE INFORMATICA
C. AUDITORÍA DE SEGURIDAD FISICA Y DE HARDWARE
D. AUDITORÍA DE SEGURIDAD DE APLICACIONES DEL SOFTWARE
207
A) AUDITORÍA DE SEGURIDAD DEL AREA DE INFORMATICA
Objetivo: Verificar que existan políticas y procedimientos relativos a la seguridad
del área de informática.
Responsable: Auditor Informático
1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría Informática”. (Ver Anexo 4.2)
2. Verifica si se han adoptado medidas de seguridad en el área de informática,
tomando como referencia las políticas de seguridad establecidas para el uso
adecuado de los equipos.
3. De existir medidas de seguridad verifica qué operaciones han sido cubiertas.
4. Corrobora que los controles establecidos para el acceso a los equipos
informáticos sean los adecuados y se estén cumpliendo para tal caso, se
apoya en información obtenida.
5. Verifica el tipo de protección física que se le ha dado a los archivos
magnéticos, que garantice su integridad en caso de algún desastre (incendio,
inundaciones, etc.)
6. Comprueba que la operación del equipo de computación se esté realizando
basándose en procedimientos de operación establecidos.
7. Consulta al Administrador y Encargado de Informática si cuentan con contratos
de seguros contra robos e incendios que garanticen la operatividad del las
áreas.
8. Ordena toda la información recabada en la evaluación.
9. Elaborar “Informe Final de Auditoría Informática” (Ver Anexo 4.5 y 4.5A)
B) AUDITORÍA DE SEGURIDAD FISICA Y DE HARDWARE
Objetivo: Verificar que existan planes, políticas y procedimientos relacionados a la
seguridad física y del hardware de la Institución.
208
Responsable: Auditor Informático 1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría
Informática” (Ver Anexo 4.2) 2. Consulta al Administrador y Encargado de informática si cuentan con
procedimientos que describan el uso y protección del hardware así como de la
seguridad física. 3. De contar con procedimientos, los solicita para verificar que se estén aplicando
adecuadamente. 4. De no contar con procedimientos consulta al Administrador o Encargado de
Informática cómo lo realizan.
5. Verifica la ubicación del Equipo Informático especialmente los que están en
zona de paso, de acceso público, etc.
6. Consulta a Administrador y Encargado de Informática si cuentan con controles
de accesos físicos para agentes externos o casuales.
7. Verifica que haya protección de los soportes magnéticos en cuanto a acceso, a
almacenamiento y posibles transportes.
8. Comprueba si cuentan con un sistema de inventario y protección de
documentos impresos.
9. Ordena la información recopilada en la evaluación.
10. Elabora “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)
C) AUDITORÍA DE SEGURIDAD DE APLICACIONES DEL SOFTWARE
Objetivo: Identificar que técnicas se emplean para restringir el acceso a
programas de aplicación y la documentación relacionada.
Responsable: Auditor Informático 1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría
Informática” (Ver Anexo 4.2)
209
2. Consulta a Administrador y Encargado de Informática si cuentan con
procedimientos de uso y protección de software. De contar con dichos
procedimientos, los solicita y verifica si se están aplicando de acuerdo a lo
establecido en ellos y que estén tomando en cuenta lo siguiente:
Administración de software Cuantificación del software (original y copia) Uso del software Acceso al software Autorización del software
3. De no contar con procedimientos de uso y protección del software, consulta al
Administrador y Encargado de Informática, cuáles son las actividades que
realiza para tal función y cómo las dan a conocer a los usuarios de
aplicaciones del software.
4. Verifica que la salida e ingreso del software sea controlado a través de
políticas, las cuales solicita, para corroborar si se están cumpliendo y que al
menos abarquen:
Revisión (contenido, cantidad, destino)
Registro formal en la Institución
Aprobación por el Responsable de Informática y Administrador
Registro de quién y a qué hora lo extrajo.
Revisión si fue devuelto en las mismas condiciones que salió.
5. Corrobora que los sistemas de información cuenten con la seguridad mínima
requerida a través de procedimientos y controles que contemplen al menos:
Procedimiento de uso de la computadora
Niveles de acceso (perfil de usuarios).
Procedimiento de uso de los módulos de los sistemas.
Para tal evaluación solicita dichos procedimientos al Administrador y
Encargado de Informática.
6. Si existieran Manuales de Usuarios, los solicita, para verificar que cumplan
con los estándares establecidos por la Institución.
210
7. Verifica que se cuente con un procedimiento formal para asegurar que los
cambios efectuados en los sistemas sean al menos:
Justificados, es decir por requerimientos de usuarios.
Probados antes de trasladarlos operación
Revisados por la Auditoría.
Aprobados por los responsables correspondientes.
8. Consulta al Administrador y Encargado de Informática, si tienen definidos los
responsables de modificar los programas fuente de los sistemas y que técnicas
utilizan para asegurar que sólo ellos tienen acceso a dichos programas, ya que
de ello depende la integridad de los mismos.
9. Solicita al Administrador, los procedimientos de respaldo de los programas
fuentes, documentación y archivos de operación para corroborar que se estén
aplicando adecuadamente.
10. Elabora “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)
211
MANUAL DE MANTENIMIENTO DE HARDWARE Y SOFTWARE
A) AUDITORÍA AL MANTENIMIENTO DE LOS SISTEMAS DE
INFORMACION
B) AUDITORÍA AL MANTENIMIENTO DEL HARDWARE
212
A. AUDITORÍA AL MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION
Objetivo: Preservar los sistemas desarrollados, así como prevenir la pérdida o
destrucción accidental de programas o la introducción intencional de cambios no
autorizados a los programas de los sistemas.
Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de Auditoría
Informática” (Ver Anexo 4.2)
2. Identifica las técnicas que se emplean para asegurar razonablemente que los
cambios a programas de los sistemas de aplicaciones sean autorizados y
aprobados.
3. Identifica, a través de los procedimientos, quién puede iniciar una solicitud de
modificación a los sistemas, así como de quién puede autorizarlos. 4. Verifica que la petición de cambio a los sistemas de información esté
debidamente documentada, aprobada y autorizada para todos los cambios en
las aplicaciones del sistema que sufrirá modificaciones. Además, revisa que la
documentación muestre las razones de los cambios.
5. Revisa que las modificaciones realizadas estén documentadas detallando los
cambios realizados y en proceso.
6. Revisa que los cambios en aplicaciones de sistemas se sometan a las pruebas
correspondientes y que estas sean aprobadas.
7. Verifica que toda la documentación revisada se archive a fin de proveer un
registro de cambios a programas. Se debe tener en cuenta que, el
mantenimiento de sistemas se basa en tres actividades principales, las cuales
son:
Comprensión del cambio a realizar.
Modificación o realización del cambio.
Prueba de corrección del cambio realizado.
213
8. Una vez recopilada la información requerida, elabora el “Informe Final de
Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)
B) AUDITORÍA AL MANTENIMIENTO DEL HARDWARE
Objetivo: Comprobar que se cuente con políticas y procedimientos formales
relativos al mantenimiento preventivo y correctivo del hardware.
Responsable: Auditor Informático 1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría
Informática” (Ver Anexo 4.2) 2. Consulta al Administrador y Encargado de Informática, sobre los
procedimientos para el manejo adecuado del equipo. 3. Consulta si se cuenta con un inventario del hardware tanto del área de
informática como de áreas usuarias.
4. De contar con inventario, valida que este sea real comparándolo con el
inventario físico.
5. De no contar con inventario, consulta al Administrador y Encargado de
Informática cómo controlan la existencia del mismo. Investigar si lo hacen con
inventario automatizado (software) o en base a las compras.
6. Verifica que los procedimientos para dar mantenimiento al hardware,
contemplen como mínimo:
Desarrollo de las actividades de mantenimiento preventivo / correctivo.
Responsables de la ejecución, seguimiento y autorización del
mantenimiento.
Identificación de los recursos de hardware que recibirán mantenimiento.
Permitiendo que el equipo brinde un mejor rendimiento a los usuarios y evitar
en gran medida los problemas del mantenimiento.
7. Verifica si la actualización del hardware es porque las áreas administrativa o
informática lo solicitan (mal desempeño, capacidad de memoria, etc.) o porque
214
los proveedores lo sugieren, con el fin de corroborar que dicha actualización no
sea innecesaria o redunden en costo para la Institución.
8. Elabora el “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y
4.5A)
215
MANUAL DE POLÍTICAS
A) PARA LA ADMINISTRACION DE LA AUDITORIA INFORMATICA.
B) RELATIVAS AL SOFTWARE.
C) RELATIVAS A SEGURIDAD.
D) RELATIVAS AL HARDWARE.
E) RELATIVAS AL MANTENIMIENTO.
216
A) POLÍTICAS PARA LA ADMINISTRACIÓN DE LA AUDITORÍA INFORMATICA
Objetivo: Mostrar los lineamientos a ser cumplidos por el Auditor Informático,
permitiendo conocer las normas a las cuales estarán sometidos los diferentes
usuarios de los equipos informáticos.
A.1 Elementos de la Administración de la función de Auditoría Informática.
1. Planeación 1.1 La Administración de la función de Auditoría informática, deberá coordinarse
con la Administración para observar, comentar, definir y programar los planes
de Auditoría informática conjuntos.
1.2 Establecer fechas de reuniones formales e informales para dar seguimiento
a los planes de compromiso conjunto.
1.3 Será necesario para toda planeación de la Auditoría informática que el
personal que intervenga sea multidisciplinario, al cual se le exija la
optimización de recursos (eficiencia) y se le retribuya o compense justamente
por su trabajo.
1.4 Toda planeación de Auditoría informática deberá contar con los siguientes
elementos:
a) Etapa
b) Tareas
c) Actividades
d) Costo / beneficio
e) Responsables de cada actividad
f) Revisiones formales e informales
g) Técnicas para ejecutar actividades
h) Herramientas para realizar las actividades del proyecto
217
2. Recurso Humano 2.1 Relacionado al Trabajo
⇒ El personal que realice la Auditoría informática no deberá realizar
actividades ajenas al servicio de la Institución durante la jornada de trabajo.
⇒ El auditor debe realizar y preparar el informe de Auditoría con el debido
cuidado y diligencia, sin omitir ningún aspecto que luego pueda desvirtuar
los resultados de la Auditoría. También, debe expresar juicios razonables,
valederos y debidamente sustentados en una labor técnica.
⇒ Todo trabajo de Auditoría informática debe ser desarrollado por personas
que posean en su conjunto competencia técnica, entrenamiento,
capacitación, y experiencia suficiente para aplicar en forma debida y
adecuada las técnicas y procedimientos de Auditorías.
⇒ Seleccionar una contraseña difícil de descifrar, que no tenga relación obvia
con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones
parecidas.
⇒ Proteger meticulosamente su contraseña y evitar que sea vista por otros en
forma inadvertida.
⇒ Reportar a su jefe inmediato cualquier evento que pueda comprometer la
seguridad de la Institución y sus recursos informáticos, como por ejemplo
contagio de virus, intrusos, modificación o pérdida de datos y otras
actividades poco usuales.
2.2 Relacionado al Comportamiento
⇒ El Auditor Informático no deberá proporcionar, salvo autorización expresa,
información concerniente a asuntos de su labor, especialmente la que sea
de naturaleza reservada y cuya divulgación pueda ocasionar perjuicios a la
Institución.
218
⇒ No permitir y no facilitar el uso de los sistemas informáticos de la Institución
a personas no autorizadas.
⇒ El auditor externo debe mantener y mostrar en todo momento una actitud
mental independiente en relación con el personal, las actividades y
operaciones de la Institución auditada.
2.3 Relacionado al Control
⇒ Toda labor de Auditoría en informática deberá planearse de manera
adecuada desde la formulación del programa de trabajo hasta la redacción
del Informe Final, incluyendo la información por recopilar, desarrollo de
cuestionarios, las técnicas, distribución de trabajo y los procedimientos que
se han de aplicar en la ejecución de la Auditoría y la comunicación de
resultados a los directivos. Desde luego estableciendo un nivel de
supervisión permanente y adecuado para revisar el trabajo encomendado a
los integrantes de la Auditoría informática por parte del encargado de la
misma.
⇒ Se deberá contar con un comité de control y seguimiento integrado por la
alta dirección, responsables directos de la Auditoría y encargados de las
áreas funcionales.
B) POLÍTICAS RELATIVAS AL SOFTWARE 1. Será necesario que para la elaboración de los sistemas de información se
cuente con un plan estratégico y con el adecuado señalamiento de prioridades
y de sus objetivos.
2. En todo proceso de planeación de sistemas de información, deberá asegurarse
de que todos los recursos (hardware, software, comunicaciones, etc.)
requeridos estén claramente identificados en el plan de desarrollo de
aplicaciones y que sean compatibles con la arquitectura y la tecnología con
que se cuenta actualmente en la Institución.
219
3. Los sistemas de información deben ser desarrollados de acuerdo al ciclo de
vida de los sistemas.
4. Se debe analizar si los sistemas de información son factibles de realizar, cuál
es su relación costo / beneficio y si es recomendable elaborarlos.
5. Será necesario que se investiguen el costo de desarrollar un sistema,
considerando el costo de los programas, uso de los equipos (pruebas,
paralelos, comparaciones), tiempos, personal y operación.
6. Para todo diseño lógico, se deberá comparar lo planeado contra lo que
realmente se está obteniendo.
7. Verificar que todo sistema de información debe proporcionar información para
planear, organizar y controlar de manera eficaz y oportuna, para reducir la
duplicidad de datos, reportes y obtener una mayor seguridad en la forma más
económica.
8. Los sistemas de información deben ser:
a) Dinámicos (susceptibles para ser modificados)
b) Estructurados (los componentes o subsistemas deben actuar como un
todo)
c) Integrados (un solo objetivo)
d) Accesibles (disponibles)
e) Necesarios (que se pruebe su utilización)
f) Comprensibles (que contenga todos los atributos)
g) Oportunos (la información esté en el momento que se requiere)
h) Funcionales (que proporcionen la información adecuada a cada nivel)
i) Estándares (que la información tenga la misma interpretación en los
distintos niveles)
j) Modulares (facilidad para ser expandidos o reducidos)
k) Seguros (que sólo las personas autorizadas tengan acceso)
l) Jerárquicos (por niveles funcionales)
m) Únicos (que no duplique información)
220
9. Será necesaria una comunicación completa entre usuarios y responsables del
desarrollo de los sistemas de información, para que éste cumpla con los
requerimientos.
C) POLÍTICAS RELATIVAS A SEGURIDAD
C.1 SEGURIDAD DEL SOFTWARE 1. Existencia de sistemas simultáneos (paralelos) que permitan pasar de un
equipo a otro en forma instantánea y tener así sistemas no interrumpibles.
2. Monitorear la protección de los sistemas de información a través de paquetes
de control contra accesos no autorizados.
C.2 SEGURIDAD EN EL PERSONAL 1. Se deberá evaluar que las áreas funcionales cuenten con políticas adecuadas
de vacaciones y de reemplazo, que eviten dependencias con algunas personas
sin arriesgar el funcionamiento de la Institución.
2. Será necesario contar con políticas de rotación de personal que disminuya la
posibilidad de fraude.
3. Se deberá procurar evaluar la motivación del personal, ya que un empleado
motivado normalmente tiene un alto grado tanto de lealtad como de
rendimiento y disminuirá la posibilidad de ataques intencionados a la
Institución.
4. Contratar personal debidamente investigado.
C.3 SEGURIDAD FÍSICA 1. Se deberá evaluar que toda la Institución cuente con detectores de humo que
indiquen la posible presencia de fuego y mantener limpios los ductos de aire
acondicionado evitando el polvo.
221
2. Velar porque los extintores se estén revisando para poder ser utilizados; es
decir, estén recargados, de fácil acceso y de buena calidad.
3. Velar porque se estén realizando capacitaciones al personal para el uso de los
equipos contra incendio y realizar prácticas en cuanto a su uso.
4. Se deberá verificar que la Institución cuente con suficientes salidas de
emergencia señaladas y que estén debidamente controladas para evitar robos.
5. Realizar simulacros.
C.4 SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO 1. Los computadores de la Institución sólo deben usarse en un ambiente seguro.
Se considera que un ambiente es seguro cuando se han implantado las
medidas de control apropiadas para proteger el software, el hardware y los
datos. Esas medidas deben estar acorde a la importancia de los datos y la
naturaleza de riesgos previsibles.
2. Los equipos de la Compañía sólo deben usarse para actividades de trabajo y
no para otros fines, tales como juegos y pasatiempos.
3. Será necesario que se restrinja el acceso a los programas y a los archivos de
la Institución.
4. Toda transferencia de información entre las diferentes funciones de un sistema
deberá ser registrada.
5. Contar con copias de los archivos y programas en diferentes lugares y sean
ubicados en instalaciones seguras.
6. Será necesario que se cuente con un estricto control sobre la entrada y salida
de equipo.
7. Debe respetarse y no modificar la configuración de hardware y software
establecida por la Institución
8. No se permite fumar, comer o beber mientras se está usando una PC.
9. Deben protegerse los equipos de riesgos del medioambiente (por ejemplo,
polvo, incendio y agua).
222
10. Deben usarse protectores contra transitorios de energía eléctrica y en los
servidores deben usarse fuentes de poder ininterrumpibles (UPS).
11. Cualquier falla en los computadores o en la red debe reportarse
inmediatamente ya que podría causar problemas serios como pérdida de la
información o indisponibilidad de los servicios.
12. Deben protegerse los equipos para disminuir el riesgo de robo, destrucción, y
mal uso. Las medidas que se recomiendan incluyen el uso de vigilantes y
cerradura con llave.
13. Los equipos deben marcarse para su identificación y control de inventario. Los
registros de inventario deben mantenerse actualizados.
14. No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un
equipo fuera de la Institución se requiere una autorización escrita.
15. La pérdida o robo de cualquier componente de hardware o programa de
software debe ser reportada inmediatamente.
16. Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser
vistos por otras personas mediante disposición apropiada del mobiliario de la
oficina y protector de pantalla. Cuando ya no se necesiten o no sean de
utilidad, los datos confidenciales se deben borrar.
17. Debe implantarse un sistema de autorización y control de acceso con el fin de
restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o
borrar datos importantes. Estos privilegios deben definirse de una manera
consistente con las funciones que desempeña cada usuario.
18. No está permitido llevar al sitio de trabajo computadores portátiles (laptop) y en
caso de ser necesario se requiere solicitar la autorización correspondiente.
19. A menos que se indique lo contrario, los usuarios deben asumir que todo el
software la Compañía está protegido por derechos de autor y requiere licencia
de uso. Por tal razón es ilegal y está terminantemente prohibido hacer copias o
usar ese software para fines personales..
20. Los usuarios no deben copiar a un medio removible (como un diskette), el
software o los datos residentes en las computadoras de la Institución, sin la
aprobación previa de la Administración.
223
21. Sólo pueden bajarse archivos de redes externas de acuerdo a los
procedimientos establecidos. Debe utilizarse un programa antivirus para
examinar todo software que venga de afuera o inclusive de otros
departamentos de la Institución.
22. No debe utilizarse software bajado de Internet y en general software que
provenga de una fuente no confiable, a menos que se haya sido comprobado
en forma rigurosa y que esté aprobado su uso por la Administración.
23. No deben usarse diskettes u otros medios de almacenamiento en cualquier
computadora de la Institución a menos que se haya previamente verificado que
están libres de virus u otros agentes dañinos.
24. La información de la Institución clasificada como confidencial o de uso
restringido, debe guardarse y transmitirse en forma cifrada, utilizando
herramientas de encriptado robustas y que hayan sido aprobadas por la
Administración.
25. Siempre que sea posible, debe eliminarse información confidencial de los
computadores y unidades de disco duro antes de que les mande a reparar. Si
esto no es posible, se debe asegurar que la reparación sea efectuada por
empresas responsables, con las cuales se haya firmado un contrato de
confidencialidad. Alternativamente, debe efectuarse la reparación bajo la
supervisión de una representante de la Institución.
D) POLÍTICAS RELATIVAS AL HARDWARE 1. Todo equipo deberá ser ubicado en un lugar que no esté expuesto a la luz
directa del sol.
2. Será necesario que se mantenga limpia y ordenada el área donde se
encuentra ubicado el equipo
3. Verificar que todo equipo no sea desarmado, ni abierto por personal no
autorizado
224
4. Deberá verificarse que las armaduras eléctricas de los toma corrientes, estén
polarizados (que tengan tierra física) para evitar que la variación en el voltaje
dañe el equipo.
5. Será necesario que se realice servicio preventivo al equipo de cómputo por lo
menos tres veces al año.
6. Para toda adquisición de equipo de computación se deberá solicitar por escrito
a la autoridad superior y deberá verificar la razón de dicho requerimiento.
7. Se tendrá que considerar la asignación presupuestaria que permita cubrir el
pago del bien a adquirir y Auditoría velará porque se cumpla dicho
presupuesto.
8. Para toda compra de equipo de cómputo se deberá verificar el lapso de tiempo
que cubre la garantía, servicio técnico, cotizaciones con el IVA incluido y
asesoramiento, así como el precio en plaza.
E) POLÍTICAS RELATIVAS AL MANTENIMIENTO
1. Para cualquier tipo de contrato de mantenimiento se deberá analizar cuál es el
que más conviene a la Institución y revisar con detalle que las cláusulas del
contrato estén perfectamente definidas en las cuales se elimine toda
subjetividad y con señalización en caso de incumplimiento para evitar contratos
que sean parciales.
2. Deberá definirse un plan de mantenimiento acorde de antemano, entre el
usuario y el responsable, considerando lo siguiente:
a) Alcances del mantenimiento
b) Identificación del estado inicial del producto
c) Actividades de mantenimiento
d) Registros y reportes de mantenimiento
El auditor deberá verificar que se cumpla.
3. Deberá efectuarse un mantenimiento periódico a los recursos informáticos que
garantice la continuidad de las operaciones de la Institución; con un debido
monitoreo por parte del auditor.
225
4. Será necesario que el auditor asegure a traves de evaluaciones que el
mantenimiento sea preventivo, más que correctivo.
3.4 Plan de Contingencia
Para las instituciones es importante contar con una seria de lineamientos que le
faciliten dar solución a las dificultades que se presenten en un futuro. Para lo cual
se vuelve necesario contar con un plan de contingencia que les permita tomar
decisiones oportunas de acuerdo a la situación acaecida.
A. AUDITORÍA DE SEGURIDAD DEL PLAN DE CONTINGENCIAS Y DE RECUPERACION
Objetivo: Asegurar que existan planes, políticas y procedimientos relativos a la
seguridad de contingencias para el funcionamiento continuo de las operaciones de
la Institución.
Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría
informática” (Ver Anexo 4.2)
2. Consulta a Encargado de Informática si cuentan con planes de contingencias y
de recuperación de operaciones en casos de desastres. 3. De contar con planes, los solicita para verificar que los recursos considerados
básicos importantes o necesarios tengan los métodos de seguridad para
prevenir y enfrentar contingencias.
4. De no contar con planes de contingencias y de recuperación de operaciones, le
consulta a Administrador y Encargado de Informática, que método utilizarían o
cómo considerarían ellos enfrentar dicha situación en dado caso se diera y
quiénes son los responsables. 5. Corrobora a través de entrevista que el plan haya sido difundido formalmente
en toda la organización y que se haya elaborado junto con todo el personal.
226
6. Consulta al Administrador y Encargado de Informática si se ha capacitado al
personal en cuanto a la aplicación de los procedimientos y si se han llevado a
cabo simulaciones de dicho plan. De tal manera que el plan de contingencia y
recuperación cumpla con las necesidades y vaya acorde a lo real.
7. Una vez evaluada la seguridad de contingencias y recuperación de
operaciones, ordena la información recabada.
8. Elabora “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)
B. AUDITORÍA AL RECURSO HUMANO
Objetivo: Determina si se cuenta con el personal adecuado para ejecutar las
funciones del área de informática, con el fin de mantener calidad en el servicio que
esta ofrece a la Institución.
Responsable: Auditor Informático
1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría informática” (Ver Anexo 4.2)
2. Revisa “Cuestionario Evaluación al Recurso Humano” y posteriormente
confirma entrevista con el personal a entrevistar. (Ver Anexo 4.15)
3. Se presenta a las áreas para conocer los procedimientos utilizados para cubrir
vacantes, ya sea por promoción interna, búsqueda directa de personal externo,
utilización de empresas de selección de personal, etc.
4. Evalúa si la selección del personal se basa en criterios objetivos, tomando en
cuenta: formación profesional, experiencia y niveles de responsabilidades
anteriores.
5. Realiza “Entrevista Evaluación al Recurso Humano” al personal de las
áreas para determinar sus conocimientos acerca de sus responsabilidades
asociadas a su puesto y los estándares de rendimiento.
6. Solicita los procesos de identificación de las necesidades de formación para los
empleados.
227
7. Determina necesidades de formación de los empleados en base a puesto de
trabajo, experiencia, responsabilidad y desarrollo, así como, sí las
capacitaciones que son impartidas, son de acuerdo con la tecnología de los
sistemas de información de la Institución.
8. Después de recopilar la información necesaria elabora “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)
4 Etapa IV: Plan de Implantación y Evaluación del Modelo de Auditoría TI 4.1 Objetivos 4.1.1 Objetivo General
Orientar e indicar a los Centros Educativos Biculturales de El Salvador sobre
cuáles son las instrucciones que se deben de seguir para llevar a cabo la puesta
en marcha (implantación) del Modelo de Auditoría TI, en las áreas funcionales.
4.1.2 Objetivo Específico
a) Que los Centros Educativos Biculturales de El Salvador, cuenten con un
Modelo de Auditoría TI que les ayude a evaluar y controlar el buen uso de los
recursos tecnológicos.
b) Poseer una herramienta que les permita detectar fallas o irregularidades en el
uso de la tecnología y procesamiento de la información.
c) Proporcionar una serie de políticas y procedimientos que les permitan regular
las diferentes actividades relacionadas con el uso de la tecnología.
4.2 Presentación de la Propuesta
Se efectuará la presentación del Modelo de Auditoría TI, a las Altas Autoridades
de los Centros Educativos Biculturales, donde se le les notificará sobre todas las
irregularidades que se han encontrado en el interior de los Centros Educativos
228
Biculturales después de realizada la investigación de campo, las cuales pueden
ocasionar la pérdida de información y el mal uso de los recursos tecnológicos.
Adicionalmente, se les hará conciencia en aspectos tales como:
• Casos actuales de Fraude Computacional
• Casos de sanciones por trabajar con programas no autorizados (no cuentan
con una licencia que respalde su uso).
• La importancia de contar con personal capacitado en el buen uso y manejo de
los recursos informáticos.
• La importancia de contar con un plan de capacitación continúa para los
empleados.
4.3 Revisión y Autorización de la Propuesta
Presentado el Modelo de Auditoría TI y habiendo realizado un análisis del mismo y
concientes que este ayudará a mejorar el uso de los equipos informáticos y un
buen desempeño por parte de los empleados en su actividades, el Administrador
y/o Junta Directiva estarán a cargo de la autorización para desarrollar el Plan de
Implementación en las áreas funcionales (administrativa e informática) de los
Centros Educativos Biculturales de El Salvador.
4.4 Puesta en Marcha del Modelo de Auditoría TI Para la realización de la puesta en marcha del Modelo de Auditoría TI se
efectuarán las siguientes actividades:
4.4.1 Divulgación del Modelo La divulgación del Modelo se realizará mediante una sesión donde se les
informará a los encargados de las áreas funcionales (administrativa e informática)
sobre la aplicación del Modelo. Posteriormente, se les notificará a los empleados
229
mediante comunicaciones internas donde a la vez se les solicitará la colaboración
para que se integren.
4.4.2 Capacitación Se capacitará al personal de las áreas funcionales de los Centros Educativos
Biculturales en cuanto a:
• Buen uso de los recursos tecnológicos.
• Forma de realizar actualizaciones de software.
• Realización de copias de respaldo.
• Medidas de protección de los recursos tecnológicos.
• En las sub-áreas que el Informe de Auditoría reporte deficiencias, se
brindará asesoría con el propósito de solventarlas.
4.4.3 Condiciones para Implantar el Modelo
Entre las condiciones básicas requeridas para la implantación del Modelo de
Auditoría TI se pueden mencionar:
a) Se requiere de la existencia de una persona encargada para realizar la
Auditoría.
b) Se requiere que el personal encargado cumpla con el perfil establecido dentro
de la Propuesta.
c) Revisar periódicamente cuáles son las necesidades de conocimiento de los
empleados involucrados.
d) Existencia de un plan de retroalimentación para los empleados referente al
Modelo.
e) Capacitar al personal involucrado sobre la forma de trabajo del Modelo.
f) Orientar al cumplimiento de las estrategias y responsabilidades dentro del
Modelo.
g) Realizar validaciones de condiciones para la asignación de trabajo.
230
4.4.4 Responsables de la Implantación
La implantación será responsabilidad del Administrador de cada uno de los
Centros Educativos Biculturales con el apoyo del encargado de informática
(profesor de computación) y en presencia del auditor, de tal forma que el proceso
sea más seguro y se pueda dar cumplimiento a los lineamientos establecidos.
4.4.5 Acciones para la Implantación del Modelo de Auditoría TI
Las acciones para la implantación son presentadas para facilitar la puesta en
marcha del Modelo de Auditoría TI y son detalladas a continuación:
1. Informar a los empleados de los Centros Educativos Biculturales de El
Salvador sobre la forma de trabajar del Modelo.
2. Realizar reuniones con el personal involucrado y con el auditor para definir las
actividades a desarrollar de acuerdo al Modelo. Para la realización de las
reuniones se recomienda utilizar el “Organizador de Reuniones”. (Ver Anexo
4.16).
3. Evaluar los conocimientos del personal de las áreas funcionales (administrativa
e informática) acerca del software, hardware y seguridad que serán el soporte
para la adecuada implantación del Modelo.
4. Realizar una prueba piloto para anticipar errores o aspectos no considerados
para la puesta en marcha del Modelo de Auditoría TI.
4.5 Presupuesto de Implantación del Modelo de Auditoria TI
A continuación se presenta en el cuadro los recursos, humanos, materiales y
financieros para la implantación del Modelo de Auditoría TI en las áreas
231
funcionales (área administrativa y área informática) de los Centros Educativos
Biculturales.
DESCRIPCION CANTIDAD VALOR A PAGAR INVERSION
Recurso Humano
Auditor 1 $ 964.11 $ 1,928.22
Capacitador 1 $ 409.71 $ 819.42
Recursos Materiales
Licencias de Windows XP 7 $ 400.00 $ 2,800.00
Licencias de Office 7 $ 550.00 $ 3,850.00
Otros
Papelería y Útiles
Resma papel bond carta 2 3.04 $ 6.08
Boligrafos 10 0.1 $ 1.00
Folders Carta 10 0.04 $ 0.40
Tinta para impresor Canon BC-02 2 20.91 $ 41.82
Viñetas (paquete) 1 0.94 $ 0.94
Caja de Fasteners 1 0.99 $ 0.99
Engrapadoras 1 4.95 $ 4.95
Perforadora 1 4.3 $ 4.30
$ 60.48
Equipo Tecnológico para Presentación
Laptop, proyector de multimedia. $ 700.00
SUB-TOTAL $ 10,158.12
Imprevistos (10%) $ 1,015.81
TOTAL $ 11,173.93
Tabla No. 1: Presupuesto de Implantación del Modelo de Auditoria TI
NOTA: Los salarios de auditor y capacitador son mensuales, y los datos fueron adquiridos de la tabla
de Remuneraciones promedio mensuales de FUSADE.
232
4.6 Análisis COSTO-BENEFICIO El Analisis Costo –Beneficio es un procedimiento que se utiliza para formular y
evaluar programas o proyectos, consistente en la comparación de costos y
beneficios, con el propósito de que estos últimos excedan a los primeros pudiendo
ser de tipo monetario o social, directo o indirecto. El objetivo consiste en identificar
y medir las pérdidas y las ganancias en el bienestar económico que recibe la
sociedad en su conjunto.
FORMA DE FINANCIAR EL PROYECTO
COSTOS Inversión Inicial $ 11,173.93
Propuesta de Recuperación: 1.Mantener como mínimo una población estudiantil de 300 alumnos; pagando una
matrícula de $480.00
2. Dividir la Inversión inicial entre la población estudiantil y aplicar el incremento
en la matricula. ( La matrícula se realiza durante los meses de mayo a junio)
3. El incremento sería de $37.25; este resultado se obtiene de dividir:
INV.INICIAL / Nº ALUMNOS= $11,173.93 / 300
4. PERIODO DE RECUPERACION: 2 meses
Esto debido a que en los Centros Educativos Biculturales el periodo estipulado
Para realizar la matricula es de 2 meses. BENEFICIOS: 1.Mejor uso del Recurso Informatico
2. Mejor control y seguridad de la informacion
3. Mejor calidad de trabajo de los empleados
4. Evita riesgos de multas y sanciones por no estar legales
233
4.7 Revisión y Evaluación de la Propuesta
Después de implantado el Modelo de Auditoría TI, el Auditor deberá evaluar en
forma periódica la eficiencia de las políticas y normas de control relativas al
Modelo; debe reagrupar todos los datos recopilados durante la verificación, a fin
de obtener una panorámica de todas las actividades relacionadas a la informática
y conducir a buen término las diversas etapas del Modelo de Auditoría TI. Cabe
mencionar que el Auditor puede auxiliarse de los formatos presentados en los
anexos y hacer uso de sus conocimientos profesionales para diseñar otros
formatos que le faciliten la fácil recolección de información con el fin de mejorar
día con día los procesos relacionados con la Auditoría Informática.
4.8 Seguimiento
El seguimiento se realizará tomando en cuenta las recomendaciones o
información recabada en los informes de Auditoría que se realicen, con el fin de:
a) Determinar el grado de cumplimiento de las recomendaciones
proporcionadas a través de los informes de Auditoría.
b) Realizar una presentación uniforme de todos los resultados obtenidos cada
vez que se realice el seguimiento de las actividades que se deben llevar a
cabo.
242
4.8 Cronograma de actividades
PRIMER MES SEGUNDO MES Semana 1 Semana 2 Semana 3 Semana 4 Semana 1 Semana 2 Semana 3 Semana 4
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
ETAPA I: Diagnostico.
Objetivo de la Etapa.
A. General.
Utilización de la Técnica del FODA. Análisis Situacional de las áreas funcionales
Descripción del análisis del FODA
Formas de realizar el análisis del FODA
Herramientas a Utilizar.
Cuestionario
Entrevistas
Observación directa.
Análisis de la Situación Actual de los Centros Educativos Biculturales.
Función Principal
Funciones especificas Personal a supervisar
ETAPA II: Planificación.
Objetivos de la Etapa.
Asignación de Responsabilidades. Financiero Operativo Técnico
Perfil del Puesto. Habilidades
Actitudes
Educación
DIAS ACTIVIDADES
243
PRIMER MES SEGUNDO MES Semana 1 Semana 2 Semana 3 Semana 4 Semana 1 Semana 2 Semana 3 Semana 4
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 Conocimientos especiales.
Experiencia
Ubicación de la Auditoria dentro de la Estructura Organizativa de los Centros Educativos Biculturales en El Salvador.
ETAPA III: Desarrollo.
Objetivos de la Etapa.
General.
Descripción de Procedimientos. Objetivo
Normas Especificas:
Área Administrativa
Fondo de caja Chica
Proceso de Compras
Contratación de servicios
Registro Académico
Contratación de Personal
Área Informática,
Etapa Preliminar y de Justificación
Procedimiento 1: Elaboración del Plan de
Auditoria en Informática.
Elaboración de Manuales.
Introducción
Manual de Auditoria de Hardware y Software.
a) Auditoria de la Administración del Hardware.
b) Auditoria de Hardware Instalado.
DIAS ACTIVIDADES
244
PRIMER MES SEGUNDO MES Semana 1 Semana 2 Semana 3 Semana 4 Semana 1 Semana 2 Semana 3 Semana 4
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 c) Auditoria de la Operación del Hardware.
d) Auditoria de la Administración del Software.
e) Evaluación de sistemas de información
durante el ciclo de desarrollo e Implantación.
f) Diagnostico de la situación actual de los
sistemas de información en operación.
g) Evaluación sobre la legalización del
software.
Manual de Seguridad.
a) Auditoria de Seguridad del área de informática.
b) Auditoria de Seguridad Física y de Hardware.
c) Auditoria de Seguridad de aplicaciones
del Software.
Manual de Mantenimiento de Hardware y de
Software.
a) Auditoria al Mantenimiento de los sistemas
de informática.
b) Auditoria del Mantenimiento del Hardware.
Manual de Políticas.
Políticas para la Administración de la función
de la auditoria en informática.
Políticas relativas al software.
Políticas relativas a seguridad.
Políticas relativas al Hardware.
Plan de Contingencia.
DIAS ACTIVIDADES
245
PRIMER MES SEGUNDO MES Semana 1 Semana 2 Semana 3 Semana 4 Semana 1 Semana 2 Semana 3 Semana 4
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 A. Auditoria de seguridad del plan de
contingencias y de recuperación.
B. Auditoria del recurso humano.
C. Elaboración del informe final de
auditoria en informática.
ETAPA IV: Implantación. Objetivos del plan de Implantación.
A) General
B) Especifico.
Presentación de la Propuesta.
Revisión y Autorización de la Propuesta en marcha. Puesta en Marcha del Modelo de Auditoria TI.
a) Divulgación del modelo.
b) Capacitación.
c) Condiciones para implementar el modelo.
e) Acciones para la Implantación del Modelo
de Auditoria TI.
d) Responsables de la Implementación.
f) Presupuesto de Implementación del modelo
de auditoria TI.
g) Analisis COSTO - BENEFICIO.
h) Revisión y evaluación de la propuesta.
i) Seguimiento del Modelo.
DIAS ACTIVIDADES
246
CONCLUSIONES Después de haber realizado la investigación para la realización de la Tesis en los
Centros Educativos Biculturales se concluye lo siguiente:
1. Los Centros Educativos Biculturales están conformados por Medianas y Gran
empresa, lo cual facilita la implantación del Modelo de Auditoria TI, ya que
cuentan con el recurso financiero y humano necesario para adoptar e Implantar
el Modelo.
2. Los Centros Educativos Biculturales están divididos organizacionalmente en
dos áreas: La Docente y la Administrativa.
3. Los Centros Educativos Biculturales han incorporado a sus actividades tanto
administrativas como educativas la tecnología como herramienta de trabajo, la
cual consideran necesaria para el desarrollo de sus actividades diarias.
4. Los Centros Educativos Biculturales cuentan con equipos informáticos para la
realización de sus actividades , por lo que se considera que la Implantación del
Modelo de Auditoria TI, les servirá para controlar el buen uso de éstos y su
aprovechamiento optimo.
5. Los Centros Educativos Biculturales no tienen como política interna la mejora
continua en cuanto a recurso informático, lo que favorece la Implantación del
Modelo de Auditoria Ti; ya que éste puede convertirse en una guía a seguir
cuando se deseen hacer nuevas adquisiciones de equipo.
6. En los Centros Educativos Biculturales, el área Administrativa es la que
presenta deficiencia en cuanto al aprovechamiento óptimo de los recursos
tecnológicos y esto se debe a que el personal que labora dentro de estas áreas
no posee sólidos conocimientos informáticos.
7. La incorporación de la Auditoria dentro de los Centros Educativos Biculturales,
ayudara a la buena administración de los recursos; ya que ésta es una
herramienta importante dentro de las Instituciones. Puesto que permite
detectar fallas y proporciona soluciones o lineamientos con los cuales pueden
corregirse.
247
RECOMENDACIONES
Se recomienda a los Centros Educativos Biculturales:
1. La Implantación del Modelo de Auditoria TI, ya que este les servirá de ayuda
para aprovechar al máximo el recurso tecnológico con el que cuentan dentro
de sus instalaciones.
2. Crear conciencia en la Administración de los Centros Educativos Biculturales el
hecho de controlar, monitorear y mejorar continuamente la tecnología
informática que utilizan para la realización de sus actividades diarias.
3. Crear un programa de capacitación continua para el recurso humano, ya que
esta es de suma importancia y más cuando se trata de tecnología. Puesto que
ésta evoluciona aceleradamente.
4. Se considera importante el hecho de asignar la realización de la auditoria a una
entidad capacitada y sobre todo confiable. Ya que la información que se
procesa en Los Centros Educativos Biculturales se considera de mucha
importancia.
5. Que la Administración de los Centros Educativos Biculturales se interesen por
incorporar a sus procesos administrativos el Modelo de Auditoria TI, ya que
este les ayudara a controlar y regular todas las actividades relacionadas con la
tecnología.