DISEÑO DE UN MODELO DE AUDITORÍA DE SISTEMAS PARA LA...
217
i UNIVERSIDAD NACIONAL ABIERTA VICERRECTORADO ACADÉMICO AREA DE INGENIERIA CARRERA INGENIERIA DE SISTEMAS DISEÑO DE UN MODELO DE AUDITORÍA DE SISTEMAS PARA LA UNIDAD DE APOYO INFORMÁTICA DE ALCAVI. Rafael A. Figuera Cumaná, 2007.
Transcript of DISEÑO DE UN MODELO DE AUDITORÍA DE SISTEMAS PARA LA...
i
UNIVERSIDAD NACIONAL ABIERTA
VICERRECTORADO ACADÉMICO
AREA DE INGENIERIA
CARRERA INGENIERIA DE SISTEMAS
DISEÑO DE UN MODELO DE AUDITORÍA DE SISTEMAS
PARA LA UNIDAD DE APOYO INFORMÁTICA DE ALCAVI.
Rafael A. Figuera
Cumaná, 2007.
iii
UNIVERSIDAD NACIONAL ABIERTA
VICERRECTORADO ACADÉMICO
AREA DE INGENIERIA
CARRERA INGENIERIA DE SISTEMAS
DISEÑO DE UN MODELO DE AUDITORÍA DE SISTEMAS
PARA LA UNIDAD DE APOYO INFORMÁTICA DE ALCAVI.
Trabajo de Grado presentado ante la
Universidad Nacional Abierta
por el Br. Rafael A. Figuera
del Centro Local Sucre
para optar al título de
Ingeniero de Sistemas.
Cumaná, enero, 2007
iv
236 Ingeniería de Sistemas.
Gaceta Universitaria Nº 020 Extraordinaria - 21/02/2005.
Objetivo de la Carrera.
“Formar profesionales capacitados en el análisis, diseño, construcción y
mantenimiento de los procesos manuales e informáticos; aplicando la ciencia de la
computación, teoría de sistemas, investigación de operaciones y estrategias gerenciales,
que apoyen las acciones de la organización a través del desarrollo de soluciones
integrales en sus diferentes áreas funcionales, mediante la utilización de tecnologías de
la información y la comunicación”.
v
I N D I C E G E N E R A L.
CONTENIDO PAGINA
Portada i
Identificación ii
Presentación iii
Objetivo de la Carrera iv
Lista de Figuras y Tablas viii
Resumen ix
INTRODUCCIÓN 10
CAPITULO 1: El Problema 14
1.1. Título 15
1.2. Planteamiento del problema 15
1.3. Objetivos del trabajo 18
1.3.1. Objetivo general 18
1.3.2. Objetivos específicos 18
1.4. Alcance 19
1.5. Importancia 19
1.6. Limitaciones 20
CAPITULO 2: Marco Teórico Referencial 21
2.1. Antecedentes del problema 22
2.2. Bases teóricas 24
2.2.1. Auditoria de sistemas 24
2.2.2. Reseña metodológica 31
2.3. Definición de términos básicos 38
vi
CAPITULO 3: Diseño de la Investigación 45
3.1. Tipo de investigación 46
3.2. Nivel de investigación 46
3.3. Población y muestra 46
3.4. Fuentes de información 46
3.4.1. Fuente de información primaria 46
3.4.2. Fuente de información secundaria 47
3.5. Técnicas de investigación 47
3.6. Metodología empleada 47
CAPITULO 4: Visión Amplia de la Fundación Municipal de la Vivienda 49
4.1. Reseña histórica de ALCAVI 50
4.2. Orientación estratégica de ALCAVI 51
4.3. Descripción de ALCAVI 52
4.4. Aspectos generales de la Unidad de Apoyo Informática 57
4.5. Aspectos críticos 59
CAPITULO 5: Diseño de un Modelo Conceptual 61
5.1. Diseño de sistemas pertinentes a la Unidad de Apoyo Informática
de ALCAVI.
62
5.1.1. Definiciones raíces 62
5.1.2. Selección de la definición raíz 65
5.2. Diseño de un sistema de la actividad humana 66
5.2.1. Actividades mínimas que contempla el modelo 68
5.2.2. Requerimientos de cada actividad 70
CAPITULO 6: Diseño de Algunos Cambios 88
6.1. Comparación entre el modelo conceptual y el sistema actual 89
6.2. Definición de cambios 92
vii
CAPÍTULO 7. Preparación de un Programa de Auditoría de Sistemas 95
7.1. Reseña del plan 96
7.2. Procedimientos para la elaboración del plan 96
7.2.1. Fase de identificación 98
7.2.2. Fase de planeación 100
7.2.3. Fase de programación 107
CONCLUSIONES Y RECOMENDACIONES 134
Conclusiones 135
Recomendaciones 137
BIBLIOGRAFÍA 140
ANEXOS 144
ANEXO 1: Cuestionario Aplicado a los Funcionarios de ALCAVI 145
ANEXO 2: Manual de Sistemas y Procedimientos 157
ANEXO 3: Hojas de Análisis 161
ANEXO 3.1: Hojas de Análisis para Apreciación de Tareas 162
ANEXO 3.2: Hoja de Análisis para Registrar Información 170
ANEXO 4: Cuestionarios de Auditoría de Sistemas 175
ANEXO 4.1: Control de Cuestionarios 176
ANEXO 4.2: Organización 178
ANEXO 4.3: Sistemas 183
ANEXO 4.4: Proceso de Datos y Equipos
192
ANEXO 4.5: Seguridad 204
ANEXO 5: Formatos para la Descripción de los Informes 215
ANEXO 6: Matriz de Recepción y Distribución de Documentos 217
viii
LISTA DE FIGURAS
FIGURA Nº PAGINA
2.1 Fases de la Metodología de Checkland 33
4.1 Organigrama de ALCAVI 53
4.2 Efectos Producidos por la Carencia de Programas de Auditoría de
Sistemas
60
5.1 Definición raíz número cinco 64
5.2 Modelo Conceptual 67
7.1 Procedimientos para la Planeación de un Estudio de Auditoría de
Sistemas
97
LISTA DE TABLAS
TABLA Nº PAGINA
6.1 Comparación entre el Sistema actual y el Sistema Propuesto 90
7.1 Escala de Apreciación de las Hojas de Análisis 105
7.2 Diagrama de Gantt Correspondiente a la Planeación de la Auditoría
de Sistemas 108
7.3 Simbología Estándar de Auditoría de Sistemas 111
ix
UNIVERSIDAD NACIONAL ABIERTA VICERRECTORADO ACADEMICO
AREA DE INGENIERIA CARRERA INGENIERIA DE SISTEMAS.
Diseño de un Modelo de Auditoría de Sistemas para
la Unidad de Apoyo Informática de ALCAVI.
Autor: Rafael A. Figuera Tutor Académico: Ing. Endira Fermín
Asesor Empresarial: Lic. Julián Andrade Fecha: Enero, 2007.
RESUMEN
En el informe de Trabajo de Grado se Diseñó un Modelo de Auditoria de Sistemas para ser aplicado en la Unidad de Apoyo Informática de la Fundación Municipal de la Vivienda (ALCAVI), ubicada en la ciudad de Cumaná Estado Sucre. Una Auditoria es un examen crítico que se realiza con el fin de Evaluar la eficacia, la eficiencia y la seguridad de un sistema. La estrategia metodológica de investigación que se usó es la de Peter Checkland, la cual contempla cuatro fases: 1) Visión Amplia del Sistema; 2) Diseño de Sistemas Pertinentes; 3) Diseño de Algunos Cambios y 4) Implantación de Cambios. Se espera que con el Modelo Diseñado, ALCAVI cuente con un instrumento, que al ser aplicado en la Unidad de Apoyo Informática, ésta se haga más eficiente y segura, de tal manera que redunde en mejora del servicio que presta la Institución, aumente la motivación del personal y el compromiso con la misión de la Institución, mejore las relaciones laborales, ayude a formar equipos competentes, mejore el clima laboral y las relaciones humanas, etc. PALABRAS CLAVES: Auditoria de Sistemas, Sistema de Información, Diseño, Modelo, Eficiencia, Seguridad, ALCAVI.
10
I N T R O D U C C I Ó N ____________________________
11
Introducción.
La auditoría como profesión nace en Inglaterra durante el año 1862 y tenía como
propósitos: a) La detección y prevención del fraude; b) La detección y prevención de
errores.
Con la invención de las computadoras y su utilización en las empresas o instituciones,
aparece la Auditoría Informática o la Auditoría de Sistemas cuyos objetivos principales
son: a) El control de la función informática; b) El análisis de la eficiencia de los sistemas
informáticos que comporta; c) La verificación del cumplimiento de la normativa general de
la institución en este ámbito; d) La revisión de la eficaz gestión de los recursos materiales y
humanos informáticos.
El desarrollo constante de sistemas de información basados en computadoras ha
convertido al procesador en una herramienta indispensable de las organizaciones de hoy en
día, proporcionándoles los medios para un control más efectivo sobre sus recursos y
operaciones. Estos métodos proveen un acceso inmediato a la información donde y cuando
es requerida, dando apoyo a las diferentes operaciones vitales de la rutina diaria de una
organización.
Irónicamente, estos mismos sistemas tienen un número creciente de personas
preocupadas debido a que el control computarizado de los activos, el fácil acceso a la
información y la creciente dependencia en el computador, han convertido a las
organizaciones en entes más vulnerables que nunca, cuestionándose en este sentido, la idea
de saber, en qué medida sus sistemas de información están adecuadamente controlados.
De lo anterior, se pudo investigar que en los últimos años se ha hecho mucha publicidad
acerca de la necesidad de auditar las empresas o instituciones (ver “CNE: Auditoría pública
el 4D” [Bofia, A.; 2005]) con la finalidad de evitar fraudes, falsificación, venta de
información, virus informáticos, etc.
12
Por esto, es necesario evaluar periódicamente las organizaciones, y específicamente, su
área de informática para hacerlas más eficientes y seguras.
En esta oportunidad se pretende diseñar un Modelo de Auditoría de Sistemas para la
Unidad de Apoyo Informática de la Fundación Municipal de la Vivienda (ALCAVI).
Como objetivo general de esta investigación tenemos: “Diseñar un Modelo de Auditoría
de Sistemas para la Unidad de Apoyo Informática de ALCAVI, utilizando la metodología
de Peter Checland, con el fin de mejorar los procesos efectuados en dicho Departamento”.
A fin de darle un enfoque de sistema al presente trabajo, se utilizó la metodología
mostrada en el libro “Pensamiento de Sistemas: Práctica de Sistemas” [Checkland, P.;
1993], la cual contempla cuatro fases: 1) Visión Amplia del Sistema; 2) Diseño de Sistemas
Pertinentes; 3) Diseño de Algunos Cambios y 4) Implantación de Cambios.
Por limitaciones propias del presente trabajo, no se cubrió la fase 4 de la Metodología de
Peter Checkland, y sólo se llegó hasta la fase 3, es decir, se Diseñó un Modelo de Auditoría
de Sistemas para la Unidad de Apoyo Informática de la Fundación Municipal de la
Vivienda.
Este informe está estructurado de la siguiente manera: presentación, índice,
introducción, siete capítulos, conclusiones y recomendaciones, bibliografía y anexos. En el
capítulo 1 se presenta el título del informe, el planteamiento del problema, los objetivos del
trabajo, el alcance, la importancia y las limitaciones. En el apartado 2 se exponen los
antecedentes del problema, las bases teóricas y los conceptos básicos. En el título 3 se
muestra el tipo de investigación, el nivel de la investigación, la población y muestra, las
fuentes de información, las técnicas de investigación y la metodología empleada. En la
parte 4 se presenta una reseña histórica de ALCAVI, la orientación estratégica de la
Fundación, una descripción de la Institución, los aspectos generales de la Unidad de Apoyo
Informática y los aspectos críticos de la misma. En la sección 5 se muestra el diseño de un
modelo conceptual. En el capítulo 6 se compara el modelo conceptual con el modelo actual
13
y se definen los cambios. En el apartado 7 se hace una reseña del plan y se establecen los
procedimientos para la elaboración del plan de Auditoría de Sistemas.
Este trabajo está organizado y estructurado de acuerdo a la metodología expuesta por
Tulio Ramírez en su libro “Cómo Hacer un Proyecto de Investigación” [Ramírez, T.; 1999].
También se tomó en cuenta el “Manual para la Elaboración de Anteproyectos y Trabajos de
Grado de la Carrera Ingeniería de Sistemas” [UNA; 1999].
14
C A P Í T U L O 1 ______________________
E L P R O B L E M A
15
1.1. Título
Diseño de un Modelo de Auditoría de Sistemas para la Unidad de Apoyo Informática de
ALCAVI, ubicada en la ciudad de Cumaná Estado Sucre.
1.2. Planteamiento del Problema
La Auditoría Informática o de Sistemas es el conjunto de Técnicas y procedimientos
destinados a la evaluación y control de los Sistemas Informáticos, entendidos éstos en su
más amplia área de acción. Con el desarrollo tecnológico y la complejidad de los diferentes
ambientes de información y tecnología, las organizaciones hoy en día necesitan administrar
y mitigar los riesgos inherentes a sus negocios, para capitalizar las oportunidades
disponibles en el mercado.
En tal sentido las organizaciones requieren mejorar, proteger y controlar los sistemas de
información utilizados, además de evaluar los productos novedosos en pro de la
actualización continua.
Es ahí donde la Auditoría de Sistemas de Información juega un rol clave y comprende
un servicio de apoyo a las organizaciones que requieren de controles apropiados para
asegurar la confiabilidad, integridad de los datos y disponibilidad de su información,
además de adaptar los cambios a las estrategias y estructuras bajo un ambiente dinámico y
flexible.
La Auditoría Informática está reglamentada por leyes en otros países. Por ejemplo, en
España existe la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de la
cual se deriva el Reglamento de Medidas de Seguridad que establece en su artículo 17 “Los
sistemas de información e instalaciones de tratamiento de datos se someterán a una
auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los
procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada
dos años” [Einnova; 2006].
16
En Venezuela no existen leyes que reglamenten los procesos de Auditorías que se llevan
a cabo en los sistemas de información de las diferentes empresas o instituciones del país.
La auditoria puede ser externa, interna o mixta, coincidiendo con los tipos de
observación “de participantes”, “no participantes” y “semi-participantes”. Cada uno de
estos tipos de auditoria tiene sus ventajas o inconveniencias.
Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se
pretenda revisar o analizar, pero como estándar se presenta las cuatro fases básicas de un
proceso de Auditoría de Sistemas: 1) Estudio preliminar; 2) Revisión y evaluación de
controles y seguridades; 3) Examen detallado de áreas criticas; y 4) Comunicación de
resultados.
La Fundación Municipal de la Vivienda (ALCAVI), como toda institución, requiere del
establecimiento de un control interno o externo que minimice el riesgo de errores,
omisiones o fraudes en la ejecución de las distintas actividades, dirigido no sólo a optimizar
las operaciones que se realizan, sino también permitir que dichas operaciones contribuyan
al logro de los objetivos y metas establecidas por la fundación. El control interno
comprende las políticas, normas y procedimientos; la organización y los sistemas de
información. La auditoría de sistemas permite verificar a posteriori y de forma aleatoria el
cumplimiento de políticas, normas y procedimientos relacionados con el procesamiento de
la información, de manera de evaluar la forma como se está operando, y así proponer
cursos de acción que permitan corregir los errores, o mejorar la forma de actuar.
ALCAVI, consciente de la necesidad de establecer un control interno eficiente, requiere
de la planificación de los proyectos de Auditoría de Sistemas, para revisar y evaluar los
Sistemas de Información, incluyendo los equipos de cómputo como herramienta para
obtener la información adecuada y la organización que hará posible el uso de los equipos,
en este caso la Unidad de Apoyo Informática.
17
Informática es el área que atiende todos los requerimientos de sistemas computarizados,
tanto de la Gerencia General, así como de la Gerencia de Asistencia Técnica, las siete
Unidades de Apoyo y los ocho Programas de Servicios (ver organigrama en la figura 4.1);
por lo que representa un área de vital importancia para la institución, al permitir la
optimización de los procesos automatizados de todas sus operaciones. Dicha Unidad de
Apoyo está presentando ciertas irregularidades en relación con la revisión y evaluación de
controles, sistemas, procedimientos de informática, entre otros. No existen las Políticas y
Normas establecidas para los sistemas de información; no existe un Departamento de
Auditoría de Sistemas; no se realiza Auditoría Informática (ver anexo 1); no se lleva a cabo
una verdadera supervisión por parte de la Contraloría del Municipio Sucre del Estado
Sucre, como lo establece el artículo 15 de la Ordenanza de la Fundación de ALCAVI; y
además, en la actualidad, no hay un responsable de la Unidad de Apoyo Informática.
Planificar y diseñar un modelo de Auditoría de Sistemas para la Unidad de Apoyo
Informática de ALCAVI, permitirá cumplir cabalmente con los procesos y veracidad de
cada operación, por lo que se hace necesario un estudio que permita dimensionar el tamaño
y características del área que amerita la aplicación de los proyectos de auditoría, de tal
forma de realizar una planeación adecuada del proceso de auditoría.
Para solventar esta situación se requiere de la aplicación del Enfoque Sistémico,
específicamente de la Metodología de Peter Checkland, mediante la cual se pretende
conocer el funcionamiento de la Unidad de Apoyo Informática, sus componentes, medio
ambiente e interrelaciones, lo que va a permitir discernir las diferentes posibilidades de
acción que conlleven a mejorar su funcionamiento, especialmente en todo lo relacionado al
control de sus actividades. Una de las razones para utilizar esta metodología, es que permite
desplegar los fenómenos como totalidad, por lo que pueden evaluarse los problemas dentro
del sistema al que pertenecen, realizándose una interpretación más realista de los hechos.
Debido a que los problemas que se nos presentan son cada vez más ilimitados y difíciles de
estructurar, se ha comenzado a dar más importancia a esta nueva forma de ver el mundo, ya
que proporciona un medio para organizar la discusión sobre la mejor manera de describir el
18
sistema, con el fin de lograr un aprendizaje que conlleve a tomar ciertas acciones, que
puedan conducir a una nueva condición, la cual necesariamente no es la más óptima.
El establecimiento de un control interno de las actividades relacionadas con el
procesamiento electrónico de la información, permitirá la planificación, organización y
coordinación de los proyectos de auditorías aplicables a la Unidad de Apoyo Informática de
ALCAVI; además proporciona un medio para la elaboración de los planes de prevención,
control de accesos y situaciones de emergencia, garantizándose así no solo la seguridad de
los equipos, sino también de los sistemas de información existentes en la fundación; para lo
cual se pretende lograr la concientización en materia de seguridad y control de las personas
involucradas en el área, contribuyendo al máximo en el momento de llevar a cabo los
proyectos de Auditoría de Sistemas.
Por otra parte, se puede afirmar, que el modelo propuesto podría ser una guía para llevar
a cabo Auditoría de Sistemas y alcanzaría a ser aplicado en cualquier departamento de
informática de cualquier institución, haciéndole los ajustes necesarios.
1.3. Objetivos del Trabajo.
1.3.1. Objetivo General.
Diseñar un Modelo de Auditoría de Sistemas para la Unidad de Apoyo Informática de la
Fundación Municipal de la Vivienda.
1.3.2. Objetivos Específicos.
1- Estudiar el sistema actual para obtener una visión amplia del mismo.
2- Analizar la situación problemática, partiendo del sistema en estudio.
3- Aplicar la metodología de Peter Checkland a fin de establecer los aspectos críticos del
modelo actual bajo el enfoque de sistemas.
19
4- Diseñar un modelo conceptual pertinente a la Unidad de Apoyo Informática de
ALCAVI.
5- Comparar el modelo conceptual con el sistema real en estudio para sugerir los cambios
factibles a realizar.
6- Proponer un Modelo de Auditoría de Sistemas para mejorar el sistema actual.
1.4. Alcance.
La investigación se centrará en el sistema de información de la Unidad de Apoyo
Informática de la Fundación Municipal de la Vivienda (ALCAVI), ubicada en la ciudad de
Cumaná, Estado Sucre, Venezuela.
1.5. Importancia.
La importancia de este trabajo radica en el hecho de que, una vez terminado el informe
final, se propondrá un Modelo de Auditoría de Sistemas para la Unidad de Apoyo
Informática de ALCAVI, que de ser desarrollado en un futuro, podría ser una herramienta
de mucha utilidad, que a su vez entre otras cosas, mejoraría notablemente la eficiencia en el
procesamiento de los datos, así como también la seguridad de la información manejada en
dicha institución.
Con la elaboración de este informe se pretende Diseñar un Modelo de Auditoría de
Sistemas para ser propuesto a la Unidad de Apoyo Informática de la Fundación Municipal
de la Vivienda, ubicada en la ciudad de Cumana Estado Sucre.
Por otra parte, este estudio aportará conocimiento novedoso y de interés en el campo de
la Ingeniería de Sistemas, especialmente en el área de Auditoría de Sistemas o Auditoría
Informática. En caso de que ALCAVI instale un Departamento de Auditoría, los auditores
de sistemas contarán con una guía o manual para llevar a cabo sus actividades, ya que en la
actualidad existe poco material, que se pueda utilizar en la práctica, sobre Auditoría
Informática, por ser ésta una disciplina relativamente nueva.
20
1.6. Limitaciones.
Durante la ejecución de este proyecto se presentaron ciertas restricciones que limitaron
en buena parte el desarrollo normal del trabajo. La naturaleza de dichas restricciones es
variable, sin embargo fueron muy frecuentes las dificultades en cuanto a tiempo,
disponibilidad de información y dificultad para obtener información de la Institución.
También, hay que tomar en cuenta los errores humanos que están presentes en cualquier
proceso de investigación. Por último, diremos que la Institución no cuenta con estadísticas
reales o especificaciones iniciales de los equipos que posee; no existe un responsable de la
Unidad de Apoyo Informática; la Unidad no posee los manuales de normas y
procedimientos; y no existe un Departamento de Auditoría.
21
C A P Í T U L O 2 ______________________
MARCO TEÓRICO REFERENCIAL
22
2.1. Antecedentes del Problema.
La Fundación Municipal de la Vivienda (ALCAVI) fue creada el 14 de noviembre de
1996 por el Concejo del Municipio Sucre del Estado Sucre que funcionaba en Cumaná.
Esta fundación, actualmente se encuentra ubicada en la Avenida Arismendi No. 179 de la
ciudad Primogénita y depende de la Alcaldía del Municipio Sucre.
ALCAVI tiene como misión la de contribuir a la solución del problema habitacional
del Municipio Sucre del Estado Sucre.
En la actualidad, ALCAVI está formada por una Gerencia General, una Gerencia de
Asistencia Técnica, siete Unidades de Apoyo y ocho programas que dependen de la
Gerencia de Asistencia Técnica.
Una de las siete Unidades de Apoyo es Informática, la cual está encargada del
tratamiento automático y racional de toda la información que se maneja en la institución.
Este departamento fue creado en el año 1997, cuando ALCAVI inicia sus operaciones en la
ciudad de Cumaná.
En el año 1998 se procedió a instalar una Red de computadoras (LAN) para optimizar el
flujo de información entre las diferentes dependencias de la Institución, a través de la
interconexión de diversos equipos, permitiendo el acceso común a recursos compartidos
como documentos, correo electrónico e Internet.
En entrevistas realizadas a algunas de las personas que laboran en la Unidad de Apoyo
Informática, se pudo constatar que no se aplican las normas de seguridad en materia de
información; también, la Unidad de Apoyo es poco eficiente en el procesamiento de los
datos que se generan en la institución (ver anexo 1).
Por otra parte, en ALCAVI no se realiza auditoría interna ni externa de tal manera que
no se sabe, hasta qué punto se están cumpliendo con las metas de la institución.
23
Al referirnos a las investigaciones realizadas de la problemática existente, podría
acotarse que la institución no posee estudios sobre el área de Informática que definan de
manera formal los procedimientos necesarios para establecer mecanismos de control, en
este caso programas de Auditoría de Sistemas.
Ante tal situación se planteó la necesidad de diseñar un modelo de Auditoría de
Sistemas para la Unidad de Apoyo Informática de la Fundación Municipal de la Vivienda,
que en caso de ser aplicado, mejoraría los procesos efectuados en dicha unidad.
Relacionado con el tema de estudio se encontraron las siguientes bibliografías: Un
informe de Pasantía titulado “Auditoría de la Red LAN Instalada en la Fundación
Municipal de la Vivienda (ALCAVI), del Municipio Sucre del Estado Sucre” [Figuera, R.;
2004], donde se recoge la documentación de la Red de ALCAVI y se plantea la forma de
hacer más efectiva, eficaz y segura la LAN de Computadoras. Un artículo aparecido en el
diario Últimas Noticias titulado “CNE: Auditoría pública el 4D” [Botía, A.; 2005], donde
se plantea la necesidad de revisar y controlar el sistema de votación durante la entrada,
procesamiento y salida de los datos. Visitando algunas páginas Web se localizó varias
monografías o informes sobre el tema en cuestión, de las cuales citamos algunas:
“Evaluación de la Seguridad de un Sistema de Información” [Jiménez, J.; 2003], trata sobre
algunos procedimientos que debemos implementar en los sistemas de información para
evitar fraudes, falsificación, venta de información, virus informáticos, etc. “Auditoria
Informática” [Canaves.; 2003], describe los objetivos y alcance de la Auditoría Informática.
“El fraude Informático: Cómo Prevenirlo, Detectarlo y Controlarlo” [Chavez, M.; 1996],
este trabajo plantea aspectos importantes relacionados con la auditoría de sistemas y los
mecanismos apropiados que deben ser utilizados para enfrentar los riesgos asociados con el
procesamiento de datos, así como la manera de minimizar cualquier acción fraudulenta que
ponga en peligro la integridad de la información.
24
2.2. Bases Teóricas.
2.2.1. Auditoría de Sistemas
El estudio realizado tiene por finalidad la elaboración de una planeación de los
proyectos de auditoría de sistemas para la Unidad de Apoyo Informática de la Fundación
Municipal de la Vivienda (ALCAVI), es por esto que se hace necesario aclarar los
conceptos básicos relacionados con esta materia, y cualquier otro aspecto de importancia.
En primer lugar, es conveniente conocer una definición amplia de lo que es auditoría.
“Con frecuencia, la palabra auditoría se ha empleado incorrectamente y se le ha
considerado como una evaluación cuyo único fin es detectar errores y señalar fallas; sin
embargo, su aplicación va mucho más allá, porque contribuye a la verificación de la
eficiencia y eficacia con la que se está operando para que, por medio del señalamiento de
cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en
caso de que existan, o bien mejorar la forma de actuación” [Echenique, J.;1993].
La auditoría debe entenderse como un estándar metodológico, para evaluar distintos
objetos o realidades, con mentalidad crítica, analítica e investigativa, sobre una base
objetiva e independiente y ética, tendiente a emitir un informe como producto final.
Existen diversos tipos de auditorías, las cuales mantienen relación con la auditoría de
sistemas o en informática, como también suele denominarse. Entre estos tipos de auditorías
tenemos:
Por la procedencia del Auditor.
• Auditoría interna y auditoría contable/financiera.
Un grupo especializado de la asesoría técnica de la propia empresa lleva a cabo la
auditoría interna. Esta auditoría proviene de la auditoría financiera y proporciona un medio
25
de control interno, el cual comprende el plan de organización y todos los métodos y
procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus
activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la
eficiencia operacional y provocar la adherencia a las políticas previstas por la
administración. El área de informática puede interactuar de dos maneras en el control
interno. La primera es servir de herramienta para llevar a cabo un adecuado control interno
y la segunda es tener un control interno del área y del departamento de informática.
La diferencia de los objetivos de control interno desde un punto de vista contable
financiero es que mientras éstos están enfocados a la evaluación de una organización
mediante la revisión contable financiera y de otras operaciones, los objetivos del control
interno informático están orientados a todos los sistemas en general, al equipo de cómputo
y al departamento de informática.
• Auditoría Externa.
Es una actividad profesional, desarrollada por personas jurídicas o naturales,
independientes del ente auditado, cuyo objetivo es emitir una opinión sobre la
razonabilidad financiera de las organizaciones, expresada en los estados financieros. Si la
auditoría realizada al área de sistemas computarizados es confiable, los auditores externos y
los revisores fiscales pueden apoyarse en ella, disminuyendo el alcance y el detalle de sus
pruebas.
Por los objetos auditables.
• Auditoría Administrativa.
La auditoría administrativa es el examen global y constructivo de la estructura de una
empresa con relación a sus planes y objetivos, sus métodos y controles, su forma de
operación y sus facilidades humanas y físicas, a fin de establecer un nivel de eficiencia,
26
efectividad y economicidad alcanzado en el ente auditado, y proponer la implementación
requerida, en los casos que sea necesario.
Dentro de los planes de la auditoría en informática debe considerarse principios de la
auditoría administrativa para evaluar el departamento en función de:
- Su objetivo.
- Metas, planes, políticas y procedimientos.
- Organización.
- Estructura orgánica.
- Funciones.
- Niveles de autoridad y responsabilidad.
• Auditoría de operaciones.
Se define como “una técnica para evaluar sistemáticamente la efectividad de una
función o una unidad de referencia a normas de la empresa, utilizando personal no
especializado en el área de estudio, con el objeto de asegurar a la administración que sus
objetivos se cumplan, y determinar qué condiciones pueden mejorarse“ [Ramírez, O.;
1999].
El propósito de una auditoría de operaciones es revisar y apreciar operaciones y
procedimientos, para calibrar la efectividad de las operaciones y descubrir oportunidades
para mejorarlas, en beneficio de la economía o del mejor control.
Al momento de evaluar la estructura organizativa del centro de cómputo puede
trabajarse con el auxilio de la auditoría de operaciones.
27
• Auditoría con Informática.
La informática es una nueva y poderosa tecnología para el tratamiento de la
información, por lo que la auditoría se sirve de la computadora como herramienta para
ampliar la cobertura del examen, reduciendo el tiempo/costo de las pruebas y
procedimientos de muestreo, que de otra manera tendrían que efectuarse manualmente.
La computadora puede ser empleada por el auditor en:
- Verificación de cifras totales y cálculos para comprobar la exactitud de los
reportes de salida producidos por el departamento de informática.
- Pruebas de los registros de los archivos para verificar la consistencia lógica, la
validación de condiciones y la razonabilidad de los montos de las operaciones.
- Clasificación de datos y análisis de la ejecución de procedimientos.
- Selección e impresión de datos mediante técnicas de muestreo y
confirmaciones.
- Llevar a cabo en forma independiente una simulación del proceso de
transacciones para verificar la conexión y consistencia de los programas de
computadora.
• Auditoría de Programas.
La auditoría de programas es la evaluación de la eficiencia técnica, del uso de diversos
recursos y del tiempo que utilizan los programas, su seguridad y confiabilidad con el objeto
de optimizarlos y evaluar el riesgo que tienen para la organización. Para poder llevar a cabo
una adecuada auditoría de programas es necesario que los sistemas estén trabajando
correctamente y se obtengan los resultados requeridos, ya que al cambiar el proceso del
sistema en general se cambiarían posiblemente los programas.
28
• Auditoría de Sistemas o en Informática.
“La auditoría de sistemas es la revisión y evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participan en el procesamiento de la información, a fin de
que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente
y segura de la información que servirá para una adecuada toma de decisiones” [Chiavenato,
I.; 1991].
La auditoría de sistemas debe evaluar el todo (informática, organización del
departamento, computadoras y programas) con auxilio de los principios de auditoría
administrativa, auditoría interna, auditoría contable/financiera y, a su vez, puede
proporcionar información a esos tipos de auditoría, siendo la computadora una herramienta
para su realización.
La auditoría del sistema informático debe comprender:
- Seguridad de los activos. Los activos de una instalación informática, se hallan
integrados por una pluralidad de activos o elementos: hardware, software,
personal técnico, archivadores, sistemas de documentos y suministros de
diversa naturaleza, los cuales deben ser protegidos por el sistema de control
interno de la empresa en general, y del centro de procesos de datos.
- Razonabilidad de los datos. La razonabilidad de los datos significa que éstos
sean fidedignos, completos y coherentes.
- Eficacia del sistema. Un sistema informático es eficaz cuando permite dar
respuesta a los objetivos perseguidos, esto es, cuando facilita información con
el tratamiento adecuado para que sus usuarios puedan tomar decisiones.
29
- Eficiencia del sistema. Un sistema informático es eficiente cuando permite dar
respuesta a las necesidades de información que se le requieran con un sacrificio
de recursos o coste mínimo.
Por los objetos auditables, la Auditoría toma infinidad de denominaciones; todo depende
del área, actividad u objeto que se audite. Otras modalidades son: Tributaria, Integral, de
funcionamiento y social.
2.2.1.1. Planeación de los procedimientos de Auditoría de Sistemas.
“Para la efectiva ejecución y terminación de una auditoría de sistemas, por pequeña que
esta sea, se requiere del planeamiento y preparación de un programa de trabajo. Planear la
auditoría es decidir previamente cuáles son los procedimientos que se van a emplear, cuál
es la extensión que va a darse a las pruebas, en qué oportunidad se van a aplicar y cuáles
son los papeles de trabajo en que van a registrarse los resultados” [Rodríguez, J.; 1985].
Todo esto permitirá dimensionar el tamaño y características del área dentro del
organismo a auditar, sus sistemas, organización y equipo; con ello se podrá determinar el
número y características del personal de auditoría, las herramientas necesarias, el tiempo y
costo.
Una inadecuada planeación repercutirá en una serie de problemas, que pueden provocar
que no se cumpla con la auditoría o bien que no se efectúe con el profesionalismo que debe
tener.
La planeación de la auditoría en el área de informática, debe hacerse desde tres puntos
de vista:
- Evaluación administrativa del área de procesos electrónicos.
- Evaluación de los sistemas y procedimientos.
- Evaluación de los equipos de cómputo.
30
Para lograr una adecuada planeación, lo primero que se requiere es obtener información
general sobre la organización y sobre la función de informática a evaluar. Para ello es
preciso hacer una investigación preliminar y algunas entrevistas previas, y con base a esto
planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
La planeación de la auditoría debe señalar en forma detallada el alcance y dirección
esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o
condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por
escrito.
El resultado de la planeación se condensa en el programa de auditoría.
2.2.1.2. Papel del Auditor Informático.
El papel del auditor informático va a ser variable. A todos los auditores informáticos les
preocupará básicamente el control interno, el control y la fiabilidad financieros y la
seguridad de los activos de la empresa. Muchos auditores tendrán una gama de
responsabilidad mucho más amplia, en la que se incluyan los análisis de los sistemas y los
estudios empresariales. Algunos se interesarán en la eficacia, eficiencia, y continuidad de
los sistemas. Otros auditores analizaran si el equipo informático y los sistemas de software
son técnicamente adecuados y eficientes.
Para que el análisis sea eficaz y útil, el auditor deberá tener los conocimientos técnicos
necesarios para comprender el tema que vaya a examinar. La falta de conocimientos limita
el alcance del trabajo de análisis; por lo que los auditores informáticos deberán conocer
perfectamente las posibilidades de los equipos y sistemas que utilice la empresa que se esté
auditando y estar familiarizado con los estándares en vigor. Es importante conocer el
hardware y el software, en la medida en que se necesite para realizar el trabajo que se vaya
a acometer. También resultará de gran valor para el auditor el conocimiento del lenguaje de
control de tareas, sistemas operativos, análisis y programación para que haga unos análisis
31
más detallados, resuelva los problemas que surjan con mayor independencia, mejore el
nivel de comunicación con el staff del departamento de informática y consiga el respeto y
la colaboración del personal de proceso de datos.
2.2.2. Reseña Metodológica.
“El concepto de totalidad ha alcanzado en los últimos años una gran resonancia y
notoriedad. Es así como la búsqueda del sentido holístico se ha constituido como una nueva
forma de pensar y de actuar. El holismo surge de la confluencia de diversas disciplinas
humanas y está orientado hacia la búsqueda de un marco referencial o contexto
trascendental en el que un fenómeno pueda desplegarse como totalidad” [López, H.; 1998].
Esto es lo que el enfoque o pensamiento de sistema persigue, por lo que resulta de gran
utilidad para aquellos problemas en los que los límites se expanden, dificultándose su
estructuración.
En la medida en que se adquieran mayores conocimientos de la totalidad de los
componentes o aspectos bajo estudio, así como de sus interrelaciones, en esa misma medida
se podrá asegurar la interpretación realista y la evaluación de los problemas dentro del
sistema al que pertenece, obteniéndose la certeza de la permanencia y efectividad de las
soluciones recomendadas.
El enfoque de sistemas trabaja simultáneamente con métodos cuantitativos y
cualitativos, deductivos e inductivos, simbólicos y conceptuales; escogiéndose aquel que se
adapte al fenómeno en cuestión y a los objetivos de la investigación. Es por esto que el
enfoque de sistemas ha podido penetrar en muchas áreas del conocimiento, enlazar
disciplinas aisladas y lograr una apreciación interdisciplinaria de los fenómenos,
transformando de esa manera, los grupos multidisciplinarios, los cuales son más adecuados
para enfrentar y resolver los problemas propios de nuestros tiempos, transformándose así en
una transdisciplina.
32
Dentro de las metodologías que utilizan el enfoque de sistemas se encuentra, la
Metodología de Peter Checkland, la cual resulta de gran utilidad para el estudio de sistemas
de la actividad humana, especialmente en el campo organizacional.
2.2.2.1. Metodología de Checkland.
“Los problemas del mundo real se caracterizan porque no pueden ser descritos según un
patrón o modelo definido. Dentro de esta categoría se encuentran los sistemas blandos, en
los cuales resulta difícil definir objetivos, la toma de decisiones es incierta, y las medidas
de sus actividades son a lo máximo cualitativas” [Checkland, P.; 1993]. La metodología de
Checkland surge por la necesidad de enfrentarse a este tipo de problemas no estructurados,
en donde el resultado nunca es una solución óptima a un problema, es más bien un
aprendizaje que conduce a una decisión referente a tomar ciertas acciones.
La metodología está constituida por dos tipos de actividades:
• Del mundo real, la cual necesariamente involucra gente en la situación problema,
constituida por los estadios 1, 2, 5, 6 y 7.
• Del pensamiento de sistemas, que puede o no según las circunstancias del estudio
involucrar a los actores del sistema, y está representada por los estadios 3 y 4.
Fases de la Metodología de Checkland.
La metodología de Checkland no exige una secuencia lógica de pasos, lo más
importante es mantener una relación entre los estadios y tener presente que un cambio en
cualquiera de ellos afecta a todos los demás; sin embargo es necesario presentar sus fases
en una forma cronológica para su mejor entendimiento. Las cuatro fases son mostradas en
la figura 2.1, y se describen a continuación:
Fase I Fase II Visión Amplia del Sistema Diseño de Sistemas Pertinentes Fase IV Fase III Implantación de Diseño de algunos Cambios Cambios Pensamiento de Sistemas Mundo Real
2 Aspectos Críticos
1 Aspectos Generales
Figura 2.1. Fases de la Metodología de Checkland.
3 Definiciones Raíces
7 Acciones para mejorar la situación problema
5 Comparación del modelo conceptual y el sistema actual
4 Modelos Conceptuales
6 Definición de los cambios
34
Fase I: Visión Amplia del Sistema.
“En esta fase se incluye los estadios 1 y 2, los cuales constituyen un primer intento por
conocer la situación en la cual se percibe que hay un problema. Esta primera fase es
normalmente la que más tiempo consume, pues incluye la toma de todo tipo de datos y
presupone entrar en contacto directo con los distintos grupos que participan en el sistema”
[Pinilla, J.; 1994].
Las actividades incluidas en esta fase son:
• Estadio 1: Descripción de los Aspectos Generales.
Mediante este estadio se pretende reunir todas las percepciones posibles de la situación
problema, obteniéndose así un cúmulo de información pertinente al sistema y a su entorno.
• Estadio 2: Definición de Aspectos Críticos.
Permite resaltar los elementos o factores de mayor incidencia de la situación planteada,
lo que amerita la opinión de todos los entes involucrado.
Fase II: Diseño de Sistemas Pertinentes.
Seguidamente se describen los estadios 3 y 4 de la metodología que constituyen esta
fase:
• Estadio 3: Definiciones Raíces del Sistema Pertinente.
“Una vez estructurada la situación problemática se procede a la preparación de algunas
definiciones que pudieran ser pertinentes al problema en estudio, y que describen en forma
concisa al sistema de la actividad humana seleccionado. Una definición raíz será una
descripción significativa del sistema en cuestión de acuerdo a una visión particular del
35
mundo o Weltanschauung. Sin embargo, habrá otros Weltanschauung viables, debido a que
los seres humanos siempre pueden aunar significados diferentes a los mismos actos
sociales” [Checkland, P.; 1993].
Idealmente una definición raíz debe estar constituida por seis elementos o factores.
Estos factores son agrupados bajo el neumónico CATWOE, proveniente de sus iniciales en
el idioma inglés y se describen a continuación:
- Consumidores (C): Son aquellos individuos o entidades que se ven beneficiadas o
perjudicadas por el funcionamiento del sistema.
- Actores (A): Son los agentes que hacen posible el proceso de transformación que se
lleva a cabo en el sistema.
- Transformación (T): Es el proceso realizado por el sistema, que consiste en sintetizar
un conjunto de salidas a partir de un conjunto de entradas
- “Weltanschauung” (W): Es la perspectiva que da origen a la definición raíz, ésta
puede provenir de cualquier fuente, pero es recomendable que provenga de los
consumidores, los actores o el dueño del sistema.
- Dueño (O): Es aquel individuo, entidad o macrosistema que en algún momento puede
decidir por la destrucción (o salida de funcionamiento) del sistema.
- Restricciones del ambiente (E): Son aquellas limitaciones al funcionamiento del
sistema que son impuestas por agentes externos a él y que conforma su ambiente.
• Estadio 4: Confección y verificación de modelos conceptuales.
La escogencia de la definición raíz apropiada debe realizarse conjuntamente con la
persona o grupo responsable del sistema, tomando en cuenta que cada una de ellas conduce
a cambios diferentes y que deben ser factibles a corto plazo. Es en este momento cuando se
está en capacidad de construir un modelo sistema de actividad necesario para lograr la
transformación deseada.
36
El Modelo Conceptual establece lo que debe hacerse, para lo cual se toman los verbos
que aparecen explicita o implícitamente en la definición raíz seleccionada, para luego
estructurarlos en una secuencia lógica.
Una vez construido el Modelo Conceptual es recomendable poder establecer su valides,
para lo cual se hace uso de un modelo general de cualquier sistema de actividad humana,
designado como sistema formal, porque es una combinación de componentes que deben
estar presentes para que un grupo de actividades cumplan un propósito determinado. Debe
destacarse, que este sistema formal no puede asegurar que los modelos conceptuales sean
validos, pero puede establecer pautas para descubrir si están construidos en forma
adecuada.
• Fase III: Diseñar algunos cambios.
Culminada la construcción del Modelo Conceptual y establecidas interrelaciones entre
las actividades fundamentales, se procede a detallar cada una de ellas por separado, para lo
cual debe incluirse: tipo de decisiones a tomar, información requerida y medios para
obtenerla, elementos estructurales que participan en la actividad, recursos que requiere, etc.
Esta etapa amerita la iteración con los actores del sistema y esta comprendida por los
estadios 5 y 6, los cuales se describen seguidamente:
• Estadio 5: Comparación entre el Modelo Conceptual y el Sistema Actual.
En esta etapa se compara la problemática analizada en el estadio 2 con el sistema creado
por el encargado del estudio, sin olvidar que el debate con los participantes del sistema es
de vital importancia para establecer los posibles cambios que se podrían introducir para
solventar la situación planteada.
“La comparación es el punto en el cual las percepciones intuitivas del problema se
confrontan con las construcciones de sistema que el pensador de sistemas asegura que
37
proporcionan una descripción de la realidad mas general y epistemológicamente más
profunda; debajo de las apariencias superficiales” [Checkland, P.; 1993].
La acción de cotejar cada una de las actividades del sistema formal con las actividades
del mundo real, permite determinar las decisiones y recursos necesarios para llevar a cabo
los cambios que implica cada actividad, y en el caso de que estén presentes, establecer los
mecanismos para verificar que tan bien se llevan a cabo.
• Estadio 6: Definición de los cambios.
La comparación realizada en el paso anterior permite que los cambios surjan de una
manera natural y además revela las deficiencias existentes en el sistema actual. Los
cambios a introducirse en el sistema pueden ser de diversos tipos, permitiéndose la
combinación de ellos según la situación particular; pero lo más importante es que estos
cambios sean viables dadas las circunstancias actuales y, que los actores que viven la
situación problemática estén involucrados con las decisiones tomadas.
Dentro de los tipos de cambios existentes se encuentran los estructurales, los de
procedimiento y de actitudes. Los dos primeros son los más fáciles de especificar y de
llevar a cabo; entendiéndose por cambio de estructuras aquellos que se refieren a los
aspectos de mayor permanencia en un sistema, y que constituyen básicamente su estructura;
mientras que los de procedimiento están más relacionados con las operaciones que se llevan
a cabo en el mismo. Los cambios de actitudes por estar relacionados con el ser humano
como tal, son más difíciles de habilitar, ya que no solo deben modificarse las “actitudes”
propias del comportamiento tanto individual como colectivo, sino también amerita cambios
en influencia, en los criterios de evaluación y de comportamiento adecuado según el rol
desempeñado
Por último debe destacarse que el Modelo Conceptual debe tomarse como una guía
para la definición de cambios, y no como una representación ideal al cual deba tender el
sistema actual.
38
Fase IV: Implantación de Cambios.
• Estadio 7: Acciones para mejorar la situación problemática.
Esta constituido por todas aquellas acciones necesaria para solventar la problemática, y
representa uno de los pasos que debe tomarse muy en cuenta desde el inicio del estudio, ya
que de no ser así los cambios sugeridos no se adaptarán a los requerimientos de los sectores
involucrados y los esfuerzos por mejorar la situación planteada habrán sido en vano.
2.3. Definición de Términos Básicos.
A fin de dar un significado exacto, que permita la comprensión de las ideas expuestas se
definen a continuación los términos de mayor utilización:
Aplicación: Es aquella parte del sistema de información que resuelve un determinado
problema de gestión en el contexto de la información.
Archivo: Tipo abstracto de datos definido e implantado por el sistema operativo, que
consiste en una secuencia de registros lógicos, los cuales pueden ser un byte, una línea o un
elemento de datos más complejo.
Archivo Fuente: Es un archivo de código de programación que está compilado en lenguaje
de máquina.
Archivo Lógico: Es una descripción de cómo deben presentarse los datos, o recibirse, de
un programa.
Bitácora: Registro de las operaciones del equipo de procesamiento de la información para
cada trabajo u operaciones, también se listan el tiempo requerido, las actividades del
operador y otros datos pertinentes.
39
Cintoteca: Se denomina Cintoteca al almacén de los medios magnéticos (cinta magnética,
disquete, cassetes, cartuchos, discos removibles, CD's, flash driver, etc.) y de la
información que estos contienen.
Comunicación de Datos: Envío y recepción de datos entre sistemas y/o dispositivos
remotos de acuerdo a los protocolos seleccionados.
Configuración: Es la disposición física y lógica de dispositivos y programas que ejecutan
un sistema de proceso de datos.
Configuración de Comunicaciones: Ubicación física de los controladores de
comunicaciones, conexión de las líneas de comunicaciones, etc; y descripciones de
configuración que describen la configuración física al sistema y cómo el sistema utilizará la
configuración.
Cónsola: Es la parte del computador usado para la comunicación entre los operadores o
ingenieros de funcionamiento y el computador, generalmente por medio de señales y de
controles manuales.
Contingencia: Es toda falla, siniestro o situación irregular que afecte el funcionamiento
normal del centro de cómputo, o bien que provoque interrupciones del servicio de
procesamiento de datos.
Contraseña: Serie única de caracteres que un usuario de un sistema debe introducir para
identificarse a sí mismo, en caso de que los recursos de éste estén agrupados.
Control: Son marcos de referencia para evaluar y medir el funcionamiento de áreas
importantes.
Control de Entrada: Es el conjunto de controles procesales necesarios para manejar los
datos fuera del área de computación.
40
Controles de Salida: Son los controles que aseguran que los resultados obtenidos sean
confiables.
Controles Programados: Son los controles que se incluyen como parte de las
instrucciones internas de la máquina.
Cuadros Ocupacionales: Es una técnica para efectuar la revisión de las actividades del
personal. Consiste en hacer una descripción general de un puesto principal, definiendo
autoridad, responsabilidad, atribuciones y relaciones.
Definición Raíz: Es una definición concisa y construida con precisión de un sistema de
actividad humana que enuncia lo que el sistema es, y conduce a la mejoría del sistema.
Diagrama de Gantt: consiste en una representación gráfica sobre dos ejes; en el eje
vertical se disponen las tareas del proyecto y en el eje horizontal se representa el tiempo.
Disco: Medio de almacenamiento de acceso directo (aleatorio) con datos registrados
magnéticamente.
Discoteca: Ver cintoteca.
Documentación: Descripción de documentación durante la programación que implica la
descripción del programa y respalda su preparación, su aprobación y cualesquiera cambios
subsecuentes.
Epistemología: Teoría relativa a los medios por los cuales podemos tener y expresar el
conocimiento del mundo.
Estación de Trabajo: Los microcomputadores en los que trabajan los usuarios, que están
conectados entre sí y al servidor de archivos.
41
Etiquetas Externas: Son etiquetas visibles que se añaden a una cinta magnética o a un
disco.
Etiquetas Internas: Es la información de identificación que se coloca en el disco o cinta y
se pone bajo el control de programa de computadora como primer registro.
Librería: Objeto del sistema que sirve como directorio para otros objetos. Una librería
agrupa objetos relacionados y permite al usuario buscar objetos por su nombre.
Línea: Vía física en la transmisión de datos.
Línea de Comunicaciones: Enlace físico que conecta una o más estaciones de trabajo a un
controlador de comunicaciones, o que conecta un controlador de otro.
Manual de Organización: Es un documento que contiene en forma ordenada y sistemática
información sobre atribuciones, estructura orgánica, funciones de las unidades
administrativas que integran la empresa, niveles jerárquicos, canales de comunicación y
coordinación, grado de autoridad y responsabilidad.
Manual de Procedimientos: Los procedimientos para la preparación de la entrada, grupo
de control, sistemas, programación, manejo y procedimientos del usuario descritos en
manuales escritos.
Manual de Usuario: Reúne la información, normas y documentación necesaria para que el
usuario conozca y utilice adecuadamente la aplicación desarrollada.
Modelar: Es la acción de diseñar o construir un estándar, arquetipo, referencia o plan, es
decir, captar lo más fielmente posible, lo esencial de un objeto.
42
Modelo Conceptual: Es una descripción sistémica de un sistema de actividad humana,
construida sobre la base de una definición raíz del sistema, generalmente bajo la forma de
un grupo estructurado de verbos en el modo imperativo.
Normas de Auditoría: Requisitos mínimos de calidad aceptable, de la actividad
relacionada con el auditor independiente a lo que se refiere a su personalidad, la ejecución
del trabajo y el informe que suministra como resultado de dicho trabajo.
Perfil: Datos que describen las características de un usuario, programa, dispositivo o
ubicación remota.
Política: Son los principios de operación que permiten alcanzar las metas de la
organización.
Problema Suave: Es un problema que no se puede formular como la búsqueda de medios
eficientes para lograr un fin definido; ya que los fines, metas y propósitos no se encuentran
bien definidos.
Procedimientos: Representan la formulación y aplicación de principios y métodos
uniformes, en la realización de una actividad.
Procedimientos de Auditoría: Es un conjunto de técnicas de investigación, aplicables a
una partida o un grupo de hechos y circunstancias relacionadas con el objeto del examen
del auditor, mediante las cuales obtiene las bases necesarias para fundamentar su opinión.
Procesamiento: Es la acción de realizar operaciones y cálculos sobre los datos.
Programa: Es el conjunto de instrucciones escritas en un lenguaje que sea comprensible
para la computadora.
43
Rastro para Auditoría: Es un medio para identificar los pasos dados al procesar los datos
de entrada o al preparar una salida de manera que los datos en un documento puedan ser
rastreados hacia un medio de salida, y un medio de salida pueda ser rastreado hacia las
partidas de origen de las cuales deriva.
Red: Grupo de productos de proceso de datos conectados mediante líneas de
comunicaciones para el intercambio de información entre estaciones.
Servidor: Es el microcomputador encargado de supervisar la compartición de archivos y
los niveles de seguridad, y controlar la utilización de las impresoras y otros dispositivos
periféricos conectados a él.
Sistema: Es un modelo de una entidad vista como un todo.
Sistema de Actividad Humana: Un sistema nocional con propósito que expresa alguna
actividad humana que podía en principio encontrarse en el mundo real.
Sistema de Información: Es un conjunto de procedimientos utilizados para reunir datos,
codificarlos para convertirlos en información, almacenarlos y utilizarlos para la toma de
decisiones.
Sistema Diseñado: Es una entidad hecha por el hombre que un observador elige para
tratarla como un todo que tiene propiedades emergentes.
Sistema Pertinente: Es un sistema de actividad humana que un investigador que usa la
metodología de sistemas suaves nombra como candidato a generar discernimiento en
estadios posteriores del estudio.
Software: Es el conjunto de programas lógicos y rutinas para operar la computadora.
44
Totales de Control: Es la salida conciliada a los totales de control de la entrada y otras
conciliaciones para probar que el procesamiento está completo y es preciso.
Verificación: Es la verificación por teclado de los datos de entrada introducidos por este
medio.
45
C A P Í T U L O 3 ______________________
DISEÑO DE LA INVESTIGACIÓN
46
3.1. Tipo de Investigación.
El presente trabajo es una investigación de campo ya que durante el desarrollo del
mismo se analizó, se describió o se interpretó un problema real, usando datos recabados
siguiendo una metodología de observación de la situación. Este es un estudio de un
fenómeno social en su ambiente natural, es decir sobre el terreno.
3.2. Nivel de Investigación.
El alcance de este estudio es exploratorio y descriptivo, ya que durante su desarrollo se
indagó acerca de una realidad poco estudiada y se describió con precisión las características
de una determinada institución y sus Unidades de Apoyo. Se diseñó un modelo de
Auditoría de Sistemas para la Unidad de Apoyo Informática, no de la institución.
3.3. Población y Muestra.
En la Fundación Municipal de la Vivienda laboran actualmente unas 28 personas, lo que
representa una población finita, que de acuerdo a lo estipulado, era factible considerarla en
su totalidad para el desarrollo del proyecto.
Por cuestión de tiempo, esfuerzo y en aras de agilizar la recolección de los datos se
consideró conveniente entrevistar a los gerentes y responsables de las unidades de apoyo
para alcanzar una muestra de 11 personas, representando un 39,28% (11/28x100%) de la
totalidad de la población, constituyéndose así en una muestra representativa válida.
3.4. Fuentes de Información.
3.4.1. Fuente de Información Primaria
Durante el lapso que duró el proyecto de grado se entrevistó de manera general a 11
personas y se les entregó un cuestionario para que lo llenaran (ver anexo ). De este grupo de
47
personas hay que destacar al Gerente General, al Gerente de Asistencia Técnica y a las
personas que laboran en la Unidad de Apoyo Informática, a los cuales se les aplicó
entrevistas no estructuradas para obtener información adicional durante este proceso.
3.4.2. Fuente de Información Secundaria
Las fuentes de información secundaria utilizada durante el desarrollo de este informe
fueron: libros, documentos, periódicos, revistas, folletos, páginas web y planos.
3.5. Técnicas de Investigación.
Se aplicaron entrevistas no estructuradas al Gerente General, al Gerente de Asistencia
Técnica y a las personas que laboran en la Unidad de Apoyo Informática. Además, se usó
un cuestionario general cuyo formato se muestra en el anexo.
3.6. Metodología Empleada
A fin de darle un enfoque de sistema al presente trabajo, se utilizó la metodología
mostrada en el libro “Pensamiento de Sistemas: Práctica de Sistemas” [Checkland, P.;
1993], la cual contempla cuatro fases: 1) Visión Amplia del Sistema; 2) Diseño de Sistemas
Pertinentes; 3) Diseño de Algunos Cambios y 4) Implantación de Cambios.
Para estudiar el sistema actual y analizar la situación problemática, se aplicó la Fase I de
la metodología de Checkland y la Parte II del libro“Análisis y Diseño de Sistemas”
[Kendall, A. y Kendall, J.; 1997]. En la Fase I de la Metodología de Checkland se estudian
los aspectos generales y los aspectos críticos de un sistema. La Parte II del libro de Kendall
trata sobre la forma de diseñar y aplicar entrevistas y encuestas.
Para comparar el modelo conceptual con el sistema real en estudio y proponer un
modelo que permita mejorar el sistema actual, se usaron las Fases II y III de la metodología
de Checkland.
48
A fin de organizar o estructurar el informe final se empleó la metodología presentada
por Tulio Ramírez en su libro “Como Hacer un Proyecto de Investigación”, la cual consta
de los siguientes puntos: 1) El Problema, 2) Marco Teórico Referencial, 3) Diseño de la
Investigación, 4) Aspecto Administrativo, 5) Bibliografía, y 6) Anexos. También tomamos
en cuenta, para este punto, el “Manual para la Elaboración de Anteproyectos y Trabajos de
Grado” del Dr. Luis Márquez Gordones [UNA.; 1999].
49
C A P Í T U L O 4 ______________________
VISIÓN AMPLIA DE LA FUNDACIÓN
MUNICIPAL DE LA VIVIENDA
50
4.1. Reseña Histórica de ALCAVI.
Con el transcurrir de la modernización del Estado Venezolano, el Municipio tuvo que
asumir un mayor número de responsabilidades que están soportadas en nuevas y eficientes
estructuras. La modernización trajo consigo la descentralización y desconcentración del
Estado Venezolano y una de las áreas que ha dado el ejemplo es el sector vivienda; no solo
por la magnitud del problema planteado, como si por la diversidad de actores y gestores en
el sector, además de la presencia de un buen número de instrumentos legales que ayudan
mucho al cometido planteado.
Desde el año 1990, con la creación de la Ley de Política Habitacional, comienza a darse
en Venezuela un impulso inusitado a la creación de estructuras regionales que empezaron a
tener funciones nuevas, pero muy específicas, en la elaboración y ejecución de políticas de
vivienda.
Indudablemente que el factor estimulante fue la promulgación de la Ley de Política
Habitacional, ya que ésta obliga al Gobierno Nacional y los Gobiernos Regionales y
Municipales a disponer de un porcentaje obligatorio de recursos en sus respectivos
presupuestos, para que sean utilizados en la elaboración y ejecución de políticas de
vivienda.
Es así como nace la Fundación Municipal de la Vivienda (ALCAVI), la cual fue creada
el 14 de noviembre de 1996 por el entonces Concejo del Municipio Sucre del Estado Sucre
que funcionaba en Cumaná (ver Ordenanza Extraordinaria No. 199 del año 1996).
ALCAVI inicia sus actividades en el año 1997 y actualmente funciona en un edificio de dos
plantas que está ubicado en la Avenida Arismendi No. 179 de la Ciudad Primogénita (ver
anexo); y depende de la Alcaldía del Municipio Sucre del Estado Sucre.
51
4.2. Orientación Estratégica de ALCAVI
Los elementos estratégicos son un conjunto de definiciones orientadas a establecer
claramente cual es la razón de ser de la fundación y hacia donde debería orientarse la
gestión global de la institución.
Dentro de los elementos estratégicos se encuentran la misión, las políticas, las funciones
y los objetivos, los cuales se enuncian a continuación:
Misión: ALCAVI es una institución que tiene como misión la de contribuir a la solución
del problema habitacional de los habitantes del Municipio Sucre del Estado Sucre,
especialmente de aquellos ubicados dentro de los niveles I y II de la Ley de Política
Habitacional.
Políticas: La existencia de un organismo de vivienda como ALCAVI, permite al
Municipio participar más de cerca en lo que hasta ahora son las políticas fundamentales que
se plantean en el sector vivienda, como son la Consolidación de Barrios, la Construcción de
Nuevos Desarrollos y la Asistencia Crediticia Individual.
Funciones: Las funciones fundamentales de la Fundación Municipal de la Vivienda son:
Elaborar y ejecutar políticas municipales de vivienda, gerenciar recursos, elaborar y
ejecutar programas y proyectos, etc.
Objetivos: 1) Planificar, elaborar y ejecutar políticas y programas de viviendas. 2)
Elaborar y financiar proyectos e investigaciones. 3) Ejecutar y financiar soluciones
habitacionales. 4) Adquirir tierras, cumpliendo para ello toda la normativa legal vigente. 5)
Administrar o celebrar contratos de administración de soluciones habitacionales con entes
públicos y privados. 6) Crear una política popular de vivienda.
Los factores críticos de éxito están representados por todos aquellos aspectos que exige
el entorno donde opera la institución y cuyo cumplimiento satisfactorio garantiza el éxito
52
del servicio. Los factores críticos de éxito de la fundación, están íntimamente relacionados
con los clientes y el grado de satisfacción de sus necesidades, siendo éstos:
• Solidez: Imagen de solidez financiera; transparencia en la información; seguridad y
control de riesgo.
• Empatía: Identificación del cliente con la institución; confianza; imagen integral
(valores); respeto hacia el cliente.
• Calidad de servicio: Atención personalizada; capacidad y calidad de respuesta;
transmisión de seguridad y confianza; tecnología de vanguardia; servicio integral.
• Conocimiento del entorno: Estudio comparativo de calidad de servicios.
4.3. Descripción de ALCAVI.
La Fundación Municipal de la Vivienda presenta, en su estructura, una Gerencia General
(dependiente de la Alcaldía), conformada por una Gerencia de Asistencia Técnica y por 4
Unidades de Apoyo (Administración y Finanzas; Recursos Humanos; Captación,
Evaluación y Seguimiento de la Demanda; Prensa y Publicidad). A su vez, la Gerencia de
Asistencia Técnica, esta constituida por 3 Unidades de Apoyo (Informática, Sala de
Proyecto y Legal) y por 8 programas (Consolidación de Comunidades Organizadas, Banco
de Tierras, Regularización de la Tendencia de la Tierra, Financiamiento, Equipo
Maquinaria, Consolidación de Comunidades, Nuevos Desarrollo y Rehabilitaciones de
Urbanizaciones Populares) como se puede apreciar en el organigrama estructural que se
muestra en la figura 4.1.
ALCAVI ALCAVI
Organigrama Estructural de ALCAVI Fuente: U.A.Informática 25-11-2006
Figura 4.1
U.A. Informática U.A. Sala de Proyecto U.A. Legal
Prog. Consolidación de Comunid. Organizadas
Programa de Banco de Tierra
Programa Regul. de la Tenencia de la Tierra
Programa Financiamiento
Gerencia General
U.A. Administración y Finanzas U.A. Recursos Humanos U.A. Capt., Eval. y Seg. De la
Demanda U.A. Prensa y Publicidad
Alcaldía del Municipio Sucre
Gerencia de Asistencia Técnica
Equipo Maquinaria
Programa de Consolida- ción de Comunidades
Programa Nuevos Desarrollo
Programa IV-1 Rehabilitaciones de Urb. Populares
54
Gerencia General.
Planificar, dirigir y coordinar las actividades de la fundación, delegando
responsabilidades a nivel gerencial por área de especialización. Sus funciones principales
son:
- Dirigir la institución intentando que la misma cumpla sus objetivos y logre
excelentes niveles de desarrollo organizacional.
- Elaborar la Política General de la Fundación, en concordancia con la política
establecida por la Alcaldía del Municipio Sucre del Estado Sucre.
- Aprobar el Proyecto de Presupuesto de la Fundación Municipal de la Vivienda. El
Presupuesto aprobado debe estar en concordancia con la Política Presupuestaria que
fije el Alcalde del Municipio Sucre del Estado Sucre.
- Aceptar o rechazar las contribuciones que le sea hechas a la Fundación Municipal
de la Vivienda (ALCAVI).
- Aprobar el Reglamento Interno de la Fundación Municipal de la Vivienda. El
mismo debe ser del conocimiento del Alcalde del Municipio Sucre del Estado
Sucre.
- Aprobar la Política General de Sueldos, Salarios y contrataciones. La misma debe
estar en concordancia con las disposiciones legales que se dicten al respecto.
- Ejercer representación Legal de la Fundación Municipal de la Vivienda (ALCAVI).
- Conocer y resolver acerca de los Actos, Operaciones y Negocios que interesen a la
Fundación Municipal de la Vivienda (ALCAVI).
- Nombrar Apoderados Judiciales, quienes podrán ejercer las representaciones de la
Fundación en los términos que señale el respectivo mandato.
- Elaborar Proyectos de Presupuestos y presentarlos a la consideración del Alcalde
del Municipio Sucre, del Estado Sucre.
- Ejecutar el presupuesto de la Fundación Municipal de la Vivienda (ALCAVI).
- Nombrar y remover al Personal de la Fundación.
- Ejercer la Dirección General de todos los servicios y del Personal de la Fundación y
resolver todos aquellos contratos y operaciones que no estén atribuidas a otra
dependencia.
55
- Efectuar los traspasos créditos presupuestarios. entre programas, proyectos y
partidas en concordancia con lo que establezcan las disposiciones legales al
respecto.
- Preparar el informe anual de las Operaciones realizadas por la Fundación y
cualquier otro informe solicitado por el Alcalde del Municipio Sucre del Estado
Sucre.
- Autorizar las celebraciones de los compromisos financieros de conformidad con lo
establecido en la Ley General de Licitaciones y demás normativas vigentes.
- Dictar el Reglamento Interno de la Estructura Organizativa de la Fundación
Municipal de la Vivienda (ALCAVI).
- Estudiar y Evaluar las Políticas, Programas y Proyectos de la Fundación Municipal
de la Vivienda, estableciendo, así mismo, las normas de concesión de Créditos.
- Todas las demás Atribuciones que le señalen la Ordenanza y su Reglamento.
Gerencia de Asistencia Técnica.
Elaborar los sistemas de selección del cliente organizado o no que atiende ALCAVI y
generar las respuestas en términos de “proceso” y “solución habitacional”.
Administración y Finanzas.
Establecer los soportes administrativos de ALCAVI y responder por la viabilidad
administrativas de las políticas de la Fundación Municipal de la Vivienda.
Recursos Humanos.
Administrar la política de personal de ALCAVI. Sus principales funciones son:
- Elaborar y administrar los programas de beneficio social para el personal de
ALCAVI.
- Elaborar y ejecutar instrumentos que sistematicen el seguimiento de las
obligaciones y derechos del personal.
56
- Instrumentar los sistemas de medición de los diferentes niveles de satisfacción e
insatisfacción del personal.
- Crear y ejecutar sistemas de selección y adiestramiento del personal.
- Administrar el control de nómina de ALCAVI.
Captación, Evaluación y Seguimiento de la Demanda.
Crear y administrar un sistema de recepción, evaluación y seguimiento de la demanda
que expresan los clientes de ALCAVI. Además; organizar y jefaturar el área de recepción
de Fundación Municipal de la Vivienda.
Prensa y Publicidad.
Administrar la imagen y publicidad de ALCAVI. Además, ejercer la representación de
la Fundación Municipal de la Vivienda y el montaje de actividades masivas.
Informática.
Elaborar, administrar y ejecutar la política de informática de la Institución. Sus
funciones principales son:
- Elaborar y ejecutar las políticas de mantenimiento de los equipos de ALCAVI.
- Elaborar y ejecutar políticas y programas de adiestramiento para el personal de
ALCAVI.
- Orientar las políticas de adquisición de programas y equipos de la institución.
- Administrar las instalaciones de programas y equipos de ALCAVI.
- Todo aquello que indique su inmediato superior.
57
Unidad Legal.
Asesorar a la institución a través de la Gerencia General o a quien este responsabilice
para tal fin.
Conjunto de Programas.
Sus principales funciones son:
- Crear un banco de diagnóstico de tierras para la atención de demanda individual y
colectiva dentro del Municipio Sucre.
- Crear un instrumento institucional gestor de recursos dentro y fuera del Estado
Sucre.
- Crear un instrumento institucional Municipal gestor de la adquisición de tierras
urbanizables tanto para demanda individual como para la colectiva.
- Responder a la demanda de Soluciones Habitacionales de las comunidades
Organizadas, creando o reforzando los procesos integrales y autogestionarios de
consolidación y Rehabilitación de Comunidades Urbanas y Rurales.
4.4. Aspectos Generales de la Unidad de Apoyo Informática.
La Unidad de Apoyo Informática de la Fundación Municipal de la Vivienda tiene por
objetivo principal, planificar, controlar y ejecutar las acciones referentes al desarrollo de
sistemas, procesamiento y distribución de la información, además del mantenimiento y
dotación de equipos automatizados e instalación de redes en la institución.
La Unidad de Apoyo Informática reporta directamente a la Gerencia General y se
encarga de supervisar la Coordinación de Atención al usuario, Gerencia de Asistencia
Técnica, las demás Unidades y los Programas.
En el año 1998 se procedió a instalar una Red de computadoras (LAN Ethernet 802.3
con Topología en Estrella Extendida) para optimizar el flujo de información entre las
58
diferentes dependencias de la Institución, a través de la interconexión de diversos equipos,
permitiendo el acceso común a recursos compartidos como documentos, correo electrónico
e Internet.
La información más reciente que se posee sobre los equipos, fue hecha por el estudiante
Rafael A. Figuera en un informe de Pasantía titulado “Auditoría de la Red LAN Instalada
en la Fundación Municipal de la Vivienda (ALCAVI), del Municipio Sucre del Estado
Sucre” en el año 2004, del cual extraemos un pequeño resumen.
Actualmente, la Red presenta las siguientes especificaciones:
• Hay cuarenta y un (41) puntos de Red en toda la edificación (21 en planta alta y 20 en
la planta baja).
• Un servidor Intel Pentium 166 MHz y 26 PC de escritorio. Todas ensambladas con
piezas genéricas, menos uno que es de marca HP.
• Un Switch de 10/100 Mbps y un Hub de dieciséis (16) puertos de 10/100 Mbps cada
uno, ambos de marca 3com.
• Sistema operativo de Red: Windows Nt server versión 4.0. Protocolo de transmisión
TCP/IP.
• Una base de datos que actualmente contiene doce mil (12.000) registros
La Unidad de Apoyo Informática, como todo centro de procesamiento de información
debe contar con mecanismos que permitan la evaluación y revisión de sus sistemas, equipos
y estructura organizativa. Esta función es desempeñada por el Departamento de Auditoría
de Sistemas, el cual no ha sido creado en la institución; sin embargo se puede decir, según
la Ordenanza de Creación de ALCAVI (artículos 15 y 19), que tanto la Alcaldía como la
Contraloría del Municipio Sucre del Estado Sucre, tienen como función, la de controlar,
supervisar, orientar y tutelar la Fundación Municipal de la Vivienda.
59
4.5. Aspectos Críticos.
El objeto de estudio es diseñar un modelo de auditoría de sistemas que debe aplicarse al
área de informática. Sin embargo una vez establecidos los contactos con cada uno de los
entes involucrados, se pudo constatar que por el mismo hecho de no estar realizándose las
auditorías, se están pasando por alto aspectos importantes para el control y revisión de las
operaciones relacionadas con el procesamiento de la información. El estudio detallado del
área de informática, servirá de guía para la definición de las actividades que deben tomarse
en consideración para la elaboración de un plan de evaluación y control de dicha Unidad.
Un aspecto que no puede descuidarse al momento de conocer la situación de la Unidad
de Apoyo Informática, es que éste es el centro de procesamiento de todas las operaciones
que se realizan en la institución; además se encarga de atender todos los requerimientos de
los usuarios con relación al uso y mantenimiento de los equipos computarizados, y de la
instalación de redes de la fundación. Por esto, todo cambio en sus políticas o plan
estratégico a seguir, influye directamente en las actividades que se realizan, especialmente
en el número de solicitudes de sistemas, o de cambios a los ya existentes.
Con respecto a la carencia de programas de Auditoría de Sistemas correspondiente al
área de procesamiento electrónico de datos, se pueden observar que los principales efectos
que produce son:
• La revisión y evaluación de controles en el área de informática son deficientes.
• Fallas en la documentación de los sistemas realizados en el área.
• Deficiencia en la utilización de los sistemas de registros; lo cual se debe principalmente
a que existe poca disponibilidad de tiempo para la documentación de la programación y
la operación.
• No existen planes de contingencia en el Centro de Cómputo.
• Bajo nivel de concientización en materia de seguridad y control.
• No existe una persona responsable de todas las actividades realizadas en la Unidad de
Apoyo Informática.
60
Una vez que se ha estudiado a fondo la situación existente en la Unidad de Apoyo
Informática de la Fundación Municipal de la Vivienda, se han podido detectar los focos de
dificultades que están afectando el desarrollo eficiente de sus actividades, lográndose de
esta manera estructurar la “situación problemática”, en la cual cada uno de los focos o
problemas se interconectan según lo mostrado en la figura 4.2. De esta manera puede
exhibirse la situación de forma que se puedan revelar un rango de soluciones posibles y
pertinentes, que conlleven a la definición de cambios que mejoren la situación actual.
Figura 4.2. Efectos producidos por la carencia de programas de Auditoría de Sistemas
La revisión y evaluación de controles en el área de Informática es deficiente
Carencia de programas de Auditoría de Sistemas en el área de procesamiento electrónico de datos
No existen planes de contingencia en el Centro de Cómputo
Fallas en la documenta- ción de los sistemas realizados en el área
Deficiencias en la utiliza- ción de los sistemas de re- gistro de fallas y servicios
Bajo nivel de concientiza- ción en materia de seguridad y control
Poca disponibilidad de tiempo para la documen- tación de las actividades de programación y operación
No existe responsable de la U. de A. Informática
61
C A P Í T U L O 5 ______________________
DISEÑO DE UN MODELO CONCEPTUAL
62
5.1. Diseño de Sistemas Pertinentes a la Unidad de Apoyo Informática de ALCAVI.
Concluida la etapa de observación del sistema objeto de estudio, es necesario realizar su
conceptualizacion, mediante la cual se pretende lograr un aprendizaje que conlleve a la
toma de decisiones concernientes a la mejoría de la situación problemática. Esta
conceptualizacion se inicia con el diseño de sistema de actividades pertinentes a la
situación problemática, y culmina con la construcción de un Modelo Conceptual, que
describa las actividades mínimas para su funcionamiento, así como sus correspondientes
relaciones con los elementos externos que afectan el sistema.
Las Definiciones Raíces representan los sistemas de la actividad humana que tratan de
expresar nociones sobre el sistema desde distintos puntos de vista, en este caso sobre la
Unidad de Apoyo Informática de ALCAVI, para lo cual se solicitó la opinión del personal
de las diferentes áreas de la institución. Posteriormente debe seleccionarse la que conlleve a
cambios factibles, tendentes a mejorar la situación actual.
5.1.1. Definiciones Raíces.
A continuación se presentan cinco definiciones raíces, correspondientes a diferentes
perspectivas de la Unidad de Apoyo en estudio.
Definición Raíz Número Uno.
“La Unidad de Apoyo Informática es un sistema de apoyo gerencial y de control de la
Fundación Municipal de la Vivienda, que suministrando sistemas de información a las
diversas unidades de la institución, garantiza la optimización de sus operaciones y la
obtención de beneficios máximos, orientada por las políticas de la institución”.
63
Definición Raíz Número Dos.
“La Unidad de Apoyo Informática es un sistema de satisfacción de los requerimientos de
información de la Gerencia General y las Unidades de Apoyo, de forma que se logre un
incremento de la eficiencia en el trabajo y que se opere bajo condiciones óptimas,
cumpliendo con las normas de la institución”.
Definición Raíz Número Tres.
“La Unidad de Apoyo Informática es un sistema de optimización de las operaciones de
la institución, que suministrando los sistema computarizados, garantiza el cumplimiento de
sus actividades y la administración eficiente que conlleve a una adecuada toma de
decisiones, verificando los procedimientos de ALCAVI”.
Definición Raíz Número Cuatro
“La Unidad de Apoyo Informática es un sistema que se encarga de proporcionar los
requerimientos de información a las distintas unidades de la fundación, garantizando el
suministro de sistemas y equipos computarizados que contribuyan a brindar un mejor
servicio a su clientela, cumpliendo con las normas de la Institución”.
Definición Raíz Número Cinco.
“La Unidad de Apoyo Informática es un sistema de soporte para el procesamiento de
información de ALCAVI, que permite la optimización de sus operaciones a través de la
planificación, coordinación y ejecución de las acciones inherentes al desarrollo y
mantenimiento de sistemas, controlando la utilización de los equipos computarizados
requeridos por las diversas unidades de la fundación, contando a su vez con una
organización adecuada del Centro de Cómputo, y evaluando constantemente que todas las
operaciones estén dirigidas al cumplimiento de las políticas, normas y procedimientos
establecidas para el área y para la Institución en general”. (Ver figura 5.1)
64
Requerimientos
Sistemas de Organización Proceso ALCAVI Información
Sistemas Unidad de Apoyo Informática
Figura 5.1. Definición Raíz Número Cinco
Apoyo y control
Optimización de operaciones y beneficios máximos
Equipos
65
5.1.2.- Selección de la Definición Raíz
Seleccionar la definición raíz más apropiada, amerita de una decisión que esté acorde
con las personas involucradas en el sistema, ya que de ellos depende el establecimiento de
algunos cambios que puedan resultar factibles y a corto plazo, para la solución de la
problemática presentada. Es por esta razón que se seleccionó la definición raíz número
cinco, ya que abarca todos los aspectos de las actividades desarrolladas en el área de
informática, incluyendo además la evaluación de dichas actividades; hecho que conlleva a
la realización de la Auditoria de Sistemas, motivo esencial del estudio.
En cuanto a las otras definiciones raíces, se puede acotar que no fueron seleccionadas,
ya que están orientadas hacia fines muy particulares, por lo que no ofrecen una perspectiva
de lo que realmente representa el área estudiada, y además deja a un lado elementos que
puedan permitir el desarrollo de actividades relacionadas con la Auditoría de Sistemas.
La definición raíz número uno está dirigida básicamente hacia el cumplimiento de los
objetivos de la organización, considerando a esta área como un factor que contribuye
notablemente a la eficiencia de la fundación al permitir la optimización de las operaciones y
la minimización de errores o fraudes que puedan afectar la Institución.
La definición raíz número dos ofrece una visión enfocada a nivel de los usuarios que
solicitan los servicios de la Unidad de Apoyo Informática, por lo que sólo se espera el
incremento de la eficiencia de sus operaciones, pasándose por alto las necesidades internas
para solventar las fallas existentes en esta unidad.
La definición raíz número tres, de igual forma no garantiza que la Unidad de Apoyo
Informática funcione de una forma eficiente, ya que sólo se espera que ésta proporcione los
requerimientos de información para el cumplimiento de las operaciones realizadas en la
Institución.
La definición raíz número cuatro coloca el área de Informática como un sistema de
servicio de la Fundación para la atención del publico, tomando a los sistemas de
66
información y a los equipos como herramientas que contribuyen a la satisfacción de estas
necesidades.
5.2 Diseño de un Sistema de la Actividad Humana.
Una vez que se ha seleccionado la definición raíz acorde con el sistema en estudio, se
prosigue con la conceptualizacion del sistema de actividad humana, según los verbos que
aparecen explicita o implícitamente en dicha definición. Los verbos que se van a relacionar
son los siguientes: PROCESAR, DESARROLLAR Y MANTENER, CONTROLAR,
ORGANIZAR Y EVALUAR (ver figura 5.2).
67
Requerimientos: Materiales e insumos, Solicitud de Sistemas equipos, personal, etc. Computarizados
Información sobre: Incumplimiento de Políticas, Normas y Procedimientos; utilización de equipos,
Eficiencia, seguridad, controles, etc.
: Relaciona verbos
Figura 5.2. Modelo Conceptual.
Procesar:
Información
Organizar:
Estructura Orgánica
Desarrollar y Mantener:
Sistemas de Información
Controlar:
Equipos Computarizados
Evaluar:
Operaciones
68
5.2.1. Actividades Mínimas que Contempla el Modelo.
En esta sección se describen cada uno de los verbos expuestos en el modelo conceptual
y por consiguiente las actividades detalladas para los mismos
PROCESAR:
1.- Realizar el procesamiento electrónico de la información.
2.- Controlar y planificar el trabajo del Centro de Cómputo.
3.- Garantizar y controlar la comunicación entre los terminales y el computador
central.
4.- Disponer de mecanismo para el control de fallas de los dispositivos del sistema de
cómputo y servicios auxiliares.
5.- Establecer controles para definir la utilización de los equipos.
6.- Velar que el proceso de datos sea óptimo y continuo.
DESARROLLAR Y MANTENER.
7.- Cumplir con los estándares establecidos para el análisis, programación y documentación
de sistemas.
8.- Desarrollar los módulos, listados, bases de datos, pantallas que requiera ALCAVI, bien
sea en el sistema principal o a nivel de micro.
9.- Actualizar los registros para el control de modificaciones de sistemas.
10.- Disponer de medios para el almacenamiento de los programas y archivos existentes.
69
CONTROLAR:
11.- Brindar apoyo técnico a las diversas unidades de ALCAVI en relación con la
adquisición de software y hardware del ambiente de Microcomputación.
12.- Atender los requerimientos de las diversas unidades de la institución, en relación con el
uso de software y hardware de Microcomputación.
13.- Establecer mecanismos para la realización del mantenimiento de los equipos.
14.- Formular las medidas necesarias para controlar la seguridad en la utilización de los
equipos y en el personal.
15.- Supervisar constantemente las actividades de la institución.
ORGANIZAR.
16.- Establecer niveles jerárquicos y líneas de autoridad acordes con los requerimientos del
área.
17.- Asignar personal calificado en cada una de las áreas de de la Unidad de Apoyo
Informática.
18.- Adaptar el personal al crecimiento de la organización.
19.- Determinar estrategias de operación: normas y procedimientos, objetivos y políticas,
planes de trabajo, controles, cuadros ocupacionales, etc.
20.- Establecer las áreas que proporcionan apoyo para el cumplimiento de sus funciones.
21.- Elaborar programas de capacitación para el personal del área.
70
22.- Proporcionar condiciones y ambiente de trabajos acordes con las actividades
realizadas.
23.- Motivar al personal.
EVALUAR:
24.- Elaborar un plan que permita la revisión y evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, y de la organización que participa en el procesamiento de la información.
5.2.2. Requerimientos de Cada Actividad.
Cada una de las actividades pertenecientes al modelo conceptual debe ser detallada por
separado, de forma que se pueda especificar toda la información necesaria para llevarla a
cabo en caso de que así se requiera.
1. Realizar el procesamiento electrónico de la información.
Para el procesamiento de información de las operaciones; es necesario proporcionar
todos los requerimientos que van a permitir su desarrollo: instalaciones físicas, personal,
equipos y sistemas.
En primer lugar se requiere de un Sistema Automático Central que permita la
realización eficiente de todas las operaciones. Este sistema informático debe incluir:
• El hardware o equipos que constituyen el sistema.
• El software asociado y los programas de computación para uso del computador.
• Sistema que permita la realización de las operaciones de la institución.
• Elementos de seguridad y documentación necesaria tanto para la programación,
modificación, operación y mantenimiento.
71
Las condiciones operativas del equipo son de gran importancia, por esto debe tomarse
muy en cuenta sus consideraciones específicas y ambientales, según estos requerimientos se
debe proveer de un área especial para la disposición del sistema central, el cual además
debe estar limitado sólo al personal autorizado.
Por último es necesaria la presencia de los operadores que se encargaran del monitoreo
de los procesos y de todas las operaciones relacionadas con el manejo y control del equipo.
2. Controlar y planificar el trabajo del Centro de Cómputo.
Los requerimientos necesarios para el cumplimiento de esta actividad son:
• Determinar los horarios y turnos de los operadores.
• Establecer un programa de trabajo, tomando en cuenta los siguientes aspectos:
- Corridas especiales
- Corridas de pruebas de sistemas en desarrollo
- Respaldo de información.
- Incorporación de nuevos sistemas.
- Demanda inesperadas.
- Fallas de la maquina.
- Otros.
• Elaborar los procedimientos para la operación del sistema.
• Control de todo el sistema de operación (personal-máquina).
Para lograr que cada uno de estos requerimientos se cumpla, debe contarse con un Jefe
del Centro de Cómputo o área de operación, que coordine todas las actividades relacionadas
con este aspecto.
3. Garantizar y controlar la comunicación entre los terminales y el computador
central.
La organización estudiada se caracteriza por poseer la administración principal
centralizada en una oficina, la cual se encuentra en el mismo edificio que las demás
72
oficinas. Es por esto que se requiere de un sistema de comunicación efectivo para
garantizar el cumplimiento de todas las operaciones efectuadas. Para el establecimiento de
esta comunicación es necesario:
• Establecer las características de la red de comunicación, especificando los equipos
y tecnologías utilizadas.
• Disponer de una plataforma institucional adaptada a las necesidades existentes, y darle
el mantenimiento adecuado.
• Establecer gestiones para los derechos de acceso.
• Entrenar a los usuarios con relación a la forma adecuada de conexión y a la protección
de sus claves de acceso.
• Mantener registro de los usuarios, de forma tal de poder eliminar o modificar las
claves de usuarios oportunamente.
• Monitorizar el funcionamiento general del sistema de comunicaciones.
4. Disponer de mecanismos para el control de fallas de los dispositivos del sistema de
cómputo y servicios auxiliares.
Es necesario mantener registros actualizados (en forma manual o automatizado) de las
fallas de los dispositivos del sistema y servicios auxiliares, ya que esto permite la
identificación a futuro de los problemas más recurrentes o fallas mayores que afectan al
funcionamiento de la sala de máquinas.
Generalmente a este tipo de registro se le denomina Bitácora, en el cual no solo se
registran las fallas, sino que además permite almacenar las corridas de procesamientos
regulares, y elaborar un informe por turnos de todas las excepciones de operación.
La información que debe registrarse en el momento de la falla es:
• Fecha y hora de presentación de la falla.
• Hora de reanudación.
• Procedimiento de reanudación.
• Operador de turno.
73
Se debe contar con un personal que se encargue de monitorear y ofrecer soluciones
oportunas a las fallas presentadas.
5. Establecer controles para definir la utilización de los equipos.
El porcentaje de utilización del sistema de cómputo es una variable primordial para
evaluar el rendimiento real con el programado, además que proporciona medios para
sustentar cualquier solicitud de expansión de la configuración actual.
Para determinar adecuadamente la utilización del sistema de cómputo es necesario
mantener registros con la siguiente información:
• Tiempo de uso del procesador central.
• Tiempo de compilación y prueba de fallas.
• Tiempo dedicado a producción.
• Tiempo dedicado a mantenimiento correctivo y preventivo.
• Tiempo de operación.
• Tiempo de fallas de los dispositivos.
• Tiempo de uso de cada unidad de disco.
• Tiempo ocioso.
• Tiempo de uso de terminales.
• Tiempo de uso de impresoras.
• Tiempo de reproceso.
• Tiempo de computadora utilizado en demostraciones.
• Tiempo de falla por servicios auxiliares.
• Número de programas corridos por computador.
• Número de programas objeto ejecutados.
La información obtenida a través de estos registros, permite la formulación de
estadísticas referentes a la utilización de los equipos, incluyendo además la frecuencia de
falla de los mismos y las estadísticas de producción por aplicación.
74
Por otro lado se hace necesario el establecimiento de controles para definir el uso que se
le da al equipo, para evitar:
• Utilización de la computadora por parte de los programadores para conocer sus
errores, sin hacer pruebas de escritorios.
• Utilización del equipo para aplicaciones ajenas a la organización.
• Personal de la dirección de informática que utiliza la computadora para trabajos
personales, o trabajos no autorizados
• Programas que por estar mal elaborados, degradan la máquina.
• Degradación del equipo por fallas en equipos periféricos.
6. Velar que el proceso de datos sea óptimo y continuo.
Mantener la continuidad en el proceso de datos es imprescindible para la eficiente
realización de las operaciones institucionales, por esto se requiere de lo siguiente:
• Procedimientos formales para la operación del sistema de cómputo, los cuales deben
mantenerse actualizados, que indiquen las instrucciones especificas para cada proceso.
• Instrucciones de operación que mantengan al operador informado sobre los
procedimientos a seguir en los casos de caída parcial o total del sistema. Este tipo de
instructivo suele denominarse Manual de Contingencias, el cual en este caso debe ser
considerado como de tipo puntual, ya que sólo abarcará aspectos relacionados con el
mantenimiento de la operatividad para circunstancias irregulares durante el proceso.
La información que debe mantenerse en este sentido es:
- Problemas de ocurrencia continua y los procedimientos a seguir para corregir las
dificultades.
- Lista de personas a quienes notificar en caso de que se requiera mantenimiento
inmediato.
- Procedimientos de recuperación de procesos de gran duración.
• Instruir a los operadores sobre funciones rutinarias de mantenimiento de dispositivos
que así lo requieran.
• Mantener programas de diagnóstico y supervisión para detectar y aislar las
condiciones de error, que permitan la acción correctiva oportuna y adecuada.
75
• Establecer controles que permitan la revisión de los datos introducidos, a fin de
verificar que se procesen en forma exacta todas las transacciones.
7. Cumplir con los estándares establecidos para el análisis, programación y
documentación de sistemas.
Esta actividad requiere de la utilización del Manual de Sistemas y Procedimientos,
específicamente del tópico relativo a los convencionalismos y procedimientos estándar de
programación; el cual tiene como objetivo, establecer los procedimientos de estándares para
el vocabulario, los convencionalismos de programación, los procedimientos de depuración
y métodos de documentación. Los aspectos que deben ser considerados son:
• Convencionalismos para diagramas de flujo.
• Convencionalismos para cuadros de decisiones.
• Convencionalismos de decisión.
• Glosario estándar y abreviatura estándar.
• Técnicas estándar de programación.
• Procedimientos a seguir en la depuración de fallas.
• Estándares de documentación.
• Procedimientos para la realización de cambios en los programas.
Es necesario que los analistas y programadores tomen muy en cuenta los procedimientos
de operación para el desarrollo de sistemas, ya que de esta manera puede realizarse un
mantenimiento más efectivo del mismo, en el caso que así se requiera.
8. Desarrollar los módulos, listados, base de datos, pantallas que requiera ALCAVI,
bien sea en el sistema principal o a nivel de micro.
Una de las actividades principales realizadas en todo Centro Informático, es el desarrollo
de los sistemas requeridos por los usuarios de la organización para la automatización de
sus operaciones. Este proceso se ve favorecido, si se utilizan prioridades a la hora de
asignar los proyectos y se realiza una planificación adecuada en relación con el plazo para
su culminación. La información que debe mantenerse en este sentido es:
76
• Inventario de sistemas en proceso, el cual debe incluir la descripción de su situación:
- Planeada para ser desarrollada en el futuro.
- En desarrollo.
- En proceso, pero con modificaciones en desarrollo.
- En proceso con problemas detectados.
• Calendario de actividades para el análisis y programación, y su control.
• Control del programador.
Para cumplir satisfactoriamente con esta actividad es necesario que exista una persona
que supervise directamente el cumplimiento de cada una de las etapas en el desarrollo de
sistemas, destinándose un cargo especial para ello.
9. Actualizar los registros para el control de modificaciones de sistemas.
Esta actividad es de vital importancia ya que permite el mantenimiento de la
información concerniente a los sistemas desarrollados y sus modificaciones, lográndose así
un mayor control de los mismos. Este control de modificaciones resultaría más efectivo si
se realiza en forma automatizada, conteniendo la siguiente información:
• El Sistema Principal, luego el Módulo que requiere modificación, y por último el
Programa especifico desarrollado.
• Analista encargado del proyecto.
• Usuario solicitante.
• Fecha de solicitud.
• Fecha de prueba.
• Fecha de entrega.
• Fecha de pase a producción.
Para cumplir satisfactoriamente con esta actividad, los analistas deben mantener al día la
información sobre los proyectos asignados.
77
10. Disponer de medios para el almacenamiento de los programas y archivos
existentes.
Los dispositivos de almacenamiento, son parte importante en todo centro de cómputo,
ya que permiten que se mantengan los respaldos de todos los archivos.
Para cumplir con esta actividad se requiere del establecimiento de una Biblioteca de
Procesamiento de Datos, en el cual se almacenan las cintas y disquetes disponibles. El local
asignado para este fin debe poseer lo siguiente:
• Aire acondicionado.
• Protección contra el fuego.
• Cerradura especial.
• Controles de temperatura y humedad.
La información mínima para el mantenimiento del inventario es:
• Identificación de los discos removibles (Número de serie).
• Nombre o clave del usuario.
• Nombre del archivo lógico.
• Nombre del sistema que lo genera.
• Fecha de generación del archivo.
• Fecha de expiración del archivo.
• Número de volumen.
Para el correcto funcionamiento de la cintoteca y discoteca es necesario que exista un
responsable de controlar su contenido y funcionamiento, por lo que debe asignarse un
bibliotecólogo para que realice todas las operaciones inherentes a su manejo, las cuales
deben estar especificadas en el manual de procedimientos de la Unidad de Apoyo. Además
se debe asegurar que exista un sistema computarizado para el control de archivos (discos
removibles).
78
11. Brindar apoyo técnico a las diversas unidades de ALCAVI en relación con la
adquisición de software y hardware del ambiente de Microcomputación.
La finalidad de esta actividad es que el área de informática contribuya con el
departamento de compras en la adquisición de software y hardware de la institución,
proporcionando la especificación adecuada según los requerimientos existentes.
Para cumplir con este fin es necesario contar con personal capacitado en el ambiente de
Microcomputación, de forma que pueda establecer con precisión el equipo que se adapte a
las necesidades de los usuarios. Para ello es imprescindible el establecimiento de
parámetros de selección que permitan convertir los requerimientos de operación
establecidos por las especificaciones funcionales y/o técnicas de los sistemas y equipos, en
variable que dimensionen los productos a evaluar y seleccionar.
De esta forma puede ofrecerse al ente encargado de la adquisición del software y
hardware lo siguiente:
• Requisitos exactos y aspecto funcional del hardware y el software a ser seleccionado, lo
cual servirá para informar a los vendedores.
• Una guía para evaluar las ofertas.
• Obtener de los oferentes la información precisa sobre las especificaciones de software y
hardware para de este modo poder evaluar los parámetros seleccionados.
12. Atender los requerimientos de las diversas unidades de la institución, en relación
al uso de software y hardware de Microcomputación.
Esta actividad es primordial para garantizar la operatividad de las unidades, ya que se
requiere de un personal a cargo de todas las actividades relacionadas con la instalación,
programación, modificación y mantenimiento de Microcomputadoras, a fin de garantizar el
buen funcionamiento de los sistemas.
Para atender eficientemente estos requerimientos se hace necesario:
79
• Mantener un inventario completo de todo el equipo físico, incluyendo computadoras,
impresoras, módem y demás. Esto involucra la utilización de registros para el control
del traslado de los equipos, en los cuales se especifique:
- Fecha.
- Unidad que proporciona el equipo
- Unidad que lo recibe.
- Características del equipo.
• Contar con los implementos necesarios para realizar labores de mantenimiento
rutinarios.
• Realizar registros de todas las actividades relacionadas con los equipos, con la siguiente
información:
- Fecha.
- Unidad solicitante (Gerencia, Unidad, Programa).
- Informática del usuario (Nombre, Código, Teléfono).
- Problema presentado y solución propuesta.
Esta actividad puede verse favorecida, si se guía e instruye adecuadamente a los
usuarios sobre el manejo del equipo físico, los programas del sistema, los programas de
aplicación, la seguridad y el respaldo.
13. Establecer mecanismos para la realización del mantenimiento de los equipos.
Esta actividad requiere de la siguiente información:
• Tipo de mantenimiento requerido por cada equipo.
• Número de fallas, frecuencia y tiempo de reparación.
• Personal autorizado para mantenimientos eventuales.
• Empresas de mantenimiento, y tipo de servicio que prestan.
80
14. Formular las medidas necesarias para controlar la seguridad en la utilización de
los equipos y en el personal.
Los controles de seguridad son un medio para preservar los datos esenciales, y una
protección contra los errores de computación que no pueden ser detectados de otra manera.
Estos controles deben estar estandarizados para las operaciones diarias. Para lograr que esta
seguridad se cumpla es necesario mantener la siguiente información:
• Claves de acceso del personal autorizado, especificando la forma en que pueden acceder
a los archivos del sistema.
• Indicadores dentro del sistema de computación para detectar el momento en que se
produce un cambio o fraude en el mismo.
• Grado de riesgo que poseen los sistemas de computación (alto, mediano, pequeño), y
medidas a tomar dependiendo del nivel de seguridad que se requiera.
• Personal indispensable para la organización, representado por aquellos empleados que
son muy difíciles de sustituir; lo cual pone en riesgo el funcionamiento de la
organización. Para detectar el personal indispensable deben establecerse políticas
adecuadas de rotación del personal.
• Estadísticas sobre violaciones a los procedimientos en el uso de la computadora.
15. Supervisar constantemente las actividades de la institución.
Esta actividad es primordial para garantizar el funcionamiento de la organización, ya
que se requiere de un personal para vigilar que se alcancen los objetivos y se cumplan con
las políticas de la fundación.
Para atender eficientemente este requerimiento es necesario:
• La observación directa y continua de las actividades de cada una de las unidades de
ALCAVI.
• Controlar las actividades del personal.
• Que el personal realice las actividades establecidas de acuerdo con los objetivos
definidos por la institución.
• Que los equipos de cómputo se le dé un uso adecuado.
81
• Que el personal que labora en la institución cumpla con el horario establecido.
16. Establecer niveles jerárquicos y líneas de autoridad acordes con los
requerimientos del área.
La estructura organizativa de la Unidad debe estar acorde con los objetivos fijados para
el área, y debe permitir que se lleve a cabo con eficiencia lo siguiente:
• Atribuciones encomendadas.
• Funciones establecidas.
• Distribución del trabajo.
• Control interno.
Para cumplir con este propósito es necesario que se establezcan controles en el área de
Informática para Evaluar la estructura organizativa de la Unidad, a fin de detectar
deficiencias en este sentido. Dichas deficiencias deben ser notificadas al ente encargado del
establecimiento de los niveles jerárquicos y líneas de autoridad de la Institución, de forma
que se tomen las medidas adecuadas.
Los aspectos que se deben tomar en cuenta para esta evaluación son:
• Desarrollo adecuado de la operación y supervisión.
• Agilidad en la comunicación ascendente y descendente.
• Toma de decisiones.
• Interrelación adecuada de los organigramas totales con el organigrama de la Unidad.
A través de los organigramas se puede dar una imagen general de la estructura de la
Unidad de Apoyo Informática, indicando los niveles máximos de autoridad en la parte
superior, unidos por líneas hasta los niveles inferiores, que representan la comunicación de
autoridad y responsabilidad a cada nivel.
82
17. Asignar personal calificado en cada una de las áreas de la Unidad.
La Unidad de Apoyo Informática debe participar directamente con Recursos Humanos
en la selección de personal de sus empleados, ya que es necesario que informe en forma
clara y precisa sobre los requisitos que deben incluirse para desempeñar cada cargo. Este
proceso puede verse favorecido si se toman en cuenta los siguientes aspectos:
• Las funciones del área deben estar acordes con las atribuciones legales.
• Evitar la duplicidad en el cumplimiento de las funciones, hecho que ocurre cuando no se
dan a conocer claramente a nivel general.
• Adaptar las funciones a las cargas de trabajo.
• Las actividades realizadas deben corresponder con las funciones asignadas.
• La competencia y la capacitación son factores primordiales, pero no debe pasarse por
alto la deontología profesional.
18. Adaptar el personal al crecimiento de la organización.
Dentro de toda organización, el recurso humano es de vital importancia para el
cumplimiento de las actividades, es por esto que debe ir creciendo al mismo ritmo de ésta.
Para lograr este propósito se requiere:
• Realización de Comités de planeación, que se dedique a la elaboración de métodos de
planeación de personal como parte integral de los planes a largo plazo de la entidad,
para predecir las necesidades futuras de personal.
• Tomar medidas dentro del área de Informática para realizar revisiones periódicas de sus
empleados, de forma tal de evaluar que el trabajo efectuado esté acorde con los planes a
corto y mediano plazo de la organización, y resaltar así los requerimientos existentes.
• Mantener en vigencia planes de entrenamiento para sustitutos de personal, que permitan
proteger las posiciones claves, en caso de requerir la ampliación en determinadas áreas.
Esto contribuye al mantenimiento de la continuidad de las operaciones, y da paso al
personal que cubrirá las vacantes o nuevas posiciones.
• Establecer los controles adecuados para que los planes del personal satisfagan las
necesidades desde el corto hasta el largo plazo.
83
• Garantizar que las tasa de sueldos y salarios, incluyendo los beneficios marginales, se
comparen favorablemente con el área en el que se ubica la fundación.
El área de Informática debe mantenerse en constante comunicación con los entes
encargados de todo lo referente al personal de la organización. Por esta razón se amerita de
su intervención en el Comité de Planeación de Personal.
19. Determinar estrategias de operación: normas y procedimientos, objetivos y
políticas, planes de trabajo, controles, cuadros ocupacionales, etc.
Determinar las estrategias de operación en el área de informática, constituye parte
importante de la planeación, al permitir el establecimiento formal de las estrategias a seguir
para el cumplimiento de las metas propuestas.
Esta actividad amerita de la elaboración por escrito de lo siguiente:
• Normas y procedimientos a seguir durante:
- El análisis y diseño del sistema.
- Programación e implantación.
- Preparación y controles de la entrada/salida.
- Instrucciones y procedimientos para las Unidades y usuarios.
• Objetivos del área, los cuales deben ser congruentes con las otras Unidades de la
Institución.
• Políticas que contribuyan al desarrollo de sus actividades.
• Controles, los cuales abarcan aspectos relacionados con la gestión, la operación, los
procedimientos, el rendimiento y los datos.
• Cuadros ocupacionales, los cuales describen en forma general cada puesto, definiendo
autoridad, responsabilidad, atribuciones y relaciones.
Cada uno de estos aspectos deben ser comunicados claramente al todo el personal, para
que de esta manera contribuyan a su cumplimiento.
84
20. Establecer las áreas que proporcionan apoyo para el cumplimiento de sus
funciones.
El área de informática participa activamente en el cumplimiento de los objetivos de la
organización, al incrementar la eficiencia en el trabajo, por lo que constituye un gran apoyo
para todas las áreas de la Institución. Sin embargo, ésta también requiere que otras áreas
proporcionen apoyo para el desarrollo de sus actividades. Por esta razón debe mantenerse
información sobre:
• Áreas que proporcionen apoyo.
• Tipo de apoyo brindado.
• Frecuencia.
• Cómo resolver la falta de apoyo.
21. Elaborar programas de capacitación para el personal del área.
Se considera necesaria la formulación de un programa formal de entrenamiento que
permita el desarrollo de las cualidades innatas que cada persona tiene, para obtener su
máxima realización posible.
Para esto se requiere de lo siguiente:
• La realización de un análisis de los puestos para poder determinar las bases para el
establecimiento de los programas de entrenamiento.
• Identificar las necesidades actuales y futuras del área para así poder determinar el grado
de capacitación requerido.
22. Proporcionar condiciones y ambiente de trabajo acordes con las actividades
realizadas.
El ambiente de trabajo en el área de informática debe poseer condiciones apropiadas que
permitan lograr un adecuado desarrollo de las actividades que allí se realizan,
especialmente para la programación. Por esta razón es recomendable preparar un plan
85
general para la distribución del espacio de trabajo, en el cual se tomen en cuenta los
siguientes aspectos:
• Espacio del área.
• Iluminación.
• Ventilación.
• Equipo de oficina.
• Mobiliario.
• Ruido.
• Limpieza y/o aseo.
• Instalación de comunicación.
Por otro lado, es imprescindible lograr un clima organizacional que contribuya al
reconocimiento de cada individuo según sus propias necesidades.
Este aspecto amerita de lo siguiente:
• Integración del personal como grupo de trabajo, de forma tal de mejorar su grado de
convivencia. Estos grupos de trabajo deben desarrollarse bajo la dirección y control de
líderes de grupo, que contribuyan a la utilización de las habilidades y talentos al
máximo, tomando en cuenta una estructura informal de trabajo que contribuyan al
fomento de una manera natural de las necesidades de las personas en el ambiente en el
cual ellas se encuentran.
• Realización de Programas de Ampliación del Trabajo, lo cual se logra añadiendo
nuevas obligaciones al personal para hacer el trabajo mas interesente y evitar la
excesiva especialización.
• Realización de Programas de Enriquecimiento del Trabajo, que permita la participación
más directa del personal en la determinación de los métodos y secuencias a seguir en la
realización de sus actividades. Esto contribuye al incremento de la responsabilidad en el
cumplimiento de las tareas asignadas.
• Estimular la adhesión del personal al cumplimiento de las políticas de la organización.
86
23. Motivar al personal.
Esta actividad es de vital importancia para el desarrollo del personal del área, ya que va
a servir de impulso hacia el éxito. Para ello es necesario adaptar e implementar planes de
evaluación y recompensas que contribuyan a la satisfacción de expectativas de los
empleados, a fin de obtener un mayor rendimiento en la ejecución de sus operaciones.
Los medios a utilizar para lograr la motivación son:
• Conducir de manera apropiada al personal, de forma que estos se tracen objetivos
claros sobre sus actividades, para que de esta manera se incremente la motivación al
crecer el deseo por cubrir las expectativas.
• Establecer sistemas de recompensas que permitan relacionar la productividad con el
logro de objetivos individuales.
• Proponer actividades desafiantes y de significado para el trabajador.
• Elaborar programas formales sobre evaluación del desempeño, que contribuyan al
auto- perfeccionamiento del empleado.
Los beneficios esperados con esta actividad son:
• Disminuir la alta rotación de personal.
• Satisfacer las necesidades de los empleados.
• Comprometer al empleado con la Institución.
• Mantener la fuerza de trabajo.
24. Elaborar un plan que permita la revisión y evaluación de los controles, sistemas,
procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y
seguridad, y de la organización que participa en el procesamiento de la información.
Esta actividad esta relacionada con la aplicación de programas de Auditoría de
Sistemas lo cual amerita de una cuidadosa planeación de cada una de sus etapas. Dicha
planeación implica lo siguiente:
• Prever cuales son los procedimientos de auditoria que han de utilizarse.
87
• Definir la extensión y oportunidad en que han de emplearse.
• Seleccionar el personal que ha de intervenir en el trabajo.
La frecuencia con la cual se deben aplicar los Programas de Auditoria de Sistemas, va a
depender de las condiciones de la fundación. Si esta no varia año tras año, puede aplicarse
el programa durante un periodo básico, sin que haya necesidad de rehacerlo (por ejemplo,
cada tres año se prepara un programa nuevo, y en los años intermedios se corrigen las
variaciones). Por el contrario, si las condiciones son cambiantes, debe realizarse cada año
un nuevo programa, tomando aspectos del anterior, si este se adapta a las necesidades
surgidas.
Los beneficios de un Programa de Auditoria de Sistemas son:
• Evita la omisión de alguna de sus fases.
• Todas las pruebas exigidas son examinadas.
• El trabajo se lleva a cabo dentro del tiempo estipulado.
• Suministra un plan de trabajo.
• Ayuda a la distribución del trabajo entre el personal seleccionado.
• Permite revisar la auditoría que se está ejecutando.
• Provee de un registro de las fases de auditoría que se van cumpliendo.
• Una mayor revisión y actualización de los manuales del sistema.
88
C A P Í T U L O 6 ______________________
DISEÑO DE ALGUNOS CAMBIOS
89
6.1. Comparación Entre el Modelo Conceptual y el Sistema Actual.
Una vez establecidas las actividades necesarias para definir un nuevo Modelo
Conceptual que conlleve a la mejoría de la situación problemática, se procede a la
comparación de dicho modelo con el sistema actual, para que así los cambios puedan surgir
de una manera natural, al verificar cuales actividades no se están desarrollando, o en caso
contrario, detectar las deficiencias en relación a la toma de decisiones que ésta implica y en
cuanto a la utilización de información y de recurso para su cumplimiento.
Cada una de las actividades es mostrada en la tabla 6.1, en la cual se especifica la
situación actual del sistema en estudio y los cambios sugeridos del sistema propuesto.
90
Tabla 6.1. Comparación entre el sistema actual y el sistema propuesto. Actividad Propuesta.
Situación Actual Cambio Sugerido
1. Realizar el procesamiento electrónico de la información
La información se procesa mediante una red de computadoras
Se requiere de un Sistema Automático Central
2. Controlar y planificar el trabajo del centro de cómputo.
No hay jefe en el Centro de Cómputo
Contratar a un jefe que coordine todas las actividades relacionadas con este aspecto
3. Garantizar y controlar la comunicación entre los terminales y el computador central
No exista personal exclusivo para el área de Informática.
Disponer de personal especializado en el área de comunicaciones, que se encargue de monitorear el funcionamiento general del sistema de comunicaciones.
4. Disponer de mecanismos para el control de fallas de los dispositivos del sistema de cómputo y servicios auxiliares.
No hay registros actualizados de las fallas de los dispositivos
Contar con personal dedicado al registro de las fallas, así como también debe velar porque se tomen las medidas adecuadas para dar soluciones a las situaciones presentadas.
5. Establecer controles para definir la utilización de los equipos.
No hay porcentaje de utilización del sistema de cómputo.
- Registrar los tiempos de utilización de las máquinas e impresoras. - Implementar controles para la utilización de las computadoras
6. Velar que el proceso de datos sea óptimo y continuo.
No se dispone de un Manual de Contingencias para el centro de cómputo
- Actualizar los procedimientos constantemente. - Elaborar un Manual de Contingencias especial para el Centro de Cómputo.
7.Cumplir con los estándares establecidos para el análisis, programación y documentación de sistemas
No existe Manual de Sistemas y Procedimientos
Utilizar convencionalismos y procedimientos estándar de programación según el Manual de Sistemas y Procedimientos.
8. Desarrollar los módulos, listados, base de datos, pantallas que requiera ALCAVI, bien sea en el sistema principal o a nivel de micro.
No se desarrollan sistemas para los usuarios. Los que existen fueron comprados en el mercado
- Planear la programación según las necesidades existentes. - Registrar el avance de la programación en los formatos definidos para este fin. - Supervisar directamente el cumplimiento de cada una de las fases en el desarrollo de los sistemas.
9. Actualizar los registros para el control de modificaciones de sistemas.
No hay un mantenimiento de la información concerniente a los sistemas desarrollados y sus modificaciones.
Se deben actualizar los registros para el control de modificaciones de sistemas.
10. Disponer de medios para el almacenamiento de los programas y archivos existentes.
Se cumple a pesar de que no se dispone de un cintotecólogo para controlar el contenido de la Biblioteca de Procesa- miento de Datos. Los usuarios de turnos se encargan de registrar cual- quier modificación en el sistema del que se dispone y de todo lo referente a su manejo
-Establecer una Biblioteca de Procesamiento de Datos, para almacenar los discos removibles disponibles. -Contratar a un cintotecólogo para controlar el contenido de la biblioteca.
11. Brindar apoyo técnico a las diversas unidades de ALCAVI en relación con la adquisición de software y hardware del ambiente de Micro- computación.
No se cumple, ya que no existe personal capacitado en el ambiente de Microcomputación.
Contratar personal capacitado para brindar apoyo técnico a las diversas unidades de ALCAVI.
91
Tabla 6.1. Comparación entre el sistema actual y el sistema propuesto (Continuación).
Actividad Propuesta Situación Actual Cambio Sugerido
12. Atender los requerimientos de las diversas unidades de la institución, en relación al uso de software y hardware de Micro computación.
- No se dispone de inventarios actualizados. - No se controla el registro adecuado de las actividades relacionadas con los equipos.
- Realizar inventarios constantes de todo el equipo. - Controlar el manejo y cambio de equipos - Instruir a los usuarios sobre el manejo del equipo.
13. Establecer mecanismos para la realización del mantenimiento de los equipos.
Si la red falla, se contrata a un técnico para que la repare, o si no, se lleva el dispositivo dañado a un taller.
Contar con personal dedicado para el mantenimiento de los equipos.
14. Formular las medidas necesarias para controlar la seguridad en la utilización de los equipos y en el personal.
- No existen medidas para controlar la seguridad de los datos. - No hay protección contra los errores de computación
- Establecer medidas para controlar la seguridad de los datos. - Protegerse contra los errores de computación. - Estandarizar los controles de las operaciones diarias.
15. Supervisar constantemente las actividades de la institución.
Se lleva a cabo de manera informal por parte del Gerente General.
- Observación directa y continua - Controlar las actividades del personal - Que el personal cumpla con el horario de trabajo
16. Establecer niveles jerárquicos y líneas de autoridad acordes con los requerimientos del área.
No se evalúa la estructura organizativa de la unidad.
La estructura organizativa de la unidad debe estar acorde con los objetivos fijados para el área.
17. Asignar personal calificado en cada una de las áreas de la unidad.
No se toma en cuenta a la Unidad de Apoyo Informática para seleccionar su personal; lo selecciona el Gerente General de la institución
La Unidad de Apoyo Informática debe participar directamente con Recursos Humanos en la selección de su personal.
18. Adaptar el personal al crecimiento de la organización.
- No del todo. - El personal se va desarrollando en el puesto de trabajo, con la posibilidad de proteger las posiciones claves.
- Garantizar un nivel de sueldos y salarios acorde con el mercado de trabajo que permita la captación de personal capacitado - Realizar comités de planeación de personal. - Mantener planes para entrenamiento de sustitutos.
19. Determinar estrategias de operación: normas y procedimientos, objetivos y políticas, planes de trabajo, controles, cuadros ocupacionales, etc.
Si se efectúa, pero con deficiencias en cuanto a la actualización de la docu- mentación de las Políticas y Normas.
Establecer estrategias de operación en el área de informática para cumplir con las metas propuestas.
20. Establecer las áreas que proporcio- nan apoyo para el cumplimiento de sus funciones.
Algunas áreas prestan apoyo y otras no.
La Unidad de Apoyo Informática requiere que otras áreas proporcionen apoyo para el desarrollo de sus actividades
21. Elaborar programas de capacitación para el personal del área.
- No del todo. - Se entrena al personal en el área de trabajo, sin el establecimiento de planes formales.
- Realizar análisis de los puestos - Identificar las necesidades. - Formular un programa formal de entrenamiento.
22. Proporcionar condiciones y ambiente de trabajo acordes con las actividades realizadas.
Las condiciones y el ambiente de trabajo son deficientes para desarrollar las actividades.
Elaborar planes para la distribución del espacio de trabajo.
23. Motivar al personal. Se motiva al personal, pero con deficiencias en cuanto a la evaluación.
Aplicar planes de evaluación y recompensas.
24. Elaborar un plan que permita la revisión y evaluación de los controles, sistemas, procedimientos de informáti- ca; de los equipos de cómputo, su utili- zación, eficiencia y seguridad.
No se aplican Programas de Auditoría de Sistemas.
Elaborar un plan que permita la aplicación de Proyectos de Auditoria de Sistemas.
92
6.2. Definición de Cambios.
Los cambios propuestos para mejorar la situación problemática de la Unidad de Apoyo
Informática de ALCAVI., son los siguientes:
• Con respecto a las actividades relacionadas con el procesamiento de la
información.
Se recomienda colocar personal en el área de seguridad de datos la cual se encargará de
mantener y garantizar el resguardo, consistencia e integridad de los datos que están
almacenados en el computador central, y personal en el área de comunicaciones que apoye
en el monitoreo de los procesos relacionados con el sistema de comunicaciones.
Por otra parte el analista de seguridad de datos puede ocuparse de controlar todo lo que
se refiere a los requerimientos de los usuarios, el cual se encargará no solo de llevar el
registro de fallas, sino que se ocupará de verificar que se atiendan oportunamente a todos
los usuarios. Todo esto permitirá que se mantengan las estadísticas apropiadas de usuario,
por unidad, etc., contándose con documentación sobre todas las situaciones presentadas, las
medidas tomadas para solucionarlas y el tiempo requerido; lo cual puede ser consultada en
los casos que se presenten situaciones similares.
En lo referente al Manual de Contingencias del Centro de Computo se considera
necesario su realización inmediata, ya que es de vital importancia el establecimiento de
manera formal del Plan de Emergencia a seguir para evitar las interrupciones del servicio
debido a contingencias, y por otro lado se deben mantener actualizados los procedimientos
relacionados con la operación del Centro de Cómputo.
93
• Con respecto al desarrollo y mantenimiento de los sistemas computarizados.
Actualmente, en ALCAVI no existe un responsable de la Unidad de Apoyo Informática,
por lo que la supervisión de las actividades relacionadas con el desarrollo y mantenimiento
de los sistemas computarizados no se está cumpliendo. Cuando falla la red o se daña una
máquina se contrata a un técnico para que la repare.
En cuanto a las fallas detectadas en relación a la documentación de los sistemas, se
considera conveniente que exista una persona a cargo de controlar y mantener todo lo
referente a la documentación del análisis y diseño de sistemas.
Por otro lado, es necesario recalcar la necesidad de utilizar los estándares para la
programación, los cuales no deben ser olvidados por los analistas a la hora de elaborar los
sistemas.
• Con respecto a los equipos de Micro computación.
Es necesario hacer énfasis en la necesidad de mantener actualizado el inventario de
equipos de Micro computación, ya que de esta manera pueden controlarse más eficazmente,
hecho que se ve favorecido si se registra adecuadamente cualquier cambio en el equipo o en
su ubicación. Además puede lograrse una mejor utilización de los equipos de cómputo, si se
instruye adecuadamente a los usuarios.
Por otro parte, es necesario que se intensifiquen los controles en cuantos a las licencias
de software, para lo cual se requiere de la realización de un inventario del software de la
organización a fin de detectar si existen copias no autorizadas; y además establecer
procedimientos para la asignación de equipos nuevos, garantizando así que sólo se instale el
software si se tiene la respectiva licencia.
94
• Con respecto a la organización y al personal.
Es necesario que se establezcan políticas adecuadas para documentar todas las
actividades desarrolladas en el área, lo que permitirá cumplir con las Normas y
Procedimientos establecidos; aspecto que puede verse favorecido si se logra concientizar al
personal sobre la importancia de mantener actualizada la información relativa a los
manuales.
Además puede mejorarse el nivel de capacitación del personal, a través del
establecimiento de planes de entrenamiento, los cuales pueden ser realizados según el
puesto desempeñado y según las necesidades de la organización. Dentro de la capacitación
ofrecida se deben incluir planes para cubrir las posiciones vacantes.
También, se puede tomar en consideración los planes de evaluación y recompensas
como medio para obtener la motivación del personal, e incrementar así su interés hacia el
logro de objetivos.
• Con respecto al control de sus actividades.
Se requiere de la puesta en marcha de proyectos de Auditoria de Sistemas aplicables al
área de informática, para lo cual debe incorporarse personal que se encargue de controlar
las actividades que allí se realizan, sirviendo esto como medio no solo para detectar
deficiencias, sino que además, permita la determinación de cursos alternativos de acción
que conlleven a una adecuada toma de decisiones.
Para lograr que este control se establezca efectivamente es necesaria la preparación de un
plan detallado de Auditoria de Sistemas, que sirva de base para el desarrollo de las
actividades que deben llevarse a cabo.
95
C A P Í T U L O 7 ______________________
PREPARACIÓN DE UN PROGRAMA
DE AUDITORÍA DE SISTEMAS
96
7.1. Reseña del Plan.
Debido a que la problemática principal observada en la Unidad de Apoyo Informática de
ALCAVI, es la ausencia de una evaluación adecuada de sus actividades, se propone la
elaboración de un plan que permita realizar dicha evaluación.
La auditoria de sistemas permite apoyar a la Unidad de Apoyo Informática en la
implantación de procedimientos de control que garanticen la seguridad, integridad y
confiabilidad de la información que se utiliza para el procesamiento, participando además
en evaluaciones correctivas sobre las operaciones realizadas.
De allí la importancia de la Unidad de Auditoría de Sistemas, como ente encargado de
vigilar por la eficacia de los controles. Por esto la auditoria de sistemas, como cualquier
otro tipo de auditoria, requiere de la preparación de un plan detallado de trabajo, en el que
se especifiquen los procedimientos que serán aplicados, así como el tiempo estimado que se
requerirá, de forma tal de no descuidar ningún aspecto de relevancia para la evaluación.
A medida que cada punto se va cubriendo, el auditor deberá llevar un control del tiempo
empleado al efecto; resultando el plan no solo como elemento de planeación, sino también
como herramienta de control del trabajo de auditoria.
Para la realización del programa de auditoria de sistemas, debe tomarse en cuenta los
tres objetivos de la evaluación:
Evaluación administrativa del área.
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
7.2 Procedimientos Para la Elaboración del Plan.
El procedimiento para la elaboración del Plan de Auditoria de Sistemas se representa
en forma diagramática en la figura 7.1, y se describe a continuación:
• Entrevistas previas • Definición del área a
investigar • Determinación de
detalles a investigar
Figura 7.1. Procedimientos para la Planeación de un Estudio de Auditoría de Sistemas
Captación de Necesidades ----------------- Solicitudes
Estudio Preliminar
• Documentos • Manuales
Identificación Real del área estudiada
Naturaleza y Objetivo del Estudio
Planeación de la Auditoría de Sistemas
Recursos Necesarios
Alcance y Limitaciones del estudio
Información Requerida
Examen y Evaluación
Función de Informática
Sistemas y Procedimientos Programa:
• Recursos • Tiempo
Proceso de Datos y Equipos de Cómputo
Seguridad
Propuesta de otros estudios
complementarios
98
Fase de identificación.
1. Iniciar el trabajo de recolección de datos con un contacto previo que proporcione una
primera idea global del área que se va a estudiar.
• Seleccionar la información que se relacione con el área a auditar.
• Realizar entrevistas al personal del área.
• Definir las áreas a investigar.
2. Identificar las áreas que ameritan de un análisis detallado.
3. Definir la naturaleza y el objetivo del estudio.
Fase de planeación.
1. Establecer los procedimientos de auditoria a utilizarse:
• Definir el alcance y las limitaciones de la auditoria.
• Estimar los recursos necesarios.
• Determinar las técnicas a utilizar para recabar la información requerida.
Fase de Programación.
1. Realizar la programación de cada una de las áreas a investigar.
• Estimar el tiempo requerido para la programación de cada una de las áreas.
• Seleccionar las personas que realizaran tareas específicas.
• Especificar los programas a utilizar para las áreas planteadas.
7.2.1. Fase de Identificación.
El estudio preliminar esta encaminado a lograr una primera idea global sobre el área que
se va auditar, para conocer la naturaleza y el objetivo del estudio.
El estudio preliminar no esta enfocado para originar recomendaciones o solucionar
problemas, excepto aquellos que resulten evidentes en un primer reconocimiento; por el
99
contrario consiste en la revelación de aquellas áreas que ameriten de un análisis más
detallado según las circunstancia planteadas.
El trabajo de obtención de datos se debe iniciar con la revisión de la información
documental y la información sobre el campo de trabajo. Además es conveniente realizar
algunas entrevistas a algunas personas que estén directamente involucradas con el área de
Informática, las cuales pueden contribuir a que surjan ideas o sugerencias sobre los
problemas fundamentales.
Se debe definir cual será la materia objeto de estudio, para lo cual se dividirá el área
total en:
• Organización.
• Sistemas.
• Proceso de Datos y Equipos.
• Seguridad.
Los resultados de esta investigación preliminar se encuentran plasmados en el Capitulo
4: “Visión Amplia de ALCAVI”.
Esta fase culmina con la definición del objetivo de la Auditoria de Sistemas.
7.2.1.1. Objetivos de la Auditoria de Sistemas.
Objetivo General:
Evaluar la eficiencia y seguridad en el manejo de la información del área de
Informática., para que por medio de la identificación de cualquier deficiencia puedan
establecerse los cursos de acción a tomar para corregir las desviaciones detectadas, o bien
valorar los esfuerzos por alcanzar la optimización de sus operaciones.
100
Objetivos Específicos:
1. Verificar la habilidad administrativa de la Unidad de Apoyo Informática y el grado
máximo en que los resultados se asemejen a los objetivos del área.
2. Descubrir las deficiencias que limitan el desarrollo óptimo de las actividades.
3. Determinar las áreas que requieren de la utilización de procedimientos adecuados de
control.
4. Ayudar en la determinación de los recursos de acción a seguir para corregir las
desviaciones.
5. Resaltar los métodos y prácticas utilizadas para lograr la eficiencia en el cumplimiento
de las actividades relacionadas con el procesamiento de la información.
7.2.2. Fase de Planeación.
En esta fase es necesario especificar los renglones que se van a examinar y los
procedimientos a seguir, tomando en cuenta que dichos renglones deben estar enfocados
hacia los principales objetivos propuestos.
7.2.2.1. Alcance.
Se examinará la Unidad de Apoyo Informática, ya que esta es la encargada de todo lo
concerniente al desarrollo organizativo de sistemas y de tecnología de las dependencias de
la fundación.
Para cumplir con la evaluación se dividirá el entorno auditable en las siguientes áreas
específicas:
101
Organización.
El propósito de evaluar la organización implicada en el procesamiento de la información
es el poder determinar el grado de control gerencial y operacional existente, de forma tal de
conocer la eficiencia con la cual el personal cumple con los objetivos establecidos para el
área.
Los métodos y procedimientos del área de computación se evalúan básicamente
teniendo en cuenta la estandarización y documentación.
Para determinar el rendimiento de esta área se debe dividir la misma en las diferentes
secciones:
Estructura Organizativa: verificar si la estructura organizativa cumple con los principios
de una buena organización y si está adecuada a las necesidades.
Recursos Humanos: Se revisará la situación del personal del área con la finalidad de
determinar si ésta cuenta con los recursos humanos necesarios para garantizar la
continuidad de la operación.
Sistemas.
Para realizar la evaluación de los sistemas tanto en operación como en desarrollo, a fin
de medir la eficiencia que se tiene en el uso de la información, se estructuraron las
siguientes secciones:
Elaboración del sistema: se verificará si se cuenta con planes adecuados para la
elaboración de los sistemas, tomando en cuenta las prioridades y objetivos existentes.
Análisis: se revisarán los procedimientos, políticas y normas existentes para llevar
acabo el análisis.
Diseño lógico del sistema: se analizarán las especificaciones del sistema para descubrir
errores, debilidades y omisiones ocurridas antes de la codificación.
Desarrollo del sistema: se analizarán los programas a fin de evaluar su diseño e
interconexión.
102
Control de proyectos: se analizará si la programación esta avanzando de acuerdo a lo
programado.
Control de diseño de sistema y programación: se verificará si los sistemas funcionan
conforme a las especificaciones funcionales, de forma tal que se garantice el manejo, la
operación y aceptación por parte del usuario.
Forma de implantación: se estudiarán los trabajos necesarios para iniciar la operación de
un sistema.
Usuarios: se analizarán las opiniones de los usuarios a fin de conocer la calidad de los
servicios prestados.
Procesos de datos y equipos.
Para evaluar los controles establecidos para mantener la continuidad de la información
sobre el procesamiento da datos, y la utilización de los equipos, se estructuraron las
siguientes secciones:
Controles: se evaluarán los controles existentes para resguardar la integridad de la
información.
Orden en el centro de cómputo: se revisará si existen reglas para mantener el orden y el
cuidado de la sala de máquina.
Productividad: se analizará la eficiencia con que opera el área de Informática.
Seguridad.
Debido a que los datos que manejan los sistemas computarizados representan
información de vital importancia para el cumplimiento de muchas operaciones, esta debe
ser resguardada de posibles fraudes o sabotajes que provoquen su destrucción. Por esta
razón se consideró necesario establecer un área para estudiar en forma detallada todos los
elementos que se requieran para establecer un sistema de seguridad eficiente, la cual se
dividió en las siguientes secciones:
103
Seguridad lógica y confidencialidad: se analizarán los controles existentes para el
acceso a información confidencial a fin de detectar en forma oportuna los fraudes o
cambios no autorizados.
Seguridad en el personal: se verificará si el personal que participa en el procesamiento
de la información cumple con las características adecuadas para garantizar la integridad
de la información.
Seguridad física: se revisará si los procedimientos, políticas y prácticas establecidas
para la seguridad física de los equipos de cómputo, permite que ocurran interrupciones
prolongadas del servicio.
Seguros: se revisarán las pólizas de seguro, a fin de constatar que se encuentre
actualizadas y abarquen todo el equipo y su instalación.
Seguridad en la utilización del equipo: se verificará la utilización del equipo, a fin de
detectar si el sistema ha sufrido algún deterioro por la intervención de personas no
autorizadas.
Procedimientos de respaldo: se evaluará la capacidad que tiene el centro de cómputo
para recuperarse de interrupciones provocadas por contingencias.
7.2.2.2 Limitaciones.
La principal limitación que existe al desarrollar cualquier proyecto de auditoria de
sistemas, es que hasta ahora, no se cuenta con una escala de valores precisa con la cual
pueda medirse el grado de eficiencia con que el centro de procesamiento de datos cumple
su función, por tanto, el resultado de tal revisión adolece de cierta subjetividad, ya que, es
el auditor encargado el que determinará el patrón ideal que usará como base para la
evaluación.
Por otra parte debe recordarse que en la institución no se han ejecutado programas
formales de auditoria de sistemas que hayan sido desarrollados por auditores pertenecientes
a la organización, por lo tanto no existen patrones a seguir, especialmente en lo que
concierne a la estimación de los tiempos de cada una de las etapas.
104
No obstante, estas limitaciones puede corregirse en la medida en que se desarrollen
dichos programas, ya que cada uno de ellos será experiencia valiosa que permitirá el
establecimiento de convenciones generales sobre los modelos ideales contra los que se
deban comparar los resultados.
7.2.2.3. Técnicas para recabar información.
Para elaborar el plan de trabajo es necesario crear los procedimientos asociados al
trabajo y recopilar la información necesaria para respaldar la opinión del auditor.
Al preparar el plan para alcanzar las metas fijadas, es importante determinar previamente
las necesidades generales, la relación entre ellas y precisar si tales necesidades abarcan
todos los aspectos indispensables para la finalidad a perseguir. Es necesario definir que
factores son indispensables para alcanzar los objetivos propuestos, los métodos para
lograrlos, el personal apropiado para hacerse cargo de la función, y cuáles son los factores
limitativos y de control.
Los procedimientos de auditoria incluyen la utilización y aplicación de: revisión de
documentación, observación directa, cuestionarios por áreas, hojas de análisis, y la
entrevista.
Cuestionarios
Los cuestionarios se deben estructurar por áreas para buscar respuestas a varias
interrogantes de la situación de cada una de ellas, y estas a su vez se dividen en secciones
para tratar sólo aspectos específicos. Los cuestionarios se entregarán a los directivos
involucrados con cada área, las cuales poseen sus propias características, de ahí que no
pueda estandarizarse su contenido; además no todas las secciones se analizarán a través del
uso de cuestionarios. Los cuestionarios fueron codificados según el área y la sección a la
que pertenecen, y se utilizarán dichos códigos para reverenciarlos (ver anexo 4). Dichos
códigos se establecieron según las siguientes consideraciones:
• Los dos primeros dígitos del código se refieren al área a la que pertenecen:
- O1, corresponde al área de organización
105
- S2, corresponde al área de sistemas.
- P3, corresponde al arrea de Proceso de Datos y Equipos.
- S4, corresponde al área de seguridad.
• Los últimos dos dígitos, especifican que se trata de un cuestionario, correspondiendo el
primero a una “C”, y el segundo es un numero secuencial según el área.
Ejemplo: El Cuestionario O1-C1, corresponde al cuestionario número uno (1) del área de
Organización.
Debe destacarse que para los cuestionarios una respuesta afirmativa representa que no
hay necesidad de aclaración alguna, ya que el punto investigado esta acorde con los
requerimientos; mientras que una respuesta negativa indica que existen fallas o
deficiencias, que deben ser aclaradas por escrito.
Hojas de Análisis.
Las hojas de análisis servirán para recopilar datos, comentarios, notas y evaluaciones
concernientes a la revisión, constituyendo un elemento de prueba sobre la revisión.
Las hojas de análisis deben incluir la obtención de datos recogidos en el desarrollo de la
auditoria de sistemas, y deben guardarse cuidadosamente para su revisión y posteriormente
en el archivo del auditor. Para cada una de las áreas estudiadas se utilizará una hoja de
análisis contentiva de los puntos más importantes cubiertos durante la revisión, en la cual el
auditor de sistemas registrará su apreciación para cada punto, según la escala de apreciación
de la tabla 7.1:
Tabla 7.1. Escala de Apreciación de las Hojas de Análisis.
Apreciación Punto Cumplimiento
Excelente 5 90 a 100%
Buena 4 80 a 89%
Regular 3 60 a 79%
Deficiente 2 40 a 59%
Mala 1 20 a 39%
106
Estas hojas de análisis se codificaron de igual manera que los cuestionarios, solo que en
lugar de una “C” para el tercer digito se colocó una “H”.
Al efectuarse la revisión de las hojas de análisis de acuerdo a las respuestas, se puede
calcular el porcentaje de eficiencia de cada área, para lo cual se procede de la siguiente
manera:
• Se calcula la sumatoria de los puntos correspondientes a cada hoja de análisis.
• Seguidamente, se dividirá cada una de estos resultados entre el numero de preguntas,
multiplicado por cinco (5), que representa la máxima calificación; y a estos valores se
multiplica por cien (100) para calcular el porcentaje de cada área:
Σ Puntos de las respuestas Porcentaje = ------------------------------- x 100
Nº de preguntas x 5
• Luego puede establecerse cual es el grado de cumplimiento de cada área según el rango
establecido en la tabla 7.1.
También se utilizarán Hojas de Análisis para registrar cualquier información que amerite
ser ampliada para su posterior evaluación. Dichas hojas son formatos en blanco, que se irán
numerando en forma secuencial, preferiblemente con lápices de color en el margen superior
derecho de cada página, donde sea más visible (ver modelo en el anexo 3.2, Hojas de
Análisis para registrar información).
Entrevistas.
Las entrevistas permitirán obtener información más efectiva sobre las áreas estudiadas,
utilizándose en aquellos casos en que se requiera de una interacción más directa con las
personas involucradas.
Para cada entrevista fue elaborada una “Guía para Entrevistas”, la cual será utilizada en
el momento en que ésta se realice, sin olvidar que debe comunicarse con anticipación a las
personas que van a ser entrevistadas.
107
De igual manera se codificó cada una de estas Guías para entrevistas, solo que el tercer
digito corresponde en este caso a una “E”.
7.2.3. Fase de programación.
Los programas de auditoria son medios que sirven de guía para que el auditor (en este
caso de sistemas), en el que se detallan los diferentes pasos a seguir para asegurar que se
cubrirán todos los aspectos. Un programa cuidadosamente trazado y ejecutado, proporciona
orden, puntualiza y coordina la realización de la auditoria.
7.2.3.1 Estimación de tiempo para cada programa.
Una etapa importante en la determinación de los programas por áreas, lo constituye la
estimación de los tiempos para cada una de sus etapas. El tiempo total debe ser distribuido
mediante la elaboración de programas de trabajo en los cuales se indique el responsable de
realizar cada procedimiento y en cuanto tiempo debe hacerlo.
Para realizar la estimación de los tiempos se requiere de la utilización de diagramas de
Gantt, el cual permite describir cada una de las actividades, con su respectivo tiempo de
duración.
Las etapas necesarias para realizar la Planeación de la Auditoria de Sistemas, son
representadas en la tabla 7.2, en la cual se señalan las fases descritas para la planeación,
cubiertas en su totalidad, con su respectivo tiempo de duración. Debe acotarse que para
efectos del estudio desarrollado, la fase de planeación requiere de un tiempo considerable,
ya que el levantamiento de información debe realizarse mas profundamente, por lo que se
debe trabajar con tiempos reales, es decir no se deben tomar los tiempos estimados, a fin de
evaluar el avance de dicha fase. Sin embargo, en un Proyecto de Auditoria de Sistemas bajo
condiciones ideales, esta fase de planeación debería ser realizada en un tiempo mucho
menor al aquí señalado.
Tabla 7.2. Diagrama de Gantt correspondiente a la Planeación de la Auditoría de Sistemas.
SEMANAS ACTIVIDAD 3 6 9 12 15 18 21 24 27 30 33 36 39 42 45
Fase de Identificación
Contacto previo
Identificar áreas de análisis
Definir natu. y objeto del est.
Fase de Planeación
Procedimientos de auditoría
Fase de Programación
Organización
Sistemas
Procesos de Datos y equipos
Seguridad
109
7.2.3.2. Personal Participante.
El personal a seleccionar para la realización del plan de auditoria de sistemas, debe tener
un alto sentido de moralidad y poseer conocimientos generales sobre:
- El equipo de procesamiento electrónico de información y sus posibilidades.
- Características de los sistemas basados en computadoras.
- Fundamentos sobre programación.
- Operaciones del Centro de Cómputo.
- Organización y administración de la función de procesamiento de la información.
- Controles en los sistemas de procesamiento electrónicos de información.
- Técnicas de auditoria.
Cabe destacar que los conocimientos y experiencias señalados pueden estar reunidos en
varias personas, según los requerimientos de la institución. En este sentido se recomienda,
que se disponga de los cargos que se describen a continuación:
Auditor de Sistemas Principal.
Objetivos.
Velar por el cumplimiento de las políticas, normas y procedimientos establecidos para
los sistemas de información que funcionan en la institución, con el propósito de garantizar
las aplicaciones de un control interno.
Principales Funciones.
- Planificar, organizar, coordinar y controlar los proyectos de auditoria de sistemas.
- Elaborar, aprobar y publicar a las Gerencias y Unidades involucradas, los informes de
gestión al concluir cada proyecto.
- Elaborar planes de prevención, controles de acceso y situaciones de emergencia, que
involucren la seguridad de los equipos de computación y sistemas de información.
- Concientizar a las diversas áreas, en materia de seguridad y control.
110
- Supervisar y orientar a su personal, en las diversas etapas de cada proyecto.
- Informar a la Gerencia, las observaciones pertinentes, para mejoramiento en la seguridad
y control de los sistemas de información.
- Velar por el cumplimiento de los procedimientos de control establecidos.
Asistente de Auditoria de Sistemas.
Objetivo.
Realizar bajo supervisión directa, trabajos de dificultad considerable en las fases de
levantamiento, clasificación y análisis de la información necesaria en cada proyecto
asignado.
Principales Funciones.
- Participar con el auditor de sistemas, en el levantamiento, clasificación de análisis de la
información requerida en cada proyecto de Auditoria de Sistemas.
- Recopilar, clasificar y ordenar los papeles de trabajo obtenidos en cada proyecto.
- Elaborar conjuntamente con el auditor I, los borradores de informes de auditoria, en los
cuales haya participado.
- Elaborar las minutas necesarias en cada proyecto.
- Cualquier otra función inherente al cargo que sea asignado por el auditor de sistemas.
Por otro lado se requiere de la colaboración de personal perteneciente al área a auditar,
ya que de ellos depende que la información sea suministrada en el momento oportuno. De
igual manera debe contarse con personas asignadas por los usuarios, las cuales estén
presentes cuando se solicite información o cuando se realice alguna entrevista para conocer
su punto de vista en relación con los servicios prestados.
111
7.2.3.3. Programas por áreas.
Los programas se concretan a señalar sólo orientaciones sobre la forma en que habrá de
plantearse la revisión y una serie de procedimientos de los cuales se seleccionarán los que
se estimen convenientes para la obtención de datos según las circunstancia del área
auditada, en él se registran posteriormente los pasos cubiertos por el auditor.
Habrá que llevar un registro de tareas, supervisado por el auditor respectivo, en el cual
se especificarán cada uno de los procedimientos a cumplir por el personal participante en la
auditoria. En el programa se anotarán los datos siguientes:
• Tiempo esperado y tiempo real para la ejecución de la actividad, el cual se expresará
según la siguiente nomenclatura:
_ m, mes
_ s, semana.
_ d, día.
_ h, hora.
• Descripción de los procedimientos, que corresponde a los pasos necesarios para llevar
acabo la revisión.
• Responsable de cada actividad, que corresponde a la firma o iniciales del auditor que
lleva acabo el procedimiento.
• Columna de observaciones, para hacer referencia a los papeles de trabajo en donde se ha
registrado el procedimiento o también puede ser utilizado para especificar las marcas
que hacen constar que la revisión ha sido efectuada. Estas marcas de revisión deben ser
hechas preferiblemente con lápiz de color rojo, con la mayor uniformidad posible, de un
tamaño pequeño, aunque claramente visible, con el propósito de no perjudicar la
legibilidad y la buena apariencia del programa de trabajo. Los símbolos que se han
definido para ser utilizados durante la revisión se muestran en la tabla 7.3.
• Fecha de revisión.
112
Tabla 7.3. Simbología Estándar de Auditoría de sistemas.
Con respecto a la información solicitada:
Έ Indica que la información no existe.
I Indica que la información esta incompleta.
Ä Indica que la información no esta actualizada.
à Indica que la información no es la adecuada.
@ Indica que la información esta completa, es adecuada y esta actualizada.
Con respecto al desarrollo de los procedimientos:
√ Indica que se cumple el procedimiento evaluado.
¢ Indica que no se está cumpliendo la actividad evaluada.
P Indica que se esta cumpliendo parcialmente.
^ Indica un comentario que se ha investigado y aceptado.
Nota: Podrán utilizarse más de una marca o símbolo en un solo lugar.
Resumiendo, el programa de Auditoria debe contener información suficiente acerca de
las actividades y los procedimientos de auditoria de sistemas a utilizarse.
Para la realización de los programas por áreas, deben definirse cuales son los recursos
que van a permitir el cumplimiento de los procedimientos descritos en dicho plan.
Los recursos necesarios por cada una de las áreas, se detallan a continuación:
• Para la evaluación de la Unidad de Apoyo Informática:
- Manual Descriptivo de Cargos que incluya la descripción de funciones y cargos del
área de sistemas.
- Documentación relacionada con las políticas, normas y procedimientos del área de
informática.
• Para la evaluación de los sistemas:
- Asignación de una clave de acceso al sistema.
- Manual Operativo.
- Relación de todas las aplicaciones que se encuentran en ambiente productivo.
- Relación de los proyectos formales de Informática.
113
- Documentación de los sistemas en operación: manuales técnicos, de usuarios, y de
operaciones de las aplicaciones activas y pasivas de la institución.
• Para la evaluación del Proceso de Datos y los Equipos:
- Especificaciones de los componentes físicos y lógicos del computador central y red
de microcomputadores.
- Estudios de viabilidad y características de los equipos actuales, proyectos sobre
ampliación de equipos.
- Contratos de Compra y Mantenimiento de Equipos y Sistemas.
- Instructivo de Reportes de Fallas Técnicas y Comunicación.
- Manual de Normas y Procedimientos para la Solicitud e Instalación de Software.
• Para la evaluación de la Seguridad:
- Pólizas de seguros de hardware y software a nivel del computador central.
- Manual de Contingencia del Centro de Cómputo.
- Contratos de mantenimiento de equipos de prevención de desastre (extintores, gas
halón, detectores de humo, humedad, entre otros).
- Instructivo para el Control de Acceso a la Sala de Máquinas.
- Instructivo para el control de Cintoteca.
- Instructivo para el respaldo de las Librerías.
Los programas de Auditoria de Sistemas, para cada una de las áreas ya señaladas se
muestran a continuación:
114
Eta
pa
Procedimiento de Auditoria
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizan
do p
or
Obs
erva
cion
es
Fech
a
1 I Investigación Preliminar
a) Obtener información documental sobre: Manuales
administrativos, lista de funciones, reglamentos internos,
objetivos.
b) Obtener información sobre el campo de trabajo:
condiciones de trabajo, controles, estándares utilizados,
programas de trabajo. 7d
2 Estructura Orgánica.
a) Estudiar la estructura de la organización de la Unidad de
Apoyo Informática a través de la observación y discusión.
Esto se realiza con la finalidad de determinar si cumple con
los principios de una buena organización y esta adecuada a
las necesidades.
1. Revisar el manual de organización de ALCAVI, el cual
debe abarcar los siguientes aspectos:
• Organigrama con jerarquías.
• Funciones.
• Objetivos y políticas.
• Análisis, descripción y evaluación de puestos.
7d
Programa por Área. Área: Organización. Responsable:_________________ Fecha:_____________________
115
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
• Manual de normas y procedimientos.
• Instructivos de trabajo o guías de actividad.
b) Obtener los objetivos, políticas y normas de la Unidad de
Apoyo Informática.
c) Aplicar el cuestionario O1-C1 del anexo 4.2.
3 Recursos humanos.
Evaluar la situación del personal del área, para determinar
si se cuenta con los recursos humanos necesarios para
garantizar la continuidad de la operación.
a) Obtener información sobre el personal a través de la
utilización de la tabla de recursos humanos y la tabla de
proyección de recursos humanos.
b) Entrevistas al personal del procesamiento de datos según
la Guía de Entrevistas S2-E1 del anexo 4.3, con el fin de
verificar:
• Grado de cumplimiento de la estructura organizativa.
• Grado de cumplimiento de las políticas y los
procedimientos administrativos
• Capacitación.
• Observaciones generales.
7d
116
Eta
pa
Procedimiento de auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
1 Investigación preliminar
Obtener información documental sobre: descripción general
de los sistemas instalados y de los que están por instalarse;
manual de formas; manual de procedimientos de los sistemas;
diagrama de entrada; archivos y salida; fecha de instalación de
los sistemas; proyectos de instalación de nuevos sistemas.
2d
2 Evaluación de Sistemas.
Evaluar los sistemas y procedimientos para verificar la
eficiencia que se tiene en el uso de la información.
a) Verificar si se realizan estudios de factibilidad de los
sistemas en operación, y de los que se encuentran en la fase
de análisis.
1. Revisar si se considera los siguientes aspectos:
• Necesidades de los usuarios.
• Formas de utilización de los sistemas.
• Efecto que producirá en los usuarios.
• Efectos que los usuarios tendrán sobre el sistema.
• Congruencia de los diferentes sistemas
2d
Programa por Área. Área: Sistemas. Responsable:________________ Fecha:_____________________
117
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
2. Comparar los resultados reales con el estudio de
factibilidad.
b) Verificar si existe un plan estratégico para la elaboración
de los sistemas.
1. Revisar que el plan estratégico establezca los servicios que
se prestaran en un futuro, a fin de constatar que se tome en
cuenta lo siguiente:
• Servicios implementados
• Momento en que se podrán a disposición de los
usuarios.
• Características que tendrán.
• Recursos requeridos.
•
2. Revisar la estrategia de desarrollo para verificar lo
siguiente:
• Aplicaciones que serán desarrolladas.
• Tipo de archivos a desarrollar.
• Base de datos.
• Recursos.
3 Análisis.
Evaluar el análisis del sistema para identificar inexacti-
tudes, ambigüedades y omisiones en las especificaciones.
3 d
118
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
a) Revisar si existen políticas, normas y procedimientos para
llevar a cabo el análisis, a fin de verificar si se cumplen, y
son los adecuados para la organización.
b) Evaluar la planeación de las aplicaciones para verificar la
situación en la que se encuentran en el inventario:
• Planeada para ser desarrollada en el futuro.
• En desarrollo.
• En proceso, pero con modificaciones en desarrollo.
• En proceso con problemas detectados.
• En proceso esporádicamente
c) Revisar que se mantenga la documentación de la fuente que
generó la necesidad de la aplicación.
d) Comparar los objetivos de los sistemas desarrollados con
las operaciones actuales, a fin de verificar que el estudio de
la ejecución deseada corresponde al actual.
e) Revisar los documentos y registros usados en la elaboración
del sistema, salida y reportes, descripción de las actividades
de flujo de información y de procedimientos, archivos al-
macenados, su uso y su relación con otros archivos y siste-
mas, su frecuencia de acceso, su conversación, su seguridad
y control, la documentación propuesta, las entradas y
salidas del sistema y los documentos fuente a usarse.
119
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
1. Verificar si el proceso de información se esta ejecutando
en forma correcta y eficiente.
2. Comprobar si el proceso de información puede ser
simplificado para mejorar su aprovechamiento.
3. Constatar si se puede aumentar la interacción con otros
sistemas.
4. Revisar el nivel de control y seguridad, para verificar si
son adecuados.
5. Revisar si la documentación es adecuada.
4 Diseño Lógico del Sistema.
Estudiar el diseño lógico del sistema para descubrir
errores, debilidades, omisiones ocurridas antes de iniciar la
codificación.
a) Revisar las especificaciones del sistema a fin de verificar:
• Lo que deberá hacer.
• Cómo deberá hacer.
• Secuencia y ocurrencia de los datos.
• El proceso.
• La salida del reporte.
b) Revisar la participación del usuario en la identificación
del nuevo sistema.
4 d
120
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
c) Evaluar la determinación de los procedimientos de
operación y decisión.
d) Comparar el diseño lógico del sistema con los resultados
obtenidos, a fin de evaluar:
• Entradas.
• Salidas.
• Procesos.
• Especificaciones de datos.
• Especificaciones de procesos.
• Métodos de acceso.
• Operaciones.
• Manipulaciones de datos.
• Proceso lógico necesario para producir informes.
• Identificación de archivos, tamaño de los campos de
registros.
• Proceso en línea o de lote y su justificación.
• Frecuencia y volúmenes de operaciones.
• Responsables.
• Número de usuarios
e) Revisar los manuales de usuario, a fin de verificar, quién
ejecuta los procedimientos, cuándo y cómo.
121
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
f) Obtener algunos documentos de salida y llenar los formatos
correspondientes a la descripción de los informes (ver anexo
5)
1. Seleccionar un grupo de usuarios pertenecientes a
diferentes niveles de la organización.
2. Entrevistar a los usuarios con la ayuda de la Guía para
entrevistas S2-E1 (ver anexo 4.3).
3. Comparar la información obtenida con los formatos de
salida analizados.
g) Evaluar la información del sistema.
1. Preparar la matriz de recepción y distribución de
documentos (ver la guía para la estructuración de la
matriz de recepción y distribución de documentos en el
anexo 6).
2. Establecer cuáles son los documentos que son
producidos por cada Unidad, los informes que producen
cada Unidad y qué Unidades lo utilizan.
5
Desarrollo del sistema.
Evaluar los programas a fin de verificar su diseño e
interconexión.
a) Revisar la aplicación seleccionada para verificar:
• Que posea un solo objetivo.
• Que esté disponible.
• Que contenga todos los atributos
2 d
122
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
• Que proporcione la información en el momento que se
requiere.
• Que proporcione la información adecuada a cada nivel.
• Que no exista duplicidad de información.
• Que sea modular.
• Que sólo las personas autorizadas tengan acceso.
6 Control de proyectos.
Evaluar el avance de la programación respecto a lo
programado.
a) Aplicar el cuestionario S2-C1 del anexo 4.3. 2
d
7 Control de diseño de sistemas y programación.
Evaluar el control de diseño de sistemas y programación
para asegurarse que el sistema funcione conforme a las
especificaciones funcionales, de manera que garantice el
manejo, operación y aceptación por parte del usuario.
a) Determinar mediante la observación y la discusión las
personas que intervienen en el diseño de los sistemas.
b) Aplicar el cuestionario S2-C2 del anexo 4.3.
2 d
123
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
8 Formas de implantación.
Evaluar los trabajos que se realizan para iniciar la
operación de un sistema.
a) Señalar si se toman en cuenta los siguientes aspectos en el
momento de realizar las pruebas:
1. Prueba particular de cada programa.
2. Prueba por fase, validación, actualización.
3. Prueba integral de paralelo.
4. Prueba en paralelo de sistema.
5. Otros. 2d
9 Usuarios.
Evaluar a los usuarios con la finalidad de conocer su
opinión con respecto a los servicios prestados por la Unidad
de Apoyo informática.
a) Obtener la descripción de los servicios prestados
b) Revisar los criterios de evaluación que utilizan los
usuarios para evaluar el nivel del servicio prestado
c) Revisar el reporte del uso y concepto del usuario sobre el
servicio.
2 d
124
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
d) Obtener el registro de los requerimientos planteados por el
usuario.
e) Seleccionar un grupo de usuarios pertenecientes a
diferente niveles de la organización
1. Entrevistas a los usuario con la ayuda de la Guía para
entrevista S2-E2 del anexo 4.3.
125
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
1 Investigación Preliminar.
Obtener información documental sobre: estudios de
viabilidad y características de los equipos actuales, proyectos
de actualización de equipos, contratos de compras y
mantenimiento de equipos y sistemas, contratos y convenios
de respaldo, contratos de seguros, ubicación general de los
equipos, políticas de operación y de uso de los equipos.
5 d
2 Controles.
Evaluar el sistema de control que existe para resguardar la
integridad de la información.
a) Revisar que existan los adecuados para garantizar
que se recibieron todas las transacciones de entrada del
departamento donde se originaron las mismas.
1. Verificar si el usuario es el responsable de que los datos
a procesar sean correctos y exactos.
b) Evaluar los procedimientos de operación a fin de verificar
el cumplimiento de los mismos.
6 d
Programa por Área. Área: Proceso de Datos y Equipo. Responsable:________________ Fecha:_____________________
126
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
1. Aplicar el cuestionario P3-C1 del anexo 4.4.
c) Evaluar los controles de salida, para verificar que los
resultados obtenidos sean confiables y que los datos no
han sufrido alteraciones no autorizadas mientras
estuvieron bajo el control de la computadora.
1. Determinar por medio de la discusión y la observación,
cuales son los documentos de salida que son entregado a
los usuarios, y verificar la siguiente información:
• Sistema al que pertenece.
• Usuario a quien entrega.
• Periodicidad.
2. Aplicar el cuestionario P3-C2 del anexo 4.4.
d) Revisar la programación de actividades de la Unidad de
Apoyo Informática a fin de verificar su eficiencia y
efectividad en el logro de sus funciones.
1. Determinar los periodos que abarcan los programas de
trabajo.
2. Verificar quienes son los responsables de la elaboración
de los programas de trabajo.
3. Revisar la frecuencia con que cambian los programas y
determinar cuáles son las causas.
127
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
4. Enumerar los elementos que se toman en cuenta para
elaboración de los programas de trabajo.
e) Verificar los controles para la protección de los
dispositivos de almacenamiento.
1. Aplicar el cuestionario P3-C3 del anexo 4.4.
f) Evaluar el mantenimiento y las fallas de los equipos, a fin
de verificar la efectividad que se tiene para mantener el
equipo físico en buenas condiciones de funcionamiento.
1. Determinar mediante la discusión e inspección de lo
contratos de mantenimiento, el tipo de mantenimiento
efectuado y las características del contrato.
2. Aplicar el cuestionario P3-C4 del anexo 4.4.
g) Evaluar la utilización del sistema de cómputo, para
verificar cuál es la capacidad de los equipos.
1. Revisar los registros sobre la utilización del sistema de
cómputo, a fin de verificar si se mantiene información sobre:
• Tiempo dedicado a producción.
• Tiempo de uso del procesador central.
• Tiempo de compilación y prueba.
• Tiempo dedicado a mantenimiento correctivo del
sistema operativo.
128
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
• Tiempo de mantenimiento preventivo.
• Tiempo de operación del sistema de cómputo.
• Tiempo de falla de los dispositivos.
• Tiempo de uso de cada unidad de disco.
• Tiempo ocioso.
• Tiempo de uso de terminales.
• Tiempo de uso de impresoras.
• Tiempo de reproceso.
• Tiempo de computadora utilizado en las
demostraciones.
• Tiempo de falla por servicios auxiliares.
• Número de programas corridos por computador.
• Número de programas objeto ejecutados.
2. Tomar nota sobre los siguientes datos:
• Tiempo promedio de operaciones por día.
• Tiempo promedio de compilaciones por día
• Número promedio de programas corridos por día.
• Tiempo promedio en horas de respuesta para
compilaciones.
• Tiempo promedio en horas de respuesta para programas
de producción con discos.
• Tiempo promedio de respuesta para programas de
producción.
129
E
tapa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
• Número promedio al día que se consideran como horas
de producción.
• Número promedio de trabajos en cola de espera de
ejecución en horas pico.
• Número promedio de trabajos en cola de espera de
impresión en horas pico.
• Número promedio de trabajos de ejecución en horas
pico.
3. Aplicar el cuestionario P3-C5 del anexo 4.4.
3 Orden en el centro de cómputo.
Evaluar las reglas existentes en el centro de cómputo para
mantener el orden y el cuidado de la sala de maquina.
a) Revisar las disposiciones y reglamentos que rigen el
mantenimiento del orden en el centro de cómputo
b) Aplicar el cuestionario P3-C6 del anexo 4.4.
5 d
4 Productividad.
Evaluar la eficiencia en la Unidad de Apoyo Informática.
a) Determinar por medio de la observación y la discusión si el
área de Informática toma en consideración los picos en las
cargas de trabajo.
5 d
130
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
b) Aplicar el cuestionario P3-C7 del anexo 4.4.
131
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
1 Investigación Preliminar.
Obtener información documental sobre: políticas de uso de
los controles de acceso, contratos de seguros, personal
responsable del procesamiento de datos, etc.
3 d
2 Seguridad Lógica y Confidencialidad.
Evaluar la seguridad lógica y confidencialidad en el uso de
la información, a fin de verificar si existen controles
adecuados para evitar los fraudes o sabotaje que provoquen la
paralización del procesamiento de datos.
a) Aplicar el cuestionario S4-C1 del anexo 4.5.
3 d
3 Seguridad en el personal.
Verificar que el personal que participa en el
procesamiento de la información cumpla con los
requerimientos necesarios para garantizar la integridad de la
información.
3 d
Programa por Área. Área: Seguridad. Responsable:______________________ Fecha:_____________________
132
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
a) Revisar la política establecidas para vacaciones del
personal, a fin de constatar la presencia de personal
indispensable o difícil de sustituir.
b) Verificar que las políticas de rotación de personal se
cumplan, a fin de disminuir la posibilidad de fraude.
c) Evaluar la motivación del personal
d) Constatar si son incluidos dentro de los programas,
procedimientos de auditoría.
4 Seguridad Física.
Evaluar los procedimientos establecidos para evitar las
interrupciones prolongadas del servicio debido a
contingencias.
a) Aplicar el cuestionario S4-C2 del anexo 4.5.
3 d
5 Seguros.
Evaluar las pólizas de seguros, a fin de constatar que se
encuentren actualizadas y abarquen todo el equipo y su
instalación:
3 d
133
Eta
pa
Procedimiento de Auditoría
Tie
mpo
Esp
erad
o
Tie
mpo
Rea
l
Rea
lizad
o po
r
Obs
erva
cion
es
Fech
a
a) Revisar las coberturas de seguros para establecer:
1. Se cubra el fraude cometido por empleados.
2. Se cubra el fraude cometido por personas ajenas a la
institución.
3. Se cubra la pérdida de capacidad para procesar.
4. Se cubra el equipo, el medio y los gastos extras.
5. Todas las pólizas estén en plena vigencia y vigor.
6 Seguridad en la utilización del equipo.
Evaluar la intervención de las personas involucradas en el
procesamiento de la información, a fin de revisar que existan
los controles adecuados para mantener la integridad de la
información.
a) Aplicar el cuestionario S4-C3 del anexo 4.5. 3
d
7 Procedimientos de respaldo en caso de desastre.
Evaluar la capacidad que tiene el centro de cómputo para
recuperarse de interrupciones provocadas por contingencias.
a) Determinar mediante la revisión e inspección si el plan de
emergencia ha sido probado, a fin de verificar su
efectividad.
b) Revisar que los arreglos para hacer respaldos sean
adecuados y viables.
c) Aplicar el cuestionario S4-C4 del anexo 4.5.
3 d
134
CONCLUSIONES Y RECOMENDACIONES _________________________________________________
135
Conclusiones.
El motivo esencial del estudio estuvo representado por la necesidad de establecer
métodos adecuados que permitan realizar evaluaciones y revisiones de las actividades
relacionadas con el procesamiento electrónico de la información de una institución pública,
es por esto que el radio de acción de la investigación quedó concentrado en la Unidad de
Apoyo Informática de la Fundación Municipal de la Vivienda.
Se utilizó el Enfoque Sistémico, específicamente la Metodología de Peter Checkland,
con la finalidad de conocer en detalle el área que requiere de dichas revisiones, destacándose
las siguientes conclusiones:
• La primera fase de la metodología (Visión Amplia del Sistema), permitió conocer
detalladamente tanto la Organización general, como la Unidad de Apoyo Informática,
que constituye el área que requiere de evaluaciones y revisiones de sus actividades. En
este caso esta fase requirió de un tiempo considerable, ya que en la Institución no se
disponía de planes formales de revisión, por lo que el levantamiento de información tenía
que realizarse más profundamente, dimensionándose de esta manera dicha área.
• Se detectaron un número considerable de focos problemáticos, relacionados
principalmente con la carencia de programas de evaluación, en este caso programas de
Auditoría de Sistemas, entre los que se destacan las fallas existente en la documentación
de las actividades de programación y operación del Centro de Cómputo.
• Se logró definir cuales son las actividades necesarias que deben existir en el sistema para
que se obtenga un funcionamiento más eficiente, a partir del diseño de un modelo
conceptual aplicable a la Unidad de Apoyo Informática.
• Se estableció una comparación del modelo conceptual con las circunstancias reales del
área, y una vez discutidas las diferencias con los entes involucrados en el sistema, se
establecieron los posibles cambios que deben tomarse en cuenta para solventar las
136
debilidades en el corto plazo, y preparar el ambiente para la aplicación satisfactoria de
los planes de Auditoria de Sistemas.
• Se preparó un plan detallado de Auditoria de Sistemas, aplicable a la Unidad de Apoyo
Informática, debido a que la principal falla observada en dicha área, esta relacionada con
la revisión y evaluación de sus controles, y en virtud de que la institución carece de
planes formales que permitan efectuar estas evaluaciones.
137
Recomendaciones.
Debe destacarse que este Modelo de Auditoría de Sistemas representa el comienzo de un
proceso de evaluación, de la Unidad de Apoyo Informática, a las necesidades de la
Institución, el cual debe continuar hasta que logren cubrirse todos los requerimientos, por lo
cual se recomienda se tome en consideración lo siguiente:
1. Implementar y desarrollar programas de Auditoría de Sistemas en la Unidad de Apoyo
Informática, según los planes señalados, contribuyendo de esta manera a la determinación
de cursos alternativos que solventen las debilidades, o bien destaquen el logro eficiente de
las actividades.
2. Hacer énfasis en la necesidad de documentar las actividades relacionadas con el
desarrollo de sistemas, para lo cual debe lograrse la concientización del personal encargado
de la programación, y por otro lado colocar una persona a cargo de controlar este proceso, y
contribuir a que la documentación se mantenga actualizada.
3. Controlar la utilización de los estándares de programación, de forma que se logre la
uniformidad a la hora de elaborar los sistemas.
4. Definir formalmente las políticas del área, y mantener actualizado todo lo referente a las
Normas y Procedimientos, ya que de esta manera puede cumplirse cabalmente con todas las
actividades requeridas.
5. Establecer programas de entrenamiento para el personal, que permita capacitar al
personal en el cumplimiento de sus actividades.
6. Planear de manera eficiente el desarrollo de sistemas, estableciéndose controles en el
plazo de culminación.
7. Instruir a los usuarios en el uso de los equipos y software, de forma tal de disminuir las
fallas presentadas por utilización inadecuada de los mismos.
138
8. Mantener actualizada la documentación relacionada con la operación del Centro de
Cómputo, parta lograr que los operadores cuenten con la información precisa en el
momento en que se soliciten.
9. Controlar estrechamente las necesidades en cuanto a personal, ya que este es la base
principal para el logro eficiente de las actividades.
10. Realizar planes de evaluación y recompensas que incrementen el nivel motivacional del
personal.
Debe acotarse que en la planeación de un Programa de Auditoria de Sistemas, existen
pasos que son constantes, sin embargo la programación de estos pasos y el énfasis que
puede darse a cada uno de ellos, varía de acuerdo a la situación que se presente. De igual
manera sucede con la frecuencia de aplicación de dichos programas, ya que debe hacerse
con la frecuencia necesaria para protegerse contra problemas crecientes, y por otra parte no
deben ser tan frecuentes que conduzcan a resultados repetitivos de dudoso valor.
En el momento de llevarse a cabo los programas de Auditoria de Sistemas no deben
olvidarse las siguientes premisas:
En la auditoria no solo deben considerarse los errores, sino también señalar los
esfuerzos.
Estudiar hechos y no opiniones.
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.
La auditoria no debe culminase con la presentación de resultados, sino ser el inicio de
una serie de auditoria y revisiones periódicas con un adecuado seguimiento de las
observaciones para lograr las correcciones a los problemas y las mejoras a los sistemas
que los ameriten.
Por último debe recordarse que el éxito de la Unidad de Apoyo Informática dentro de la
Organización, no dependerá del establecimiento de programas escritos sobre el control de
139
sus actividades, sino depende finalmente de que todas las personas responsables del mismo
tomen una actitud positiva respecto a su trabajo, así como el trabajo desarrollado por su
área, estableciendo metas y estándares que incrementen su productividad.
140
B I B L I O G R A F Í A __________________________
141
[BACA, G.; 1998]. Evaluación de Proyectos. Tercera Edición. Editorial McGraw-Hill
Interamericana. Colombia.
[BOONE, M. y MEYER, N.; 1990]. La Información en la Gerencia. 2da Edición. Editorial
Legis Editores, S.A. Bogotá, Colombia.
[CALLAOS, N.; 1981]. La Transdisciplinalidad del Enfoque de Sistemas. Revista CIV-
323. Mérida, Venezuela.
[CANAVES.; 2003]. Auditoria Informática. [on line]. Disponible en
http://www.monografías.com/trabajos/auditoinfo/auditoinfo.shtml.
[CHECKLAND, P.; 1993]. Pensamiento de Sistemas: Práctica de Sistemas. Editorial
Limusa, S.A. Grupo Noriega Editores. México. D.F.
[CHIAVENATO, I.; 1991]. Administración de Recursos Humanos. Editorial Mc.Graw-
Hill / Interamericana de México, S.A. México.
[ECHENIQUE, J.; 1993]. Auditoría en Informática. Editorial Mc.Graw-Hill.
Interamericana de México, S.A. Naucalpan de Juárez, México.
[EINNOVA; 2006]. Auditoria Informática. [on line]. Disponible en
http://www.auditoríasistemas.com/
[GOMEZ, G.; 1995]. Planeación y Organización de Empresas. Mc.Graw-Hill.8va Edición.
México.
[GORDON, D.; 1972]. La Auditoria y el Procesamiento Electrónico de la Información.
Instituto Mexicano de Contadores Públicos. México.
[HALL, A.; 1974]. Ingeniería de Sistemas. 4ta Edición. Compañía Editorial Continental,
S.A. México.
142
[JIMENEZ, J.; 2003]. Evaluación de la Seguridad de un Sistema de Información. [on
line]. Disponible en http://www.monografías.com/trabajos/seguinfo/seguinfo.shtml.
[KENDALL, K. Y KENDALL, J.; 1997]. Análisis y Diseño de Sistemas. Tercera
Edición. Editorial Pearson Educación. México.
[KUSHNER, M. y ZCKER, C.; 1993]. Programación RPG. Lenguaje y Técnicas.
Editorial Limusa.
[MILTHON, Ch.; 1996]. El Fraude Informático: Cómo Prevenirlo, Detectarlo y
Controlarlo. Centro de Análisis Gerencial. Caracas, Venezuela.
[MORLES, V.; 1994]. Planeamiento y Análisis de Investigaciones. Octava Edición.
Editorial Eldorado. Caracas.
[RAMIREZ, O.; 1996]. Estudio Sistémico del Comedor Universitario de los Andes.
Universidad de los Andes. Mérida, Venezuela.
[RAMÍREZ, T.; 1999]. Cómo Hacer un Proyecto de Investigación. Primera Edición.
Editorial Panapo. Carácas.
[RODRIGUEZ, J.; 1985]. Sinopsis de Auditoria Administrativa. 3ra edición. Editorial
Trillas. México.
[SANCHEZ, F.; 1971]. Programas de Auditoria. Ediciones Contables y Administrativas,
S.A. México, D.F.
[SENN, J.; 1996]. Análisis y Diseño de Sistemas de Información. Segunda Edición.
Editorial McGraw-Hill. México.
[SUAREZ, A.; 1990]. La Moderna Auditoria. Un Análisis Conceptual y Metodológico.
Serie Mc.graw-Hill de Management. Madrid.
143
[THIERAUF, R.; 1984]. Auditoría Administrativa con cuestionarios de trabajo. 1ra Edición. Editorial Limusa, S.A. México. [UNA.; 1987]. Oportunidades de Estudio en la Universidad Nacional Abierta. Tercera Edición. Caracas: Autor. [UNA.; 1995]. Análisis y Diseño de Sistemas. Tercera Edición. Caracas: Autor. [UNA.; 1995]. Auditoria y Evaluación de Sistemas. Tercera Edición. Caracas: Autor. [UNA; 1999]. Manual para la Elaboración de Anteproyectos y Trabajos de Grado de la Carrera Ingeniería de Sistemas. Caracas: Autor. [VON, L.; 1976]. Teoría General de los Sistemas. FCE, México. [WILLINGHAN, J.; 1998]. Auditoría; Conceptos y Métodos. Editorial McGraw-Hill.
144
A N E X O S _______________
145
A N E X O 1 ________________
CUESTIONARIO APLICADO A LOS
FUNCIONARIOS DE ALCAVI
146
Cumaná, enero de 2007.
Ciudadano(a):
__________________________
Su despacho.-
Distinguido Sr.(a).
Anexo a la presente se le hace entrega de un cuestionario, el mismo tiene como
objetivo recaudar información para la elaboración del Trabajo de Grado que me
acreditará como Ingeniero de Sistemas en la Universidad Nacional Abierta (UNA). El
tema a analizar es la situación en que se encuentra la Unidad de Apoyo Informática de
la Fundación Municipal de la Vivienda (ALCAVI), en materia de auditoría.
Por este motivo, agradezco su cooperación en responder objetivamente las preguntas
que aparecen en el cuestionario.
Atentamente,
Br. Rafael A. Figuera.
147
DATOS GENERALES
Área de revisión:
Entrevistado:
Cargo:
Elaborado por: Rafael A. Figuera
Fecha:__________________Hora de inicio:_____________Hora fin:_______________
INSTRUCCIONES
Lea cuidadosamente cada pregunta y marque con una “X” la respuesta indicada de
acuerdo al ítem correspondiente.
PREGUNTAS
Ref. Ítem (No=0, No sé=1, Si=2, Conoce=3, Muestre=4) 0 1 2 3 4
P.1 ¿La Fundación Municipal de la Vivienda tiene misión
formalmente definida?
P.2 ¿ALCAVI posee políticas formalmente definidas?
P.3 ¿Esta institución presenta objetivos formalmente definidos?
P.4 ¿ALCAVI tiene funciones formalmente definidas?
P.5 ¿Posee ALCAVI una estructura organizativa que se evidencie
mediante un organigrama formal?
P.6 ¿En ALCAVI existe un departamento de auditoría?
P.7 ¿En la Fundación Municipal de la Vivienda se realizan
auditorías?
148
P.8 ¿La U. de A. Informática tiene objetivos formalmente
definidos?
P.9 ¿La U. de A. Informática posee funciones formalmente
definidas?
P.10 ¿Posee esta área una estructura organizativa que se evidencie
mediante un organigrama formal?
P.11 ¿Usa la U. de A. Informática manuales de normas y
procedimientos?
P.12 ¿Esta área posee una copia del plan operativo de ALCAVI?
P.13 ¿Cuenta la U. de A. Informática con un plan de contingencia
formalmente definido?
P.14 ¿Cuenta la U. de A. Informática con una política de
seguridad?
P.15 ¿Aplica usted las políticas de seguridad del área de
Informática?
P.16 ¿La U. de A. Informática es eficiente en el tratamiento de la
información que se maneja en ese departamento?
P.17 ¿Existe algún equipo de computación en ese departamento?
P.18 ¿La U. de A. Informática posee un listado de los bienes y
equipos que se encuentran en el departamento?
Ref. Ítem (Nunca=0, Rara vez=1, A veces=2, Frecuentemente=3,
Siempre=4)
0 1 2 3 4
P.19 ¿Se realizan evaluaciones periódicas para determinar el
desempeño del personal de la U. de A. Informática?
P.20 ¿Cumple el personal con las funciones que le son
encomendadas?
Ref. Ítem (No se evalúa=0, Malo=1, Regular=2, Bueno=3,
Excelente=4)
0 1 2 3 4
P.21 ¿Cómo es el grado de cooperación entre los empleados de la
U. de A. Informática para la realización de los trabajos?
Ref. Ítem (Definitivamente no=0, Probablemente no=1, No sé=2,
Probablemente si=3, Definitivamente si=4)
0 1 2 3 4
149
P.22 ¿Considera que su remuneración está acorde con su cargo?
P.23 ¿Se siente a gusto en el desempeño de sus funciones?
Ref. Ítem (Pésima=0, Mala=1, Regular=2, Buena=3, Excelente=4) 0 1 2 3 4
P.24 ¿Cómo definiría usted las relaciones interpersonales dentro de
la Unidad de Apoyo?
Ref Ítem (No=0, No sé=1, Si=2, Conoce=3, Muestre=4) 0 1 2 3 4
P.25 ¿Requiere la U. de A. Informática de auditoría?
P.26 ¿Usted considera importante la auditoría?
150
Resultado del Cuestionario
P.1. ¿La Fundación Municipal de la Vivienda tiene misión formalmente definida?
Respuesta Frecuencia Porcentaje
No 2 18,18
No se 3 27,27
Si 5 45,45
Conoce 1 9,09
Muestre 0 0
P.2. ¿ALCAVI posee políticas formalmente definidas?
Respuesta Frecuencia Porcentaje
No 1 9,09
No se 1 9,09
Si 7 63,63
Conoce 2 18,18
Muestre 0 0
P.3. ¿Esta institución presenta objetivos formalmente definidos?
Respuesta Frecuencia Porcentaje
No 1 9,09
No se 2 18,18
Si 6 54,54
Conoce 1 9,09
Muestre 1 9,09
P.4. ¿ALCAVI tiene funciones formalmente definidas?
Respuesta Frecuencia Porcentaje
No 1 9,09
No se 3 27,27
Si 6 54,54
Conoce 1 9,09
Muestre 0 0
151
P.5. ¿Posee ALCAVI una estructura organizativa que se evidencie mediante un
organigrama formal?
Respuesta Frecuencia Porcentaje
No 0 0
No se 0 0
Si 9 81,81
Conoce 1 9,09
Muestre 1 9,09
P.6. ¿En ALCAVI existe un departamento de auditoría?
Respuesta Frecuencia Porcentaje
No 10 90,90
No se 1 9,09
Si 0 0
Conoce 0 0
Muestre 0 0
P.7. ¿En la Fundación Municipal de la Vivienda se realizan auditorías?
Respuesta Frecuencia Porcentaje
No 9 81,81
No se 2 18,18
Si 0 0
Conoce 0 0
Muestre 0 0
P.8. ¿La U. de A. Informática tiene objetivos formalmente definidos?
Respuesta Frecuencia Porcentaje
No 2 18,18
No se 3 27,27
Si 4 36,36
Conoce 2 18,18
Muestre 0 0
152
P.9. ¿La U. de A. Informática posee funciones formalmente definidas?
Respuesta Frecuencia Porcentaje
No 0 0
No se 2 18,18
Si 9 81,81
Conoce 0 0
Muestre 0 0
P.10. ¿Posee esta área una estructura organizativa que se evidencie mediante un
organigrama formal?
Respuesta Frecuencia Porcentaje
No 9 81,81
No se 2 18,18
Si 0 0
Conoce 0 0
Muestre 0 0
P.11. ¿Usa la U. de A. Informática manuales de normas y procedimientos?
Respuesta Frecuencia Porcentaje
No 8 72,72
No se 2 18,18
Si 1 9,09
Conoce 0 0
Muestre 0 0
P.12. ¿Esta área posee una copia del plan operativo de ALCAVI?
Respuesta Frecuencia Porcentaje
No 3 27,27
No se 2 18,18
Si 4 36,36
Conoce 1 9,09
Muestre 1 9,09
153
P.13. ¿Cuenta la U. de A. Informática con un plan de contingencia formalmente
definido?
Respuesta Frecuencia Porcentaje
No 4 36,36
No se 2 18,18
Si 5 45,45
Conoce 0 0
Muestre 0 0
P.14. ¿Cuenta la U. de A. Informática con una política de seguridad?
Respuesta Frecuencia Porcentaje
No 5 45,45
No se 2 18,18
Si 4 36,36
Conoce 0 0
Muestre 0 0
P.15. ¿Aplica usted las políticas de seguridad del área de Informática?
Respuesta Frecuencia Porcentaje
No 5 45,45
No se 3 27,27
Si 3 27,27
Conoce 0 0
Muestre 0 0
P.16. ¿La U. de A. Informática es eficiente en el tratamiento de la información que se
maneja en ese departamento?
Respuesta Frecuencia Porcentaje
No 3 27,27
No se 3 27,27
Si 4 36,36
Conoce 1 9,09
Muestre 0 0
154
P.17. ¿Existe algún equipo de computación en ese departamento?
Respuesta Frecuencia Porcentaje
No 0 0
No se 0 0
Si 10 90,90
Conoce 0 0
Muestre 1 9,09
P.18. ¿La U. de A. Informática posee un listado de los bienes y equipos que se
encuentran en el departamento?
Respuesta Frecuencia Porcentaje
No 4 36,36
No se 2 18,18
Si 3 27,27
Conoce 1 9,09
Muestre 1 9,09
P.19. ¿Se realizan evaluaciones periódicas para determinar el desempeño del personal
de la U. de A. Informática?
Respuesta Frecuencia Porcentaje
Nunca 9 81,81
Rara vez 1 9,09
A veces 1 9,09
Frecuentemente 0 0
Siempre 0 0
P.20. ¿Cumple el personal con las funciones que le son encomendadas?
Respuesta Frecuencia Porcentaje
Nunca 0 0
Rara vez 1 9,09
A veces 2 18,18
Frecuentemente 6 54,54
Siempre 2 18,18
155
P.21. ¿Cómo es el grado de cooperación entre los empleados de la U. de A.
Informática para la realización de los trabajos?
Respuesta Frecuencia Porcentaje
No se evalúa 3 27,27
Malo 2 18,18
Regular 4 36,36
Bueno 2 18,18
Siempre 0 0
P.22. ¿Considera que su remuneración está acorde con su cargo?
Respuesta Frecuencia Porcentaje
Definitivamente no 4 36,36
Probablemente no 4 36,36
No sé 0 0
Probablemente si 2 18,18
Definitivamente 1 9,09
P.23. ¿Se siente a gusto en el desempeño de sus funciones?
Respuesta Frecuencia Porcentaje
Definitivamente no 3 27,27
Probablemente no 3 27,27
No sé 1 9,09
Probablemente si 2 18,18
Definitivamente 2 18,18
P.24. ¿Cómo definiría usted las relaciones interpersonales dentro de la Unidad de
Apoyo?
Respuesta Frecuencia Porcentaje
Pésima 2 18,18
Mala 2 18,18
Regular 4 36,36
Buena 2 18,18
Excelente 1 9,09
156
P.25. ¿Requiere la U. de A. Informática de auditoría?
Respuesta Frecuencia Porcentaje
No 2 18,18
No se 3 27,27
Si 6 54,54
Conoce 0 0
Muestre 0 0
P.26. ¿Usted considera importante la auditoría?
Respuesta Frecuencia Porcentaje
No 3 27,27
No se 2 18,18
Si 5 45,45
Conoce 0 0
Muestre 0 0
157
A N E X O 2 ________________
MANUAL DE SISTEMAS Y PROCEDIMIENTOS
158
Convencionalismos y Procedimientos Estándar de Programación.
Este tópico describe las prácticas y procedimientos a seguir al operar el equipo de
procesamiento.
Cambios en el programa. Cada vez que el programa es revisado deberá ser probado
y la revisión deberá ser reexaminada. Los procedimientos a seguir y la revisión de
funciones de prueba a realizar deben ser claramente descritos. Se deberá conservar la
bitácora de cambios para cada programa. Se debe indicar claramente por escrito, la
naturaleza, la fecha efectiva de la aprobación del supervisor para cada cambio.
Convencionalismos de codificación. Nombres estándares utilizados en la
instalación. Abreviaciones estándares y otros convencionalismos.
Convencionalismos para cuadros de decisiones. Son utilizados al preparar cuadros
de decisiones.
Convencionalismos para Diagramas de Flujo. Son las formas, símbolos y
convencionalismos que serán utilizados para los diagramas de flujo. Deben estar de
acuerdo con los estándares definidos por el Instituto de Estándares de Estados Unidos.
Depuración. Procedimientos a seguir en la depuración de fallas.
Documentación. Los estándares de documentación deberán ser especificados en
completo detalle para evitar cualquier posible mal entendimiento.
Glosario estándar y abreviaturas estándar. Debe ser preparada analista estándar y
se debe prohibir el uso de alternativas no estándar. Cualquier palabra sin abreviatura
estándar debe ser escrita completa. El glosario debe especificar el significado de los
términos especiales comúnmente utilizados en la instalación.
Técnica estándar de programación. Técnica estándar para efectuar operaciones
particulares en el computador comunes a muchos programas del mismo. Existen rutinas
159
que pueden ser incluidas en un programa como un paquete independiente, por tanto
evitando la necesidad de volver a escribir el mismo juego de instrucciones cada vez que
se requieran para un nuevo programa. Estas rutinas deben quedar documentadas
completamente y estar sujetas a reglas rígidas con respecto a su uso dentro del
programa.
Procedimientos Estándar de Operación.
Actuación de la máquina. Se debe especificar estándares de tiempo para todos los
equipos de cómputo y tabulación. Estos estándares frecuentemente están basados en las
indicaciones de los fabricantes de equipos pero modificadas para adaptarlas a las
circunstancias o condiciones desusuales de cada instalación en particular.
Calendario de Operaciones. Todas las operaciones del computador deben ser
previstas con base en reglas aprobadas por la gerencia.
Conservación de registros. Procedimientos para registrar la utilización del equipo y
del personal. El personal debe registrar el tiempo que emplean con y sin el equipo para
cada trabajo. La información que proporcionan los registros de utilización ayuda a
evaluar la actuación del personal y del equipo.
Cuidado del computador. Manejo de archivos, uso de utensilios, almacenamiento
de programas, y procedimientos para conservar limpio el centro de procesamiento,
evitando pérdida o destrucción del programa real.
Operación de la Máquina. Se utilizan procedimientos estándar de operación para
todos los equipos de cómputo y de tabulación para asegurar que se empleen técnicas
uniformes. Estos estándares ayudan a eliminar malas técnicas de operación que
frecuentemente idean los empleados por iniciativa propia.
Procedimientos de emergencia. Los planes y procedimientos para emergencias
tales como: inundaciones, incendios, fallas de energías eléctricas, fallas en las
comunicaciones.
160
Retención de archivos. Técnicas que controlan la retención de archivos.
Procedimientos de Control.
La actuación del empleado o de el grupo encargado del control queda especificada a
través del manual de sistemas y procedimientos y de la descripción de actividades de
control que se encuentran en la documentación de cada aplicación. En general la
función de control incluirá las siguientes obligaciones:
Registro de los datos de entrada y de la información de control.
Registro del avance del trabajo a través de la unidad.
Conciliación de los controles del computador con otra información de control.
Vigilancia de la distribución de los datos de salida.
Investigación de la Bitácora de la consola y de la información de control de la
institución de acuerdo con las instrucciones de control.
Coordinación con quienes utilizan los datos respecto a los errores y a la bitácora de
correcciones efectuadas.
Investigación de los listados de errores y conservación de una bitácora o informe de
errores.
Organización y Personal.
Las practicas y métodos de evaluación de personal deben ser formalizados escritos
en detalle en el manual de sistemas y procedimientos. Cada empleado debe saber lo que
se espera de él, cuál es su papel en la función del procesamiento de información y cómo
será calificada su actuación.
161
A N E X O 3 ________________
HOJAS DE ANÁLISIS
162
A N E X O 3.1 __________________
HOJAS DE ANÁLISIS PARA APRECIACIÓN DE TAREAS
Hoja de Análisis O1-H1
163
Fecha de Inicio: ___________ Fecha de Terminación:_____________
Elaborado por: ____________ Revisado por: ___________________
Preguntas 5 4 3 2 1 0 Observaciones
1. Las responsabilidades en la organización están definidas adecuadamente.
2. La estructura organizacional esta adecuada a
las necesidades. 3. El control organizacional es eficiente. 4. Los objetivos y políticas son adecuados.
5. Los objetivos se encuentran vigentes.
6. Los objetivos se encuentran bien definidos.
7. Las actividades funcionales y responsabilida- des se encuentran documentadas.
8. Existe una descripción de puestos con sus respectivas responsabilidades.
9. La descripción de puestos esta de acuerdo con el personal que los ocupa.
10. Se cumplen los lineamientos organizacionales.
11. Los planes de trabajo concuerdan con los objetivos de la institución.
12. Los planes son evaluados y se determinan las desviaciones.
13. Existen líneas de autoridad justificada. 14. No hay extralimitación de funciones.
Hoja de Análisis Área: Organización. Sección: Estructura Orgánica.
Hoja de Análisis O1-H1
164
Preguntas 5 4 3 2 1 0 Observaciones
15. No existe la supervisión excesiva de funcionarios.
16. Hay uniformidad en las asignaciones.
II. Recursos Humanos. 1. El personal es competente y esta capacitado
para cumplir eficientemente con sus funciones.
2. Los trabajos son repetidos constantemente. 3. Las políticas, sistemas y procedimientos
establecidos son acatados por el personal. 4. Existen programas formales de
entrenamientos para las operaciones computarizadas.
5. Se evalúa constantemente el desempeño del
personal. 6. El personal se supervisa adecuadamente. 7. Las condiciones y ambiente de trabajo
contribuyen al flujo de trabajo eficiente. 8. Se motiva constantemente al personal, de
forma tal de impulsarlo al éxito. 9. La remuneración del personal esta acorde
al trabajo desempeñado.
Hoja de Análisis S2-H2
165
Fecha de Inicio:___________ Fecha de Terminación:_______________ Elaborado por: ___________ Revisado por: _____________________
Preguntas 5 4 3 2 1 0 Observaciones1. La gerencia ejerce control sobre el
desarrollo de los recursos computarizados. 2. La Gerencia, las Unidades de Apoyo y los
usuarios participan en el desarrollo, diseño y mantenimiento de los sistemas.
3. La gerencia ejerce control sobre los
métodos y normas de rendimiento. 4. Se han conducido estudios de factibilidad
efectivos para los sistemas. 5. Los sistemas son elaborados sobre la base
de un plan estratégico. 6. Los planes a largo plazo se utilizan como
guía del consiguiente diseño de sistema. 7. Los procedimientos y técnicas utilizadas
para la programación son efectivas para el diseño de los sistemas.
8. Se han establecido, documentado y hecho
cumplir las normas de diseño de sistemas. 9. Se han establecido, documentado y hecho
cumplir las normas de programación. 10. Los procedimientos de autorización y
aprobación requeridos en cada fase importante del desarrollo son efectivos.
11. Cada sistema es revisado y aprobado por la
Gerencia y los usuarios correspondientes antes de comenzar a diseñar el sistema.
Hoja de Análisis. Área: Sistemas
Hoja de Análisis S2-H2
166
Preguntas 5 4 3 2 1 0 Observaciones
12. Los sistemas son puestos en
funcionamiento, una vez que se ha obtenido la aprobación final.
13. Las pruebas realizadas a los sistemas y
programas garantizan la confiabilidad de que las especificaciones originales han sido cubiertas.
14. Los usuarios cooperan en las pruebas de los
sistemas. 15. Las pruebas finales incluyen a todas las
etapas del sistema, tanto manuales como computarizadas.
Hoja de Análisis P3-H3
167
Fecha de Inicio: ______________ Fecha de Terminación:______________ Elaborado por: _______________ Revisado por:______________________
Preguntas 5 4 3 2 1 0 Observaciones1. Los métodos utilizados garantizan que los
datos que se reciben para su procesamiento, están completos, son exactos y están autorizados.
2. Se ejerce control sobre la conversación de
datos y las operaciones iniciales. 3. Se provee de manuales de los sistemas y de
los procedimientos para todas las funciones dentro de las operaciones computarizadas.
4. Los archivos computarizados están
etiquetados tanto interna como externamente.
5. El operador de computadoras utiliza
manuales de operación para todas las acciones requeridas.
6. Se utilizan métodos apropiados para
garantizar la temprana detección de errores y fallas de equipo físico.
7. Se ha programado todo el procesamiento
computarizado. 8. Se mantiene un funcionamiento ordenado
en el cuarto de computadoras. 9. Periódicamente se efectúan revisiones
estadísticas y de rendimiento.
Hoja de Análisis Area: Proceso de datos y equipos
Hoja de Análisis S4-H4
168
Fecha de Inicio: _______________ Fecha de Terminación:________________
Elaborado por: ________________ Revisado por: ______________________
Preguntas 5 4 3 2 1 0 Observaciones1. El acceso al cuarto de computadoras esta
restringido. 2. Se previene o detecta la manipulación
fraudulenta en el procesamiento efectuado por el centro de cómputo y se evita el mal uso que recibe la información fraudulenta.
3. Se revisan los libros de registro de uso de la
máquina y de la consola. 4. El personal clave del procesamiento de
datos este bajo juramento de fidelidad. 5. Se garantiza seguridad en caso de que
ocurra destrucción accidental de registros y garantizar así su funcionamiento continuo.
6. Los métodos utilizados permiten reconstruir
archivos después de errores pequeños de procesamiento o de la destrucción menor de registros.
7. Se mantienen archivos de respaldo. 8. Existen controles adecuados contra el
exceso de humedad, de temperatura u otras condiciones atmosféricas.
9. El cuarto de computadoras este protegido
contra incendios. 10. Se utilizan las instalaciones de almacenaje
fuera del sitio.
Hoja de Análisis Area: Seguridad
Hoja de Análisis S4-H4
169
Preguntas 5 4 3 2 1 0 Observaciones
11. Se puede seguir operando aun después de una gran destrucción de archivos o de descompostura del equipo físico.
12. Los procedimientos a seguir en caso de
emergencia están documentados. 13. Se disfruta de una cobertura de seguros
adecuada. 14. Se garantiza el mantenimiento efectivo de
todos los sistemas y programas. 15. Se ejerce control efectivo sobre las
modificaciones realizadas a los sistemas y programas.
16. Se obtiene autorización antes de iniciar los
cambios a los programas. 17. Los operadores no están autorizados a
realizar cambios a los programas. 18. La sección de operaciones sólo acepta los
cambios debidamente autorizados.
170
A N E X O 3.2 __________________
HOJA DE ANÁLISIS PARA REGISTRAR INFORMACIÓN
171
Fecha de Inicio: _____________ Fecha de Terminación: ______________ Elaborado por: ______________ Revisado por: ____________________
Hoja de Análisis Area: Organización
172
Fecha de Inicio: _______________ Fecha de Terminación: _____________ Elaborado por: ________________ Revisado por: ____________________
Hoja de Análisis Area: Sistemas.
173
Fecha de Inicio:_____________ Fecha de Terminación:_____________ Elaborado por:______________ Revisado por:____________________
Hoja de Análisis Area: Proceso de datos y equipos.
174
Fecha de Inicio:_____________ Fecha de Terminación:______________ Elaborado por:______________ Revisado por:______________________
Hoja de Análisis Area: Seguridad
175
A N E X O 4 _________________
CUESTIONARIOS DE AUDITORÍA DE SISTEMAS
176
A N E X O 4.1 __________________
CONTROL DE CUESTIONARIOS
177
Control de cuestionarios
Fecha de Inicio:_________________________________________________ Fecha de Terminación: ____________________________________________ Nombre del Jefe de Area: __________________________________________ Cargo: _______________________________________________________
Informática Auditoría de Sistemas Auditoria General
178
A N E X O 4.2 __________________
ORGANIZACIÓN
Cuestionario O1-C1
179
Preguntas. Si No S/R ObservacionesA. Objetivos 1. ¿Se han establecido objetivos para el área?. 2. ¿Participo el área en su establecimiento?. 3. ¿Se revisan los objetivos?. Si es afirmativo, indique cada cuánto tiempo. 4. ¿Ha habido alguna dificultad en la implantación de los objetivos?. 5. ¿La estructura actual permite la consecución de los objetivos del área?. Explique en que forma. 6. ¿Los objetivos establecidos son congruentes con los objetivos institucionales?. 7. ¿Se han definido por escrito los objetivos del área?. 8. ¿Se han dado a conocer los objetivos?.
B. Políticas. 1. ¿Están estipuladas las políticas de la Unidad de Apoyo y se han dado a conocer?. 2. ¿Se realiza una evaluación del resultado de estas políticas?.
C. Procedimientos. 1. ¿Hay procedimientos establecidos por escrito que cubran las siguientes características:
• Las funciones y responsabilidades de la gerencia?
• El análisis y el diseño del sistema?. • La programación, prueba e implementación?. • Las operaciones con la computadora?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS Area: Organización Sección: Estructura Orgánica
Cuestionario O1-C1
180
Preguntas Si No S/R Observaciones• La preparación y controles de la Entrada /
Salida?. • Las instrucciones y procedimientos para las
Unidades de Apoyo?. 2. ¿Se han dado a conocer los procedimientos establecidos a todos los niveles?
D. Organización. 1. ¿La organización esta claramente definida en forma de cuadro y refleja exactamente las funciones y responsabilidades?. 2. ¿Existe una línea definida de autoridad y responsabilidad desde la Gerencia General hasta el último de los empleados?. 3. ¿Esta debidamente calculado el número de subordinados que puede controlar cada jefe?. 4. ¿Existe delegación adecuada?. 5. ¿Permiten los niveles jerárquicos que se desarrolle adecuadamente la:
• Operación?. • Supervisión?. • Comunicación ascendente?. • Comunicación descendente?. • Toma de decisiones?.
(Si la respuesta es negativa indique la razón).
E. Puestos. 1. ¿ Los puestos actuales son adecuados a las necesidades que tiene el área para llevar a cabo sus funciones?. 2. ¿Es adecuado el número de empleados en cada puesto para cumplir con las funciones encomendadas?
F. Funciones. 1. ¿Se han establecido las funciones del área?. 2. ¿Están por escrito en algún documento las funciones del área?.
Cuestionario O1-C1
181
Preguntas Si No S/R Observaciones 3. ¿Se les da a conocer?. 4. ¿Participó el área en su formulación?. 5. ¿Las funciones están encaminadas a la consecución de los objetivos institucionales e internos. 6. ¿Conocen otras áreas las funciones de la unidad. 7. ¿Las funciones están adecuadas a la realidad?. 8. ¿Las funciones están adecuadas a la carga de trabajo?. 9. ¿Las actividades realizadas concuerdan con las funciones asignadas?. 10. ¿Se cumple con la totalidad de las funciones asignadas?. 11. ¿La falta de cumplimiento de las funciones es por las siguientes razones:
• Falta de personal?. • Personal no capacitado?. • Cargas de trabajo excesivas?. • Por realizar otras actividades?. • Por la forma en que son ordenadas?.
12. ¿Existe duplicidad de funciones en la misma área? 13. ¿Esto ocasiona conflictos?. Especifique cuáles.
Guía de Entrevista O1-E1
182
Guía de Entrevista para el personal.
Fecha:__________________ Gerencia: ________________________ Unidad: ____________________________
Nombre del Puesto: Puesto del Jefe Inmediato:
Reporta a: Supervisa a: Breve descripción de las actividades diarias:
Actividades periódicas:
Actividades eventuales:
Manuales que utiliza
Políticas del puesto:
Señale las lagunas que considere que hay en la organización: Cargas de trabajo: Métodos para establecer las cargas de trabajo: Formas de controlarlas: Capacitación recibida: Frecuencia : Temas sobre los que les gustaría recibir capacitación:
Nombre: __________________________ Firma: _____________________________ Firma del Jefe Inmediato: ____________ Revisado por: _______________________
183
A N E X O 4.3 __________________
S I S T E M A S
Guía de Entrevista S2-E1
184
Guía de Entrevista de los Usuarios para el
Control de los Documentos de Salida.
Fecha: _______________________
Gerencia: ___________________________ Unidad: ______________________
1. ¿Normalmente recibe a tiempo sus informes de salida y otros datos?. Nunca___ Rara vez___ Ocasionalmente___ Generalmente:___ Siempre___ ¿Por qué?. 2. ¿Existen problemas asociados a los informes que recibe? Generalmente no existe___ Ocasionalmente___ Regularmente___ Siempre___ ¿Por qué?. 3. ¿Alguien de la Unidad de Apoyo Informática le ha explicado cómo utilizar los informes?. Si____ No____ ¿Por qué?. 4. ¿Piensa que alguno de los informes de salida es innecesario y que se podría prescindir del mismo?. Si___ No___ ¿Cuál(es)?. 5. ¿Piensa que se le debería incluir en la lista de distribución para recibir informes adicionales?. Si___ No___ ¿Cuáles añadiría?. 6. ¿Cree que los datos presentados en los informes son exactos, confiables y útiles?. Si____ No____ ¿Por qué?
Guía de Entrevista S2-E1
185
7. ¿Hay partes del informe que recibe que no entienda?. Si_____ No_____ ¿Por qué?. 8. ¿Tiene alguna sugerencia en cuanto al formato, contenido, frecuencia de los informes que recibe?.
Nombre: ___________________________ Firma: ____________________________ Firma del Jefe Inmediato: _____________ Revisado por: _____________________
Cuestionario S2-C1
186
Preguntas Si No S/R Observaciones
1. ¿Existe una lista de proyectos de sistemas de procesamiento de información y fechas programadas de implantación que puedan ser consideradas como plan maestro?. 2. ¿Ofrece este plan la atención de solicitudes urgentes de los usuarios?. 3. ¿Existe un líder de proyecto que se responsabilice de los mismos?. 4. ¿Se toma en consideración la disponibilidad de tiempo del personal y de la máquina?. 5. ¿Existen procedimientos adecuados en vigencia para garantizar que todas las solicitudes se consideren a tiempo?. Si es afirmativo indique cuáles. 6. ¿Se asignan las prioridades tomando en consideración las demás solicitudes de cambios existentes?. Indique cómo. 7. ¿Se controla el avance del proyecto?. Indique cómo y la periodicidad. 8. ¿Se toman acciones correctivas en los casos de desviaciones?. 9. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si aun se cumplen con los objetivos para los cuales fueron fijados:
• De análisis?. • De programación?.
10. ¿Qué paso y técnicas se siguen en la planeación y control de proyectos:
• Determinación de los objetivos?. • Señalamiento de políticas?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Área: Sistemas Sección: Control de proyectos.
Cuestionario S2-C1
187
Preguntas Si No S/R Observaciones • Designación del funcionario responsable del
proyecto?. • Integración del grupo de trabajo?. • Integración de un comité de decisiones?. • Desarrollo de la investigación?. • Documentación de la investigación?. • Factibilidad de los sistemas?. • Análisis y evaluación de propuestas?. • Selección de equipos?.
Cuestionario S2-C2
188
Preguntas Si No S/R Observaciones1. ¿Existe una descripción general escrita que incluya los objetivos que se deben alcanzar?. 2. ¿Existe un texto detallado que describa cada fase del sistema recién diseñado (uno para cada programa y/o módulo)?. 3. ¿Se han elaborado diagramas de flujo del sistema para cada programa o módulo?. 4. ¿Se ha elaborado un diagrama de disposición general de toda entrada y salida, para los archivos en discos?. 5. ¿Los analistas son también programadores?. 6. ¿Los procedimientos de cada Unidad determinan el lenguaje de programación que se deberá utilizar, o lo hace un analista?. 7. ¿Las pruebas finales son revisadas a fondo por todo el personal de las aplicaciones nuevas antes de que los programas entren en funcionamiento?. 8. ¿El trabajo de los analistas es controlado?. Especifique cómo. 9. ¿La captura de datos del programa es realizada por los programadores?. 10. ¿Los programadores se encargan de realizar las pruebas del programa y de la corrección de resultados?. 11¿El programa es entregado con su respectiva documentación, la cual debe cubrir lo siguiente:
• Análisis y diseño del sistema. • Programación. • Prueba.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Area: Sistemas Sección: Diseño y Programación
Cuestionario S2-C2
189
Preguntas Si No S/R Observaciones.• Implementación. • Mantenimiento del programa. • Preparación y distribución de la entrada /
salida. • Procedimientos de procesamiento de la
computadora. • Procedimientos de los usuarios.
Guía de Entrevista S2-E2
190
Guía para Entrevista de Usuarios.
Fecha: _________________________
Gerencia: __________________ Unidad: ___________________________ 1. ¿La Unidad de Apoyo de informática le da los resultados esperados? Si___No___ ¿Por qué?.
2. ¿Cómo considera que es el servicio prestado por la Unidad de Apoyo informática?.
Deficiente____ Aceptable____ Satisfactorio____ Excelente____
¿Por qué?
3. ¿Son cubiertas sus necesidades de procesamiento?.
No las cubres_____ Parcialmente_____ La mayor parte____ Todas_____
¿Por qué?
4. ¿La calidad del procesamiento es:
Deficiente:_____ Aceptable_____ Satisfactorio_____ Excelente_____
¿Por qué?
5. ¿Existe disponibilidad para el procesamiento de sus requerimientos?.
Generalmente no existe_____Ocasionalmente_____Regularmente_____ Siempre_____
¿Por qué?
6. ¿Son entregados puntualmente los trabajos?.
Nunca_____Rara vez_____Ocasionalmente____ Generalmente_____ Siempre_____
¿Por qué?
7. ¿Cómo es la presentación de los trabajos solicitados?.
Deficiente_____ Aceptable_____ Satisfactorio_____ Excelente_____
¿Por qué?
8. ¿Cómo es la atención prestada por el personal de informática?.
Insatisfactoria_____ Satisfactoria_____ Excelente_____
¿Por qué?
9.¿Cómo es la asesoría impartida sobre informática?.
No se proporciona______ Insuficiente______ Satisfactoria_____ Excelente_____
¿Por qué?
Guía de Entrevista S2-E2
191
10. ¿Cómo es la seguridad en el manejo de la información proporcionada para el
procesamiento?.
Insatisfactoria______ Satisfactoria______ Excelente______
¿Por qué?
11. ¿Existen fallas de exactitud en los procesos de información?.
Si____ No____
¿Cuáles?
12. ¿Cómo utiliza los reportes que se le proporcionan?.
13. ¿Cuáles no utiliza?.
14. ¿Por qué no los utiliza?
15. ¿Existe un manual del usuario por sistema?.
Si____ No_____
16. ¿Es claro y objetivo el manual del usuario?.
Si____ No____
17. ¿Quién interviene de la Unidad de Apoyo en el diseño de sistemas?.
Nombre: _______________________ Firma: __________________________
Firma del Jefe Inmediato: _______________ Revisado por: ____________________
192
A N E X O 4.4
__________________
PROCESO DE DATOS Y EQUIPOS
Cuestionario P3-C1
193
Preguntas Si No S/R Observaciones.1. ¿Existen procedimientos formales para la operación del sistema de cómputo?. 2. ¿Estos procedimientos describen la operación del sistema de cómputo para cada corrida de producción?. 3. ¿El manual de corridas para operarios incluyen: • La definición de la fuente y el formato de los datos de entrada?. • La descripción de los procedimientos de
ajustes?. • La descripción de los mensajes de la
consola, junto con las respuestas o acciones que se deba tomar?.
• La descripción de los datos y el formato de salida necesario?.
• La definición de salida y archivo. • El cuadro de corridas del sistema.
4. ¿Los cambios al programa, junto con las fechas de entrada en funcionamiento, se registran en libros de corridas para mantener un registro cronológico exacto del sistema?. 5. ¿Se preparan programas de funcionamiento cuando se debe efectuar un trabajo no rutinario?. 6. ¿Se elabora un informe de turnos que tome nota de todas las excepciones?. 7. ¿En el libro de registro del equipo se indican las reanudaciones?. 8. ¿Se registran las razones que origina cada reanudación?. 9. ¿El encargado de las operaciones del procesamiento de datos, revisa los registros diariamente.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Area: Proceso de Datos y Equipos Sección: Control de Operación
Cuestionario P3-C1
194
Preguntas Si No S/R Observaciones10. ¿Se prohíbe que el personal de procesamiento electrónico de datos origine transacciones?. 11. ¿Se dejan los manuales de corrida de los operadores en la consola?. 12. ¿Las hojas de consola están numeradas secuencial mente?. 13. ¿El jefe de la Unidad de Apoyo Informática revisa diariamente las hojas impresa que salen de la consola?. 14. ¿El jefe de la Unidad de Apoyo Informática inicializa las hojas de consola para indicar que fueron revisadas?. 15. ¿Existe algún formulario u hoja impresa para cada corrida, que indique que ya se ejecutó la misma?. 16. ¿La introducción clave de datos confidenciales esta debidamente controlada, según los procedimientos establecidos?. 17. ¿Son adecuados los controles para garantizar que el operador que introdujo el trabajo con clave no sea el mismo que verifique la clave del trabajo?. 18. ¿Los datos introducidos identifican al operador que
• Introdujo la información con clave?. • Verifico la información con clave?.
19.¿Al jefe de la Unidad de Apoyo Informática se le informa las razones por las cuales se salió de lo planificado para el procesamiento computarizado? 20. ¿A aquellos que operan el equipo se les niega el acceso a los programas, compiladores y documentación?. 21. ¿Al personal operativo se les niega el acceso tanto al código fuente como a la biblioteca de códigos de fuente?.
Cuestionario P3-C2
195
Preguntas Si No S/R ObservacionesI. Almacenamiento de Datos. 1. ¿Los documentos fuente críticos se transfieren a lugares seguros? 2. ¿Se toman las medidas correspondientes a seguridad física y confidencialidad en la Unidad de Apoyo Informática?. 3. ¿Los registros de inventario de los medios bastan para controlar en forma adecuada los medios que se almacenan?.
II. Controles sobre los Documentos de Salida. 1. ¿Se revisa la razonabilidad de los documentos de salida antes de distribuirlos a la Unidad de Apoyo correspondiente?. 2. ¿Son adecuados los procedimientos para controlar la distribución de los documentos de salida?. 3. ¿Los informes y documentos de salida se revisan fuera de procesamiento de datos para chequear su viabilidad?. 4. ¿Los informes generados por la computadora se comparan con los totales de control en los casos en que se aplique?. 5. ¿Se lleva un registro de salida para registrar la distribución de todos los documentos de salida e informes?. 6. ¿Existen controles adecuados vigentes que permitan que la Unidad de Apoyo Informática sepa cuando un informe no se produce a tiempo?. 7. ¿Se han establecido controles que permitan verificar la suficiencia de los documentos de salida?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Area: Proceso de Datos y Equipos Sección: Controles de Salida
Cuestionario P3-C2
196
Preguntas Si No S/R Observaciones.8. ¿Se han establecido controles que permitan verificar si se produce el número correcto de copias?. 9. ¿Los documentos de salida se revisan en busca de errores obvios? 10. ¿En los casos necesarios se comparan los totales de control de los registros de salida con los controles llevados a mano?. 11. ¿Se siguen instrucciones para la distribución adecuada de todos los informes?. 12. ¿Todos los informes llevan un identificador para que se puedan distribuir al área debida?.
Cuestionario P3-C3
197
Preguntas Si No S/R Observaciones.1. ¿Los programas que funcionan y los archivos se guardan en un local especialmente diseñado para este fin?. 2. ¿Los locales asignados a la cintoteca y discoteca tienen lo siguiente:
• Aire acondicionado?. • Protección contra incendios?. • Cerradura especial
3. ¿Los deberes y responsabilidades de controlar el contenido de la biblioteca está asignado a un bibliotecólogo de tiempo completo o de medio turno?. 4. ¿Se han adoptado normas de etiquetado externo para los archivos en discos removibles?. 5. ¿Está establecido un sistema de referencias para los discos removibles?. 6. ¿Los discos que no están en uso en la actualidad se separan de los que contengan datos vivos?. 7. ¿Se han registrados cronogramas formales de retención de archivos y se han cumplido con los mismos?. 8. ¿Solo se permite el acceso de personal autorizado a la biblioteca?. 9. ¿La biblioteca esta resguardada en horas no laborables?. 10. ¿A los programadores se les prohíbe obtener archivos de aplicaciones de la Cintoteca?. 11. ¿Se prohíbe que los operadores obtengan archivos de aplicación de la biblioteca, a menos que estén autorizados?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS Area: Proceso de Datos y Equipos Sección: Control de Medios de
Almacenamiento Masivo
Cuestionario P3-C3
198
Preguntas Si No S/R Observaciones.12. ¿Se mantiene un inventario de los discos
removibles?. Si es afirmativo indique cual de la siguiente información es tomada en cuenta: • Número de serie • Nombre o clave del usuario. • Nombre del archivo lógico. • Nombre del sistema que lo genera. • Fecha de generación de archivo. • Fecha de expiración del archivo. • Número de volumen. • Condición de seguridad del archivo. • Otros.
13. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de acceso?. 14. ¿Existe control sobre las copias de estos archivos?. 15. ¿Qué medios se utilizan para almacenarlos:
• Mueble con cerradura?. • Bóveda?. • Otros.
16. ¿Se efectúan pruebas periódicas a los medios almacenados para verificar que los registros sean verídicos y completos?. 17. ¿Los dispositivos de almacenamiento son borrados cuando se desechan?. 18. ¿Se realizan auditorías periódicas a los medios de almacenamiento?. Indique la periocidad. 19. ¿Existen medidas establecidas para los casos de extravíos de algún dispositivos de almacenamiento?. 20. ¿Existe un procedimiento establecido para el reemplazo de los discos que contiene los archivos maestros?. 21. ¿Se conserva el disco maestro anterior hasta después del nuevo disco?.
Cuestionario P3-C3
199
Preguntas Si No S/R Observaciones.22. ¿Existe una reserva para retener por lo menos tres generaciones(abuelo, padre e hijo) de todos los archivos maestros conexos?. 23. ¿En los procesos que manejan archivos en líneas, ¿existen procedimientos para recuperación de archivos?. 24. ¿Existe un procedimiento para el manejo de la información de la Cintoteca?.
Cuestionario P3-C4
200
Preguntas Si No S/R Observaciones.I. Mantenimiento 1. ¿Se ha publicado y se cumple con un programa de mantenimiento para los equipos?. 2. ¿Existen cronogramas escritos y procedimientos para cada dispositivo del sistema de cómputo?. 3. ¿Se cumple con el programa de mantenimiento?. 4. ¿Existe algún tipo de mantenimiento preventivo que pueda dar el operador autorizado por el proveedor?.Especifique. 5. ¿La frecuencia y procedimientos de mantenimiento preventivo se ajustan a las recomendaciones del fabricante?.
II. Fallas. 1. ¿Se mantienen registros de las fallas de los dispositivos del sistema de cómputo y servicios auxiliares?. 2. ¿Estos registros permiten identificar los problemas mas recurrentes que afectan a la operación de la sala de máquina?. 3. ¿Estos registros permiten identificar los problemas mas recurrentes?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Área: Proceso de datos y equipos Sección: Mantenimiento.
Cuestionario P3-C5
201
Preguntas Si No S/R Observaciones.1. ¿Por lo menos una vez al mes se preparan informes Gerenciales que resuman el rendimiento programado?. 2. ¿Se llevan libros de registro del funcionamiento de las computadoras?. 3. ¿Se registran los números de trabajo?. 4. ¿Se incluye la hora de inicio y de terminación?. 5. ¿En el libro de registro del equipo se indican las reanudaciones?. 6. ¿Se indica el tiempo muerto y la justificación del mismo?. 7. ¿Por lo menos una vez al mes se preparan informes Gerenciales que resuman la utilización de la máquina?. 8. ¿El responsable del área de Informática formula las estadísticas de utilización de equipos, mostrando la frecuencia de fallas de los mismos y estadísticas de producción por aplicación?. 9. ¿Se cumplen los calendarios de trabajo?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Área: Proceso de datos y Equipos Sección: Control de Utilización del Sistema de Cómputo
Cuestionario P3-C6
202
Preguntas Si No S/R Observaciones.1. ¿El área de computadoras esta separada de las otras áreas de operación?. 2. ¿El área de operaciones se encuentra despejada y ordenada?. 3. ¿Existe un lugar asignado para los discos removibles?. 4. ¿La papelería y los utensilios de trabajo están dispuestos en un lugar específico?. 5. ¿Con que periocidad se efectúa la limpieza de los dispositivos de almacenamiento?:
• Al cambio de turno. • Cada semana. • Cada día. • Otra.
6. ¿En el cuarto de computadoras existe alguna política de “no fumar” en vigencia?. 7. ¿En el cuarto de computadoras se prohibe el consumo de alimentos?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Área: Proceso de Datos y Equipos Sección: Orden del Centro de Cómputo
Cuestionario P3-C7
203
Preguntas Si No S/R Observaciones.
1. ¿Se tiene un programa de corridas de procesamiento?. 2. ¿El mantenimiento preventivo es incluido en la programación?. 3. ¿Se preparan programas de funcionamiento cuando se deben efectuar trabajos no rutinarios?. 4. ¿Dentro de los planes de producción se dispone de tiempo para:
• Corridas de prueba de sistemas en desarrollo. • Respaldo de la información. • Corridas que deben repetirse.
5. ¿Se revisan el cumplimiento de los planes de producción establecidos?. 6. ¿Se tiene conocimiento sobre los próximos sistemas, a fin de incorporarlos en la programación?. 7. ¿Al responsable de la Unidad de Apoyo Informática se le informa las razones por las cuales se salió de lo planificado para el procesamiento computarizado?. 8. ¿El procesamiento puede producir estadísticas sobre:
• Errores, para el análisis de control?. • Tendencias de procesamiento, para el análisis
de control?. 9. ¿Existen índices de error aceptable para cada tipo de trabajo?. 10. ¿Se registran los tiempos de respuestas a las solicitudes?. Indique el promedio.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Área: Proceso de Datos y Equipos Sección: Productividad.
204
A N E X O 4.5 __________________
S E G U R I D A D
Cuestionario S4-C1
205
Preguntas Si No S/R Observaciones.1. ¿Existen controles que disminuyan la posibilidad de transmisión de virus en las microcomputadoras?. 2. ¿Se prohíbe la utilización de paquetes copiados sin autorización (“piratas”). 3. ¿Se prohíbe la utilización del tiempo de la máquina para usos ajenos a la organización?. 4. ¿Se utilizan contraseñas o password para acceder a los sistemas?. 5. ¿Todos los programas son documentados adecuadamente?. 6. ¿Son utilizadas las cifras de control como medio para verificar el momento de que se producen cambios o fraudes en el sistemas?. 7. ¿Las aplicaciones se encuentras clasificadas en función del riesgo que constituye para la organización la suspensión de su servicio?. 8. ¿Se ha establecido el tiempo que puede prescindir de cada aplicación?. 9. ¿Están establecidas las medidas preventivas a tomarse en caso de situaciones imprevistas?. 10. ¿Se permite el acceso al área de operaciones a los usuarios?. 11. ¿Los operadores pueden accesar a las librerías?. 12. ¿Se permite que los operadores realicen las correcciones de los errores detectados?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Área: Seguridad Sección: Seguridad Lógica y Confidencialidad
Cuestionario S4-C2
206
Preguntas Si No S/R Observaciones.A. Seguridad. 1. ¿Se han adoptado medidas de seguridad en la Unidad de Apoyo Informática?. 2. ¿Existe una persona responsable de la seguridad?. 3. ¿Se ha instruido a los empleados de procesamiento de datos sobre cómo contactar a las fuerzas de seguridad de la organización y a la policía local?. 4. ¿Existe una clara definición de funciones entre los puestos claves?. 5. ¿Se controla el trabajo fuera de horario?. 6. ¿Existen controles y medidas de seguridad sobre las siguientes operaciones:
• Recepción de documentos?. • Información confidencial?. • Captación de documentos?. • Cómputo electrónico?. • Programas?. • Biblioteca de procesamiento de datos?. • Documentos de salida?. • Archivos magnéticos?. • Operación del equipo de computación?. • Acceso personal?. • Identificación personal?. • Personas encargadas de la seguridad?. • Seguros contra robos e incendios?. • Cajas de seguridad?. • Otras (especifique).
B. Control de acceso. 1. ¿El acceso a la computadora esta limitado a personas específicas?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Area: Seguridad Sección: Seguridad Física
Cuestionario S4-C2
207
Preguntas Si No S/R Observaciones.
2. ¿Se registran todos los accesos a esta instalación (introducidos automáticamente en un informe o archivo que será revisado? 3. ¿Se reportan los usuarios no autorizados?. 4. ¿Los archivos clasificados se protegen debidamente del acceso o la actualización no autorizada?. 5. ¿Se protege a los archivos clasificados de cualquier perdida (se les hace la copia de respaldo y se almacena debidamente)?. 6. ¿Todo el equipo físico esta presente y ubicado donde se supone debe estar?. 7. ¿La Unidad de Apoyo Informática está ubicada en una habitación separada y con control de acceso a este cuarto:
• Por identificación personal?. • Por tarjeta magnética?. • Por claves verbales?. • Otras? (Especifique).
8. ¿La habitación esta razonablemente protegida contra el acceso a la fuerza?. 9. ¿Existe un procedimiento para controlar el acceso a los visitantes?. 10. ¿Se entrena al personal para enfrentarse a visitantes identificados indebidamente?.
C. Planificación en casos de accidentes. 1. ¿El área donde se encuentra la computadora está situada a salvo de:
• Inundación. • Terremoto. • Fuego. • Sabotaje
2. ¿Existe un procedimiento que permita que las cuadrillas de emergencia puedan entrar al cuarto de computadoras y a las demás áreas en caso de requerir sus servicios?.
Cuestionario S4-C2
208
Preguntas Si No S/R Observaciones.
3. ¿Existe alarma para: • Detectar fuego en forma automática? • Avisar en forma manual la presencia de fuego?. • Detectar una fuga de agua?. • Detectar magnetos o corto circuitos?. • No existe.
4. ¿Se revisan los procedimientos contra incendio y se hacen simulacros con regularidad?. 5. ¿Existen extintores de fuego:
• Manuales?. • Automáticos?. • No existen.
6. ¿Se ha adiestrado al personal en el uso de los extintores?. 7. ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos, a fin de que el personal:
• Corte la acción de los extintores por tratarse de falsas alarmas?.
• Pueda cortar la energía eléctrica?. • Pueda abandonar el local sin peligro de
extinción?. 8. ¿Los procedimientos de protección contra incendios, de suministro de energía alterna, de aire acondicionado y los de control de accesos son razonables?. 9. ¿Se instruye a todos los empleados sobre los procedimientos de emergencia?. 10. ¿Los procedimientos en caso de desastre protegen al centro de datos, archivos de datos y programas contra incendios y otros accidentes?. 11. ¿Existen suficientes medidas de seguridad para evitar la perdida o el daño a los archivos almacenados ante incendios, inundaciones o robos?. 12. ¿Los operadores reciben un entrenamiento periódico sobre las medidas a tomar en caso de emergencia?.
Cuestionario S4-C2
209
Preguntas Si No S/R Observaciones.
D. Respaldos. 1. ¿Los archivos (programas, datos, documentación y demás) se han clasificado en críticos o sensibles?. 2. ¿Se almacenan los archivos de respaldo en un lugar alejado de la instalación en forma segura?. 3. ¿Se tienen establecidos procedimientos de actualización de estas copias?. 4. ¿Se protegen adecuadamente los archivos sensibles y/o documentos de fuente?.
E. Control de mantenimiento 1. ¿Los cambios a los programas en funcionamiento se solicitan formalmente y se aprueban antes de su implementación?. 2. ¿Cuándo se efectúan los cambios a los programas a petición de quien es:
• Usuario?. • Responsable de Informática?. • Gerente?. • Programador?. • Otras (Especifique).
3. ¿Los cambios a los programas, se registran con sus fechas de inicio, de forma que garanticen un registro cronológico efectivo del sistema que corresponda?. 4. ¿Los operadores de procesamiento de datos tienen una lista de personas a quienes notificar en caso de que una aplicación requiera mantenimiento de inmediato?. 5. ¿Al usuario responsable del sistema se le avisa que se hizo un cambio de emergencia a la aplicación?. 6. ¿El responsable de la Unidad de Apoyo Informática siempre recibe aviso de que se efectuó un cambio de emergencia al sistema?.
Cuestionario S4-C2
210
Preguntas Si No S/R Observaciones.
7. ¿Existen suficientes versiones de respaldo de los programas, antes de la reparación de emergencia, para volver a instalar la versión original en condiciones funcionales de ser necesario?. 8. ¿A la persona que haga el cambio de emergencia se le niega el acceso a otros archivos de datos y programas?. 9. ¿Todos los cambios de programas se originan por medio de un formulario de solicitud de cambios?.
F. Terminales interactivas. 1.¿Existe un control de palabras claves adecuado en vigencia que proteja la utilización del sistema?. 2. ¿Existen procedimientos por medio de los cuales se puedan invalidar la palabra clave de un usuario inmediatamente y de igual manera se le emite una nueva cuando se crea que se ha comprometido su confidencialidad?. 3. ¿Se han desarrollado técnicas de seguridad que detecten engaño, la duplicación de grabaciones, la inserción de mensajes, la modificación del contenido, y la observación de lo que ocurre entre las terminales y la unidad de procesamiento central?. 4. ¿El sistema de palabras clave esta estructurado de forma que permita grados distintos de confidencialidad para los datos?.
Cuestionario S4-C3
211
Preguntas Si No S/R Observaciones.1. ¿Los códigos de cuentas de autorización, palabras claves y otros procedimientos están bajo control para impedir su uso no autorizado?. 2. ¿Si las terminales permiten el acceso al sistema están las mismas protegidas adecuadamente contra el uso no autorizado?. 3. ¿Se informa al Gerente toda y cualquier relación a la seguridad (tanto intencional como inadvertida?. 4. ¿Se controla cuidadosamente la interacción de los operadores?. 5. ¿Cuándo se va el personal clave, se toman las acciones necesarias para cambiar el método de acceso (es decir poner nuevas claves y palabras claves) de forma que no puedan volver a tener acceso a la información sensible?. 6. ¿Las impresiones de consola son revisadas por personas familiarizadas con los requisitos de procesamiento? 7. ¿Si se dispone de métodos automatizados para restringir el acceso a los programas de aplicación, ¿Se utilizan los mismos? 8. ¿Los listados de los programas no son accesible a los operadores de las computadoras?. 9. ¿Se requiere que cada empleado firme un acuerdo en relación a su papel y responsabilidad dentro de la Unidad, con relación a la propiedad y uso de la información que tal empleado procese en el transcurso de sus actividades?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS. Área: Seguridad Sección: Seguridad en la utilización del equipo.
Cuestionario S4-C3
212
Preguntas Si No S/R Observaciones.
10. ¿Se controla el acceso al cuarto de computadoras?. 11. ¿Los discos sensibles están debidamente identificados y protegidos.
Cuestionario S4-C4
213
Preguntas Si No S/R Observaciones
1. ¿Se ha entrenado debidamente al personal en el uso del equipo de respaldo y los procedimientos para los mismos?. 2. ¿Los archivos críticos se almacenan fuera del centro de cómputo?. 3. ¿Existen arreglos apropiados que permitan la disponibilidad de tiempo de procesamiento, en el caso de que el equipo esté incapacitado por un largo período de tiempo?. 4. ¿Los discos de duplicados actualizados se guardan en un lugar seguro bajo control, para fines de respaldo?.
5. ¿Las copias de los programas activos se guardan fuera del cuarto de computadoras?. 6. ¿Se mantienen los medios de transacciones relacionados con archivos y programas críticos?.
7. ¿Se dispone de más de una copia de todo el material activo (discos, documentación y otros materiales)?. 8. ¿Se han establecidos procedimientos para supervisar la confiabilidad de los medios de los datos almacenados en la biblioteca?. 9. En caso de utilizar redes, ¿se han desarrollados medios alternos que respalden un corte prolongado en la red de comunicación?
10. ¿Se documentan los procedimientos que siguen los operadores?. 11. ¿Se efectúan pruebas de respaldo con regularidad?. 12. ¿Se han documentado los procedimientos para casos de recuperación y control de desastres?.
CUESTIONARIO DE AUDITORÍA DE SISTEMAS Área: Sistemas Sección: Procedimientos de Respaldo
Cuestionario S4-C4
214
Preguntas Si No S/R Observaciones 13. En el caso que se requiera de instalaciones de respaldo, ¿se ha establecido una prioridad para los trabajos que deban ser corridos primero?. 14. ¿Se dispone de más de una copia de la documentación del programa?. 15. ¿La Unidad de Apoyo Informática puede seguir funcionando en caso de una interrupción prolongada del servicio telefónico?. 16. ¿La gerencia ha evaluado el impacto/riesgo de la pérdida de datos o el uso de datos incorrectos o fuera de tiempo?.
215
A N E X O 5 ________________
FORMATOS PARA LA DESCRIPCIÓN DE LOS INFORMES
216
Descripción de Informes Nombre del informe: ____________________________________________________ Propósito: _____________________________________________________________ Quién lo formula: _______________________________________________________ Sistema que lo origina: ___________________________________________________ Volumen de hojas: ______________________________________________________ Principal usuario: _______________________________________________________ Periodicidad: ___________________________________________________________ En vigor desde: _________________________________________________________ Oportunidad, confiabilidad, completo: _______________________________________
COPIAS
USUARIO
USO
FECHA Analizado por: Revisado por:
217
A N E X O 6 __________________
MATRIZ DE RECEPCIÓN Y
DISTRIBUCIÓN DE DOCUMENTOS
GUÍA PARA LA ESTRUCTURACIÓN DE LA MATRIZ DE RECEPCIÓN Y DISTRIBUCIÓN DE DOCUMENTOS
6
1 3
5
2
4
Zona 1: Anotar los nombres de las Unidades que intervienen en el proceso.
Zona 2: Anotar los nombres de los documentos fuente que forman parte del sistema.
Zona 3: Anotar los nombres de los informes que son emitidos.
Zona 4: (Unión de la zona 1 con la zona 2). Colocar una X en aquellas Unidades que
producen determinado documento o que participan en su estructuración.
Zona 5: (Unión de la zona 2 con la zona 3). Colocar una X en las uniones que indican
que un determinado documento fuente, produce un determinado informe.
Zona 6: (Unión de la zona 1 con la zona 3). Colocar una X en la intersección de la
Unidad y los informes que utiliza.
Nota: En los casos en que la información que se obtiene sea en línea, colocar una L en
lugar de una X.
