Tesis - Dirección General de Servicios Telemáticos
Transcription
Tesis - Dirección General de Servicios Telemáticos
UNIVERSIDAD DE COLIMA FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA LA AUDITORIA EN LA INFORMÁTICA ENSAYO QUE PARA OBTENER EL GRADO DE: MAESTRA EN CIENCIAS COMPUTACIONALES PRESENTA: LORENA CARMINA MORENO JIMÉNEZ ASESOR: MC. ANDRÉS GERARDO FUENTES COVARRUBIAS COQUIMATLÁN, COLIMA, ABRIL DE 2003 UNIVERSIDAD DE COLIMA FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA EXPEDIENTE: 510 NUM. 92-5131 MORENO JIMÉNEZ LORENA CARMINA AVE. NIÑOS HÉROES #427 VILLA DE ÁLVAREZ, COLIMA Informo a usted que ha sido APROBADO por el H. CONSEJO TÉCNICO DE LA MAESTRÍA EN COMPUTACIÓN, como tema de titulación para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES. El solicitado por usted bajo el título: "LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)" Desarrollado bajo los siguientes puntos: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDO FUENTES COVARRUBIAS. En cada uno de los ejemplares de titulación que presente para examen, deberá aparecer en primer termino copia del presente oficio. C.c.p. EXPEDIENTE ALUMNO RFC7AGFC/laal* Km 9 Carretera Colima-Coquimatlán, Colima, Colima, México, Cp 28400 Tel. 01 (3) 316 1165, Ext. 51451, Ext Fax 51454 H. CONSEJO TÉCNICO DE POSGRADO EN COMPUTACIÓN FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIVERSIDAD DE COLIMA Por medio del presente conducto informo que la C. MORENO JIMÉNEZ LORENA CARMINA, terminó su período de revisión de tesis. El trabajo al cual se hace mención fue denominado: LA AUDITORIA EN LA INFORMÁTICA (ENSAYO) Cuyo contenido es el siguiente: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA El cual cumple con los requisitos necesarios para su aprobación, por lo cual lo autorizo para su impresión. C.c.p. Expediente EXPEDIENTE: 510 FECHA: 05-04-2003 Acta No. :23 MORENO JIMÉNEZ LORENA CARMINA AVE. NIÑOS HÉROES #427 VILLA DE ÁLVAREZ, COLIMA TEL: 01-312-3136872 En cumplimiento a lo dispuesto por los artículos 13 y 14 del reglamento de titulación vigente, al artículo 40, inciso A del reglamento de estudios de posgrado vigente y al artículo 46 de las normas complementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingeniería Mecánica y Eléctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Técnico su tema de tesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS, 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Así mismo, hacemos de su conocimiento que de acuerdo con la línea de investigación en la cual se enmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDO FUENTES COVARRUBIAS. A partir de la fecha de aprobación tendrá como plazo un año para presentar su examen de grado, en caso contrario tendrá usted derecho a una prorroga única de seis meses so pena de perder el registro de su proyecto, lo anterior bajo la consideración del Consejo Técnico y la aprobación de su director de tesis. Una vez concluidos los tramites de revisión de su documento de tesis e integrado su expediente de titulación deberá recoger el oficio que acompañara el visto bueno de su director de tesis, los cuales encabezarán cada uno de los ejemplares de sus tesis. DEDICATORIA Agradezco, a mi familia por el apoyo incondicional y el aliciente que me proporcionan para seguir adelante, en particular a mi esposo el Dr. Nicandro Farias Mendoza, que formo parte importante en la culminación de mi trabajo. A la Universidad de Colima por brindarme la oportunidad de seguir preparándome. A mis maestros por trasmitir sus conocimientos. Al maestro Andrés Gerardo Fuentes Covarrubias por haberme brindado la oportunidad de trabajar con él en el desarrollo del trabajo. CONTENIDO INTRODUCCIÓN CAPITULO 1 ANTECEDENTES CAPITULO 2 TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 2.1 Informática 2.2 Auditoria 2.3 Tareas principales de la auditoria 2.4 Auditoria en informática 9 12 13 13 CAPITULO 3 AUDITORIA INFORMÁTICA 3.1 Importancia de la auditoria informática 3.2 Formas de llevar a cabo una auditoria informática 3.3 Síntomas de necesidad de una auditoría informática 3.4 Herramientas y técnicas para la auditoría informática 3.4.1 Cuestionarios 3.4.2 Entrevistas 3.4.3 Checklist 3.4.4 Trazas y/o huellas 3.4.5 Software de interrogación 15 15 16 18 18 18 19 22 23 CAPITULO 4 TIPOS DE AUDITORIAS 4.1. Concepto de auditoría en informática 4.2. Auditoria interna y auditoría contable/financiera 4.2.1 Definición de control interno 4.2.2 Objetivos del control interno 4.2.3 Clases de controles internos 4.2.3.1 Atendiendo al momento que se actúa 4.2.3.2 Controles de supervisión 4.3. Auditoria administrativa 4.4. Concepto de auditoría con informática 4.5 Concepto de auditoría de programas 4.6 Concepto de auditoria de seguridad 4.6.1 Consideraciones inmediatas 4.6.2 Consideraciones para elaborar un sistema de seguridad integral 4.6.3 Etapas para implementar un sistema de seguridad 4.6.4 Etapas para implementar un sistema de seguridad en marcha 4.6.5 Beneficios de un sistema de seguridad 25 27 27 27 31 31 31 37 38 44 45 45 49 50 51 51 CAPITULO 5 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 5.1 Planeación de la auditoría en informática 5.1.1 Investigación preliminar 5.1.2 Personal participante 52 53 56 CAPITULO 6 AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 6.1 Recopilación de la información organizacional 6.2 Evaluación de la estructura orgánica 6.3 Evaluación de los recursos humanos 6.4 Entrevistas con el personal de informática 6.5 Situación presupuestal y financiera 58 59 73 79 80 CAPITULO 7 EVALUACIÓN DE SISTEMAS 7.1 Evaluación de sistemas 7.2 Evaluación del análisis 7.3 Evaluación del diseño lógico del sistema 7.4 Evaluación del desarrollo del sistema 7.5 Control de proyectos 7.6 Control de diseño de sistemas de información 7.7 Instructivos de operación 7.8 Forma de implantación 7.9 Equipo y facilidades de programación 7.10 Entrevistas a usuarios 84 86 88 93 94 96 99 100 100 100 CAPITULO 8 EVALUACIÓN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO 8.1 Controles 8.1.1 Controles de los datos fuente y manejo de cifras de control 8.1.2 Control de operación 8.1.3 Controles de salida 8.1.4 Control de asignación de trabajo 8.1.5 Control de medios de almacenamiento masivos 8.1.6 Control de mantenimiento 8.2 Orden en el centro de cómputo 8.3 Evaluación de la configuración del sistema de cómputo 8.4 Productividad 104 104 107 112 112 114 117 124 125 126 CAPITULO 9 EVALUACIÓN DE LA SEGURIDAD 9.1 Seguridad lógica y confidencialidad 9.2 Seguridad en el personal 9.3 Seguridad física 9.4 Seguros 9.5 Seguridad en la utilización de equipo 9.6 Procedimiento de respaldo en caso de desastre 9.7 Condiciones, procedimientos y controles para otorgar soporte a otras instituciones CAPITULO 10 INFORME FINAL 10.1 Técnicas para la interpretación de la información 10.1.1 Análisis crítico de los hechos 10.1.2 Metodología para obtener el grado de madurez del sistema 10.1.3 Uso de diagramas 10.2 Evaluación de los sistemas 10.3 Evaluación de los sistemas de información 10.4 Controles 10.5 Confección y redacción del informe final 128 137 137 144 146 150 155 156 156 157 158 159 163 165 167 CAPITULO 11 DIFERENTES ENFOQUES DE LA AUDITORIA 11.1 Introducción 170 CAPITULO 12 CONCLUSIONES 202 BIBLIOGRAFÍA 206 ANEXOS 207 Introducción A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado, como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de, realizarse la auditoría, ya se habían detectado fallas. El concepto de auditoría es mucho más que esto. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia. Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos dice: " La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable." De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una 1 Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos. Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos: • Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad. • Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos. • Un Sistema Informático mal diseñado puede convertirse en una herramienta peligrosa para la empresa: como las máquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas. 2 1 __________________________________________________________________ Antecedentes La información es inherente a la existencia de las personas y de las sociedades. Permite conocer la realidad, interactuar con el medio físico, apoyar en la toma de decisiones, y evaluar las acciones de individuos y grupos el aprovechamiento de la información propicia la mejoría de los niveles de bienestar y permite aumentar la productividad y competitividad de las naciones. El importante aporte de la información se ha visto acrecentado por la posibilidad que ha traído consigo la informática, surgida de la convergencia tecnológica de la computación, la microelectrónica y las telecomunicaciones, para producir información en grandes volúmenes, y para consultarla y transmitirla a través de enormes distancias. De hecho, el mundo de fin de siglo XX esta inmerso en una nueva Revolución tecnológica basada en la informática. Esta encuentra su principal impulso en el acceso expedito y en la capacidad de procesamiento de información sobre prácticamente todos los temas y sectores. La nueva Revolución tecnológica ha contribuido a que culturas y sociedades se transformen aceleradamente, tanto económica como social y políticamente, con el objetivo fundamental de alcanzar la plenitud de sus potencialidades. En el mundo, hoy la informática es de carácter estratégico sus aplicaciones, ya han afectado prácticamente todas las actividades humanas de la manera siguiente: • permitiendo la comunicación instantánea de conocimiento a distancia. (por ejemplo permitir integrar grupos de personas que radiquen en distintos sitios, con afinidades o necesidades especifica, para resolver problemas que les son comunes, generando los que se denomina inteligencia colectiva, etc..) • ampliando las capacidades intelectuales del hombre. • estableciendo al conocimiento como factor productivo. • facilitando la generación de nuevas tecnologías y la automatización de procesos. • permitiendo la reducción de tiempos y costos de producción. 3 • impulsando la aparición de nuevos productos. • propiciando nuevos servicios y de mejor calidad. (en el sector publico, algunos, como los de salud, enseñanza y seguridad social prestándose en mayor escala y de manera mas eficaz. las computadoras y las telecomunicaciones pueden coadyuvar en el suministro de estos servicios a comunidades marginadas, etc... todo esto se traduce a beneficios tangibles para la población.) • generando nuevos empleos, principalmente en los servicios (mantenimiento, instalación y reparación de equipo, capacitación, etc...) • modificando la composición y estructuras de los sectores productivos. (se efientizan estructuras, se redefinen responsabilidades de los directivos y trabajadores, etc...) • da lugar a la noción del mundo como aldea global. (ya que los avances tecnológicos que se perfilan, hacen posible la transformación de los servicios para acercarlos a las necesidades particulares de las personas. (por ejemplo, la conexión a redes de computadoras nacionales e internacionales.) A estos efectos se están sumando transformaciones igualmente importantes, en el ámbito social, al cambiar la manera en que se llevan a cabo innumerables actividades cotidianas. Por la magnitud de sus efectos, esta Revolución tecnológica es comparable a dos importantes acontecimientos históricos de desarrollo tecnológico estratégico: Imprenta (siglo XV) • permitió una mayor comunicación de ideas a distancia en forma impresa. • impulso la generación del conocimiento. • propicio el surgimiento de la escritura y la lectura como habilidad social. • motivo la evolución cultural, social, política y económica. Revolución Industrial (siglo XVIII) • Incremento capacidades productivas y la disponibilidad de satisfactores. • Amplio opciones de empleo y de organización productiva. • Causo desplazamiento del campo a la ciudad. • Motivo desarrollo heterogéneo entre las naciones redefiniendo la arquitectura del mundo. En conclusión las sociedades que han incorporado la informática a su forma de vida cuentan con una ventaja económica y social invaluable en el contexto de la globalización debido a ello, múltiples naciones están enfocando sus esfuerzos a diseñar políticas y estrategias en informática. 4 El mundo no puede sustraerse de este contexto: los futuros niveles de bienestar y la viabilidad competitiva, dependen en gran medida de una estrategia informática que permita aprovechar el potencial que representa esta tecnología, haciendo de ella un instrumento eficaz que sirva para resolver problemas y para enfrentar con optimismo renovado los retos que el presente y el futuro presenten, por lo que es necesario en definitiva, para obtener un buen aprovechamiento evitar que por una falta de estándares y metodologías, y por una falta de formación y cultura generalizada, sobre todo en los aspectos de control y de seguridad informática, a pesar de los grandes adelantos tecnológicos, se produzca en las áreas de informática islotes de mecanización y de procesos manuales difíciles de controlar y caros de mantener por una falta de asimilación de las nuevas tecnologías, por una infrautilización de los equipos informáticos, por un descontento generalizado de los usuarios, por una obsolescencia de las aplicaciones informáticas actuales, por una falta de planificación de los Sistemas de Información, por falta de seguridad física y lógica y por soluciones planteadas parcialmente que, todo esto puede ser resueltos mediante la auditoría en Informática que es válida para cualquier tamaño de empresa y que teniéndola como un ejercicio práctico y formal, brindará a sus ejecutantes, así como a los negocios, un sentimiento de satisfacción justificado por el entendimiento y compromiso que implica asegurar la utilización correcta de los recursos de informática para lograr los objetivos de la organización. Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo que se relaciona con el hecho de que cualquier organización desea mantener sus activos en las mejores condiciones posibles y salvaguardar su integridad. La función de del auditor en informática no es fungir como capataz o policía del negocio, como tantas veces se ha planteado en forma sarcástica o costumbrista en las organizaciones. Este profesionista se orienta a funcionar como un punto de control y confianza para la alta dirección, además de que se busca ser un facilitador de soluciones. Por analogía el auditor se asemeja al médico que evalúa al paciente y le recomienda el tratamiento idóneo para estar en óptimas condiciones de salud. Según la situación del enfermo, recomendará tratamientos ligeros o fuertes y estrictos. Lo importante es que el paciente sepa que puede mejorar su salud. Esa es la orientación del auditor en informática: conducir a la empresa a la búsqueda permanente de la "salud" de los recursos de informática y de aquellos elementos que se relacionan con ella. No hay que pensar que este proceso cambiará la cultura organizacional de la noche a la mañana, los métodos de trabajo, la mala calidad, ni la improductividad en las áreas relacionadas con la informática; es un elemento estratégico directo que apoya la eliminación de cada una de las debilidades mencionadas. Sin embargo ha de coexistir con el personal responsable y profesional, así como con directores ya accionistas comprometidos con la productividad, calidad y otros factores recomendados para ser empresas de clase mundial. Se espera que cada auditor sea un profesional, un experto, pero sobre todo que sea un ser sensible, humano, que entienda el contesto real del negocio. Su 5 principal objetivo es conferir la dimensión justa a cada problemática, convirtiéndola en un área de oportunidad y orientándola hacia la solución del negocio. En los años cuarenta empezaron a presentarse resultados relevantes en el campo de la computación, a raíz de los sistemas de apoyo para estrategias militares; posteriormente se incrementó el uso de las computadoras y sus aplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación, salud, industria, política, banca, aeronáutica, comercio, etc. En aquellos años la seguridad y control de ese medio se limitaba a proporcionar custodia física a los equipos y a permitir la utilización de los mismos al personal altamente calificado (no existía un gran número de usuarios, ya fueran técnicos o administrativos). En el presente, la informática se ha extendido a todas las ramas de la sociedad, es decir, resulta factible controlar un vuelo espacial por medio de una computadora, así como seleccionar las compras del hogar en una computadora personal con acceso a internet, por ejemplo. Esta rapidez en el crecimiento de la informática permite deducir que los beneficios se han incrementado con la misma velocidad, algunos con mediciones tangible -como reducción de costos e incremento porcentual en ventas- y otros con aspectos intangibles -como mejoría en la imagen o satisfacción del cliente-, pero ambos con la misma importancia para seguir impulsando la investigación y actualización constante de la tecnología. La idea de que se obtienen mayores beneficios que antes no se halla muy lejos de la realidad; no obstante, también es válido afirmar que los costos han sido altos y en muchas ocasiones han rebasado los límites esperados, ocasionando grandes pérdidas y decepciones en los negocios. Las empresas y organismos interesados en que la informática continúe creciendo para beneficio de la humanidad (educación, productividad, calidad, ecología, etc.) desean que este incremento se controle y oriente de manera profesional: se debe obtener el resultado planeado y esperado en cada inversión de esta rama. Asegurar que las inversiones y proyectos inherentes a la función de informática sean justificados y brinden los resultados esperados es una responsabilidad de quien administre dicha función y, de igual manera, es responsabilidad de la dirección no aprobar proyectos que no aseguren la rentabilidad de la inversión. Con el paso de los años la informática y los elementos tecnológicos que la rodean han creado necesidades en cada sector social y se han tornado en un requerimiento permanente para alcanzar soluciones. El incremento persistente de las expectativas y necesidades relacionadas con la informática, al igual que la actualización continua de los elementos que componen la tecnología de este campo, obligan a las entidades que la aplican a disponer de controles, políticas y procedimientos que aseguren la alta dirección de los recursos humanos, materiales y financieros involucrados para que se protejan adecuadamente y se oriente a la rentabilidad y competitividad del negocio. Si se pregunta ¿por qué preocuparse de cuidar esa caja etiquetada con el nombre de informática, y la respuesta que brinde a cualquiera de las siguientes preguntas es negativa, le convendría reafirmar o considerar la necesidad de 6 asumir la responsabilidad del control y otorgamiento de seguridad permanente a los recursos de informática? • ¿Los usuarios y la alta dirección conocen la situación actual de la función de informática en la empresa (organización, políticas, servicios, etc.)? • ¿Se aprueba formal y oportunamente el costo / beneficio de cada proyecto relacionado en forma directa con la informática? • ¿La informática apoya las áreas críticas del negocio? • ¿El responsable de la informática conoce los requerimientos actuales y futuros del negocio que necesitan apoyo de los servicios y productos de su área ? • ¿Cada uno de los elementos del negocio conoce las políticas y procedimientos inherentes al control y seguridad de la tecnología informática? • ¿Existen dichas políticas y procedimientos de manera formal? • ¿Hay un plan de seguridad en la informática? • ¿Se ha calculado el alcance e impacto de la informática en la empresa? • ¿Hay un plan estratégico de informática alineado al negocio? • ¿Existen responsables que evalúen formal e imparcialmente la función de informática? • ¿Se cuenta con un control formal de cada proyecto relativo al área? • ¿Es importante para usted la informática? • ¿Evalúa periódica y formalmente dicha función de la informática? • ¿Auditan sólo sistemas de información y no otras áreas de la información? Cada una de las preguntas encierra una importancia específica para el buen funcionamiento informático de cualquier negocio; están interrelacionadas y la negación de alguna es una pequeña fuga de gas que, con el tiempo y un pequeño chispazo, puede ocasionar graves daños a los negocios, ya sean fraudes, proyectos cancelados con alto porcentaje de costos no recuperables, rechazo de los servicios de informática por los usuarios clave del negocio, improductividad y baja calidad de los recursos de informática, planes de informática no orientados a las metas y estrategias del negocio, piratería de software, fuga de información hacia la competencia o proveedores, entre otros daños. La improductividad, el mal servicio y la carencia de soluciones totales de la función informática fueron, son y pueden continuar siendo mal de muchas organizaciones. El problema real radica en que los proyectos prioritarios hacen gala del apoyo que obtienen de la informática; entonces, ¿por qué no cuidarla? Algunos de los problemas por las debilidades o fallas de la informática son: • Debilidades en la planeación del negocio al no involucrar la informática generan inconsistencias. • Resultados negativos (improductividad, duplicidad de funciones, etc.) en el desarrollo, operación y mantenimiento de sistemas de información. • Falta de actualización del personal de informática y técnico donde se encuentran instalados los sistemas y las soluciones del negocio. • Mínimo o nulo involucramiento de los usuarios en el desarrollo e implantación de soluciones de informática. • Capacitación deficiente en el usos de los sistemas de información, el 7 • • • • • • • • software (base de datos, procesadores de palabras, hojas de cálculo, graficadores, etc.) y el hardware (equipos de cómputo, impresoras y otros periféricos, etc.). Administración de proyectos que no es formal ni completa (no se alinea a los objetivos del negocio) Carencia de un proceso de análisis costo / beneficio formal previo al arranque de cada proyecto de informática. Metodologías de planeación y desarrollo de sistemas informales no estandarizadas y en muchos casos inexistentes. Uso y entendimiento mínimo o inexistente de técnicas formales para el desempeño de funciones en las áreas de informática: • Análisis y diseño de sistemas de información • Entrevistas a usuarios operativos y ejecutivos • Cuestionarios • Modelación de procesos • Modelación de datos • Costo / beneficio, etcétera. • Control de proyectos. Trabajo en equipo de desempeño. Involucramiento mínimo o informal de la alta dirección en los proyectos de informática. Proyectos de auditoría o evaluación de informática esporádicos e informales y en muchos casos inexistente. Otros. 8 2 __________________________________________________________________ Terminología informática de la auditoría en 2.1 Informática La informática se desarrolla con base en normas, procedimientos y técnicas definidas por institutos establecidos a nivel nacional e internacional. La informática es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de información por medios electrónicos, el cual comprende las áreas de la tecnología de información orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya(entidades internas y externas de los negocios) de manera oportuna y veraz; además es el proceso metodológico que se desarrolla de manera permanente en las organizaciones para el análisis, evaluación, selección, implantación y actualización de los recursos humanos (conocimientos, habilidades, normas, etc), tecnológicos (hardware, software, etc.) materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones) encaminados al manejo de la información, buscando que no se pierdan los propósitos confiabilidad, oportunidad, integridad y veracidad entre otros propósitos. Hardware se refiere a los componentes físicos y tangibles de las computadoras, generalmente clasificados en cuatro grandes ramas: • computadoras personales • Redes (locales, abiertas, etc.) • Minicomputadoras • Supercomputadoras (mainframes) Software implica la parte no física de las computadoras. Esto significa que es la porción intangible de los equipos de cómputo, es decir, programas con 9 orientaciones específicas para la administración de la informática y el uso eficiente de los recursos de cómputo. Su clasificación se puede resumir en los siguientes términos: Software de aplicaciones (sistemas de información) • Administrativos. • Financieros. • De manufactura. • Otros. Software de paquetes computacionales (paquetería) • Hojas electrónicas. • Procesadores de palabras. • Otros. Software de programación • Lenguajes de tercera generación • Lenguajes de cuarta generación Software de sistemas operativos • Para computadoras personales. • Para minicomputadoras. • Para supercomputadoras. Productos CASE (ComputerAided Software Enaineering) • Para planeación de sistemas de información. • Para análisis de sistemas de información. • Para diseño de sistemas de información. • Para todo ciclo de desarrollo e implantación de sistemas de información (CDISI). Para Propósitos específicos • Arquitectura. • Auditoría. • Ingeniería. • Medicina. • Otras ciencias. Sistemas de información: Son el conjunto de módulos computacionales o manuales organizados e interrelacionados de manera formal para la administración y uso eficiente de los recursos (humanos, materiales, financieros, tecnológicos, etc.) de un área específica de la empresa (manufactura, administración, dirección, etc.), con la finalidad de representar los procesos reales del negocio y orientar los procedimientos, políticas y funciones inherentes para lograr las metas y objetivos del negocio de forma eficiente. Los sistemas de información pueden orientarse al apoyo de los siguientes aspectos: - Niveles operativos del negocio - Niveles tácticos del negocio - Niveles estratégicos del negocio Sistemas de información estratégica (SIE): Son aquellos que de manera permanente proporcionan a la alta dirección una serie de parámetros y acciones encaminadas a la toma de decisiones que apoyarán al negocio en el seguimiento 10 de la rentabilidad y competitividad respecto a la competencia. Metodología: Es un conjunto de etapas (fases o módulos) formalmente estructurados, de manera que brinden a los interesados los siguientes parámetros de acción en el desarrollo de sus proyectos: • Plan general y detallado. • Tareas y acciones. • Tiempos. • Aseguramiento de calidad. • Involucrados. • Etapas (fases o módulos). • Revisiones de avance. • Recursos requeridos. • Otros. Una buena metodología debe responder a los siguientes cuestionamientos: ¿qué hacer?, ¿Dónde debo hacerlo?,¿cómo plantearlos?, ¿por qué aprobarlo?, ¿cuándo revisarlo?, ¿cuándo empezarlo?, ¿quién debe hacerlo?, ¿por qué debo hacerlo?, ¿cómo aprobarlo?, ¿quiénes deben comprometerse?, ¿por qué revisarlo?, ¿cuándo terminarlo?, ¿cómo justificarlo?, etcétera. Técnicas: Es el conjunto de procedimientos y pasos ordenados que se usan con el desarrollo de un proyecto con el propósito de finalizar las etapas, fases o módulos definidos en el proceso metodológico. Algunas de las técnicas generalmente aceptadas son: • Análisis estructurado • Diseño estructurado • Gráficas de Pert • Gráficas de Gantt • Documentación • Programación estructurada • Modulación de datos y procesos • Entrevistas • Otras Las técnicas son el conjunto de pasos ordenados lógicamente para apoyarse en la terminación (cómo hacerlo) de las acciones o tareas estimadas en el proyecto emanado de la metodología. Herramientas: Es el conjunto de elementos físicos utilizados para llevar a cabo las acciones y pasos definidos en la técnica. Antes del auge de las computadoras, así como de otros elementos tecnológicos relacionados con la ingeniería, arquitectura, etc., dichas herramientas eran simples máquinas o utensilios manuales que apoyaban el desarrollo de las tareas de cada uno de los proyectos. Herramientas de productividad: Ayudan a optimizar el tiempo de los recursos en el desarrollo de un proyecto; así mismo, se encaminan a proporcionar 11 resultados de alta calidad para apoyar el logro de las actividades administrativas relacionadas con procesos de información, por ejemplo; • Procesadores de palabras (documentación, entrevistas y cuestionarios entre otros) • Diagramadores (diagramas de flujo, diagramas organizacionales, etc) • Graficadores (estadísticas, estimación de actividades en tiempo, costos, etcétera) • Productos CASE (modelación de datos, modelación de procesos, validación de datos y procesos, generadores de diccionarios de datos, por citar algunos casos) • Impresoras (láser, por ejemplo) • Computadoras personales • Otros. Las herramientas de productividad no se asocian necesariamente con inversiones elevadas en la compra de hardware y software especializado; se relacionan con los recursos mecánicos o automatizados que apoyan al personal en la obtención de productos de calidad en niveles de productividad aceptados por los líderes de proyectos, o definidos por los estándares de trabajo del negocio. 2.2 Auditoria Con frecuencia la palabra auditoria se ha empleado incorrectamente y se ha considerado como una valuación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase "tiene auditoria" como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se esta haciendo la auditoria. El concepto de auditoria es más amplio: no sólo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo. La palabra auditoría viene del latín auditorius, y de ésta proviene auditor, que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentas auditor". El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de recursos alternativos de acción, se tome decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad, fuerza, para poder obrar" mientras que eficiencia es: "virtud y facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Boletín "C" de Normas de Auditoria del Instituto Mexicano de Contadores nos dice. "La auditoria no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que debe de seguir y 12 estimar los resultados obtenidos". Así como existen normas y procedimientos específicos para la realización de auditorias contables, debe haber también normas y procedimientos para la realización de auditorias en informática como parte de una profesión . Pueden estar basadas en las experiencias de otras profesiones pero con algunas características propias y siempre detección de errores, y además la auditoría debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución. 2.3 Tareas principales de la auditoría • • • • • Estudiar y actualizar permanentemente las áreas susceptibles de revisión. Apegarse a las tareas que desempeñen las normas, políticas, procedimientos y técnicas de auditoría establecidas por organismos generalmente aceptados a nivel nacional e internacional. Evaluación y verificación de las áreas requeridas por la alta dirección o responsables directos del negocio. Elaboración del informe de auditoría (debilidades y recomendaciones). Otras recomendadas para el desempeño eficiente de la auditoría. 2.4 Auditoría en informática La auditoría en informática se desarrolla en función de normas, procedimientos y técnicas definidas por institutos establecidos a nivel nacional e internacional; por ello, nada más se señalarán algunos aspectos básicos para su entendimiento. Así, la auditoría en informática es: a) Un proceso formal ejecutado por especialistas del área de auditoría y de informática; se orienta a la verificación y aseguramiento para que las políticas y procedimientos en la organización se realicen de una manera oportuna y eficiente. b) Las actividades ejecutadas por profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).Dicha evaluación deberá ser la pauta para la entrega del informe de auditoría en informática, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio. c) El conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o 13 niveles ejecutivos la certeza de que la información que circula por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etcétera. d) Proceso metodológico que tiene el propósito principal de evaluar los recursos (humanos, materiales, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que a su vez apoyen la productividad y rentabilidad de la organización. 14 3 __________________________________________________________________ Auditoría informática 3.1 La importancia de la auditoría en informática La tecnología de informática, traducida en hardware, software, sistemas de información, investigación tecnológica, redes locales, base de datos, ingeniería de software, telecomunicaciones, servicios y organización de informática, es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a sus similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado. Para darse cuenta si se está administrando de manera correcta la función de la informática es necesario que se evalúe dicha función mediante evaluaciones oportunas y completas por personal calificado consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática, entre otras estrategias. 3.2 Formas de llevar a cabo una auditoria en informática La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. La auditoría en informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorias convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las auditorias, especialmente cuando las consecuencias de 15 las recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costos de tal sistema. Con voz, pero a menudo sin voto, el área de informática trata de satisfacer lo más adecuadamente, posible aquellas necesidades. La empresa necesita controlar su Informática y ésta; necesita que su propia gestión esté sometida a los mismos procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno en informática. En cuanto a empresas se refiere, solamente las más grandes pueden poseer una auditoría propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de control interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser: • Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. • Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. • Servir como mecanismo protector de posibles auditorias en informática externas decretadas por la misma empresa. • Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorias externas como para tener una visión desde afuera de la empresa. La auditoría en informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función de auditoria puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente. 3.3 Síntomas de necesidad de una Auditoria Informática: Las empresas acuden a las auditorias en informática cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases: Síntomas de descoordinación y desorganización: • No coinciden los objetivos de la Informática de la empresa y de la propia 16 empresa. • Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante] Síntomas de mala imagen e insatisfacción de los usuarios: • No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. • No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. • No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financiero: • Incremento desmesurado de costos. • Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). • Desviaciones Presupuestarias significativas. • Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). Síntomas de Inseguridad: Evaluación de nivel de riesgos • Seguridad Lógica • Seguridad Física • Confidencial ¡dad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales] • Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia' Totales y Locales. • Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, seria prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio. * Planes de Contingencia: Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía 17 teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando. 3.4 Herramientas y Técnicas para la Auditoria Informática: 3.4.1 Cuestionarios: Las auditorias en informática se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la complementación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado. 3.4.2 Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad, 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del 18 auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular. 3.4.3 Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética. El auditor deberá aplicar el Checklist de modo que el audítado responda 19 clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de filosofía" de calificación o evaluación: a. Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo) Ejemplo de Checklist de rango: Se supone que se está realizando una auditoria sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados: 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable. 4 : Aceptable. 5 : Correcto. Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeño guión. La complementación del Checklist no debe realizarse en presencia del auditado. -¿Existe personal específico de vigilancia externa al edificio? -No, solamente un guarda por la noche que atiende además otra instalación 20 adyacente. <Puntuación: 1 > -Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno en los aledaños del Centro de Cálculo? -Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuación: 2> -¿Hay salida de emergencia además de la habilitada para la entrada y salida de máquinas? -Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan. <Puntuación: 2> -El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras? -No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente salvo causa muy justificada, y avisando casi siempre al Jefe de Explotación. <Puntuación: 4> El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) 14 = 2,25 Deficiente. b. Checklist Binaria Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1 (uno) o 0(cero), respectivamente. Ejemplo de Checklist Binaria: Se supone que se está realizando una Revisión de los métodos de pruebas de programas en el ámbito de Desarrollo de Proyectos. -¿Existe Normativa de que el usuario final compruebe los resultados finales de los programas? <Puntuación: 1> -¿Conoce el personal de Desarrollo la existencia de la anterior normativa? <Puntuación: 1> -¿Se aplica dicha norma en todos los casos? <Puntuación: 0> -¿Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales? <Puntuación: 0> 21 Obsérvese como en este caso están contestadas las siguientes preguntas: -¿Se conoce la norma anterior? <Puntuación: 0> -¿Se aplica en todos los casos? <Puntuación: 0> Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en los checklist binarios. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor. Los Checklists Binarios siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del <si o no> frente a la mayor riqueza del intervalo. No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptación correspondientes en las preguntas a realizar. 3.4.4 Trazas y/o Huellas: Con frecuencia, el auditor informático debe verificar que los programas, tanto de los sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Muy especialmente, estas «Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo. Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignación de unidades de servicio según cuales tipos carga. Estas actuaciones, en principio útiles, pueden resultar contraproducentes si se traspasan los límites. No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la auditoría informática de Sistemas: el auditor informático emplea preferentemente la amplia información que proporciona el propio Sistema: Así, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la producción completa de aquél, y los <Log*> de dicho Sistema, en donde se 22 recogen las modificaciones de datos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de errores de maquina central, periféricos, etc. [La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.]. *Log: El log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando (información). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atómicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación (grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. La transacción tiene un principio y un fin, cuando la transacción llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transacción se cortó por x razón, lo que se hace es volver para atrás. El log te permite analizar cronológicamente que es lo que sucedió con la información que está en el Sistema o que existe dentro de la base de datos. 3.4.5 Software de Interrogación: Hasta hace ya algunos años se han utilizado productos software llamados genéricamente <paquetes de auditoría>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación. En la actualidad, los productos de software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación. Del mismo modo, la proliferación de las redes locales y de la filosofía "Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informático copia en su propia PC la información más relevante para su trabajo. Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e información parcial generada por la organización informática de la Compañía. Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar información de los mencionados usuarios finales, lo cual puede realizar con suma 23 facilidad con los polivalentes productos descritos. Con todo, las opiniones más autorizadas indican que el trabajo de campo del auditor informático debe realizarse principalmente con los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Gráficos, Hojas de Cálculo, etc. 24 4 __________________________________________________________________ Tipos de auditorias 4.1. Concepto de auditoria en informática Después de analizar los conceptos de auditoría y de informática, los diferentes tipos de auditoría, así como su interrelación con informática, nos hacemos las preguntas: ¿Qué es auditoría en informática? ¿Y cual es su campo de acción? Auditoría en informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de computo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de computo o de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Ello debe incluir los equipos de computo como la herramienta que permite obtener la información adecuada y la organización específica (departamento de computo, departamento de informática, gerencia de procesos electrónicos, etc) que hará posible el uso de los equipos de computo. Su campo de acción será: A. La evaluación administrativa del departamento de proceso electrónicos. B. La evaluación de los sistemas y procedimientos, y de la eficacia que se tiene en el uso de la informática. C. La evaluación del proceso de datos y de los equipos de computo. Para lograr los puntos antes señalados necesitas: 25 A. Evaluación administrativa del departamento de informática. Esto comprende la evaluación de: - Los objetivos de departamento, dirección o gerencia. - Metas, planes, políticas y procedimientos de procesos electrónicos estándar. - Organización del área y su estructura orgánica. - Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos. - Integración de los recursos materiales y técnicos. - Dirección costos y controles presupuéstales. - Controles administrativos del área de procesos electrónicos. B. Evaluación de los sistemas v procedimientos, y de la eficiencia que se tienen en el uso de la información que comprende: - Evaluación del análisis de los sistemas y sus diferentes etapas Evaluación del diseño lógico del sistema Evaluación del desarrollo físico del sistema. Control de proyectos. Control de sistemas y programación Instructivos y documentación Formas de implantación Seguridad física y lógica de los sistemas Confidencialidad de los sistemas Controles de mantenimiento y forma de respaldo de los sistemas. Utilización de los sistemas. C. Evaluación del proceso de datos y de los equipos de computo que comprende: - Controles de los datos fuente y manejo de cifras de control Control de operación Control de salida Control de asignación de trabajo. Control de medios de almacenamiento masivos. Control de otros elementos de computo Orden en el centro de computo Seguridad física y lógica Confidencialidad Respaldos. La interrelación que debe existir entre la auditoría en informática y los diferentes tipos de auditoría en la siguiente: El núcleo o centro de la informática son los programas, los cuales pueden ser auditados por medio de la auditoría de programas. Estos programas se usan 26 en la computadoras de acuerdo con la organización del centro de computo (personal). La auditoría en informática debe evaluar el todo (informática, organización del centro de computo, computadoras y programas) con auxilio de los principios de auditoría administrativa, auditoría interna, auditoría contable/financiera y, a su vez, puede proporcionar información a esos tipos de auditoría, y las computadoras deben ser una herramienta para la realización de cualquiera de las auditorias. Como se ve, la evaluación a desarrollar para la realización de la auditoría en informática deben hacerla personas con alto grado de conocimiento en informática y con mucha experiencia en el área. 4.2 Auditoria interna y auditoria contable/financiera El boletín E-02 del Instituto Mexicano de Contadores, señala con respecto al control interno: "El estudio y evaluación del control interno se efectúa con el objeto de cumplir con la norma de ejecución del trabajo que requiere que: el auditor debe efectuar un estudio y evaluación adecuados del control interno existente, que les sirvan de base para determinar el grado de confianza que va a depositar en el, así mismo, que el permita determinar la naturaleza, extensión y oportunidad que va a dar a los procedimientos de auditoria". 4.2.1 Definición de control interno. "El control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provocar la adherencia a las políticas prescriptas por la administración". 4.2.2 Objetivos del control interno. a) Los básicos son: (1) La protección de los activos de la empresa. (2) La obtención de información financiera veraz, confiable y oportuna. (3) La promoción de la eficiencia en la operación del negocio. (4) Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los administradores de la empresa. Se ha definido que los dos primeros objetivos abarcan el aspecto de controles internos contables y los dos últimos se refieren a controles internos administrativos. 27 b) Generales El control contable comprende el plan de organización y los procedimientos y registros que se refieren a la protección de los activos y a la confiabilidad de los activos y la confiabilidad de los registros financieros. Por lo tanto, el control interno contable está diseñado en función de los objetivos de la organización para ofrecer seguridad razonable de que: las operaciones se realizan de acuerdo con las normas y políticas señalados por la administración. Cuando hablamos de los objetivos de los controles contables internos podremos identificar dos niveles. a) Objetivos generales de control interno aplicables a todos los sistemas y b) Objetivos de control interno aplicables a ciclos de transacciones Los objetivos generales de control aplicables a todos los sistemas se desarrollan a partir de los objetivos básicos de control interno enumerados anteriormente, siendo más específicos para facilitar su aplicación. Los objetivos de control de ciclos se desarrollan a partir de los objetivos generales de control de sistema, para que se aplique a las diferentes clases de transacciones agrupadas en un ciclo. Los objetivos generales de control interno de sistema pueden resumirse a continuación: 1. Objetivos de autorización. Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o especificaciones de la administración. Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administración. Las transacciones deben ser válidas para conocerse y ser sometidas oportunamente a su aceptación. Todas aquellas que reúnan los requisitos establecidos por la administración deben reconocerse como tales y procesarse a tiempo. Los resultados del procedimiento de transacciones deben comunicarse oportunamente y estar respaldados por archivos adecuados. 2. Objetivos del procesamiento y clasificación de transacciones Todas las operaciones deben registrarse para permitir la preparación de estados financieros en conformidad con los principios de contabilidad generalmente aceptados o con cualquier otro criterio aplicable a los estados y para mantener en archivos apropiados los datos relativos a los activos sujetos a custodia. Las transacciones deben clasificarse en forma tal que permitan la preparación de estados financieros en conformidad con los principios de contabilidad generalmente aceptados y el criterio de la administración. Las transacciones deben quedar registradas en el mismo periodo contable, cuidando especialmente que se registren aquellas que afectan más de un ciclo. 28 3. Objetivo de salvaguarda física. El acceso a los activos sólo debe permitirse de acuerdo con autorizaciones de la administración. 4. Objetivo de verificación y evaluación. Los datos registrados relativos a los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonables y tomar las medidas apropiadas respecto a las diferencias que existan. Así mismo, deben existir controles relativos a la verificación y evaluación periódica de los saldos que se incluyen en los estados financieros, ya que este objetivo complementa en forma importante los mencionados anteriormente. Estos objetivos generales del control interno de sistemas son aplicables a todos los ciclos. No se trata de que se usen directamente para evaluar las técnicas de control interno de una organización, pero representan un base para desarrollar objetivos específicos de control interno por ciclos de transacciones que sean aplicables a una empresa individual. El área de informática puede interactuar de dos maneras en el control interno. La primera es servir de herramienta para llevar a cabo un adecuado control interno y la segunda es tener un control interno del área y del departamento de informática. En el primer caso se lleva el control interno por medio de la evaluación de una organización, utilizando la computadora como herramienta que auxiliará en el logro de los objetivos del control interno, lo cual se puede hacer por medio de paquetes de auditoria. Y esto debe ser considerado como parte del control interno con informática. En el segundo caso se lleva a cabo el control interno de informática. Es decir, como se señala en los objetivos del control interno, se deben proteger adecuadamente los activos de la organización por medio del control para que se obtengan la información en forma veraz, oportuna y confiable, se mejore la eficiencia de la operación de la organización mediante la informática y en la ejecución de las operaciones de informática se cumplan las políticas establecidas por la administración de todo ello debe ser considerado como control interno de informática. Al estudiar los objetivos del control interno podemos ver en primer lugar que, aunque en auditoria en informática el objetivo es más amplio, se deben tener en cuenta los objetivos generales del control interno aplicables a todo ciclo de transacciones. La auditoria en informática debe tener presentes los objetivos de autorización, procesamiento y clasificación de transacciones, así como los de salvaguarda física, verificación y evaluación de los equipos y de la información. La diferencia entre los objetivos de control interno desde un punto de vista contable financiero es que, mientras éstos están enfocados a la evaluación de una organización mediante la revisión contable financiera y de otras operaciones, los objetivos del control interno a informática están orientados a todos los sistemas en general, al equipo de computo y al departamento de informática, para lo cual se 29 requieren conocimientos de contabilidad, finanzas, recursos humanos, administración, etc. Y un conocimiento profundo y experiencia en informática. La auditoria interna debe estar presente en todas y cada una de las partes de la organización. Ahora bien, la pregunta que normalmente se plantea es, ¿cuál debe ser su participación dentro del área de informática? Como ya vimos, la informática es en primer lugar una herramienta muy valiosa para tener un adecuado control y un auxiliar de la auditoria interna. Pero, según este concepto, la auditoria interna puede considerarse como un usuario del área de informática. Se ha estudiado que los objetivos generales del control interno son: • • • • Autorización Procesamiento y clasificación de las transacciones Salvaguarda física Verificación y evaluación Con base en los objetivos y responsabilidades del control interno podemos hacer otras dos preguntas: ¿De qué manera puede participar el personal de control interno en el diseño de los sistemas? y ¿qué conocimientos debe tener el personal de control interno para poder cumplir adecuadamente sus funciones dentro del área de informática? Las respuestas a estas preguntas dependerán del nivel que tenga el control interno dentro de la organización, pero en el diseño general y detallado de los sistemas se debe incluir a personal de la contraloría interna, que habrá de tener conocimientos de informática, pero no se requerirá que sea especialistas ya que sólo intervendrán en el diseño general del sistema, diseño de controles, sistemas de seguridad, respaldo y confidencialidad del sistema, sistemas se verificación. Habrá de comprobar que las fórmulas de obtención del impuesto sobre el producto del trabajo, el cálculo del pago del seguro social, etc., pero no deberán intervenir en la elaboración de los sistemas, bases de datos o programación. Y tendrán que comprobar que lo señalado en el diseño general sea igual a lo obtenido en el momento de implantación, para que puedan dar su autorización a la corrida en paralelo. El auditor interno, en el momento de que se están elaborando los sistemas, debe participar en estas etapas, para: 1. Asegurarse de verificar que los requerimientos de seguridad y de auditoría sean incorporados, y participar en la revisión de puntos de verificación. 2. Revisar la aplicación de los sistemas y de control tanto con el usuario como en el centro de informática. 3. Verificar que las políticas de seguridad y los procedimientos estén incorporados al plan en caso de desastre. 4. Incorporar técnicas avanzadas de auditoría en los sistemas de computo. Los sistemas de seguridad no pueden llevarse a cabo a menos que existan 30 procedimientos de control y un adecuado plan en caso de desastre, elaborados desde el momento en el que se diseña el sistema. El auditor interno desempeña una importante función al participar en los planes a largo plazo y en el diseño detallado de los sistemas y su implantación, de tal manera que se asegure de que los procedimientos de auditoría y de seguridad sean incorporados a todas y cada una de las fases del sistema. 4.2.3 Clase de controles internos ● 4.2.3.1 Atendiendo al momento en que se actúa, pueden ser: a) Controles preventivos: establecen las condiciones necesarias para que el error no se produzca. Como ejemplos de controles preventivos tenemos la segregación de funciones, la estandarización de procedimientos, las autorizaciones, los passwords, o los formularios prenumerados. b) Controles detectivos: Identifican el error pero no lo evitan, actuando como alarmas que permiten registrar el problema y sus causas. Sirven como verificación del funcionamiento de los procesos y de sus controles preventivos. Como ejemplos tenemos la validación de los datos de entrada, cuando se realiza con posterioridad al procesamiento de dichos datos, los totales de control, los controles cruzados, o los controles de supervisión, estos últimos se componen de tres tipos de controles: 1. Controles de aplicaciones. 2. Controles de tecnologías de la información. 3. Controles de usuario c) Controles correctivos: Permiten investigar y rectificar los errores y sus causas, están destinados a procurar que las acciones necesarias para su solventación sean tomadas. Como ejemplos tenemos los listados de errores, las evidencias de auditoria o las estadísticas de causas de errores. ● 4.2.3.2. Los controles de supervisión Son procedimientos utilizados por la dirección para poder alcanzar los objetivos del negocio y así controlarlo. Este tipo de controles proporcionan a la dirección (y por lo tanto, a los auditores) seguridad en cuanto a la fiabilidad de la información financiera. Dichos controles pueden estar incluido, de un modo intrínseco, en las actividades recurrentes de una entidad o consistir en una evaluación periódica independiente, llevada a cabo normalmente por la dirección. La frecuencia de estas evaluaciones depende del juicio de la dirección. Mediante estos controles podremos detectar errores significativos y realizar un control continuo de la 31 fiabilidad y de la eficacia de los procesos informáticos. Controles de supervisión: controles de las aplicaciones Son un conjunto de procedimientos programados y manuales diseñados especialmente para cada aplicación con el fin de cumplir con objetivos específicos de control utilizando una o más técnicas. Los podemos clasificar en: a) Controles sobre captura de datos: sobre altas de movimientos, modificaciones de movimientos, consultas de movimientos, mantenimiento de los ficheros. b) Controles de proceso de datos: normalmente se incluyen en los programas. Se diseñan para detectar o prevenir los siguientes tipos de errores (entrada de datos repetidos, procesamiento y actualización de ficheros o ficheros equivocados, entrada de datos ilógicos, pérdida o distorsión de datos durante el proceso). c) Controles de salida y distribución: Los controles de salida se diseñan para asegurarse de que el resultado del proceso es exacto y que los informes y demás salidas solo las personas que estén autorizadas, lo reciben. Para solucionar deficiencias de control de una aplicación será necesario retroceder a las etapas iniciales teniendo en cuenta que: 1. Los controles deben contemplar la secuencia de los procesos (manuales y programados) de una aplicación. Muchos controles de aplicación serán efectuados por personas, pero dependerán del ordenador, siendo una combinación de procedimientos de control programados y controles de los usuarios. Dado que muchos controles de aplicación dependen de procedimientos contables y/o de controles programados y el correspondiente procesamiento informático, la eficacia de los controles de las aplicaciones, y, en consecuencia, el logro de los objetivos de control de las mismas, casi siempre dependerán de los controles informáticos. 2. Las técnicas aplicadas se diseñan para cubrir toda la vida de una transacción o documento, desde su inicio hasta su destino final en el ordenador. 3. La extensión y rigidez de los controles pueden ser diferentes dependiendo de que los datos sean permanentes o transitorios. 4. Prestar especial consideración al objetivo verdadero de cada control, evaluando el costo de operación del control y las pérdidas que podría generar su omisión. Totalidad de las entradas Las técnicas de control utilizadas para asegurar la totalidad de las entradas son: a) Conciliación de totales: Un ejemplo de conciliación de totales sería comprobar que el auxiliar de proveedores coincide con el saldo de proveedores en el sistema central. Otro ejemplo sería comprobar que el saldo con el banco según extracto bancario coincide con el saldo según contabilidad, y si no es así buscar las partidas conciliatorias. 32 • Verificación de la secuencia numérica. Comprobar que los documentos siguen la secuencia numérica de manera establecida de manera que no falte ningún documento. • Confrontación de ficheros. • Comprobación uno por uno. Exactitud de la entrada Las técnicas de control utilizadas para asegurar la exactitud de las entradas son: • Conciliación de totales. • Confrontación de ficheros. • Comprobación uno por uno. • Controles de validación o edición: a) Prueba de existencia: ¿la información introducida concuerda con información similar existente en un fichero maestro (como ejemplo de documento maestro de una empresa tenemos el fichero con los datos de todos nuestros clientes) o de referencia? b) Prueba de pantalla: los detalles correspondientes a un código o a un número de partida se visualizan en pantalla para que el usuario pueda comprobar dichos detalles c) Prueba de dependencia: ¿tienen sentido los datos introducidos? El ordenador puede comprobar una relación predeterminada entre los datos. d) Prueba de sintaxis o de formato: se comprueba que únicamente se introduzcan datos numéricos cuando el campo sea numérico o datos alfanuméricos, cuando el campo sea alfanumérico. e) Prueba de razonabilidad: consiste en verificar si el valor de un dato está comprendido entre los límites lógicos previamente definidos. Autorización de las entradas Las técnicas de control utilizadas para asegurar la autorización de las entradas son: • Momento de la autorización. • Confrontación programada. • Autorización manual. • Autorización en línea Los controles sobre las entradas de datos deben contemplar procedimientos de actuación con las transacciones erróneas que son rechazadas por los controles preventivos. En sistemas de autorización en línea los errores se detectan en el momento de su entrada, las medidas correctivas se pueden iniciar inmediatamente. Existen, sin embargo, ocasiones en que determinados errores pueden ser detectados en una fase posterior del proceso. Estos errores deben ser comunicados, tomándose 33 las medidas correctivas correspondientes. Con una combinación de procedimientos programados y manuales se debe garantizar la investigación inmediata de las causas de los rechazos, la corrección adecuada de los errores, el registro y seguimiento de las transacciones pendientes de corregir y la existencia de una nueva autorización de las correcciones hechas a los datos claves o sensibles. Con todos estos controles conseguiremos que todos los rechazos vuelvan a entrar en el ordenador de forma exacta y autorizada. Totalidad y exactitud de la actualización Las técnicas de control utilizadas para asegurar la totalidad y exactitud de las actualizaciones son principalmente: • Controles de totalidad y exactitud de las entradas. • Conciliación manual de los totales. • Controles de proceso a proceso que incluyen: a) Totales de los ficheros b) Listados de detalle. c) Transacciones generadas por la aplicación En cuanto a este último tipo de controles: En toda aplicación informática los datos contenidos en los ficheros deben ser tratados por ciertos procesos antes de la emisión de la información de salida. Los más comunes son: • Cálculo: Generación de información utilizando datos de uno o más ficheros en base a rutinas predeterminadas. • Resumen: Acumulación de los valores de las transacciones de un fichero para generar totales. • Clasificación: Acumulación de totales de un fichero en base al análisis de cuentas, códigos o campos de las transacciones. Para este tipo de procesos, la aplicación debe tener controles que permitan asegurar: • El funcionamiento adecuado y continuo de los programas que efectúan los procesos • El proceso de la totalidad de las transacciones. • La integridad (totalidad y exactitud) de los ficheros utilizados en los procesos. • Que la generación o versión de los ficheros procesados ha sido la correcta. • La comprobación manual de la corrección de la información generada por los procesos. Segregación de funciones El objetivo principal de la segregación de funciones es imposibilitar el fraude por parte de los empleados, de tal manera que un empleado que tenga la oportunidad de hurtar activos no pueda ocultar el fraude mediante la manipulación 34 contable. Controles de supervisión: controles de la tecnología de la información: Son el conjunto de normas y procedimientos que deben existir en todo Centro de Proceso de Datos para asegurar la confidencialidad, integridad y disponibilidad de los datos informatizados. Aseguran que los procedimientos programados dentro de un sistema informático se diseñen, implanten, mantengan y operen de forma adecuada y que solo se introduzcan cambios autorizados en los programas y en los datos. Dentro de los controles de la tecnología de la información nos encontraremos con distintos tipos de controles: • Controles de desarrollo e implantación de aplicaciones. • Controles de mantenimiento: destinados a asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas. • Controles de explotación. • Controles de Seguridad de Programas: destinados a garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados • Controles de Seguridad de Ficheros de datos: destinados a asegurar que no se puedan efectuar modificaciones no autorizadas en los archivos de datos. • Controles de la Operación Informática: destinados a garantizar que los procedimientos programados autorizados se aplican de manera uniforme y se utilizan versiones correctas de los ficheros de datos. • Controles de Conversión de ficheros: destinados a garantizar una completa y exacta conversión de los datos de un sistema antiguo a uno nuevo. • Controles de Software Sistema: destinados a asegurar que se implante un software de sistema apropiado y que se encuentre protegido contra modificaciones no autorizadas. • Controles de implantación: destinados a asegurar que los procedimientos programados para los nuevos sistemas son adecuados y están efectivamente implantados, y que el sistema está diseñado para satisfacer las necesidades del usuario Si los sistemas informáticos estuviesen funcionando inadecuadamente y esta situación pudiese influir en la fiabilidad de los datos o poner en peligro otros objetivos de control, ¿tendría conocimiento de ello la alta dirección?. A diferencia de los controles de supervisión de las aplicaciones, los controles de supervisión informáticos están relacionados con entornos informáticos que generalmente cubren varias aplicaciones. Por ejemplo, los controles utilizados para supervisar la seguridad de los sistemas generalmente serán los mismos para el ciclo de ventas y para el ciclo de compras. 35 Los controles de supervisión informáticos se consideran en términos de categorías más que de ciclos (a diferencia de los controles de supervisión de aplicaciones). A continuación se tratan más ampliamente algunos de los controles enumerados anteriormente: • Controles de mantenimiento: Las solicitudes para introducir modificaciones en los programas deben tramitarse de forma adecuada, además de someterse a pruebas. La documentación técnica debe estar actualizada con el fin de reflejar las modificaciones de los programas. Este tipo de controles van a limitar los riesgos que comportan las modificaciones de las aplicaciones. Algunos de los riegos con los que nos podemos encontrar son: la pérdida de solicitudes de cambio, que haya cambios duplicados, cambios que no se ajusten a los requerimientos del usuario, perder demasiado tiempo en la resolución de problemas debido a la falta de documentación técnica o la existencia de cambios no autorizados en las aplicaciones que afecten negativamente a las operaciones y/o a la integridad de la información. • Controles de desarrollo e implantación de aplicaciones: La dirección del proyecto debe garantizar que el control del diseño, desarrollo e implantación de las nuevas aplicaciones es adecuado. Es por eso que las aplicaciones deben diseñarse de forma adecuada para alcanzar las exigencias de control de las aplicaciones y del negocio. Y en caso de que implantemos un paquete informático adaptado nos aseguraremos que cumple con dichas exigencias. En caso de no existir estos controles nos podemos encontrar con varios problemas: que los costos estén por encima de los presupuestados por lo que se podría producir un retraso en la entrega del proyecto, que los proyectos no se ajusten a los requerimientos del usuario, que haya errores en las aplicaciones, que conviertan de forma errónea los datos o que las aplicaciones se infrautilicen o se utilicen incorrectamente debido a la ausencia de documentación técnica y de formación. • Controles de seguridad informática: La dirección debe asegurar la implantación de políticas de control de acceso basadas en el nivel de riesgo que se derivaría del acceso a los programas y a los datos. El acceso a funciones concretas dentro de las aplicaciones debe estar adecuadamente restringido para asegurar la segregación de funciones relevantes y evitar actividades no autorizadas además de estar restringido el acceso físico a los ordenadores. Este tipo de controles evitarán el riesgo de fraude o de que información confidencial o sensible llegue a personas no autorizada dentro o fuera de la sociedad. Otro riesgo que evitaríamos con la seguridad física sería el posible daño o destrucción de las instalaciones informáticas como resultado de incendios, inundaciones o sabotajes que podrían interrumpir la ejecución de los procesos. • Controles de operaciones informáticas: Los procedimientos de 36 operaciones que cubren procesos diferidos o por lotes que se realizan en momentos específicos deben estar documentados, programados y mantenidos de forma adecuada. Las copias d seguridad de los programas y de los datos deben estar siempre disponibles para casos de emergencia. Las instalaciones informáticas de los usuarios finales deben ser apropiadas para las necesidades del negocio y controladas para maximizar la compatibilidad y apoyar eficazmente al usuario. Con todos estos controles podremos evitar fallos en los equipos y en el software o como mínimo tendremos capacidad para recuperarnos de ellos (ya que la continuidad del negocio puede estar en juego) o sacar poco rendimiento de los sistemas informáticos. Controles de supervisión: controles de los usuarios Son los procedimientos manuales tradicionales que se deben ejecutar sobre los documentos y transacciones antes y después de su proceso en el ordenador para comprobar el adecuado y continuo funcionamiento de los controles de las aplicaciones. 4.3 Auditoría administrativa [1 página 8-9] Willian P. Leonard la define como "el examen global y constructivo de la estructura de una empresa, de una institución, una sección del gobierno a cualquier parte de una organismo, en cuanto a su planes y objetivos, sus métodos y controles, su forma de operación y sus facilidades humanas y físicas". Se lleva a cabo una revisión y consideración de la empresa organización con el fin de precisar: • • • • • Pérdidas y deficiencias Mejores métodos Mejores formas de control Operaciones más eficientes Mejor uso de los recursos físicos y humanos. La auditoria administrativa debe llevarse a cabo como parte de la auditoría del área de informática. Se ha de considerar dentro del programa de trabajo de auditoría en informática, tomando principios de la auditoría administrativa para aplicarlos al área de informática. Se deberá evaluar el departamento de informática de acuerdo con: a) su objetivo b) metas, planes, políticas y procedimientos c) organización 37 d) estructura orgánica e) funciones f) niveles de autoridad y responsabilidad Es importante tener en cuenta los siguientes factores: • • • • • • • • • • • Elemento humano Organización (manual de organización) Integración Dirección Supervisión Comunicación y coordinación Delegación Recursos materiales Recursos técnicos Recursos financieros Control 4.4 Concepto de auditoria con Informática [1 página 9-16] Los procedimientos de auditoría con informática varían de acuerdo con la filosofía y técnica de cada departamento de auditoría en particular. Sin embargo, existen ciertas técnicas y/o procedimientos que son compatibles en la mayoría de los ambientes de informática. Estas técnicas caen en dos categorías: métodos manuales y métodos asistidos por computadora. Utilización de las técnicas de auditorias asistidas por computadora. En general, el auditor debe utilizar la computadora en la ejecución de la auditoría, ya que esta herramienta permitirá ampliar la cobertura del examen, reduciendo el tiempo/costo de las pruebas y procedimientos de muestreo, que de otra manera tendría que efectuarse manualmente. Además, el empleo de la computadora por el auditor le permite familiarizarse con la operación del equipo en el centro de computo de la institución. Una computadora puede ser empleada por el auditor en: • Verificación de cifras totales y cálculos para comprobar la exactitud de los reportes de salidas producidos por el departamento de informática. • Pruebas de los registros de los archivos para verificar la consistencia lógica, la validación de condiciones y la razonabilidad de los montos de las operaciones. • Clasificación de datos y análisis de la ejecución de procedimientos. • Selección e impresión de datos mediante técnicas de muestreo y confirmaciones. • Llevar a cabo en forma independiente una simulación del proceso de 38 transacciones para verificar la conexión y consistencia de los programas de computadora. Con fines de auditoria el auditor interno puede emplear la computadora para: a) Utilización de paquetes para auditoría, por ejemplo, paquetes provenientes del fabricante de equipos, firmas de contadores públicos o compañías de software. b) Supervisar la elaboración de programas que permitan el desarrollo de la auditoría interna. c) Utilización de programas de auditoría desarrollados por proveedores de equipo y que básicamente verifican la eficiencia en el empleo del computador o miden la eficiencia de los programas, su operación o ambas cosas. Todos los programas o paquetes empleados en la auditoría deben permanecer bajo estricto control del departamento de auditoría. Por esto, toda la documentación, material de pruebas, listados fuente, programas fuente y objeto, además de los cambios que se les hagan, serán responsabilidad del auditor. En aquellas instalaciones que cuentan con bibliotecas de programas catalogados, los programas de auditoría pueden ser guardados utilizando contraseñas de protección, situación que sería aceptable en tanto se tenga el control de las instrucciones necesarias para la recuperación y ejecución de los programas desde la biblioteca donde están almacenados. Si los procedimientos de control interno dentro del sistema de computo no permiten un estricto control del departamento de auditoría, los programas de auditoría no deberían ser catalogados. Los programas desarrollados con objeto de hacer auditoría deben estar cuidadosamente documentados para definir sus propósitos y objetivos y asegurar una ejecución continua. Cuando los programas de auditoría estén siendo procesados, los auditores internos deberán asegurarse de la integridad del procesamiento mediante controles adecuados como: 1. Mantener el control básico sobre los programas que se encuentren catalogados en el sistema y llevara a cabo protecciones apropiadas. 2. Observar directamente el procesamiento de la aplicación de auditoría. 3. Desarrollar programas independientes de control que monitoreen el procesamiento del programa de auditoría. 4. Mantener el control sobre las especificaciones de los programas, documentación y comandos de control. 5. Controlar la integridad de los archivos que se están procesando y las salidas generadas. Técnicas avanzadas de auditoria con informática. Cuando en una instalación se encuentren operando sistemas avanzados de 39 computación como procesamiento en línea, bases de datos y procesamiento distribuido, se podría evaluar el sistema empleado técnicas avanzadas de auditoría. Estos métodos requieren un experto, y por lo tanto, pueden no ser apropiados si el departamento de auditoría no cuenta con el entrenamiento adecuado. Otra limitante, incluyendo el costo, puede ser la sobrecarga del sistema y la degradación en el tiempo de respuesta. Sin embargo, cuando se usan apropiadamente, estos métodos superan la utilización en una auditoría tradicional. • Pruebas integrales. Consiste en el procesamiento de datos de un departamento ficticio, comparando estos resultados con resultados predeterminados. En otras palabras, las transacciones iniciadas por el auditor son independientes de la aplicación normal, pero son procesadas al mismo tiempo. Especial cuidado se debe tener con las particiones que se están utilizando en el sistema para prueba de la contabilidad o balances a fin de evitar situaciones anormales. • Simulación. Consiste en desarrollar programas de aplicación para determinada prueba y comparar los resultados de la simulación con la aplicación real. • Revisiones de acceso. Se conserva un registro computarizado de todos los accesos a determinados archivos; por ejemplo información de la identificación tanto de la terminal como del usuario. • Operaciones en paralelo. Consiste en verificar de la exactitud de la información sobre los resultados que produce un sistema nuevo que substituye a uno ya auditado. • Evaluación de un sistema con datos de prueba. Esta verificación consiste en probar los resultados producidos en la aplicación con datos de prueba contra los resultados que fueran obtenidos inicialmente en la pruebas del programa (solamente aplicable cuando se hacen modificaciones a un sistema). • Registros extendidos. Consiste en agregar un campo de control a un registro determinado como un campo especial a un registro extra, que pueda incluir datos de todos los programas de aplicación que forman parte del procesamiento de determinada transacción, como en los siguientes casos. • Totales aleatorios en ciertos programas. Se consiguen totales en algunas partes del sistema para ir verificando su exactitud en forma parcial. • Selección de determinado tipo de transacciones como auxiliar en el análisis de un archivo histórico. Por medio de este método podemos analizar en forma parcial el archivo histórico de un sistema, el cual sería casi imposible de verificar en forma total. • Resultados de ciertos cálculos para comparaciones posteriores. Con ellos podemos comparar en el futuro los totales en diferentes fechas. Al auditor interno, todas las técnicas anteriores le ayudan al establecimiento de una metodología para la revisión de los sistemas de aplicación de un institución, empleando como herramienta el mismo equipo de computo. Sin embargo, actualmente se desarrollan programas y sistemas de auditoría que 40 eliminan los problemas de responsabilidad del departamento de auditoría, al intervenir en las actividades e información cuyo control corresponde estrictamente al departamento de informática, proporcionando una verdadera independencia al auditor en la revisión de los datos del sistema. El empleo de la microcomputadora en la auditoría constituye una herramienta que facilita la realización de actividades de revisión como: • • • • • • • Trasladar los datos del sistema a un ambiente de control del auditor Llevar a cabo la selección de datos Verificar la exactitud de los cálculos Muestreo estadístico Visualización de datos Ordenamiento de la información Producción de reportes e histogramas. Lo anterior implica una metodología que garantiza una revisión más extensa e independiente de los sistemas de informática, que podría consistir en los siguientes pasos: • Selección de un sistema de información que se va a revisar. • Obtención de la documentación de los archivos que incluye: nombre del archivo y descripción, nombre de los campos y descripción (longitud, tipo), codificación empleada, etc. • Trasladar el archivo de datos a una microcompurtadora con una gran capacidad de almacenamiento. • Llevar a cabo con un software de auditoría las verificaciones de auditoría que se mencionan anteriormente. • Participación del auditor interno en el desarrollo de sistemas. El auditor interno debe participar en el diseño general y específico de los sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo con las políticas internas antes de que se comience la programación del sistema. A continuación se muestran ejemplos de las formas tradicionales de evidencia que existen en un proceso manual y las maneras en que la computadora puede cambiarlas. • • Transacciones originadas por personas y accesadas a un sistema para su proceso. En las aplicaciones computarizadas pueden generarse automáticamente. Por ejemplo, el sistema puede emitir automáticamente una orden de reposición cuando el inventario esté a un nivel por debajo del punto de reorden. Sin la computadora se requería que una persona estuviera revisando y elaborara la orden de reposición cuando el inventario estuviera abajo del mínimo establecido. El registro manual de la información necesaria para originar una transacción. En las aplicaciones computarizadas, no se producen documentos impresos cuando la información es accesada a través de una terminal. Por ejemplo, un cambio, hecho a las tarifas de nómina 41 • • • • • • puede ser accesado a un archivo maestro de nóminas computarizado a través de una terminal de computadora sin dejar registro impreso del cambio, aunque se debe tener una clave de seguridad para poder accesarlo y llevar un registro histórico en el que se tenga la información sobre la persona y terminal en la que se acceso la información. La revisión de transacciones por el personal, que deja constancia con sus firmas, iniciales o sellos en los documentos para indicar la autorización del proceso. En las aplicaciones computarizadas puede ser automática. Por ejemplo, una venta a crédito puede ser automáticamente aprobada si el límite de crédito previamente determinado no está excedido. Otros métodos de autorización electrónica incluyen el acceso mediante claves de seguridad, insertando una tarjeta de códigos magnéticos o colocando un llave de supervisión en una terminal. Anteriormente se tenían firmas donde ahora sólo se tiene una clave o llave de acceso que es equivalente a la autorización, dejando únicamente un registro (en el mejor de los casos) de la llave de acceso utilizada, la terminal en la que se procesó y la hora y día en que fue autorizada. El transporte de documentos de una estación de trabajo a otra por personas, correo o servicios similares de un lugar del negocio a otro sitio completamente distinto. Por estos medios se moviliza un documento físicamente. En aplicaciones computarizadas, los datos pueden ser enviados electrónicamente. La información es transcrita, codificado, frecuentemente condensado y entonces enviada electrónicamente por líneas de comunicaciones; y al final queda un registro de cuándo recibió la información el receptor. Procesamiento manual. Generalmente, los documentos de las transacciones contienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones computarizadas, el proceso se efectúa electrónicamente dentro de la memoria del computador mediante procedimientos programados y siguiendo reglas predeterminadas. Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabilidad de error. En las aplicaciones computarizadas, el proceso puede ser extremadamente complejo debido a la velocidad y exactitud de la computadora. Por ejemplo, una compañía puede utilizar su computadora para calcular la efectividad de cientos de posibles horarios o cédulas de producción a fin de seleccionar el más adecuado, mientras que en los métodos manuales esto sería casi imposible. Mantenimiento en manuales de información de naturaleza fija que es necesaria para el proceso, tales como tarifas de nominas o precios de productos. En las aplicaciones computarizadas, esta información se almacena en medios computarizados o bien por medio de catálogos; en los métodos manuales es difícil tener catálogos demasiado amplios. Listado de los resultados del proceso en documentos impresos, tales como cheques y reportes. Frecuentemente, estos documentos contienen resultados de procesos intermedios. En las aplicaciones 42 • • • • • computarizadas, el proceso puede no dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser transferidos electrónicamente y los reportes de salida ser desplegados en pantallas de video. En algunos sistemas, la información rutinaria es retenida de manera que sólo se recibe noticia de aquellas partidas que requieren acción. Almacenamiento de documentos de entrada, proceso y salida en registro de archivo o similares. Cuando la información es necesaria, puede localizarse y recobrarse manualmente del área de almacenamiento física. En las aplicaciones computarizadas, la mayoría de los archivos están en medios a computarizados, como cintas y discos. Programas extractivos deben utilizarse para recobrar la información de tales medios, los cuales son normalmente muy rápidos y exactos; por ejemplo, en el caso de bases de datos. Uso de documentos impresos para construir el proceso. En los procesos manuales estos documentos contienen información fuente, firmas de autorización, métodos de proceso y resultados de salida. Esta información usualmente es suficiente para construir la transacción y rastrearla hacia totales de control o, a partir de éstos, hasta el documento fuente. En las aplicaciones computarizadas, las pistas de auditoría pueden verse fragmentadas, como frecuentemente ocurre en un ambiente de base de datos. Además, gran parte de la información que serviría de pista de auditoría puede estar almacenada en medios computarizados. Las pistas de auditoría computarizadas frecuentemente requieren entender las reglas del proceso del sistema y no siempre es obvio cuales pasos del proceso se ejecutaron, especialmente cuando el proceso computacional es complejo. Uno o más manuales de procedimientos que contienen información relativa a las transacciones del sistema. Estos manuales guían a la gente en la circulación y proceso de las transacciones. En las aplicaciones computarizadas, pueden ser listados de programas y computadora, listados de diccionarios de datos y documentación de proveedores. Revisión de procesos por personas, generalmente supervisores, para determinar su razonabilidad, exactitud, totalidad y autorización. En las aplicaciones computarizadas, gran parte de este monitoreo es ejecutado automáticamente mediante una lógica de programa predeterminada. Está llegando a ser más difícil para la gente monitorear los procesos, conforme los sistemas computacionales están más integrados y son más complejos y el ciclo del proceso se acorta. La división de tareas entre los empleados. En las aplicaciones computarizadas, la distribución de deberes implica no sólo la división de tareas entre los empleados, sino también la división de tareas entre los pasos del proceso automatizado. Por ejemplo, los programas computarizados pueden procesar diferentes partes de una transacción en diversos lugares y terminales, y en ocasiones se requiere que tengan sistemas de seguridad de acceso a nivel sistema, dato o programa 43 • como en el caso de los sistemas bancarios. Proceso de grandes cantidades de datos que pueden requerir la repetición o cruzamiento de diversos elementos de la información. Esto es frecuentemente difícil y costoso en un sistema manual y sólo se realiza cuando es necesario. En las aplicaciones computarizadas, grandes cantidades de datos pueden ser almacenadas en una base de datos. La velocidad y capacidades de proceso del computador hacen esta información disponible en el formato deseado. En un ambiente computarizado, son posibles los más complejos análisis y usos secundarios de los datos. 4.5 Concepto de auditoria de programas [1 página 18] La auditoría de programas es la evaluación de la eficiencia técnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los programas, su seguridad y confiabilidad con el objetivo de optimizarlos y evaluar el riesgo que tienen para la organización. La auditoría de programas tiene un mayor grado de profundidad y de detalla que la auditoría en informática, ya que analiza y evalúa la parte central del uso de las computadoras que es el programa, aunque se puede considerar como parte de la auditoría en informática. Para lograr que la auditoría de programas sea eficiente las personas que la realicen han de poseer conocimientos profundos sobre sistemas operativos, sistemas de administración de base de datos, lenguajes de programación, utilerías, bases de datos y el equipo en que fue escrito el programa, y deberán comenzar con la revisión de la documentación del mismo. Para poder llevar a cabo una adecuada auditoría de los programas se necesitan que los sistemas estén trabajando correctamente y se obtengan los resultados requeridos, ya que el cambiar el proceso del sistema en general se cambiaría posiblemente los programas. Sería absurdo intentar optimizar un programa de un sistema que no está funcionando correctamente. Para optimizar los programas se deberá tener pleno conocimiento y aceptación del sistema o sistemas que usan ese programa, y disponer de toda la documentación detallada del sistema total. Se considera como banco de datos: El conjunto de datos que guarda entre si una coherencia temática independiente del medio de almacenamiento. La cantidad de información que contiene un banco de datos suele ser grande, del orden de millones de datos. Se considera como base de datos: La organización sistemática de archivos de datos para facilitar su acceso, recuperación y actualización, relacionados los unos con los otros y tratados como una entidad. Puede decirse que una base es un banco de datos organizados como un tipo estructurado de datos. DBMS (Dato base management system = sistema de administración de bases de datos): Es un conjunto de programas de permiten manejar cómodamente una base de datos, o sea, "el conjunto de facilidades y herramientas de 44 actualización y recuperación de información de una base de datos". 4.6 Concepto de auditoría seguridad Las empresas conocen, o has de conocer todos los problemas. Y cuando deciden darles una solución global, buscando los puntos débiles de su seguridad para atajarlos de una vez, pueden decidirse por una Auditoría de Seguridad. Las auditorias son actividades muy comunes en esto entornos empresariales, especialmente las realizadas por personal externo (permitiendo un nivel obvias), y permiten conocer el nivel de seguridad y las acciones a emprender para corregir los posibles fallos. Este tipo de auditoría puede durar, en función del tamaño del sistema, desde unos pocos días, hasta varias semanas. Siempre debemos tener en cuenta que el costo de realizar una auditoría de seguridad siempre es menor que el valor que pueden tener los datos internos en la empresa. La auditoría de seguridad cada vez resulta más conveniente realizarla, ya que el desarrollo de Internet es espectacular y las posibilidades del comercio electrónico son ilimitadas; esto origina una vulnerabilidad en los datos ya que cada vez existen más personas que se dedican a cometer delitos informáticos. El proceso de esta auditoría generalmente comienza con un análisis de las amenazas potenciales que enfrentan a una organización. Examina sistemas, políticas y prácticas de la organización para identificar sus vulnerabilidades. El análisis continúa con una valoración de riesgo y concluye con un informe de valoración y una serie de recomendaciones. Es necesario pensar en el establecimiento de políticas de seguridad, tal y como la palabra lo dice, se asemejan a los seguros de la vida cotidiana, muchas veces no se toma una decisión al respecto hasta que no se conocer un caso cercano a quien la adversidad le coge por sorpresa. Las seguridad representa un gasto que muchas veces parece inútil y que se podría evitar, aunque el costo de una buena gestión de seguridad siempre es menor que el valor que pueden tener los datos internos de la empresa. 4.6.1 Consideraciones inmediatas para la auditoría de la seguridad 1. Uso de la computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: • • • tiempo de máquina para uso ajeno. copia de programas de la organización para fines de comercialización (copia pirata) acceso directo o telefónico a bases de datos con fines fraudulentos 45 • evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo 3. Cantidad y tipo de Información El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que: • la información este en manos de algunas personas • la alta dependencia en caso de perdida de datos 4. Control de programación Se debe tener conocer que el delito más común está presente en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: • los programas no contengan bombas lógicas • los programas deben contar con fuentes y sus ultimas actualizaciones • los programas deben contar con documentación técnica, operativa y de emergencia 5. Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente: • la dependencia del sistema a nivel operativo y técnico • evaluación del grado de capacitación operativa y técnica • contemplar la cantidad de personas con acceso operativo y administrativo • conocer la capacitación del personal en situaciones de emergencia 6. Medios de control Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema. 7. Rasgos del personal Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que pueden surgir: • malos manejos de administración • malos manejos por negligencia • malos manejos por ataques deliberados 8. Instalaciones Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar: • la continuidad del flujo eléctrico • efectos del flujo eléctrico sobre el software y hardware • evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc. 46 • verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones 9. Control de residuos Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja. 10. Establecer áreas y prado del riesgo Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la función informática y los medios de prevención que se deben tener, para lo cual se debe: a) Establecer el Costo del Sistema de Seguridad (Análisis Costo contra Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la información contra el costo de un sistema de seguridad. Para realizar este estudio se debe considerar lo siguiente: • clasificar la instalación en términos de riesgo (alto, mediano, pequeño) • identificar las aplicaciones que tengan alto riesgo • cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un alto riesgo • formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera • la justificación del costo de implantar las medidas de seguridad Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en áreas de riesgo que pueden ser: a) Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es importante considerar responder las siguientes cuatro preguntas: 1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema depende de la aplicación por completo se debe definir el nivel de riesgo. 2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algún modo de cómo se soluciono este problema en el pasado. 3. ¿Existe un procedimiento alternativo y que problemas ocasionaría? Se debe verificar si el sistema es único o es que existe otro sistema también computarizado de apoyo menor. Ejemplo: Sí el sistema principal esta diseñado para trabajar en red sea tipo WAN quizá haya un soporte de apoyo menor como una red LAN o monousuario. E el caso de un sistema 47 de facturación en red, si esta cae, quizá pudiera trabajar en forma distribuida con un módulo menor monousuario y q tenga la capacidad de que al levantarse la red existan métodos actualización y verificación automática. 4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, h consecuencias y las soluciones tomadas, considerando: Que exista un sistema paralelo al menos manual Si hay sistemas duplicados en las áreas críticas (tarjetas de red teclados, monitores, servidores, unidades de disco, aire acondicionado). Si hay sistemas de energía ininterrumpida UPS. Si las instalaciones eléctricas, telefónicas y de red son adecuada, (se debe contar con el criterio de un experto). Si se cuenta con un método de respaldo y su manual administrativo. Una vez que se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, señalando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades. Disposiciones que Acompañan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar: • Obtener una especificación de las aplicaciones, los programas y archivos de datos. • Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso. • Prioridades en cuanto a acciones de seguridad de corto y largo plazo. • Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuentes con acceso a la sección de operación ni viceversa. • Que los operadores no sean los únicos en resolver los problemas que se presentan. b) Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las áreas involucradas de la organización (centro de computo y demás dependencias), pues esto ayudará a detectar problemas de disciplina y posibles fallas en la seguridad. También podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulación de desperdicios y limita las posibilidades de accidentes. Además es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal. 48 c) Cultura Personal Cuando hablamos de información, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podría definir la existencia o no de los más altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo. 4.6.2 Consideraciones para elaborar un sistema de seguridad integral. Como hablamos de realizar la evaluación de la seguridad es importante también conocer como desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa." Un sistema integral debe contemplar: • Definir elementos administrativos • Definir políticas de seguridad • A nivel departamental • A nivel institucional • Organizar y dividir las responsabilidades • Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.) • Definir P Prácticas de seguridad para el personal: Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extintores Números telefónicos de emergencia Definir el tipo de pólizas de seguros Definir elementos técnicos de procedimientos • Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energía Cableados locales y externos • Aplicación de los sistemas de seguridad incluyendo datos y archivos • Planificación de los papeles de los auditores internos y externos • Planificación de programas de desastre y sus pruebas (simulación) • Planificación de equipos de contingencia con carácter periódico • Control de desechos de los nodos importantes del sistema: Política de destrucción de basura copias, fotocopias, etc. Consideración de las normas ISO 14000 4.6.3 Etapas para implementar un sistema de seguridad. 49 Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: • Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad. • Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales. • Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando: a) Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar: • El plan de seguridad debe asegurar la integridad y exactitud de los datos • Debe permitir identificar la información que es confidencial • Debe contemplar áreas de uso exclusivo • Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles • Debe asegurar la capacidad de la organización para sobrevivir accidentes • Debe proteger a los empleados contra tentaciones o sospechas innecesarias • Debe contemplar la administración contra acusaciones por imprudencia b) Consideraciones para con el personal Es de gran importancia la elaboración del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos: 1) Motivar Se debe desarrollar métodos de participación reflexionando sobre lo que significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual. 2) Capacitación General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo. Este proceso incluye 50 como práctica necesaria la implantación la ejecución de planes de contingencia y la simulación de posibles delitos. 3) Capacitación de Técnicos Se debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas preventivas y correctivas. 4) Ética y Cultura Se debe establecer un método de educación estimulando el cultivo de elevados principios morales, que tengan repercusión a nivel personal e institucional. De ser posible realizar conferencias periódicas sobre: doctrina, familia, educación sexual, relaciones humanas, etc. 4.6.4 Etapas para implantar un sistema integral en marcha Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos: 1. Introducir el tema de seguridad en la visión de la empresa. 2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes. 3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de área. 5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel. 8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física. 4.6.5 Beneficios de un sistema de seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos: • Aumento de la productividad. • Aumento de la motivación del personal. • Compromiso con la misión de la compañía. • Mejora de las relaciones laborales. • Ayuda a formar equipos competentes. • Mejora de los climas laborales 51 5 __________________________________________________________________ Planeación informática de la auditoría en 5.1 Planeación de la auditoria en informática Para nacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo; con ello podremos determinar el número y características del personal de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoria para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditoria en general, la planeación es uno de los pasos más importantes, ya que una inadecuada planeación repercutirá en una serie de problemas, que pueden provocar que no se cumpla con la auditoría o bien que no se efectúe con el profesionalismo que debe tener el desarrollo de cualquier auditoría. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacer desde el punto de vista de los tres objetivos: • Evaluación administrativa del área de procesos electrónicos. • Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo. Para lograr una adecuada planeación, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, y con base a esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular el desarrollo de las mismas. 52 5.1.1 Investigación preliminar "Es necesario iniciar el trabajo de obtención de datos con un contacto preliminar que permita una primera idea global. El objeto de este primer contacto es percibir rápidamente las estructuras fundamentales y diferencias principales entre el organismo auditar y otras organizaciones que se hayan investigado". Se debe recopilar información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación. Se deberá observar el estado general del departamento o área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. La planeación de la auditoría debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general sean justificadas por escrito (un ejemplo de formato de programa de auditoría se da en anexo 1). En el caso de la auditoría en informática debemos comenzar la investigación preliminar con una visita al organismo, al área de informática y a los equipos de cómputo, y solicitar una serie de documentos. Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos: Administración Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevista preliminar y solicitud de documentos para poder definir el objetivo y alcances del departamento. La eficiencia en el departamento de informática sólo se puede lograr si sus objetivos están integrados con los objetivos de la institución y permanentemente se adapta a los posibles cambios de éstos. Esta adaptación únicamente puede ser posible si los altos ejecutivos y los usuarios de los sistemas toman parte activa en las decisiones referentes a la dirección y utilización de los sistemas de información, y si el responsable de dicho sistema constantemente consulta y pide asesoría y cooperación a los ejecutivos y usuarios. Así mismo el control de la dirección de informática no es posible, a menos que el personal responsable aplique la misma disciplina de trabajo y los métodos que se exigen normalmente a los usuarios. Podemos hablar de tener el control, únicamente cuando sé contemplaron los objetivos, se estableció un presupuesto y se registraron correctamente los costos en el desarrollo de la aplicación y ésta contempla el nivel de servicio en términos de calidad y tiempos mínimos de entrega de resultados de la operación del computador. El éxito de la dirección de informática dentro de una organización, depende finalmente de que todas las personas responsables del mismo tomen una actitud 53 positiva respecto a su trabajo y evalúen constantemente la eficiencia en su propio trabajo así como el trabajo desarrollado por su área, estableciendo metas y estándares que incrementen su productividad. La dirección de informática, según las diferentes áreas de la organización, es evaluada desde diferentes puntos de vista. Los usuarios a nivel operativo generalmente la ven como una herramienta para incrementar su eficiencia en el trabajo. Para estos usuarios, la dirección de informática es una función de servicio similar al departamento de nominas. Cada grupo de usuarios tiene su propia expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios. Los altos ejecutivos consideran a la dirección de informática como una inversión importante, con la función de que participe activamente en el cumplimiento de los objetivos de la organización, y esperan un máximo del retorno de su inversión, que los recursos destinados a la dirección de informática proporcionen un beneficio máximo a la organización y que participen en la administración eficiente y en la minimización de los costos mediante información que permita una adecuada toma de decisiones. Esencialmente la meta principal de los administradores de la dirección de informática, es la misma que inspira cualquier departamento de servicio; combinar un servicio adecuado con una operación económica. El problema estriba en balancear el nivel de servicio a los usuarios, que siempre puede ser incrementado a costa de un incremento del factor económico o viceversa. Para poder analizar y dimensionar la estructura por auditar se debe solicitar: a) a nivel organizacional total - Objetivos a corto y largo plazo. - Manual de la organización. - Antecedentes o historia del organismo. - Políticas generales. b) a nivel del área de informática - Objetivos a largo plazo - Manual de organización del área que incluya puestos, funciones, niveles jerárquicos y tramos de mando. - Manual de políticas, reglamentos internos y lineamientos generales. - Número de personal y puestos en el área. - Procedimientos administrativos del área. - Presupuestos y costos del área. c) Recursos materiales y técnicos - Solicitar documentos sobre los equipos, números de ellos, localización y características. - Estudios de vialidad. - Número de equipos, localización y las características (de los equipos instalados, por instalar y programados). - Fechas de instalación de los equipos y planes de instalación. 54 - Contratos vigentes de compra, renta y servicio de mantenimiento. - Contratos de seguros. - Convenios que se tiene con otras instalaciones. - Configuración de los equipos y capacidades actuales y máximas. - Planes de expansión. - Ubicación general de los equipos. - Políticas de operación. - Políticas de uso de los equipos. d) Sistemas - Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información. - Manual de formas. - Manual de procedimientos de los sistemas - Descripción genérica - Diagrama de entrada, archivos, salida. - Salidas - Fecha de instalación de los sistemas - Proyecto de instalación de nuevos sistemas. En el momento de hacer la planeación de la auditoría o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones: Se solicita la información y se ve que: 1. No se tiene y se necesita. 2. No se tiene y no se necesita. 3. Se tiene la información pero; a) No se usa. b) Es incompleta. c) No está actualizada d) No es la adecuada. e) Se usa, está actualizada, es la adecuada y está completa. Es el caso de que no se disponga de la información y se considere que no se necesita, se debe evaluar la causa por la que no es necesaria, ya que se puede estar solicitando un tipo de información que debido a las características del organismo no se requiera. Eso nos dará un parámetro muy importante para hacer una adecuada planeación de la auditoría. En el caso de que no se tenga la información pero que sea necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que tenga la información pero no se utilice se debe analizar por que no se usa. El motivo puede ser que esté incompleta, que no esté actualizada, que no sea la adecuada, etc. Hay que analizar y definir las causas para señalar alternativas de solución, que dan por resultado la utilización de la información. En caso de que se tenga la información, se debe analizar si se usa, si está 55 actualizada, si es la adecuada y si está completa; de ser así, se considerará dentro de las conclusiones de la evaluación, ya que como se dijo la auditoría no sólo debe considerar errores, sino también señalar los aciertos. Además de concluir esta etapa no se olvide que el éxito del análisis crítico depende de las consideraciones siguientes: - Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento) - Investigar las causas, no los efectos - Atender razones, no excusas - No confiar en la memoria, preguntar constantemente - Criticar objetivamente y a fondo todos los informes y los datos recabados 5.1.2 Personal participante Una de las partes más importantes dentro de la planeación de la auditoria en informática es el personal que deberá participar. En este punto no veremos el número de personas que deberá participar ya que esto estaba dado en función de las dimensiones de la organización, de los sistemas y de los equipos. Lo que deberá considerarse son las características del personal que habrá de participar en la auditoría. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar debemos pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionarnos toda la información que se solicite y programar las reuniones y entrevistas requeridas. Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas. También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realización de la auditoría se debe tener personas con las siguientes características: - Técnico en informática 56 - Conocimientos de administración, contaduría y finanzas. - Experiencia en el área de informática - Experiencia en operación y análisis de sistemas - Conocimientos y experiencia en psicología industrial - Conocimientos de los sistemas más importantes. En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas. Una vez planteada la forma de llevar a cabo la auditoría, estaremos en posibilidad de presentar la carta convenio de servicios profesionales (en caso de auditores externos) y el plan de trabajo. La carta convenio es un compromiso del auditor dirigida a su cliente para su confirmación de aceptación; en ella se especifican el objetivo y alcance de la auditoría, las limitaciones y colaboración necesaria, el grado de responsabilidad y los informes que se han de entregar. Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1, el cual servirá para resumir el plan de trabajo de la auditoría. Este formato de programa de auditoría nos servirá de base para llevar un adecuado control del desarrollo de la misma. En él figuran el organismo, la fecha de formulación, las fases y subfases que comprenden la descripción de la actividad, e número de días hábiles y el número de días-hombre estimados. El control de avance de la auditoría lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos de que el trabajo se está llevando la cabo de acuerdo con el programa de auditoría, con los recursos estimados y en el tiempo señalado en la planeación. El hecho de contar con la información del avance nos permite revisar el trabajo elaborado por cualquiera de nuestros asistentes. 57 6 __________________________________________________________________ Auditoría de informática la función de [1; pág. 28-50] 6.1 Recopilación de la información organizacional. Una vez elaborada la planeación de la auditoría, la cual servirá como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditoría, se debe empezar la recolección de la información. Se procederá a efectuar la revisión sistematizada del área a través de la observación y entrevistas de fondo en cuanto a: a) Estructura Orgánica Jerarquías (Definición de la autoridad lineal, funcional y de asesoría) Estructura orgánica Funciones Objetivos b) Se deberá revisar la situación de los recursos humanos. c) Entrevistas con el personal de procesos electrónicos: Jefatura Análisis Programadores Operadores Capturistas Personal administrativo d) Se deberá conocer la situación presupuestal y financiera en cuanto a: Presupuesto Recursos financieros Recursos materiales Mobiliario y equipo e) Se hará un levantamiento del censo de recursos humanos y análisis de situación en cuanto a: Número de personas y distribución por áreas 58 Denominación de puestos Salario Capacitación Conocimientos Escolaridad Experiencia profesional Antigüedad Historial de trabajo Salario y conformación Movimientos salariales índice de rotación del personal Programa de capacitación (vigente y capacitación dada en el último año) f) Por último, se deberá revisar el grado de cumplimiento de los documentos administrativos. Normas y políticas Planes de trabajo Controles Estándares Procedimientos La información nos servirá para determinar: - Si las responsabilidades en la organización están definidas adecuadamente Si la estructura organizacional está adecuada a las necesidades Si el control organizacional es el adecuado Si se tienen los objetivos y políticas adecuadas, se encuentran vigentes y están bien definidas Si existe la documentación de las actividades, funciones y responsabilidades Si los puestos se encuentran definidos y señaladas sus responsabilidades Si el análisis y descripción de puestos está de acuerdo con el personal que los ocupa Si se cumplen los lineamientos organizacionales Si el nivel de salarios comparado con el mercado de trabajo Si los planes de trabajo concuerdan con los objetivos de la empresa Si se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operación o se cuenta con "indispensables" Si se evalúan los planes y se determinan las desviaciones 6.2 Evaluación de la estructura orgánica Para lograr el objetivo de evaluación de la estructura orgánica se deberá solicitar el manual de organización de la dirección, el cual deberá comprender 59 como mínimo: - Organigrama con jerarquías - Funciones - Objetivos y políticas - Análisis, descripción y evaluación de puestos - Manual de procedimientos - Manual de normas - Instructivos de trabajo o guías de actividad También se deben solicitar: Objetivos de la dirección Políticas y normas de la dirección El director de informática y aquellas personas que tengan un cargo directivo deben llevar los cuestionarios sobre estructura orgánica, funciones, objetivos y políticas de los cuales se presenta un ejemplo. El cuestionario que se presenta a continuación tiene por objeto poder conocer en primer lugar la organización del departamento de informática y su dependencia dentro de la organización total. El departamento de informática básicamente puede estar dentro de alguno de estos tipos de dependencia: a) Depende de alguna dirección o gerencia lo cual, normalmente, es la dirección de finanzas. Esto se debe a que inicialmente informática o departamento de procesamiento electrónico de datos, nombre con que se le conocía, procesaba principalmente sistemas de tipo contable, financiero o administrativo, por ejemplo, la contabilidad la nómina, ventas o facturación. El que informática dependa del usuario principal normalmente se da en estructuras pequeñas o bien que inician en el área de informática. La ventaja que tiene es que no se crea una estructura adicional para el área de informática y permite que el usuario principal tenga un mayor control sobre sus sistemas. La ventaja principal es que los otros usuarios son considerados como secundarios y normalmente no se les da la importancia y prioridad requerida; otra desventaja es que, como la información es poder, a veces hace que un área tenga un mayor poder. También, en ocasiones, sucede que el gerente o director del área usuaria del cual depende informática tiene muy poco conocimiento de informática; ello ocasiona que el jefe de informática cree una isla dentro de la gerencia y que acuerde directamente con otras gerencias usuarias, dando lugar a problemas con las líneas de autoridad. b) La segunda posibilidad es que la dirección de informática dependa de la gerencia general; esto puede ser en línea o bien en forma de asesoría. La ventaja de alguna de estas organizaciones es que el director de informática podrá tener un nivel adecuado dentro de la organización, lo cual le permitirá lograr una mejor comunicación con los departamentos usuarios y, por lo tanto, proporcionarles un mejor servicio y asignar las 60 prioridades de acuerdo con los lineamientos dados por la gerencia general. La desventaja es que aumentan los niveles de la organización, lo que elevará el costo de la utilización de los sistemas de computo. c) La tercera posibilidad es que estructuras muy grandes en la que hay bases de datos, redes o bien equipos en diferentes lugares. En esta estructura se considera la administración corporativa. La dirección de informática depende de la gerencia general, o de departamentos de informática dentro de las demás gerencias, las cuales reciben todas las normas, políticas, procedimientos y estándares de la dirección de informática, aunque funcionalmente dependan de la gerencia a la cual estás adscritas. Son controladas en cuanto a sus funciones y equipo en forma centralizada por la dirección de informática. Deben estar perfectamente definidas las funciones, organización y políticas de los departamentos para evitar la duplicidad de mando y el que en dos lugares diferentes se estén desarrollando los mismos sistemas o bien que sólo en un lugar se programe, y no se permita usar los equipos para programar en otro lugar que no sea la dirección de informática. Esto se puede dar en instalaciones que tengan equipo en varias ciudades o lugares, y para evitarlo se deben tener bien definidas las políticas y funciones de todas las áreas. La ventaja principal de esta organización consiste en que se puede tener centralizada la información (base de datos) y descentralizados los equipos; pero se debe tener una adecuada coordinación entre la dirección de informática y los departamentos de informática de las áreas usuarias para evitar duplicar esfuerzos o duplicidad de mando. d) La cuarta forma de organización es la creación de una compañía independiente que de servicio de informática a la organización. Cuestionario para conocer la estructura orgánica 1.1 Bases jurídicas (principalmente en el sector público) ¿Se ajusta la estructura orgánica actual a las disposiciones jurídicas vigentes? No, ¿porqué razón? __________________________________________________________________ __________________________________________________________________ ¿Cuáles son los ordenamientos legales en que se sustenta la dirección? __________________________________________________________________ __________________________________________________________________ Objetivo de la estructura ¿La estructura actual está encaminada a la consecución de los objetos del área? Explique en qué forma. __________________________________________________________________ 61 Permite la estructura actual que se lleven a cabo con eficiencia - Las atribuciones encomendadas? SI NO - Las funciones establecidas? SI NO - Las distribución del trabajo? SI NO - El control interno? SI NO Si algunas de las respuestas es negativa explique cuál es la razón __________________________________________________________________ 1.2 Niveles jerárquicos (es conveniente conocer los niveles jerárquicos para poder evaluar si son los necesarios y si bien están bien definidos). ¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientes para el desarrollo de las actividades del área? ¿Por qué o cuáles son sus recomendaciones? __________________________________________________________________ __________________________________________________________________ Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente la: - Operación? - Supervisión? Los niveles actuales permiten que se tenga una ágil - Comunicación ascendente? SI NO - Comunicación descendente? SI NO - Toma de decisiones? SI NO Si alguna de las respuestas es negativa, explique cuál es la razón. __________________________________________________________________ Se considera que algunas áreas debería tener - Mayor jerarquía? SI NO - Menor jerarquía? SI NO Por qué razón __________________________________________________________________ __________________________________________________________________ 1.3 Departamentalización SE consideran adecuados los departamentos, áreas y oficinas en que está dividida actualmente la estructura de la dirección? SI NO No, ¿por qué razón? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ 62 ¿El área y sus subáreas tienen delimitadas con claridad sus responsabilidades? SI NO No, ¿qué efectos provoca esta situación? __________________________________________________________________ __________________________________________________________________ Puesto (se debe tener cuidado de que estén bien definidas las funciones de cada puesto, ya que desafortunadamente existe mucha confusión en los nombres que se dan a los puestos dentro del medio de la informática). ¿Los puestos actuales son adecuados a las necesidades que tiene el área para llevar a cabo sus funciones? SI NO No, ¿Por qué razón? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ ¿El número de empleados que trabajan actualmente es adecuado para cumplir con las funciones encomendadas? SI NO Solicite el manual de descripción de puestos de: - Análisis - Programación - Técnicos - Operación - Captura - Dirección - Administración - Otros NOTA: (de la pregunta anterior). Pide la plantilla de personal. Especifique el número de personas que reportan a las personas que a su vez reportan a cada puesto. - Dirección - Subdirector - Jefes de departamento - Jefes de sección - Jedes de área ¿El número de personas es el adecuado en cada uno de los puestos? SI NO ¿Por qué? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ 63 No, ¿Cuál es el número de personal que consideraría adecuado? (señale el puesto o los puestos) __________________________________________________________________ __________________________________________________________________ 1.4. Expectativas (dentro de las expectativas se pueden detectar, en algunas ocasiones, deficiencias y frustraciones de las personas). ¿Considera que debe revisarse la estructura actual, a fin de hacerla más eficiente? SI NO Si, ¿por qué razón? __________________________________________________________________ __________________________________________________________________ ¿Cuál es la estructura que propondría? __________________________________________________________________ __________________________________________________________________ De realizar una modificación a la estructura, ¿cuándo considera que debería hacerse? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ 1.5. Autoridad ¿Se encuentra definida adecuadamente la línea de autoridad? SI NO No, ¿por qué razón? __________________________________________________________________ __________________________________________________________________ ¿Su autoridad va de acuerdo a su responsabilidad? SI NO No, ¿por qué razón? __________________________________________________________________ __________________________________________________________________ ¿En su área se han presentado conflictos por el ejercicio de la autoridad? SI NO Si, explique en que casos __________________________________________________________________ __________________________________________________________________ ¿Existe en el área algún sistema de sugerencias y quejas por parte del personal? SI NO 64 2. Funciones (las funciones en informática pueden diferir de un organismo a otro, aunque se designen con el mismo nombre; por ejemplo, la función del programador en una organización puede ser diferente en otra organización). 2.1. Existencia ¿Se han establecido funciones del área? SI NO No, ¿Por que no? __________________________________________________________________ __________________________________________________________________ ¿Las funciones están de acuerdo con las atribuciones legales? Si NO ¿Por qué no están de acuerdo? __________________________________________________________________ __________________________________________________________________ sugerencias __________________________________________________________________ __________________________________________________________________ ¿Están por escrito en algún documento las funciones del área? SI NO ¿Cuál es la causa de que no estén por escrito? __________________________________________________________________ __________________________________________________________________ ¿Cuál es la forma de darlas a conocer? __________________________________________________________________ __________________________________________________________________ ¿Quién elaboró las funciones? __________________________________________________________________ __________________________________________________________________ ¿Participó el área en su formulación? SI NO ¿Por qué causas no participó? __________________________________________________________________ __________________________________________________________________ ¿Quién las autorizó o aprobó? __________________________________________________________________ __________________________________________________________________ 2.2 Coincidencias (se debe tener cuidado en que se conozcan las funciones del área). 65 ¿Las funciones están encaminadas a la consecución de los objetivos institucionales e internos? SI NO ¿Por qué no? __________________________________________________________________ __________________________________________________________________ Sugerencias __________________________________________________________________ __________________________________________________________________ ¿Las funciones del área están acordes al reglamento interior? SI NO No, ¿en qué considera que difieren? __________________________________________________________________ __________________________________________________________________ ¿A qué nivel se conocen las funciones del área? __________________________________________________________________ __________________________________________________________________ ¿Conocen otras áreas las funciones del área? SI NO ¿Por qué no? __________________________________________________________________ __________________________________________________________________ ¿Considera que se deben dar a conocer? SI NO ¿Por qué no? __________________________________________________________________ 2.3 Adecuadas (debemos tener cuidado ya que en esta área podemos detectar malestares del personal debido a que como las funciones no son adecuadas a las necesidades, pueden existir problemas de definición de funciones o bien de cargas de trabajo). ¿Son adecuadas a la realidad las funciones? SI NO ¿Por qué no son adecuadas? __________________________________________________________________ __________________________________________________________________ ¿Son adecuadas a las necesidades actuales? SI NO ¿Por qué no? __________________________________________________________________ __________________________________________________________________ ¿Cuáles son sus principales limitaciones? __________________________________________________________________ __________________________________________________________________ 66 Sugerencias __________________________________________________________________ __________________________________________________________________ ¿Están adecuadas a las cargas de trabajo? SI NO ¿Existen conflictos por las cargas de trabajo desequilibradas? SI NO ¿De qué tipo? __________________________________________________________________ __________________________________________________________________ ¿Se tiene contemplada la desconcentración? SI NO ¿Por que no? __________________________________________________________________ _________________________________________________________________ ¿Cómo afecta la desconcentración a las funciones? __________________________________________________________________ __________________________________________________________________ ¿Qué funciones se van a desconcentrar? __________________________________________________________________ __________________________________________________________________ ¿Participó la de informática en su elaboración? SI NO ¿Por qué no? __________________________________________________________________ __________________________________________________________________ 2.4 Cumplimiento (esta sección nos sirve para evaluar el grado de cumplimiento de las funciones) ¿Están delimitadas las funciones? SI NO ¿A nivel de departamento? ¿A nivel de puesto? No, ¿por que? __________________________________________________________________ __________________________________________________________________ ¿Las actividades que realiza son acordes a las funciones que tiene asignadas? SI NO No, ¿qué tipo de actividades realiza que no están acordes a las funciones asignadas? __________________________________________________________________ __________________________________________________________________ ¿Cuál es la causa? __________________________________________________________________ __________________________________________________________________ ¿Quién las ordena? __________________________________________________________________ __________________________________________________________________ 67 ¿Las actividades que realiza actualmente cumplen en su totalidad con las funciones conferidas? SI NO No, ¿cuál es su grado de cumplimiento? __________________________________________________________________ __________________________________________________________________ La falta de cumplimiento de sus funciones es por: ( ) Falta de personal ( ) Personal no capacitado ( ) Cargas de trabajo excesivas ( ) Porque realiza otras actividades ( ) La forma en que las ordena ¿Cuáles funciones realiza en forma: Periódica? __________________________________________________________________ Eventual? __________________________________________________________________ Sistemática? __________________________________________________________________ Otras? __________________________________________________________________ ¿Tienen programas y tareas encomendadas? SI NO No, ¿por qué? __________________________________________________________________ ¿Permiten cumplir con los programas y tareas encomendadas (necesidades de operación)? SI NO No, ¿por qué causas? __________________________________________________________________ ¿Quién es el responsable de ordenar que se ejecuten las actividades? __________________________________________________________________ En caso de realizar otras actividades, ¿quién las ordena y autoriza? __________________________________________________________________ En caso de no encontrarse el jefe inmediato, ¿quién lo puede realizar? __________________________________________________________________ 2.5 Apoyos ¿Para cumplir con sus funciones requiere de apoyos de otras áreas? SI NO Sí, ¿de qué tipo? __________________________________________________________________ ¿Cuál es el área que proporciona el apoyo? __________________________________________________________________ 68 ¿Se lo proporcionan con oportunidad? SI NO No, ¿qué le ocasiona? __________________________________________________________________ No, ¿cómo resuelve esa falta de apoyo? __________________________________________________________________ ¿Con qué frecuencia lo solicita? __________________________________________________________________ Para cumplir con sus funciones, ¿proporciona apoyos a otras áreas? SI NO Si, ¿qué tipo de apoyo proporciona? __________________________________________________________________ ¿A cuántas áreas? __________________________________________________________________ ¿Cuáles son? __________________________________________________________________ 2.6 Duplicidad ¿Existe duplicidad de funciones en la misma área? SI NO Si, ¿qué conflictos ocasiona y cuáles funciones? __________________________________________________________________ ¿Existe duplicidad de funciones en otras áreas? SI NO Si, ¿cuáles y dónde? __________________________________________________________________ ¿Qué conflictos ocasiona? __________________________________________________________________ ¿La duplicidad de funciones se debe a que el área no puede realizarlas? SI NO Si, ¿cuáles la razón? __________________________________________________________________ No, ¿cuál es su opinión al respecto? __________________________________________________________________ ¿Se pueden eliminar funciones? SI NO Si, ¿cuáles? __________________________________________________________________ ¿Se pueden transferir funciones? SI NO Si, ¿cuáles y adónde? __________________________________________________________________ ¿Permite la duplicidad que se dé el control interno? SI NO 69 No, ¿porqué? __________________________________________________________________ 3. Objetivos (Uno de los posibles problemas o descontentos que puede tener el personal es el desconocimiento de los objetivos de la organización, lo cual puede ser debido a una falta de definición de los objetivos y provoca que no se pueda tener una planeación adecuada). 3.1 Existencia ¿Se han establecido objetivos para el área? SI NO ¿Quién los estableció? __________________________________________________________________ ¿Cuál fue el método para el establecimiento de los objetivos? __________________________________________________________________ ¿Participó el área en su establecimiento? SI NO ¿Cuáles fueron las principales razones de la selección de los objetivos? __________________________________________________________________ ¿Los objetivos establecidos son congruentes con: - Los de la dirección? SI NO - Los de la subdirección? SI NO - Los del departamento/ oficina? SI NO - Los de otros departamentos/oficinas? SI NO ¿Por qué no se han establecido objetivos para el área? __________________________________________________________________ ¿Nadie le exige establecerlos? SI NO ¿Considera importante que se establezcan? SI NO ¿Es responsabilidad de otra área establecer los objetivos? SI NO ¿Cuál? __________________________________________________________________ ¿De qué manera planea el trabajo del área? __________________________________________________________________ ¿Cómo afecta la operación del área el no tener establecidos los objetivos? __________________________________________________________________ 3.2 Formales ¿Se han definido por escrito los objetivos del área? SI NO ¿En qué documento? (recabar) ¿Por qué no están definidos por escrito? __________________________________________________________________ 70 ¿Qué problemas se han derivado de esta situación? __________________________________________________________________ Conocimiento ¿Se han dado a conocer los objetivos? SI NO ¿A quién se han dado a conocer? __________________________________________________________________ ¿Quién mas debería conocerlos? __________________________________________________________________ ¿Qué método se ha utilizado para dar a conocer los objetivos? __________________________________________________________________ ¿Por qué no se han dado a conocer los objetivos? __________________________________________________________________ ¿Considera importante que los conozca el personal? SI NO ¿Cómo afecta la operación del área el hecho de que los objetivos no se hayan dado a conocer o que su conocimiento sea parcial? __________________________________________________________________ 3.3 Adecuados ¿Abarcan los objetivos toda la operación del área? SI NO ¿Qué aspectos no se cubren? __________________________________________________________________ ¿Los objetivos son claros y precisos? SI NO ¿Son realistas? SI NO ¿Se pueden alcanzar? SI NO ¿Por qué? __________________________________________________________________ ¿Están de acuerdo con las funciones del área? SI NO ¿Señalan cuales son las realizaciones esperadas? SI NO ¿Son congruentes con los objetivos institucionales? SI NO ¿Sirven de guía al personal? SI NO ¿Sirven para motivar al personal? SI NO ¿Se han establecido para el corto, mediano y largo plazo? SI NO ¿Qué adecuaciones puede sugerir para los objetivos actuales? __________________________________________________________________ 3.4 Cumplimiento ¿En qué grado se cumplen los objetivos? __________________________________________________________________ ¿Existen mecanismos para conocer el grado de cumplimiento de los objetivos? SI NO Sí, ¿cuáles? __________________________________________________________________ 71 No, ¿de qué manera se establece el grado de cumplimiento? __________________________________________________________________ ¿Se elabora algún reporte sobre el grado de avance en el cumplimiento de los objetivos? SI NO ¿Para quién y con qué frecuencia (recabar) __________________________________________________________________ ¿Quién elabora este reporte? __________________________________________________________________ ¿Qué se hace en caso de desviación en el cumplimiento de los objetivos? __________________________________________________________________ ¿Qué sugerencia puede hacer para lograr el cumplimiento total de los objetivos? __________________________________________________________________ 3.5 Actualización ¿Se revisan los objetivos? SI NO ¿Por sistema? SI NO ¿Quién revisa los objetivos? __________________________________________________________________ ¿De qué manera se lleva a cabo la revisión? __________________________________________________________________ ¿Participa el área en la actualización de los objetivos? SI NO ¿Cuándo se hizo la última revisión de los objetivos? __________________________________________________________________ ¿De qué manera se incorporan las modificaciones derivadas de las revisiones? __________________________________________________________________ ¿Por qué no se revisan los objetivos? __________________________________________________________________ ¿Que sugerencias tiene para que la actualización de los objetivos sea más eficaz? __________________________________________________________________ 4. Análisis de organizaciones Dentro de la estructura organizacional de la dirección de informática no existe una evaluación concreta y aceptada de las funciones de informática. Las funciones que en una organización son consideradas como de programadores en otra pueden ser de analista o de analista programador, y en algunas organizaciones se han dividido ciertas funciones con diferentes niveles; por ejemplo, programador A, programador B, programador C. Esto ha dado por resultado, que al no existir una definición clara de los niveles, funciones y conocimientos se haya tomado para que las personas se 72 designen con el título que ellos consideren pertinente; por ejemplo, ingeniero en sistemas (sin haber obtenido el grado), analista de sistemas o bien que en algunos países existan escuelas que confieran grados académicos que no son reconocidos oficialmente. Al analizar las organizaciones debemos tener muy en cuenta si están definidas las funciones y la forma de evaluar a las personas que ingresan a los diferentes niveles de la organización. Si no existe un organigrama en la organización, el auditor debe elaborar uno que muestre el actual plan de organización, ya que facilita el estudio y da una imagen general de la organización. Criterios para analizar organigramas: a) Agrupar funciones similares y relacionarlas entre sí. b) Agrupar funciones que sean compatibles. c) Localizar la actividad cerca de la función a la que sirva. d) Localizar la actividad cerca o dentro de la función mejor preparada para realizarla. e) No asignar la misma función a dos personas o entidades diferentes. f) Separar las funciones de control y aquellas que serán objeto del mismo. g) Ningún puesto debe tener dos o más líneas de dependencia jerárquica. h) El tramo de control no debe ser exagerado, ni muy numerosos los niveles jerárquicos. Cuando se estudia la estructura orgánica es importante hacer algunas anotaciones sobre las tareas asignadas a cada puesto y responder las siguientes preguntas: ¿Existen líneas de autoridad justificadas? ¿Hay una extralimitación de funciones? ¿Hay demasiada supervisión de funcionarios? ¿Es excesiva la supervisión en general? ¿Hay agrupamientos ilógicos en las unidades? ¿Hay uniformidad en las asignaciones? 6.3 Evaluación de los recursos humanos Se deberá obtener información sobre la situación del personal del área, para lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyección de recursos humanos. Se presenta un ejemplo de cuestionario para obtener información sobre los siguientes aspectos: - Desempeño y comportamiento - Condiciones de trabajo - Ambiente - Organización en el trabajo - Desarrollo y motivación - Capacitación - Supervisión 73 Cuestionario para evaluar los recursos humanos 1. Desempeño y cumplimiento ¿Es suficiente el número de personal para el desarrollo de las funciones del área? SI NO ¿Se deja de realizar alguna actividad por falta de personal? SI NO ¿Está capacitado el personal para realizar con eficacia sus funciones? SI NO ¿Porqué no? __________________________________________________________________ ¿Es eficaz en el cumplimiento de sus funciones? SI NO ¿Por qué no? __________________________________________________________________ ¿Es adecuada la calidad del trabajo del personal? SI NO ¿Porqué no? __________________________________________________________________ ¿Es frecuente la repetición de los trabajos encomendados? SI NO ¿El personal es discreto en el manejo de información confidencial? SI NO NO, repercusiones __________________________________________________________________ En general, ¿acata el personal las políticas, sistemas y procedimientos establecidos? SI NO ¿Por qué no? __________________________________________________________________ ¿Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de trabajo? SI NO Si, ¿que se hace al respecto? __________________________________________________________________ ¿Respeta el personal la autoridad establecida? SI NO ¿Por qué no? __________________________________________________________________ 74 ¿Existe cooperación por parte del personal para la realización del trabajo? SI NO ¿Por qué no? __________________________________________________________________ ¿El personal tiene afán de superación? SI NO ¿Presenta el personal sugerencias para mejorar el desempeño actual? SI NO ¿Cómo considera las sugerencias? __________________________________________________________________ ¿Qué tratamiento se les da? __________________________________________________________________ ¿Se toman en cuenta las sugerencias de los empleados? SI NO ¿En qué forma? __________________________________________________________________ ¿Cómo se les da respuesta a las sugerencias? __________________________________________________________________ 2. Capacitación (uno de los puntos que se deben evaluar con más detalle dentro del área de informática es la capacitación; esto se debe al proceso cambiante y al desarrollo de nuevas tecnologías en el área). Los programas de capacitación incluyen al personal de: Dirección ( ) Análisis ( ) Programación ( ) Operación ( ) Administración ( ) Captura ( ) Otros (especifique) ( ) ¿Se han identificado las necesidades actuales y futuras de capacitación del personal del área? SI NO ¿Por qué no? __________________________________________________________________ ¿Se desarrollan programas de capacitación para el personal del área? SI NO ¿Por qué? __________________________________________________________________ ¿Apoya la superioridad la realización de estos programas? SI NO ¿Se evalúan los resultados de los programas de capacitación? SI NO No, ¿por qué? __________________________________________________________________ Solicite el plan de capacitación para el presente año. 75 3. Supervisión ¿Cómo se lleva a cabo la supervisión del personal? __________________________________________________________________ ¿Porqué no se realiza? __________________________________________________________________ ¿Cómo se controlan el ausentismo y los retardos del personal? __________________________________________________________________ ¿Por qué no se llevan controles? __________________________________________________________________ ¿Cómo se evalúa el desempeño del personal? __________________________________________________________________ ¿Por qué no se evalúa? __________________________________________________________________ ¿Cuál es la finalidad de la evaluación del personal? __________________________________________________________________ 4. Limitantes ¿Cuáles son los principales factores internos que limitan el desempeño del personal? __________________________________________________________________ ¿Cuáles son los principales factores externos que limitan el desempeño del personal del área? __________________________________________________________________ ¿Cuál es el índice de rotación de personal en: - Análisis - Operación - Administración - Captura - Programación - Dirección - Técnicos - Otros (especifique) En términos generales, ¿se adapta el personal al mejoramiento administrativo (resistencia al cambio)? SI NO ¿Cuál es el grado de disciplina del personal? __________________________________________________________________ ¿Cuál es el grado de asistencia y puntualidad del personal? __________________________________________________________________ 76 ¿Existe una política uniforme y consistente para sancionar la indisciplina del personal? SI NO ¿Se lleva a efecto esta política? SI NO ¿Puede el personal presentar quejas y/o problemas? SI NO Sí, ¿cómo se soluciona? __________________________________________________________________ ¿Otras áreas externas presentan quejas sobre la capacidad y/o atención del personal del área? SI NO ¿Qué tratamiento se les da? __________________________________________________________________ ¿Cómo se otorgan los ascensos, promociones y aumentos salariales? __________________________________________________________________ ¿Cómo se controla las faltas y ausentismos? __________________________________________________________________ ¿Cuáles son las principales causas de faltas y ausentismo? __________________________________________________________________ 5. Condiciones de trabajo (para poder trabajar se requiere que se tenga una adecuada área de trabajo, con mayor razón en un área donde se debe hacer un trabajo de investigación e intelectual). ¿Conoce el reglamento interior de trabajo el personal del área? SI NO ¿Se apoyan en él para solucionar los conflictos laborales? SI NO No, ¿por qué? __________________________________________________________________ ¿Cómo son las relaciones laborales del área con el sindicato? __________________________________________________________________ ¿Se presentan problemas con frecuencia? SI NO Si ¿en qué aspectos? __________________________________________________________________ ¿Cómo se resuelven? __________________________________________________________________ 6. Remuneraciones (normalmente las personas están inconformes con su remuneración; es importante evaluar que tan cierta es esta inconformidad o si está dada por otros malestares pero son señalados como inconformidad en las remuneraciones, o bien puede deberse a que se desconoce cómo se evalúa a la persona para poder darle una mejor remuneración). 77 ¿Está el personal adecuadamente remunerado con respecto a: Trabajo desempeñado? SI NO Puestos similares en otras organizaciones? SI NO Puestos similares en otras áreas? SI NO Si, ¿cómo repercute? __________________________________________________________________ No, ¿cómo repercute? __________________________________________________________________ Conseguir información sobre los sueldos de los mismos niveles en otras organizaciones. Ambiente (el ambiente en el área de informática principalmente en programación es muy importante para lograr un adecuado desarrollo). ¿El personal está integrado como grupo de trabajo? SI NO No, ¿por qué? __________________________________________________________________ ¿Cuál es el grado de convivencia del personal? __________________________________________________________________ ¿Cómo se aprovecha esto para mejorar el ambiente de trabajo? __________________________________________________________________ ¿Son adecuadas las condiciones ambientales con respecto a: Espacio del área? SI NO Iluminación? SI NO Ventilación? SI NO Equipo de oficina? SI NO Mobiliario? SI NO Ruido? SI NO Limpieza y/o aseo? SI NO Instalaciones sanitarias? SI NO Instalaciones de comunicación? SI NO 7. Organización del trabajo ¿Participa en la selección del personal? SI NO No, ¿Por qué? __________________________________________________________________ ¿Qué repercusiones tiene? __________________________________________________________________ ¿Se prevén las necesidades? __________________________________________________________________ 78 ¿En cantidad? SI NO ¿En calidad? SI NO No, ¿por qué? __________________________________________________________________ ¿Está prevista la sustitución del personal clave? __________________________________________________________________ No, ¿Por qué? __________________________________________________________________ 8. Desarrollo y motivación ¿Cómo se lleva a cabo la introducción y el desarrollo del personal del área? __________________________________________________________________ ¿Por qué no se realiza? __________________________________________________________________ ¿Cómo se realiza la motivación del personal del área? __________________________________________________________________ ¿Cómo se estimula y se recompensa al personal del área? __________________________________________________________________ ¿Existe oportunidad de ascensos y promociones? __________________________________________________________________ ¿Qué política hay al respecto? __________________________________________________________________ 6.4 Entrevistas con el personal de informática Se deberán efectuar entrevistas con el personal de procesamiento de datos, para lo cual pueden entrevistarse a un grupo de personas elegidas y señalará además que quienes deseen externar sus opiniones lo podrán hacer en determinado lugar y hora (en algunos casos es conveniente señalar un número telefónico para poder hacer la reunión fuera de la dirección de informática y hay que solicitar que las opiniones sean debidamente fundamentadas). Ello nos servirá para determinar: 1. Grado de cumplimiento de la estructura organizacional administrativa. 2. Grado de cumplimiento de las políticas y los procedimientos administrativos. 3. Satisfacción e insatisfacción. 4. Capacitación. 5. Observaciones generales. 79 Guía de entrevista 1. Nombre del puesto 2. Puesto del jefe inmediato 3. Puestos a que reporta 4. Puestos de las personas que reportan al entrevistado 5. Número de personas que reportan al entrevistado 6. Describa brevemente las actividades diarias de su puesto 7. Actividades periódicas 8. Actividades eventuales 9. ¿Con qué manuales cuenta para el desempeño de su puesto? 10. ¿Cuáles políticas se tienen establecidas para el puesto? 11. Señale las lagunas que considere que existen en la organización 12. En caso de que el entrevistado mencione cargas de trabajo, ¿cómo las establece? 13. ¿Cómo las controla? 14. ¿Cómo se deciden las políticas que han de implantarse? 15. ¿Cómo recibe las instrucciones de los trabajos encomendados? 16. ¿Con qué frecuencia recibe capacitación y de qué tipo? 17. ¿Sobre qué tema le gustaría recibir capacitación? 18. Mencione la capacitación obtenida y dada a su personal durante el último año 19. Observaciones NOTA: En caso de que sea una entrevista solicitada por el personal de informática, tiene que ser confidencial y no podrán solicitarse las preguntas iniciales. El entrevistado deber hablar abiertamente fundamentando sus opiniones y comentarios. 6.5 Situación presupuestal y financiera 6.5.1. Presupuestos. Obtención y análisis de la situación presupuestal del departamento. Se obtendrá información presupuestal y financiera del departamento, así como número de equipos y características para hacer un análisis de su situación desde un punto de vista económico. 1. Costos del departamento, desglosado por áreas y controles. 2. Presupuesto del departamento, desglosado por áreas. 3. Características de los equipos, número de ellos y contratos. NOTA: Se deberán pedir los costos, presupuestos y características de los equipos señalados en los puntos 1, 2 y 3 además de contestar el cuestionario. 80 Cuestionarlo para la situación presupuestal 1. Cuál es el gasto total anual aproximado del área de informática incluyendo venta del equipo y administración del centro de cómputo (gastos directos o indirectos). 2. ¿Existe un sistema de contabilidad de costos por: Usuario? ( ) Por aplicación? ( ) 3. ¿Conocen los usuarios los costos de sus aplicaciones? Si( ) NO( ) 4. ¿Los reportes de costo permiten la comparación de lo gastado en la dirección de informática contra lo presupuestado? SI( ) NO( ) 5. Cite a los principales proveedores de su dirección en materia de: Proveedor Volumen Anual Mobiliario en general Papelería Cintas, discos 6. ¿Cuáles cargos adicionales se manejan por separado fuera del contrato? Utilización del equipo Servicio de mantenimiento Capacitación del personal Asesoría en sistemas de cómputo Gastos de instalación del equipo impuestos federales, estatales, municipales y especiales Seguros de transporte y compra de equipo Otros especifíquelos 7. ¿Cuál es la situación jurídica del equipo? 1). Compra del equipo ( ) 2). Renta del equipo ( ) 3). Renta con opción a compra ( ) 4). Renta de tiempo máquina ( ) 5). Maquila ( ) 6). Otro, ¿cuál? ( ) Recursos financieros Formulación ¿Quién interviene en la formulación del presupuesto del área? ¿Se respetan los planteamientos presupuéstales del área? SI NO No, ¿en qué partidas no se ha respetado y en qué monto? 81 Adecuación ¿Los recursos financieros con que cuenta el área son suficientes para alcanzar los objetivos y metas establecidos? SI NO No, ¿qué efectos se han tenido en el área al no contar con suficientes recursos financieros? Recursos materiales Programación ¿Existe un programa sobre los requerimientos del área? SI NO ¿Qué personas del área intervienen en su elaboración? ¿Se respetan los planteamientos del área? SI NO No, ¿en qué aspectos no se respetan? Adecuación ¿Los recursos materiales se le proporcionan al área, son suficientes para cumplir con las funciones encomendadas? SI NO No, ¿en qué no son suficientes? ¿Los recursos materiales se proporcionan oportunamente? SI NO ¿Cuáles son las principales limitaciones que tiene el área en cuanto a los recursos materiales? ¿Qué sugerencias haría para superar las limitaciones actuales? Servicios generales ¿Existe un programa sobre los servicios generales que requiere el área? SI NO Los servicios generales que se proporcionan al área, ¿los considera: Adecuados? SI NO Suficientes? SI NO Oportunos? SI NO En caso de que alguna de las respuestas sea negativa especifique cuál es la deficiencia ¿Qué sugerencias haría para superar las limitaciones actuales? Mobiliario y equipo ¿Se cuenta con el equipo y mobiliario adecuados y en cantidad suficiente para 82 desarrollar su trabajo? SI NO ¿Por qué? ¿Están adecuadamente distribuidos en el área de trabajo? ¿Actualmente se están dejando de realizar actividades por falta de material y equipo? SI NO ¿Qué se hace para solucionar este problema? ¿Conoce esta situación el jefe de la unidad? ¿Qué medidas se han tomado? ¿Existe el servicio de mantenimiento del equipo? ¿Existen medidas de seguridad? SI NO ¿Cuáles? ¿Por qué? ¿Qué se hace con el equipo en desuso? ¿Sobre quién recae la responsabilidad del equipo? ¿Con qué frecuencia se renuevan el equipo y mobiliario? ¿Se recogen opiniones y sugerencias que nos permitan establecer las medidas correctivas con las cuales lograr un mejor funcionamiento de estos recursos? 83 7 __________________________________________________________________ Evaluación de los sistemas [1; pág. 52-74] 7.1 Evaluación de sistemas La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborando sin el adecuado señalamiento de prioridades y de objetivos. El plan estratégico deberá establecer los servicios que se prestarán en un futuro contestando preguntas como las siguientes: a) ¿Cuáles servicios se implementarán? b) ¿Cuándo se pondrán a disposición de los usuarios? c) ¿Qué características tendrán? d) ¿Cuántos recursos se requerirán? La estrategia de desarrollo deberá establecer las nuevas aplicaciones y recursos que proporcionará la dirección de informática y la arquitectura en que estarán fundamentados. - ¿Qué aplicaciones serán desarrolladas y cuándo? - ¿Qué tipo de archivos se desarrollarán y cuándo? - ¿Qué bases de datos serán desarrolladas y cuándo? - ¿Qué lenguajes se utilizarán y en qué software? - ¿Qué tecnología será utilizada y cuándo se implementará? - ¿Cuántos recursos se requerirán aproximadamente? - ¿Cuál es aproximadamente el monto de la inversión en hardware y software? En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la organización. - ¿Qué estudios van a ser realizados al respecto? - ¿Qué metodología se utilizará para dichos estudios? - ¿Quién administrará y realizará estos estudios? 84 En el área de auditoria interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos. Por último, el plan estratégico determina la planeación de los recursos. - ¿Contempla el plan estratégico las ventajas de la nueva tecnología? - ¿Cuáles serán los conocimientos requeridos por los recursos humanos planeados? - ¿Se contemplan en la estructura organizacional los nuevos niveles jerárquicos requeridos por el plan estratégico? - ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios? El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la estrategia de la arquitectura de la tecnología, con que se cuenta actualmente. Para identificar los problemas de los sistemas primero debemos detectar los síntomas, los cuales son un reflejo del área problemática; y después de analizar los síntomas podremos definir y detectar las causas, parte medular de la auditoría. Debemos aprender a reunir todos los síntomas y a distinguirlos antes de señalar las causas, evitando tomar los síntomas como causas y dejando fuera todo lo que es rumores sin fundamento. Los sistemas debemos evaluarlos de acuerdo con el ciclo de vida que normalmente siguen: 1) requerimientos del usuario, 2) estudio de factibilidad, 3) diseño general, 4) análisis, 5) diseño lógico, 6) desarrollo físico, 7) pruebas, 8) implementación, 9) evaluación, 10) modificaciones, 11) instalación, 12) mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad. La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es susceptible de realizarse, cuál es su relación costo/beneficio y si es conductualmente favorable. Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, las necesidades de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el 85 efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema, y la congruencia de los diferentes sistemas. En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados, y comparará con la realidad lo especificado en el estudio de factibilidad. Por ejemplo, en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cuál fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema. Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación. Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema, mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad. Entre los problemas mas comunes en los sistemas están los siguientes 1. Falta de estándares en el desarrollo, en el análisis y la programación. 2. Falta de participación y de revisión por parte de la alta gerencia. 3. Falta de participación de los usuarios. 4. Inadecuada especificación del sistema al momento de hacer el diseño detallado. 5. Deficiente análisis costo/beneficio. 6. Nueva tecnología no usada o usada incorrectamente. 7. Inexperiencia por parte del personal de análisis y del de programación. 8. Diseño deficiente. 9. Proyección pobre de la forma en que se realizará el sistema. 10. Control débil o falta de control sobre las fases de elaboración del sistema y sobre el sistema en sí. 11. Problemas de auditoría. 12. Inadecuados procedimientos de seguridad, de recuperación y de archivos. 13. Falta de integración de los sistemas (elaboración de sistemas aislados programas que no están unidos como sistemas). 14. Documentación inadecuada o inexistente. 15. Dificultad de dar mantenimiento al sistema, principalmente por falta de documentación o excesivos cambios y modificaciones hechos al sistema. 16. Problemas en la conversión e implementación. 17. Procedimientos incorrectos o no autorizados. 7.2 Evaluación del análisis En esta etapa se evaluarán las políticas, procedimientos y normas que se 86 tienen para llevar a cabo el análisis Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales. 1. La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre si y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la organización, independientemente de los recursos que impliquen su desarrollo y justificación en el momento de la planeación. 2. Los requerimientos de los usuarios. 3. El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron. La situación de una aplicación en dicho inventario puede ser alguna de las siguientes a) Planeada para ser desarrollada en el futuro. b) En desarrollo. c) En proceso, pero con modificaciones en desarrollo. d) En proceso con problemas detectados. e) En proceso sin problemas. f) En proceso esporádicamente. NOTA: Se deberá documentar detalladamente la fuente que generó la necesidad de la aplicación. La primera parte será evaluar la forma en que se encuentran especificadas las políticas, los procedimientos y los estándares de análisis, si es que se cumplen y si son los adecuados para la organización. Es importante revisar la situación en que se encuentran los manuales de análisis y si están acordes con las necesidades de la organización. En algunas ocasiones se tiene una microcomputadora, con sistemas sumamente sencillos y se solicita que se lleve a cabo una serie de análisis que después hay que plasmar en documentos señalados en los estándares, lo cual hace que esta fase sea muy compleja y costosa. Los sistemas y su documentación deben estar acordes con las características y necesidades de una organización específica. Se debe evaluar la obtención de datos sobre la operación, flujo, nivel, jerarquía de la información que se tendrá a través del sistema, así como sus límites e interfases con otros sistemas. Se han de comparar los objetivos de los sistemas desarrollados con las operaciones actuales, para ver si el estudio de la ejecución deseada corresponde al actual. La auditoría en informática debe evaluar los documentos y registros usados en la elaboración del sistema, así como todas las salidas y reportes, la descripción de las actividades de flujo de la información y de procedimientos, los archivos almacenados, su uso y su relación con otros archivos y sistemas, su frecuencia de acceso, su conservación, su seguridad y control, la documentación propuesta, las entradas y salidas del sistema y los documentos fuentes a usarse. 87 Con la información obtenida podremos contestar a las siguientes preguntas: 1. ¿Se está ejecutando en forma correcta y eficiente el proceso de información? 2. ¿Puede ser simplificado para mejorar su aprovechamiento? 3. ¿Se debe tener una mayor interacción con otros sistemas? 4. ¿Se tiene propuesto un adecuado control y seguridad sobre el sistema? 5. ¿Está en el análisis la documentación adecuada? 7.3 Evaluación del diseño lógico del sistema En esta etapa se deberán analizar las especificaciones del sistema. ¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, secuencia y ocurrencia de los datos, el proceso y la salida de reportes Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la determinación de los procedimientos de operación y decisión. Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está obteniendo: como en el caso de la administración en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está obteniendo. Los puntos a evaluar son: a) Entradas b) Salidas c) Procesos d) Especificaciones de datos e) Especificaciones de proceso f) Métodos de acceso g) Operaciones h) Manipulación de datos (antes y después del proceso electrónico de datos) i) Proceso lógico necesario para producir informes identificación de archivos, tamaño de los campos y registros Proceso en línea o lote y su justificación j) Frecuencia y volúmenes de operación k) Sistemas de seguridad I) Sistemas de control m) Responsables n) Número de usuarios Dentro del estudio de los sistemas en uso se deberá solicitar: 1) Manual del usuario 2) Descripción de flujo de información 3) Descripción y distribución de información 88 4) Manual deformas 5) Manual de reportes 6) Lista de archivos y especificación Lo que debemos determinar en el sistema: • En el procedimiento: ¿Quién hace, cuándo y cómo? ¿Qué formas se utilizan en el sistema? ¿Son necesarias, se usan, están duplicadas? ¿El número de copias es el adecuado? ¿Existen puntos de control o faltan? • En la gráfica de flujo de información: ¿Es fácil de usar? ¿Es lógica? ¿Se encontraron lagunas? ¿Hay faltas de control? • En las formas de diseño: ¿Cómo está usada la forma en el sistema? ¿Qué tan bien se ajusta la forma al procedimiento? ¿Cuál es el propósito, por qué se usa? ¿Se usa y es necesaria? ¿El número de copias es el adecuado? ¿Quién lo usa? Lo que debemos revisar en las formas de diseño: Numeración. ¿Está numerada la forma? ¿Es necesaria su numeración? ¿Está situada en un solo lugar fácil de encontrar? ¿Cómo se controlan las hojas numeradas y su utilización? Título. ¿Da el título de la forma una idea clara sobre su función básica? Espacio. Si la forma está mecanografiada: ¿hay suficiente espacio para escribir con máquina rápidamente, con exactitud y eficiencia? Si la forma se llena a mano: ¿hay el espacio adecuado para que se escriba en forma legible? Tabulación. Si la forma está mecanografiada: ¿permite su tabulación llenarla uniformemente? ¿Es la tabulación la mínima posible? 89 Una excesiva tabulación disminuye la velocidad y eficiencia para llenarla. Además le da una apariencia desigual y confusa. Zonas. ¿Están juntos los datos relacionados entre sí? Si los datos similares están agrupados por zonas, todas las personas que usan la forma ahorran tiempo. La información similar reunida por zonas, hace más fácil su referencia, se mecanografía más eficientemente y se revisa con más rapidez. Posteriormente se debe verificar que las zonas de las formas que sean utilizadas para captura estén situadas de manera congruente con el diseño de las pantallas de captura. Rayado. ¿Da la forma una apariencia desordenada y difícil de entender por el uso confuso y excesivo de líneas delgadas, gruesas o de doble raya? Instrucciones. ¿Le dice la forma al usuario cómo debe llenarla? Formas autoinstructivas o que suministran la información de cómo llenarlas permiten que el personal nuevo y los otros trabajen con supervisión y errores mínimos. De no ser así existe un manual de llenado de formas, se debe revisar si las instrucciones son claras, si son congruentes con la forma y si son excesivas, ya que un diseño excesivo de instrucciones pueda provocar confusión y hacer que sea poco clara. Firmas. ¿Existe suficiente espacio para una firma legible? ¿Está el espacio debidamente identificado respecto a la firma que necesita? ¿La firma se utiliza como un mero tramite o realmente controla la persona que firma lo que se está firmando? Nombres. ¿Usa la forma los nombres de los puestos, en lugar del nombre del individuo? No es conveniente imprimir nombres de personas debido a la rotación de personal. Encabezados ambiguos. ¿Se indica con exactitud qué fechas, qué números, o qué firmas se requieren? Se deben evitar encabezados dudosos o ambiguos. Rótulos. ¿Son demasiados llamativos? ¿Son demasiado discretos? ¿Existe un adecuado contraste entre los rótulos y los textos respecto a su tamaño, color y ubicación para que los datos solicitados sean identificados fácilmente? Ubicación de los rótulos. ¿Están los rótulos o encabezados debajo de la línea en donde se debe mecanografiar? Esto causa pérdida de tiempo, porque la mecanógrafa tiene que mover el carro para ver el rótulo y acomodarlo nuevamente para escribir la información deseada. 90 Casilleros. ¿Se usan pequeños espacios enmarcados ( ) para con una sola indicación reducir escritos largos o repetitivos?, ¿Los espacios son suficientes o excesivos? Tipo de papel. ¿Son el peso y calidad del papel apropiado para esa forma? Use papel más pesado y de mejor calidad para aquellas formas que requieren un manejo excesivo. Use papel de menor peso con formas que se usen poco, para reducir costo y espacio en los archivos. Tamaños estándar. ¿Tiene la forma un tamaño estándar? El tamaño estándar se ajusta a sobres y archivos estándar. Además reduce existencias de papel, manejo y tiempo y costo de impresión. Se debe considerar que el costo del papel que no es de tamaño estándar es considerablemente mayor que el de tamaño estándar. Color. ¿Permite el contraste del color del papel una lectura eficiente? Las formas en colores como el anaranjado, el verde, el azul, el gris, etc., en tonos obscuros, son difíciles de leer porque no ofrecen suficiente contraste entre la impresión (NEGRO) y el papel. Ciertos colores brillantes cansan la vista. Se debe tener cuidado tanto en el color del papel como en el color de la tinta. Las copias deben estar identificadas de acuerdo con el color. Análisis de informes Una vez que se ha estudiado los formatos de entrada debemos analizar los informes para posteriormente evaluarlos con la información proporcionada por la encuesta a los usuarios. Después de describir el contenido de los informes se debe tener el análisis de datos e información. Ruido, redundancia, Entropía En la auditoría de sistemas hay que estudiar la redundancia, el ruido y la entropía que tiene cada uno de los sistemas. En primer lugar, debemos considerar como comunicación "La transferencia de información del emisor al receptor de manera que éste la comprenda", Koontz/O'Donnell/ Weihrich; Administración, Mc Graw Hill. El ruido es todo aquello que interfiere en una adecuada comunicación; no solamente los sonidos sino todo aquello que impida la adecuada comunicación, y Koontz/O'Donnell/WeiHrich definen el ruido como "Cualquier cosa (sea en el emisor, en la transmisión o en el receptor) que obstaculiza la comunicación"; así, por ejemplo; si una persona se encuentra jugando, sin hacer necesariamente algún sonido, en el momento que otra esté hablando, se considera como tipo de ruido para el sistema. En el caso de un sistema computarizado el error en la captura, una pantalla de la terminal demasiado llena de información y poco entendible o un reporte 91 inadecuado se deben considerar como ruido en el sistema, ya que impide una buena comunicación de la información. La redundancia es toda aquella duplicidad que tiene el sistema con la finalidad de que, en caso de que exista ruido, esta redundancia permita que la información llegue al receptor en forma adecuada. Podemos enviar un mensaje de la forma siguiente: Llegó por avión el día martes 31 de octubre de 1988 del presente año, a las 16:00 hrs. de la tarde a la ciudad de Cancún, Quintana Roo, México. En el mensaje anterior tenemos excesiva redundancia debido a que el 31 de octubre de 1988 es martes y si estamos en 1988 es del presente año. Las 16:00 hrs. siempre es de la tarde y la ciudad de Cancún está sólo en el estado de Quintana Roo, México. Y en cambio puede ser incompleta ya que no especifica la línea aérea ni el vuelo en que llegará. La redundancia anterior puede ser conveniente en el caso de que se necesiten cerciorarse de que la información se recibe correctamente y esto estará en función de lo delicado que sea la información y del riesgo que se corre en caso de una pérdida total o parcial de la misma. Un ejemplo de redundancia dentro de las máquinas es el bit de paridad, el cual permite que en caso de pérdida de un bit, se pueda recuperar la información que contiene el byte. La redundancia es una forma de control que permite que, si existe ruido, la comunicación pueda llevarse a cabo en forma eficiente, y deberá haber mayor redundancia entre más arriesgada, costosa o peligrosa sea la pérdida de información; pero a su vez debemos estar conscientes que el exceso de redundancia puede provocar ruido. Esto se da, por ejemplo, en el caso de que un profesor desee ser tan claro que se dedique a dar demasiados ejemplos; puede provocar ruido en el sentido que llegue a confundir o aburrir a sus alumnos y el número excesivo de ejemplos impida una adecuada comunicación. En la auditoría se debe considerar que todo sistema ha de ofrecer un número adecuado de redundancia según su nivel de importancia, de modo que permita una buena comunicación aun en el caso de que exista ruido, pero sin ser la redundancia de tal magnitud que a su vez provoque ruido. También debemos considerar que con un mayor control y redundancia, se incrementa también el costo de los sistemas. Hay que tener un adecuado nivel de control y redundancia que no sea de tal magnitud que provoque ruido o bien que no sea demasiado costoso en relación con el nivel de seguridad que requiere el sistema. Entropía El diccionario la define como: "Cantidad de energía que por su degradación no puede aprovecharse", Nuevo Diccionario Español Ilustrado SOPENA. La entropía en un sistema, por ejemplo de un motor, es el calor que genera, el cual es energía que por sus características no puede aprovecharse. En el caso del sistema llamado motor se utiliza esta entropía; por ejemplo, en la calefacción del automóvil o bien para calentar el aire y la gasolina que entra al motor (en el 92 caso de motores turbo). En un sistema computarizado debemos procurar reducir al máximo esta entropía, y una de las formas de reducirla es interconectar sistemas, en tal forma que esa cantidad de energía no usada en un sistema pueda ser utilizada en otro sistema. Por ejemplo, al capturar el catálogo de clientes para el sistema de cobranzas, con un poco de información adicional lo podemos utilizar en contabilidad. Matriz de recepción y distribución de documentos Una forma objetiva de evaluar la información que se encuentra en un sistema es emplear la matriz de recepción y distribución de documentos, en la cual se define de modo gráfico la distribución de documentos y los resultados obtenidos en un proceso. Matriz de entrada/salida Otra forma de analizar la información es recurrir al impacto de los datos en entrada/salida, la cual puede ser establecida por medio de la matriz de entrada/salida en que se ve en forma objetiva cómo la información está dentro del sistema y puede detectar la redundancia, analizar información faltante y optimizar los reportes que se obtienen. La matriz de entrada/salida puede, por ejemplo darnos la imagen de los reportes que con pequeñas diferencias son iguales (redundantes), de la información que puede pedir el usuario pero que no es posible proporcionar debido a que no se capturó, de los datos que son capturados pero que no se utilizan, así como los posibles reportes adicionales que se pueden obtener si el usuario llegase a solicitarlos. Esta matriz es muy importante en el caso de que tengamos un programa generadores de reportes en el que los usuarios elaboran directamente sus reportes, ya que se pueden hacer reportes en forma indiscriminada provocando duplicidad y "reportitis" (tendencia a generar reportes sin tener una adecuada justificación) o bien informes que deben ser obtenidos por medio de pantallas para no utilizar papel y para una forma más adecuada de utilización. 7.4 Evaluación del desarrollo del sistema En esta etapa del sistema se deberán auditar los programas, su diseño, el lenguaje utilizado, interconexión entre los programas y características del hardware empleado (total o parcial) para el desarrollo del sistema. Como se analizó en la auditoria de los programas, es conveniente hacer la evaluación cuando el sistema ya se implementó y se encuentra trabajando correctamente. Al evaluar un sistema de información se tendrá presente que todo sistema debe proporcionar información para planear, organizar y controlar de manera 93 eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma más económica posible. De ese modo contará con los mejores elementos para una adecuada toma de decisiones. Al tener un proceso distribuido, es preciso considerar la seguridad del movimiento de la información entre nodos. El proceso de planeación de sistemas debe definir la red óptima de comunicaciones, recordando que el plan de aplicaciones proporciona información de la ubicación planeada de las terminales, los tipos de mensajes requeridos, el tráfico esperado en las líneas de comunicación y otros factores que afectan el diseño. Es importante considerar las variables que afectan a un sistema: ubicación en los niveles de la organización, el tamaño y los recursos que utiliza. Las características que deben evaluarse en los sistemas son: • Dinámicos (susceptibles de mortificarse). • Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo). • Integrados (un sólo objetivo). En él habrá sistemas que puedan ser interrelacionados y no programas aislados. • Accesibles (que estén disponibles). • Necesarios (que se pruebe su utilización). • Comprensibles (que contengan todos los atributos). • Oportunos (que esté la información en el momento que se requiere). • Funcionales (que proporcionen la información adecuada a cada nivel). • Estándar (que la información tenga la misma interpretación en los distintos niveles). • Modulares (facilidad para ser expandidos o reducidos). • Jerárquicos (por niveles funcionales). • Seguros (que sólo las personas autorizadas tengan acceso). • Únicos (que no duplique información). 7.5 Control de proyectos Debido a las características propias del análisis y la programación, es muy frecuente que la implantación de los sistemas se retrase y se llegue a suceder que una persona lleva trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las que los programadores se ponen a realizar actividades ajenas a la dirección de informática. Para poder controlar el avance de los sistemas, ya que ésta es una actividad intelectual de difícil evaluación, se recomienda que se utilice la técnica de administración por proyectos para su adecuado control. ¿Qué significa que un sistema sea liberado en el plazo establecido y dentro del presupuesto? Pues sencillamente que el grado de control en el desarrollo del mismo es el adecuado o tal vez el óptimo. Pero esto no se consigue gratuitamente o porque la experiencia o calidad del personal de desarrollo sea alta, sino porque existe un grado de control durante su desarrollo que le permite obtener esta cualidad. Cabe preguntar aquí: ¿quién es el elemento adecuado para proporcionar 94 este grado de control? Para poder tener una buena administración por proyectos se requiere que el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisado periódicamente (semanal, mensual o bimestralmente) para evaluar el avance respecto a lo programado. La estructura estándar de la planeación de proyectos deberá incluir la facilidad de asignar fechas predefinidas de terminación de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisión, las cuales tendrán diferentes niveles de detalle. Son necesarias las reuniones a nivel técnico que requieran la participación del personal especializado de la dirección de informática para definir la factibilidad de la solución y los resultados planeados. Son muy importantes las reuniones con los usuarios finales, para verificar la validez de los resultados esperados y, finalmente, se deben planear. La evaluación de proyectos y su control puede realizarse de acuerdo con diferentes autores y a manera de ejemplo presentamos el siguiente. Cuestionario para la evaluación de proyectos, ¿Existe una lista de proyectos de sistema de procesamiento de información y fechas programadas de implantación que puedan ser considerados como plan maestro? ¿Está relacionado el plan maestro con un plan general de desarrollo de la dependencia? ¿Ofrece el plan maestro la atención de solicitud? ¿Asigna el plan maestro un porcentaje del tiempo total de producción al reproceso o fallas de equipo? Poner la lista de proyectos a corto plazo y a largo plazo. Poner una lista de sistemas en proceso periodicidad y usuarios. ¿Quién autoriza los proyectos? ¿Cómo se asignan los recursos? ¿Cómo se estiman los tiempos de duración? ¿Quién interviene en la planeación de los proyectos? ¿Cómo se calcula el presupuesto del proyecto? ¿Qué técnicas se usan en el control de los proyectos? ¿Quién asigna las prioridades? ¿Cómo se asignan las prioridades? ¿Cómo se controla el avance del proyecto? ¿Con qué periodicidad se revisa el reporte de avance del proyecto? ¿Cómo se estima el rendimiento del personal? ¿Con que frecuencia se estiman los costos del proyecto para compararlo con lo presupuestado? ¿Qué acciones correctivas se toman en caso de desviaciones? ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos? Enumérelos secuencialmente. ( ) Determinación de los objetivos. ( ) Señalamiento de las políticas. 95 ( ( ( ( ( ( ( ( ) Designación del funcionario responsable del proyecto. ) Integración del grupo de trabajo. ) Integración de un comité de decisiones. ) Desarrollo de la investigación. ) Documentación de la investigación. ) Factibilidad de los sistemas. ) Análisis y valuación de propuestas. ) Selección de equipos. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si aún cumplen con los objetivos para los cuales fueron diseñados? De análisis SI NO De programación SI NO Observaciones Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el departamento de informática podría satisfacer las necesidades de la dependencia, según la situación actual. Como ejemplo de formato de control de proyectos véase en el anexo 3, del calendario de actividades véanse los anexos 4 y 5, del reporte de los responsables del sistema, véase el anexo 6, del control de programadores, véanse los anexos 7 y 8, de planeación de la programación, véanse los anexos 9 y 10, de los informes de avance de programación, véase el anexo 11, de control de avance de programación véanse los anexos 12, 13 y 14. 7.6 Control de diseño de sistemas de programación El objetivo es asegurarse de que el sistema funcione conforme a las especificaciones funcionales, a fin de que el usuario tenga la suficiente información para su manejo, operación y aceptación. Las revisiones se efectúan en forma paralela desde el análisis hasta la programación y sus objetivos son los siguientes: En la etapa de análisis. Identificar inexactitudes, ambigüedades y omisiones en las especificaciones. En la etapa de diseño. Descubrir errores, debilidades, omisiones antes de iniciar la codificación. En la etapa de programación. Buscar la claridad, modularidad y verificar con base en las especificaciones. Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan: si se descubren en el momento de programación será más alto el costo que si se detectan en la etapa de análisis. Las pruebas del sistema tratan de garantizar que se cumplan los requisitos de las especificaciones funcionales, verificando datos estadísticos, transacciones, reportes, archivos, anotando las fallas que pudieran ocurrir y realizando los ajustes necesarios. Los niveles de prueba pueden ser agrupados en módulos, programas 96 y sistema total. Esta función tiene una gran importancia en el ciclo de evaluación de aplicaciones de los sistemas de información y busca comprobar que la aplicación cumple las especificaciones del usuario, que se haya desarrollado dentro de lo presupuestado, que tenga los controles necesarios y que efectivamente cumpla con los objetivos y beneficios esperados. Un cambio hecho a un sistema existente, como la creación de uno nuevo, presupone necesariamente cambios en la forma de obtener la información y un costo adicional. Ambos deberán ser evaluados. Se debe evaluar el cambio (si lo hay) de la forma en que se ejecutan las operaciones, se comprueba si mejora la exactitud de la información generada, si la obtención de los reportes efectivamente reduce el tiempo de entrega o si es más completa. Se determina cuánto afecta las actividades del personal usuario o si aumenta o disminuye el personal de la organización, as¡ como los cambios entre las interacciones entre los miembros de la organización. A fin de saber si aumenta o disminuye el esfuerzo realizado y su relación costo/beneficio para generar la información destinada a la toma de decisiones, con objeto de estar en condiciones de determinar la productividad y calidad del sistema. El analista deberá proporcionar la descripción del funcionamiento del sistema funcional desde el punto de vista del usuario, indicando todas las interrelaciones del sistema, la descripción lógica de cada dato, las estructuras que esto forman, el flujo de información que tiene lugar en el sistema. Lo que el sistema tomara como entrada, los procesos que será realizados, las salidas que deberá proporcionar, los controles que se efectuarán para cada variable y los procedimientos. Cuestionarios para la evaluación del diseño y prueba de los sistemas ¿Quienes intervienen al diseñar Usuario. Analista. Programadores operadores. Gerente de departamento. Auditores internos. Asesores. Otros. Los analistas son también programadores? SI( ) NO( ) ¿Qué lenguaje o lenguajes conocen los analistas? ¿Cuántos analistas hay y qué experiencia tienen? ¿Qué lenguaje conocen los programadores? ¿Cómo se controla el trabajo de los analistas? ¿Cómo se controla el trabajo de los programadores? Indique qué pasos siguen los programadores en el desarrollo de un programa: ( ) Estudio de la definición ( ) Discusión con el analista ( ) Diagrama de bloques 97 ( ) Tabla de decisiones ( ) Prueba de escritorio ( ) Codificación ( ) Compilación ( ) Elaborar datos de prueba ( ) Solicitar datos al analista ( ) Correr programas con datos ( ) Revisión de resultados ( ) Corrección del programa ( ) Documentar el programa ( ) Someter resultados de prueba ( ) Entrega del programa ¿Es enviado a captura o los programadores capturan? ¿Quién los captura? ¿Qué documentación acompaña al programa cuando se entrega? Es muy frecuente que el programador no libere un sistema, esto es, que continúe dándole mantenimiento al sistema y sea el único que lo conozca. Ello puede deberse a amistad con el usuario, falta de documentación, mal análisis preliminar del sistema, resistencia a cambiar a otro proyecto o bien a una situación que es muy grave dentro del área de informática: la aplicación de "indispensables" que son los únicos que tienen la información y, por lo tanto, son inamovibles. ¿Qué sucede respecto al mantenimiento o modificación de un sistema cuando el sistema no ha sido bien desarrollado (analizado, diseñado, programado, probado) e instalado? La respuesta es sencilla: necesitará cambios frecuentes por omisiones o nuevos requerimientos. En el caso de sistemas, muchas organizaciones están gastando cerca del 80% de sus recursos de cómputo en mantenimiento. El mantenimiento excesivo es consecuencia de falta de planeación y control del desarrollo de sistemas; la planeación debe contemplar los recursos disponibles y técnicas apropiadas de desarrollo. El control por su parte debe tener como soporte el establecimiento de normas de desarrollo que han de ser verificadas continuamente en todas las etapas del desarrollo de un sistema. Estas normas no pueden estar aisladas, primero, del contexto particular de la dirección de informática (ambiente) y, segundo, de los lineamientos generales de la organización, para lo cual es necesario contar con personal en desarrollo que posea suficiente experiencia en el establecimiento de normas de desarrollo de sistemas. Estas mismas características deben existir en el personal de auditoría de sistemas. Es poco improbable que un proyecto llegue a un final feliz cuando se ha iniciado sin éxito. Difícilmente estaremos controlando realmente el flujo de la información de un sistema que desde su inicio ha sido mal analizado, mal diseñado, mal programado e incluso mal documentado. El excesivo mantenimiento de los sistemas generalmente ocasionado por un mal desarrollo, se inicia desde que el usuario establece sus requerimientos (en ocasiones sin saber qué desea) hasta la instalación del mismo, sin que se haya establecido un plan de prueba del sistema para medir su grado de contabilidad en 98 la operación que efectuará. Para verificar si existe esta situación, se debe pedir a los analistas y a los programadores las actividades que están desarrollando en el momento de la auditoría y evaluar si están efectuando actividades de mantenimiento o de realización de nuevos proyectos. En ambos casos se deberá evaluar el tiempo que llevan dentro del mismo sistema, la prioridad que se le asignó y cómo está en el tiempo real en relación al tiempo estimado en el plan maestro. El que los analistas, los programadores o unos y otros tengan acceso en todo momento a los sistemas en operación puede ser un grave problema y ocasionar fallas de seguridad. 7.7 Instructivos de operación Debemos evaluar los instructivos de operación de los sistemas para evitar que los programadores tengan acceso a los sistemas en operación y el contenido mínimo de los instructivos de operación. El instructivo de operación deberá comprender: Diagrama de flujo por cada programa. - Diagrama particular de entrada-salida - Mensaje y su explicación - Parámetros y su explicación - Diseño de impresión de resultados - Cifras de control - Fórmulas de verificación - Observaciones - instrucciones en caso de error - Calendario de proceso y resultados 7.8 Forma de implantación La finalidad de evaluar los trabajos que se realizan para iniciar la operación de un sistema, esto es, la prueba integral del sistema, adecuación, aceptación por parte del usuario, entrenamiento de los responsables del sistema, etc. Indica cuáles puntos se toman en cuenta para la prueba de un sistema: Prueba particular de cada programa Prueba por fase validación, actualización Prueba integral del paralelo Prueba en paralelo sistema Otro (especificar) ( ( ( ( ( ) ) ) ) ) 99 7.9 Equipo y facilidades de programación La selección de la configuración de un sistema de cómputo incluye la interacción de numerosas y complejas decisiones de carácter técnico. El impacto en el rendimiento de un sistema de cómputo debido a cambios trascendentales en el sistema operativo o en el equipo puede ser determinado por medio de un paquete de pruebas (benchamark) que haya sido elaborado para este fin en la dirección de informática. Es conveniente solicitar pruebas y comparaciones entre equipos (benchamark) para evaluar la situación del equipo y del software en relación a otros que se encuentran en el mercado. 7.10 Entrevistas a usuarios La entrevista se deberá llevar a cabo para comparar datos proporcionados y la situación de la dirección de informática desde el punto de vistas de los usuarios. Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como la difusión de las aplicaciones de la computadora y de los sistemas en operación. Las entrevistas se deberán hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso del equipo. Desde el punto de vista del usuario los sistemas deben: 1) Cumplir con los requerimientos totales del usuario. 2) Cubrir todos los controles necesarios. 3) No exceder las estimaciones del presupuesto inicial. 4) Serán fácilmente modificables. Para que un sistema cumpla con los requerimientos del usuario, se necesita una comunicación completa entre usuario y el responsable del desarrollo del sistema; en ella se deben definir claramente los elementos con que cuenta el usuario, las necesidades de proceso de información y los requerimientos de información de salida, almacenada o impresa. En esta misma etapa debió haberse definido la calidad de la información que será procesada por la computadora, estableciéndose los riesgos de la misma y la forma de minimizarlos. Para ello se debieron definir los controles adecuados, estableciéndose además los niveles de acceso a la información, es decir, quién tiene privilegio de consultar, modificar o incluso borrar información. Esta etapa habrá de ser cuidadosamente verificada por el auditor interno especialista en sistemas y por el auditor en informática, para comprobar que se logró una adecuada comprensión de los requerimientos del usuario y un control satisfactorio de información. Para verificar si los servicios que se proporcionan a los usuarios son los 100 requeridos y se están proporcionando en forma adecuada, cuando menos será preciso considerar la siguiente información: • Descripción de los servicios prestados. • Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado. • Reporte periódico del uso y concepto del usuario sobre el servicio. • Registro de los requerimientos planteados por el usuario. Con esta información se puede comenzar a realizar la entrevista para determinar si los servicios proporcionados y planeados por la dirección de informática cubren las necesidades de información de la organización. Guía de cuestionario para la entrevista con el usuario ¿Considera que la dirección de informática le da los resultados esperados? SI ( ) NO ( ) ¿Porqué? ¿Cómo considera usted, en general y el servicio proporcionado por la dirección de informática? 1. Deficiente 2. Aceptable 3. Satisfactorio 4. Excelente ¿Por qué? ¿Cubre sus necesidades de procesamiento? 1. No las cubre 2. Parcialmente 3. La mayor parte 4. Todas ¿Por qué? ¿Cómo considera la calidad del procesamiento que se le proporciona? 1. Deficiente 2. Aceptable 3. Satisfactorio 4. Excelente ¿Por qué? ¿Hay disponibilidad de procesamiento para sus requerimientos? 1. Generalmente no existe 2. Hay ocasionalmente 3. Regularmente 4. Siempre ¿Por qué? ¿Conoce los costos de los servicios proporcionados? ¿Que opina del costo del servicio proporcionado por el departamento de procesos electrónicos? 1. Excesivo 2. Mínimo 101 3. Regular 4. Adecuado al servicio 5. No lo conoce ¿Por qué? ¿Son entregados con puntualidad los trabajos? 1. Nunca 2. Rara vez 3. Ocasionalmente 4. Generalmente 5. Siempre ¿Por qué? ¿Qué Piensa de la presentación de los trabajos solicitados? 1. Deficiente 2. Aceptable 3. Satisfactoria 4. Excelente ¿Por qué? ¿Qué piensa de la atención brindada por el personal de procesos electrónicos? 1. Insatisfactoria 2. Satisfactoria 3. Excelente ¿Por qué? ¿Qué piensa de la asesoría que se imparte sobre informática? 1. No se proporciona 2. Es insuficiente 3. Satisfactoria 4. Excelente ¿Por qué? ¿Qué piensa de la seguridad en el manejo de la información proporcionada para su procesamiento? 1. Nula 2. Riesgosa 3. Satisfactoria 4. Excelente 5. Lo desconoce ¿Por qué? ¿Existen fallas de exactitud en los procesos de información? ¿Cuáles? ¿Cómo utiliza los reportes que se le proporcionan? ¿Cuáles no utiliza? De aquellos que no utiliza ¿por qué razón los recibe? ¿Qué sugerencias presenta en cuanto a la eliminación de reportes: modificación, fusión, división de reporte? ¿Se cuenta con un manual del usuario por sistema? Si ( ) NO( ) 102 ¿Es claro y objetivo el manual del usuario? SI ( ) NO( ) ¿Qué opinión tiene sobre el manual? NOTA: Pida el manual del usuario para evaluarlo ¿Quién interviene de su departamento en el diseño de sistemas? ¿En qué sistemas tiene actualmente su servicio de computación? ¿Qué sistemas desearía que se incluyeran? Observaciones: 103 8 __________________________________________________________________ Evaluación del proceso de datos y de los equipos de cómputo [1; pág. 76-99 ] 8.1 Controles Los datos son uno de los recursos más valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados y auditados con el mismo cuidado que los demás inventarios de la organización, por lo cual se debe tener presente: a) La responsabilidad de los datos es compartida conjuntamente por alguna función determinada de la organización y la dirección de informática. b) Un problema que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poder determinar los propietarios o usuarios posibles (principalmente en el caso de redes y banco de datos) y la responsabilidad de su actualización y consistencia. c) Los datos deberán tener una clasificación estándar y un mecanismo de identificación que permita detectar duplicidad y redundancia dentro de una aplicación y de todas las aplicaciones en general. d) Se deben relacionar los elementos de los datos con las bases de datos donde están almacenados, así como los reportes y grupos de procesos donde son generados. 8.1.1 Control de los datos fuente y manejo de cifras de control. La mayoría de los delitos por computadora son cometidos por modificaciones de datos fuente al: • Suprimir u omitir datos, • Adicionar datos, • Alterar datos • Duplicar procesos 104 Esto es de suma importancia en caso de equipos de cómputo que cuentan con sistemas en línea, en los que los usuarios son los responsables de la captura y modificación de la información al tener un adecuado control con señalamiento de responsables de los datos (uno de los usuarios debe ser el único responsable de determinado dato), con claves de acceso de acuerdo a niveles. El primer nivel es el que puede hacer únicamente consultas. El segundo nivel es aquel que puede hacer captura, modificaciones y consultas y el tercer nivel es el que sólo puede hacer todo lo anterior y además puede realizar bajas. NOTA: Debido a que se denomina de diferentes formas la actividad de transcribir la información del dato fuente a la computadora, en el presente trabajo se le denominará captura o captación considerándola como sinónimo de digitalizar (capturista, digitalizadora). Lo primero que debemos evaluar es la entrada de la información y que se tengan las cifras de control necesarias para determinar la veracidad de la información. Guía de cuestionario para el control de datos fuente ¿Existen normas que definan el contenido de los instructivos de captación de datos? Indique el porcentaje de datos que se reciben en el área de captación y verifique si contiene su instructivo correspondiente. Indique el contenido de la orden de trabajo que se recibe en el área de captación de datos: Número de folio ( ) Número(s) de formatos) ( ) Fecha y hora de Nombre, del departamento, Recepción ( ) Usuario ( ) Nombre del documento ( ) Nombre responsable ( ) Volumen aproximado Clave de cargo de registros ( ) (número de cuenta) ( ) Número de registros ( ) Fecha y hora de entrega de Clave del capturista ( ) documentos y registros captados ( ) Fecha estimada de entrega ( ) Indique cuál(es) control(es) interno(s) existe(n) en el área de captación de datos: Firmas de autorización Recepción de trabajos Control de trabajos atrasados Revisión del documento Avance de trabajos Fuente (legibilidad, verificación de datos completos, etc.) Verificación Prioridades de captación Errores por trabajo Producción de trabajo ( ( ( ( ( ( ( ( ( ( ) ) ) ) ) ) ) ) ) ) 105 Corrección de errores ( ) Producción de cada operador ( ) Entrega de trabajos ( ) Verificación de cifras de control de entrada con las de salida ( ) Costo mensual por trabajo ( ) ¿Existe un programa de trabajo de captación de datos? a) ¿Se elabora ese programa para cada turno? SI NO ( ) Diariamente ( ) Semanalmente ( ) Mensualmente b) La elaboración del programa de trabajo se hace: ( ) Internamente ( ) Se les señalan a los usuarios las prioridades ( ) Se les señala a los usuarios la posible fecha de entrega c) ¿El programa de trabajo es congruente con el calendario de producción? SI NO d) Indique el contenido del programa de trabajo de captaciones. Nombre de usuario Clave de trabajo Fecha programada Recepción Hora programada de recepción Volumen estimado de registros por trabajo Fecha programada de entrega Hora programada de entrega e) ¿Qué acción(es) se toma(n) si el trabajo programado no se recibe a tiempo? Cuando la carga de trabajo supera la capacidad instalada se requiere: ( ) Tiempo extra ( ) Se subcontrata ¿Quién controla las entradas de documentos fuente? ¿En qué forma las controla? ¿Qué cifras de control se obtienen? Sistema Cifras que se obtienen observaciones ¿Qué documentos de entrada se tienen? Sistemas Documentos ** Departamento que proporciona el documento ** Periodicidad ** Observaciones ¿Se anota qué persona recibe la información y su volumen? SI NO ¿Se anota a qué capturista se entrega la información, el volumen y la hora? SI NO ¿Se verifica la calidad de la información recibida para su captura? SI NO ¿Se revisan las cifras de control antes de enviarlas a captura? SI NO ¿Para aquellos procesos que no traigan cifras de control se han establecido 106 criterios a fin de asegurar que la información es completa y válida? SI NO ¿Existe un procedimiento escrito que indique cómo tratar la información inválida? (Sin firma, ilegible, no corresponden las cifras de control). En caso de resguardo de información de entrada en sistemas, ¿se custodian en un lugar seguro. Si se queda en el departamento de sistemas, ¿por cuánto tiempo se guarda? ¿Existe un registro de anomalías en la información debido a mala codificación? ¿Existe una relación completa de distribución de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen? ¿Se verifica que las cifras de las validaciones concuerden con los documentos de entrada? ¿Se hace una relación de cuándo y a quién fueron distribuidos los listados? ¿Se controlan separadamente los documentos confidenciales? ¿Se aprovecha adecuadamente el papel de los listados inservibles? ¿Existe un registro de los documentos que entran a captura? ¿Se hace un reporte diario, semanal o mensual de captura? ¿Se hace un reporte diario, semanal o mensual de anomalías en la información de entrada? ¿Se lleva un control de la producción por persona? ¿Quién revisa este control? ¿Existen instrucciones escritas para capturar cada aplicación o, en su defecto existe una relación de programas? 8.1.2 Control de operación La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e integridad de la documentación requerida para el proceso en la computadora. Los instructivos de operación proporcionan al operador información sobre los procedimientos que debe seguir en situaciones normales y anormales en el procesamiento, y si la documentación es incompleta o inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo conducente, generando probablemente errores, reprocesos, desperdicio de tiempo de máquina, se incrementan, pues, los costos del procesamiento de datos. El objetivo del presente ejemplo de cuestionario es señalar los procedimientos e instructivos formales de operación, analizar su estandarización y evaluar el cumplimiento de los mismos. ¿Existen procedimientos formales para la operación del sistema de computo? SI ( ) NO( ) ¿Esos procedimientos describen detalladamente tanto la organización de la sala de maquinas como la operación del sistema de cómputo? 107 SI ( ) NO( ) ¿Están actualizados los procedimientos? SI ( ) NO ( ) Indique la periodicidad de la actualización de los procedimientos: ( ) Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo Observe la forma en que está operando la máquina, como se distribuyen los trabajos en lotes?,¿cuál es el límite de trabajos en lotes y si se tiene un adecuado orden y control en los procesos por lotes? SI ( ) NO ( ) Indique el contenido de los instructivos de operación para cada aplicación: ( ) Identificación del sistema ( ) Identificación del programa ( ) Periodicidad y duración de la corrida ( ) Especificación de formas especiales ( ) Especificación de cintas de impresora ( ) Etiquetas de archivos de salida, nombre archivo lógico y fechas de creación y expiración ( ) Instructivo sobre materiales de entrada y salida ( ) Altos programados y las acciones requeridas ( ) Instructivos específicos a los operadores en caso de falla del equipo ( ) Puntos de reinicio, procedimientos de recuperación para proceso de gran duración ( ) Identificación de todos los dispositivos de la máquina a ser usados ( ) Especificaciones de resultados (cifras de control, registros de salida por archivo, etc.) ¿Existen órdenes de proceso para cada corrida en la computadora (incluyendo pruebas, compilaciones y producción)? SI ( ) NO( ) ¿Son suficientemente claras para los operadores estas órdenes? SI ( ) NO( ) ¿Existe una estandarización de las órdenes de proceso? Si ( ) NO( ) ¿Existe un control que asegure, la justificación de los procesos en el computador? (Que los procesos que se están trabajando están autorizados y tengan una razón de ser procesados). SI ( ) NO ( ) ¿Cómo programan los operadores los trabajos dentro de la sala de máquinas? ( ) Primero que entra, primero que sale ( ) Se respetan las prioridades ( ) Otra (especifique) ¿Los retrasos o incumplimientos con el programa de operación diaria, se revisa y analiza? 108 SI ( ) NO( ) ¿Quién revisa este reporte en su caso? ¿Cómo controlan los operadores las versiones correctas y cómo se identifican las que son de prueba? Analice la eficiencia con que se ejecutan los trabajos dentro de la sala de máquinas, tomando en cuenta equipo y operador, a través de inspección visual, y describa sus observaciones: ¿Existen procedimientos escritos para la recuperación del sistema en caso de las fallas? ¿Cómo se actúa en caso de errores? ¿Existen instrucciones específicas para cada proceso, con las indicaciones pertinentes? ¿Se tienen procedimientos específicos que indiquen al operador qué hacer cuando un programa interrumpe su ejecución u otras dificultades en proceso? ¿Puede el operador modificar los datos de entrada? ¿Se prohibe a analistas y programadores la operación de la máquina? ¿Puede el operador de mesa de control operar la máquina? ¿Se prohíbe al operador modificar información de archivos o biblioteca de programas? ¿El operador realiza funciones de mantenimiento diario en dispositivos que así lo requieran? ¿Las intervenciones de los operadores: Son muy numerosas? SI( ) NO( ) Se limitan los mensajes esenciales Si( ) NO( ) Otras (especifique) SI( ) NO( ) ¿Se tiene un control adecuado sobre los sistemas y programas que están en operación? Si ( ) NO( ) ¿Cómo se controlan los trabajos dentro de la sala de máquinas ¿Se rota al personal del control de información con los operadores procurando un entrenamiento cruzado y evitando la manipulación fundamental de datos?. SI( ) NO ( ) ¿Cuentan los operadores con una bitácora para mantener registros de cualquier evento y acción tomada por ellos?. ( ) SI ( ) Por máquina ( ) Escrita manualmente ( ) NO Verificar que exista un registro de funcionamiento que muestra el tiempo de paros y mantenimiento o instalaciones de software. ¿Existen procedimientos para evitar las corridas de programas no autorizados? SI( ) NO( ) ¿Existe un plan definido para el cambio de turno de operación que evite el descontrol y discontinuidad de la operación? 109 Verificar que sea razonable el plan para coordinar el cambio de turno. ¿Se hacen inspecciones periódicas de muestreo?. Si( ) NO ( ) Enuncie los procedimientos mencionados en la pregunta anterior: ¿Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc., fuera de la sala de máquinas?. SI( ) NO ( ) ¿Se controla estrictamente acceso a la documentación de programas o de aplicaciones rutinarias? SI( ) NO( ) ¿Cómo? Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificación de seguridad de operador. ¿Existen procedimientos formales que se deban observar antes de que sean aceptados en operación , sistemas nuevos o modificaciones a los mismos?. SI( ) NO( ) ¿Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI( ) NO( ) ¿Durante cuánto tiempo? ¿Qué precauciones se toman durante el periodo de implantación? ¿Quién da la aprobación formal cuando las corridas de prueba de un sistema modificado o nuevo están acordes con los instructivos de operación? ¿Se catalogan los programas liberados para producción rutinaria? SI( ) NO( ) Mencione qué instructivos se proporcionan a las personas que intervienen en la operación rutinaria de un sistema. Indique qué tipo de controles tiene sobre los archivos magnéticos de los archivos de datos, que aseguren la utilización de los datos precisos en los procesos correspondientes. ¿Existe un lugar para archivar las bitácoras del sistema del equipo de cómputo? SI( ) NO( ) Indique cómo está organizado este archivo de bitácora. ( ) Por fecha ( ) Por fecha y hora ( ) Por turno de operación ( ) Otros ¿Cuál es la utilización sistemática de las bitácoras? ¿Además de las mencionadas anteriormente, qué otras funciones o áreas se encuentran en la sala de máquinas actualmente? Verifique que se lleve un registro de utilización del equipo diario, sistemas en línea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo. ¿Se tiene inventario actualizado de los equipos y terminales con su localización? SI( ) NO( ) 110 ¿Cómo se controlan los procesos en línea? ¿Se tienen seguros sobre todos los equipos? SI( ) NO( ) ¿Con qué compañía? NOTA: Solicitar pólizas de seguros y verificar tipo de seguro y montos. ¿Cómo se controlan las llaves de acceso (password)? Instructivos de operación Se debe verificar que el instructivo de operación contenga los siguientes datos: Diagrama particular de entrada/salida Mensajes y su explicación Parámetros y su explicación Diseño de impresión de resultados Cifras de control Fórmulas de verificación Observaciones Instrucciones de caso de error Calendario de proceso y de entrega de resultados ( ( ( ( ( ( ( ( ) ) ) ) ) ) ) ) ( ) 111 8.1.3 Controles de salida ¿Se tienen copias de los archivos en otros locales? ¿Dónde se encuentran esos locales? ¿Qué seguridad física se tiene en esos locales? ¿Qué confidencialidad se tiene en esos locales? ¿Quién entrega los documentos de salida? ¿En qué forma se entregan? ¿Qué documentos? Sistema Documentos A quien se Periodicidad Observaciones Comentarios entrega ¿Qué controles se tienen? Sistema Control Observaciones Comentarios ¿Se tiene un responsable (usuario) de la información de cada sistema? ¿Cómo se atienden solicitudes de información a otros usuarios del mismo sistema? ¿Se destruye la información no utilizada, o bien que se hace con ella? Destruye ( ) Vende ( ) Tira ( ) Otro________________ 8.1.4 Control de asignación de trabajo Esta parte se relaciona con la dirección de las operaciones de la computadora en términos de la eficiencia y satisfacción del usuario. Esta sección debe ser comparada con la opinión expresada por el usuario. La función clave del programador de cargas de máquina está relacionada con el logro eficiente y 112 efectivo que: - Satisfaga las necesidades de tiempo del usuario. - Sea compatible con los programas de recepción y transcripción de datos. - Permiten niveles efectivos de utilización de los equipos y sistemas de operación. - Es ágil la utilización de los equipos en línea. La experiencia muestra que los mejores resultados se logran en organizaciones que utilizan sistemas formales de programación de actividades, los cuales intentan balancear los factores y medir resultados. Se deberán evaluar los procedimientos de programación de cargas máquina para determinar si se ha considerado atenuar los picos de los procesos, generados por cierres mensuales, y poder balancear las cargas de trabajo de batch y línea, dando prioridad a los procesos en línea. ¿Opera la sala de máquinas en base a programas de trabajo? SI( ) NO( ) Indique los periodos que abarcan los programas de trabajo: Indique el puesto o departamento responsable de la elaboración de los programas de trabajo: ¿Se cambian frecuentemente los programas de trabajo? Si( ) NO( ) ¿Cuál es la causa principal? ¿Se comunica oportunamente a los usuarios las modificaciones a los programas de trabajo? SI( ) NO( ) Dentro del programa de trabajo de la máquina, ¿se tiene previstas?: Demandas inesperadas? ( ) Fallas de la máquinas? ( ) Soporte de los usuarios ( ) Manteniendo preventivo ( ) Otras (especifique) ¿Con qué frecuencia se asigna la computadora, en su totalidad, para una sola aplicación (la de mayor utilización)? Especifique los elementos que sirven como base para programar las cargas de máquina. Se deberá procurar que la distribución física del equipo sea funcional, que la programación de las cargas de máquina satisfaga en forma eficaz al usuario; se tendrá cuidado con los controles que se tengan para la utilización de equipo y que el mantenimiento satisfaga las necesidades del equipo. 8.1.5 Control de medios de almacenamientos masivos 113 Los dispositivos de almacenamiento representan, para cualquier centro de cómputo, archivos extremadamente importantes cuya pérdida parcial o total podría tener repercusiones muy serias, no sólo en la unidad de informática, sino len la dependencia de la cual se presta servicio. Una dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, además de mantener registros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de información), principalmente en el caso de las cintas. Además se deben tener perfectamente identificados los carretes para reducir la posibilidad de utilización errónea o destrucción de la información. Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y segura, mejorando además los tiempos de proceso. El cuestionario puede ser extensivo a todo tipo de cintas y disquetes. Control de almacenamiento masivo Objetivos El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento básico de la dirección. Los locales asignados a la cintoteca y discoteca tienen: ( ) Aire acondicionado ( ) Protección contra el fuego (señalar que tipo de protección) ( ) Cerradura especial ( ) Otra ¿Tienen la cintoteca y discoteca protección automática contra el fuego? SI( ) NO( ) (señalar de que tipo) ¿Qué información mínima contiene el inventario de la cintoteca y la discoteca? ( ) Número de serie o carrete ( ) Nombre o clave del usuario ( ) Nombre del archivo lógico ( ) Nombre del sistema que lo genera ( ) Fecha de generación del archivo ( ) Fecha de expiración del archivo ( ) Número de volumen ( ) Otros ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos? Si( ) NO( ) En caso de existir discrepancia entre las cintas o discos y su contenido, ¿se resuelven y explican satisfactoriamente las discrepancias? SI( ) NO( ) 114 ¿Qué tan frecuentes son estas discrepancias? Cuántas veces al mes? ¿Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta o disco, el cual fue inadvertidamente destruido? SI( ) NO( ) ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de acceso? Si( ) NO( ) ¿Cómo? ¿Existe un control estricto de las copias de estos archivos? SI( ) NO( ) ¿Qué medio se utiliza para almacenarlos? ( ) Mueble con cerradura ( ) Bóveda Otro (especifique) Este almacén está situado: ( ) En el mismo edificio de la dirección de informática ( ) En otro lugar ¿Cuál? ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan éstos? SI( ) NO( ) ¿Se certifica la destrucción o baja de los archivos defectuosos? SI( ) NO( ) ¿Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI( ) NO( ) ¿Se tiene un responsable, por turno, de la cintoteca y discoteca? SI( ) NO( ) ¿Se realizan auditorias periódicas a los medios de almacenamiento? SI( ) NO( ) ¿Con qué periodicidad? ¿Qué medidas se toman en caso de extravío de algún dispositivo de almacenamiento? ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? Si( ) NO( ) ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales? SI( ) NO( ) ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolverán? SI( ) NO( ) ¿Se lleva control sobre los archivos prestados por la instalación? Si( ) NO( ) En caso de préstamo, ¿con qué información se documentan? ( ) Nombre de la institución a quien se hace el préstamo. ( ) Fecha de recepción 115 ( ) Fecha en que se debe devolver ( ) Archivos que contiene ( ) Formatos ( ) Cifras de control ( ) Código de grabación ( ) Nombre del responsable que los prestó Otros Indique qué procedimiento se sigue en el reemplazo de las cintas que contiene los archivos maestros: ¿Se conserva la cinta maestra anterior hasta después de la nueva cinta? Si( ) NO( ) ¿El cintotecario controla la cinta maestra anterior previendo su uso incorrecto o su eliminación prematura? Si( ) NO( ) ¿La operación de reemplazo es controlada por el cintotecario? Si( ) NO( ) ¿Se utiliza la política de conservación de archivos hijo-padre-abuelo? SI( ) NO( ) En los procesos que manejan archivos en línea, ¿existen procedimientos para recuperación de archivos? Si( ) NO( ) ¿Estos procedimientos los conocen los operadores? SI( ) NO( ) ¿Cómo los consigue? ¿Con qué periodicidad se revisan estos procedimientos? ( ) Mensual ( ) Anual ( ) Semestral ( ) Otra ¿Existe un responsable en caso de falla? Si( ) NO( ) Explique qué políticas se siguen para la obtención de archivos de respaldo: ¿Existe un procedimiento para el manejo de la información de la cintoteca? Si( ) NO( ) ¿Lo conoce y lo sigue el cintotecario? Si( ) NO( ) ¿Se distribuyen en forma periódica entre los jefes de sistemas y programación informes de archivos para que liberen los dispositivos de almacenamiento? SI( ) NO( ) ¿Con qué frecuencia? 8.1. 6 Control de mantenimiento 116 Como se sabe existen básicamente tres tipos de contrato de mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez puede dividirse en aquel que incluye las partes dentro del contrato y el que no incluye partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente el más caro, pero se deja al proveedor la responsabilidad total del mantenimiento a excepción de daños por negligencia en la utilización de los equipos. (Este tipo de mantenimiento normalmente se emplea en equipos grandes.) El segundo tipo de mantenimiento es "por llamada", en el cual en caso de descompostura se le llama al proveedor y éste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo (casi todos los proveedores incluyen, en la cotización de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye refacciones. El tercer tipo de mantenimiento es el que se conoce como "en banco", y es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y éste hace una cotización de acuerdo con el tiempo necesario para su compostura más las refacciones ( este tipo de mantenimiento puede ser el más adecuado para computadoras personales). Al evaluar el mantenimiento debemos primero analizar cuál de los tres tipos es el que más nos conviene y en segundo lugar pedir los contratos y revisar con detalles que las cláusulas estén perfectamente definidas en las cuales se elimine toda la subjetividad y con penalización en caso de incumplimiento, para evitar contratos que sean parcialmente hacia el proveedor. Para poder exigirle el cumplimiento del contrato se debe tener un estricto control sobre las fallas, frecuencia, y el tiempo de reparación Para evaluar el control que se tiene sobre el mantenimiento y las fallas se pueden utilizar los siguientes cuestionarios: Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia de contrato). ¿Existe un programa de mantenimiento preventivo para cada dispositivo de sistema de computo? SI( ) NO( ) ¿Se lleva a cabo tal programa? SI( ) NO( ) ¿Existen tiempos de respuesta y de compostura estipulados en los contratos? SI( ) NO( ) Si los tiempos de reparación son superiores a los estipulados en el contrato, ¿qué, acciones correctivas se toman para ajustarlos a lo convenido? Solicite el plan de mantenimiento preventivo que debe ser proporcionado por proveedor 117 ¿Existe algún tipo de mantenimiento preventivo que pueda dar el operador autorizado por el proveedor? SI( ) NO( ) ¿Cuál? ¿Cómo se notifican las fallas? ¿Cómo se les da seguimiento? Control de fallas ¿Se mantienen registros actualizados de las fallas de los dispositivos del sistema de cómputo y servicios auxiliares (aire acondicionado, sistema de energía ininterrumpida, etc.)? SI( ) NO( ) (Solicitar los registros de los últimos seis meses) ¿Es posible identificar por medio de estos registros, los problemas más recurrentes o fallas mayores que afectan en forma determinante el funcionamiento de la sala de máquinas? Si( ) NO( ) ¿Cómo se identifican? Tiempo de respuesta promedio que ha tenido con el contrato de mantenimiento (tiempo de respuesta es el periodo entre la notificación o aviso de la existencia de un problema o la llegada del personal técnico que realizó las reparaciones del equipo). ¿Cuáles son las actitudes de los ingenieros de servicio que mantienen sus equipos? ¿Cuál considera que es la competencia técnica de los ingenieros de servicio que dan mantenimiento a sus equipos? ¿Por qué? ¿Cuál es el tiempo promedio que toma el investigar y resolver el problema? ¿Cuál es la disponibilidad de refacciones necesarias para dar mantenimiento a sus equipos? ¿Cuál es la efectividad del proveedor para resolver sus problemas de mantenimiento? ¿Cuáles son las medidas de mantenimiento preventivo realizadas al dar servicio a su equipo? ¿Cuál es en general la calidad de los servicios ofrecidos bajo su "CONTRATO DE MANTENIMIENTO"? Evaluación del mantenimiento Cuando se evalúa la capacidad de los equipos, no se debe olvidar que la capacidad bruta disponible se deberá disminuir por las actividades de mantenimiento preventivo, fallas internas y externas no previstas y mantenimiento 118 e instalación de nuevos sistemas. El enfoque de esta sección se orienta a evaluar, a través de los controles que se tengan en la dirección, la utilización del sistema de cómputo. Un control adecuado permitirá sustentar sólidamente cualquier solicitud de expansión de la configuración presente. Indique los registros que se llevan de la utilización del sistema de cómputo (especificando la periodicidad). ( ) Tiempo de uso del procesador central ( ) Tiempo de compilación y prueba de programas ( ) Tiempo dedicado a producción ( ) Tiempo dedicado a mantenimiento correctivo del sistema operativo ( ) Tiempo dedicado a mantenimiento preventivo ( ) Tiempo de operación del sistema de cómputo ( ) Tiempo de falla de los dispositivos del sistema de cómputo ( ) Tiempo de uso de cada unidad de cinta ( ) Tiempo ocioso ( ) Tiempo de uso de terminales (promedio por terminal) ( ) Tiempo de uso de impresora ( ) Tiempo de reproceso ( ) Tiempo de la computadora utilizado en demostraciones ( ) Tiempo de falla por servicios auxiliares ( ) Número de programas corridos por compilador ( ) Número de programas objeto ejecutados Anote los siguientes datos: ( ) Tiempo promedio dJoperaciones por día Hrs. ( ) Número promedio de compilaciones por día ( ) Número promedio de programas corridos por día ( ) Tiempo promedio de respuesta para compilaciones, horas ( ) Tiempo promedio de respuesta para programas de producción con cintas Hrs. ( ) Tiempo promedio de respuesta para programas de producción Hrs. ( ) Número promedio al día que se consideran como horas de producción ( ) Número promedio de trabajos en cola de espera de ejecución en horas pico ( ) Número promedio de trabajos en cola de espera de impresión en horas pico ( ) Número promedio de trabajos de ejecución en horas pico Anote los porcentajes de tiempo por turno de operación que se dedica a: 119 turno 1 er. 2°. 3er. Compilación Prueba Producción Evalúe la relación de uso de impresora con respecto a la mezcla de trabajo. Estudie la frecuencia de cambio de papel y determine si se debe: a) Incrementar el número de impresora b) Restaurar las cargas de trabajo c) Utilizar salida a microfilm d) Utilizar impresora de mayor velocidad (láser) e) ¿Es excesivo el volumen de impresión? Si( ) NO( ) En caso de contestar si, señale las causas: ( ) Reportes muy largos ( ) Reportes no utilizados ( ) Procesos en lote que deban estar en línea Otros (especificar cuáles) f) Especificar si existen procesos que deban cambiarse de batch a línea a viceversa Evalúe la utilización del sistema de cómputo a través de las siguientes relaciones: Si________________tiempo ocioso excede el 35% Tiempo disponible El equipo instalado está sobrado de capacidad para la carga de trabajo actual: Si________________ tiempo de prueba de programas en mayor al 30% Tiempo de uso de procesador central Se puede concluir que los procedimientos de depuración de programas son pobres (excepto en instalaciones nuevas): Si_________________ tiempo de mantenimiento al sistema operativo sobrepasa el 5% Tiempo total disponible del sistema de cómputo Se deberá exigir al proveedor que mejore la calidad de soporte al sistema operativo: Si__________________tiempo de falla del sistema de computo es mayor al 5% Tiempo disponible Nota: éstos son solamente ejemplos de factores que pueden obtenerse, los cuales pueden ser ampliados, y los porcentajes dependerán del tipo de equipo y la experiencia que se tenga. El servicio de mantenimiento correctivo que proporciona el proveedor es muy pobre y deberá revisarse las cláusulas del contrato relativas a este renglón. ( ) Número total de trabajos procesados ( ) Número de programas corridos por usuarios y departamentos de la dirección de informática 120 ( ) Detalle de programas con terminación anormal especificado la causa (por departamento y usuario) ( ) Tiempo de uso de los diversos equipos de captura por equipo y por usuario ( ) Número de líneas impresas en cada impresora ( ) Otros Esta sección está orientada a revisar las acciones que realiza la dirección de informática para evaluar, mantener y auditar los sistemas implantados. Indique qué tipo de evaluación se realiza a los sistemas implantados: Ninguna Económica De beneficios Otros (especificar) ( ( ( ( ) ) ) ) De objetivos De oportunidad De operación ( ) ( ) ( ) Indique qué instructivos se elaboran: De codificación ( ) De captación ( ) Del usuario ( ) De operación ( ) Otros (especificare ( ) ¿Qué porcentaje del personal de programación se dedica a dar mantenimiento a los sistemas existentes? ¿El responsable del área de producción formula las estadísticas de utilización de equipos, mostrando la frecuencia de fallas de los mismos y las estadísticas de producción por aplicación? (detalle cómo se realiza y dé un ejemplo) ¿En qué porcentaje se cumplen los calendarios de producción? Indique las estadísticas de elaboración de programas que se llevan en el área de informática: Por programador ( ) Por sistemas ( ) Por programa ( ) Por toda el área ( ) Otras (especificar) ( ) De las unidades de entrada/salida instaladas, proporciones los siguientes datos: Número De Dispositivos (Inventario) impresas por día Número de unidades Utilización Velocidad 121 Terminales Unidades de cinta Impresoras Otras(especificar) Se deberá controlar el uso que se le da al equipo de computo, evitando; Tiempo de Impresora Utilización Promedio de h/día número de Páginas impresas por día - Programadores que utilizan la computadora para conocer sus errores, sin hacer pruebas de escritorio. En este caso están los programadores que no saben qué instrucción poner, y en lugar de consultar su manual o hacer pruebas de escritorio, mandan compilar el programa hasta encontrar la opción o rutina correcta. - Utilización del equipo o del tiempo de los programadores para aplicaciones ajenas a la organización. - Personal de la dirección de informática que utiliza la computadora para trabajos personales, trabajos no autorizados o juegos. - Programas que, por estar mal elaborados (generalmente cuando se usan grandes archivos), degradan la máquina. Degradación del equipo por fallas en equipos periféricos. La computadora puede considerarse como un proceso en línea el cual al fallar alguna de las unidades principales (memoria, unidad central) no permite la utilización del resto del equipo. Pero existen unidades secundarias (cintas, impresoras, terminales, discos) que al fallar provocan que se vea reducida la posibilidad de utilización del equipo. Por ejemplo, si tenemos una impresora y se descompone un alto porcentaje de utilización del equipo se ve disminuida aunque para el proveedor sólo considere que una unidad secundaria fue la dañada. Lo mismo sucede si se tienen dos unidades de disco y se descompone una (en caso de tener solo una unidad de discos la falla es total). Para controlar este tipo de degradación se puede tener un reporte que contenga: 1. Dispositivo que integra la configuración del equipo (por ejemplo, cinta, disco, impresora). 2. Número del dispositivo, si tenemos por ejemplo 2 cintas, se anota 1 y 2 dependiendo de cuál fue la que falló. 3. Tipo de falla. Se anotará una buena descripción del tipo de falla, para lo cual se puede elaborar un catálogo. 4. Porcentaje de degradación. Este dato deberán anotarlo los responsables de la dirección de informática basándose en la experiencia y en las implicaciones que tenga en el sistema total (por ejemplo, si se tienen 2 unidades de disco la degradación es del 50%, si se descomponen las dos es el 100% y si se tiene solo una, o sea el 100%, en el caso de la 122 impresora si se tiene solo una puede ser el 66.6% etc.) 5. Número de horas en las que duró la falla, desde el momento de la descompostura hasta el momento en que la entrega reparada el proveedor. 123 8.2 Orden en el centro de cómputo Una dirección de informática bien administrada debe tener y observar reglas relativas al orden y cuidado de la sala de máquinas. Los dispositivos del sistema de cómputo, los archivos magnéticos, pueden ser dañadas si se manejan en forma inadecuada y eso puede traducirse en pérdidas irreparables de información o en costos muy elevados en la reconstrucción de archivos. Se deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro de la sala de máquinas. Indique la periodicidad con que se hace la limpieza de la sala de máquinas y de la cámara de aire que se encuentra abajo del piso falso y los ductos de aire: ( ) Semanalmente ( ) Mensualmente ( ) No hay programa ( ) Quincenalmente ( ) Bimestralmente ( ) Otro (especifique) ¿Existe un lugar asignado a las cintas y discos magnéticos? ¿Se tiene asignado un lugar específico para papelería y utensilios de trabajo? SI( ) NO( ) ¿Son funcionales los muebles asignados para la cintoteca y discoteca? Si( ) NO( ) ¿Se tienen disposiciones para que se acomoden en su lugar correspondiente, después de su uso, las cintas, los discos magnéticos, la papelería, etc? SI( ) NO( ) Indique la periodicidad con que se limpian las unidades de cinta: Al cambio de turno ( ) Cada semana ( ) Cada día ( ) Otra (especificar) ( ) ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en la sala de máquinas? SI( ) NO( ) ¿Se cuentan con carteles en lugares visibles que recuerdan dicha prohibición? SI( ) NO( ) Mencione los casos en que personal ajeno al departamento de operación opera el sistema de cómputo: 124 8.3 Evaluación de la configuración del sistema de cómputo Los objetivos son evaluar la configuración actual tomando en consideración las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalación y revisar las políticas seguidas por la unidad de informática en la conservación de su programoteca. Esta sección está orientada a: a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cómputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y largo plazo. b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso c) Evaluar la utilización de los diferentes dispositivos periféricos. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de computo, ¿existe equipo: Con poco uso? SI( ) NO( ) Ocioso? SI( ) NO( ) Con capacidad superior a la necesaria? SI( ) NO( ) Describa cuál es: ¿El equipo mencionado en la pregunta anterior puede reemplazarse por otro más lento y de menor costo? SI( ) NO( ) Si la respuesta a la pregunta anterior es negativa, ¿el equipo puede ser cancelado? SI( ) NO( ) De ser negativa la respuesta a la pregunta anterior, explique las causas por las que no puede ser cancelado o cambiado. ¿El sistema de cómputo tiene capacidad de teleproceso? SI( ) NO( ) ¿Se utiliza la capacidad de teleproceso? SI( ) NO( ) En caso negativo, exponga los motivos por los cuales no utiliza el teleproceso. 125 ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios? SI( ) NO( ) Indique si existen políticas, para aplicaciones soportadas para fijar: El tamaño máximo de programas SI( ) Número de archivos SI( ) Tamaño máximo para cada archivo SI( ) Nivel de acceso SI( ) por teleproceso, NO( NO( NO( NO( ) ) ) ) ¿La capacidad de memoria y de almacenamiento máximo del sistema de cómputo es suficiente para atender el proceso por lotes y el proceso remoto? Si( ) NO( ) 8.4 Productividad El objetivo es evaluar la eficiencia con que opera el área de captación y producción. Verifique que se cuente con una descripción completa de los trabajos que se corren y la descripción de las características de carga. Verifique la existencia de un pronóstico de cargas o trabajos que se efectuarán durante el año, con el objeto de que se prevean los picos en las cargas de trabajo y se pueda distribuir adecuadamente estas cargas. ¿Se tiene un programa de trabajo diario? ¿semanal? ¿en el año? En caso de que no se tenga la programación diaria, ¿cómo se realiza la producción? Verifique que se contemplen dentro de los planes de producción periodos de mantenimiento preventivo. Verifique que se disponga de espacio y tiempo para realizar corridas especiales, corridas de prueba de sistemas en desarrollo y corridas que deben repetirse. Verifique que se tengan definidos el espacio y tiempo para el respaldo de la información. ¿Se tiene una programación del mantenimiento previo? ¿Se tiene un plan definido de respaldo de la información? ¿Se contempla dentro del plan tiempo para realizar corridas de pruebas? ¿Se revisa el cumplimiento de los programas de producción establecidas? Verifique que se tenga conocimiento de los próximos sistemas que estarán en producción, con el objeto de que se les programe su incorporación. ¿Quién revisa estos planes? ¿Se cumplen generalmente estos planes? Si no, explique por qué ¿Se repiten con frecuencia corridas por anomalías? 126 Indique los estándares de producción que se tienen en la dirección de informática. Por tipo de equipo Por formato de captación Por formato y equipo de captación ( ) ( ) ( ) ¿Existen índices de error aceptables para cada tipo de trabajo? ¿Cuándo fue la última revisión de esos estándares? ¿El personal de captación conoce esos estándares? Indique los medios utilizados para medir la eficiencia de los operadores de captación: ( ) Estadísticas mensuales de producción por trabajo y por operador ( ) Estadísticas mensuales de error por trabajo y por operador ( ) Estadísticas mensuales de producción por trabajo ( ) Estadísticas mensuales de error por trabajo ( ) Estadísticas de producción por trabajo y operador por hora ( ) Otros(especificar) Indique qué medida(s) se toma(n) cuando el rendimiento para un trabajo está abajo del estándar: ( ) Se analiza el documento fuente con objeto de rediseñarlo ( ) Se consulta a los operadores sobre los problemas observados en el trabajo ( ) Se revisan los instructivos de capacitación ( ) Se capacitan a los operadores sobre el manejo del equipo ( ) Se imparten pláticas sobre el trabajo ( ) Otros ¿Se tienen incentivos para el personal que tenga un rendimiento superior al estándar? ¿Cada cuándo se imparten cursos de capacitación sobre la operación del equipo? Observe los niveles de iluminación y ruido y corrija cuando estén fuera del rango estipulado en los estándares. Analice si el área de trabajo es adecuada para efectuar la captación. ¿Se registran los tiempos de respuesta a las solicitudes? Si( ) NO( ) ¿Cuál es el tiempo de respuesta promedio? Hrs. 127 9 __________________________________________________________________ Evaluación de la seguridad [1; pág.102-126] 9.1 Seguridad lógica y confidencialidad Las computadoras son un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizado o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. Ante esta situación, en el transcurso del siglo XX, el mundo ha sido testigo de la transformación de algunos aspectos de seguridad y de derecho. Imagínese que, por una u otra razón, el centro de computo a las librerías sean destruidos o usados inapropiadamente, ¿cuánto tiempo pasaría para que esta organización estuviese nuevamente en operación? El centro de cómputo puede ser el activo más valioso y al mismo tiempo el más vulnerable. En la situación actual de criminología, los delitos de "cuello blanco" han incluido la modalidad de los delitos hechos mediante la computadora o los sistemas de información de los cuales el 95% de los detectados han sido descubiertos por accidentes y la gran mayoría no han sido divulgados para evitar dar ideas a personas mal intencionadas. Es así como la computadora ha modificado las circunstancias tradicionales del crimen; muestra de ello son los fraudes, falsificaciones y venta de información hechos a las computadoras o por medio de computadoras. Durante mucho tiempo se consideró que los procedimientos de auditoría y seguridad eran responsabilidad de la persona que elabora los sistemas sin considerar que son responsabilidad del usuario y del departamento de auditoría interna. 128 Entre los crímenes más conocidos (muchos de ellos no son identificados o divulgados para evitar repercusiones) están el del Banco Wells Fargo Co. ($21.3 millones de dólares), en el cual se evidenció que la protección de los archivos es todavía inadecuada, y la publicada el 17 de septiembre de 1987 en la que dos alemanes entraron a los archivos confidenciales de la NASA. Otro de los delitos que se han cometido en los bancos están en insertar mensajes fraudulentos o bien transferir dinero de una cuenta, otra, con la consecuente ganancia de los intereses. Existe también el caso de un muchacho de 15 años que entró a la computadora de la Universidad de Berkeley en California y destruyó los archivos, y el estudiante de la escuela Dalton en Manhattan que entró a la red canadiense, identificándose como un usuario de alta prioridad y tomó el control de los sistemas de una embotelladora de Canadá. Ejemplos como éstos existen muchos y la mayoría de ellos no se dan a conocer para no dar ideas a personas que puedan cometer delitos o bien para evitar problemas de publicidad negativa. En la actualidad, y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco. Se trata de pequeñas subrutinas escondidas en los programas que se activan cuando se cumple alguna condición; por ejemplo, haber obtenido una copia en forma ilegal, y puede ejecutarse en una fecha o situación predeterminada. El virus normalmente los ponen los diseñadores de algún tipo de programa (software) para "castigar" a quienes lo roban o copian sin autorización o bien por alguna actitud de venganza en contra de la organización. (En la actualidad existen varios productos para detectar los virus.) Existen varios tipos de virus pero casi todos actúan como "caballos de Troya", es decir, se encuentran dentro de un programa y actúan a determinada indicación. Un ejemplo es la destrucción de la información de la compañía USPA & IRA de Forth Worth; cuando despidieron a un programador en 1985, éste dejó una subrutina que destruía mensualmente la información de las ventas. Este incidente provocó el primer juicio en Estados Unidos contra una persona por sabotaje a la computadora. Existe otro caso conocido como el virus de Navidad, en el cual el empleado de una compañía multinacional elaboró un programa que automáticamente entraba al correo electrónico internacional y dejaba un mensaje de felicidades. Al momento en que la persona que recibía el mensaje entraba a su correo electrónico (para lo que debía teclear su llave de seguridad) encontraba un mensaje de felicitación por la Navidad. Automáticamente el programa tomaba el 129 directorio del usuario, enviaba mensajes idénticos a todas las personas que se encontraban en el directorio. Esto, que aparentemente tuvo buenas intenciones, generó mensajes en forma exponencial bloqueando toda la red internacional de la compañía. Otro virus es el conocido como Pakistaní, debido a que fue elaborado por estudiantes pakistaníes de 19 a 26 años. Este virus fue introducido en un paquete de computadoras personales y fue copiado para todo turista que comprara el paquete en Pakistán como una forma de "escarmiento" para los que adquirían esa copia pirata. Durante una convención de Makintosh en Montreal, un estudiante introdujo un virus para probar sus conocimientos. En este caso aparecía un mensaje y destruía la información. Debido a un descuido este virus fue distribuido mundialmente. Éstos son solamente algunos ejemplos de virus que existen, los cuales también pueden ser activados como si fueran "bomba de tiempo", en una fecha determinada y pueden causar la destrucción de la información, el que suene la bocina de la computadora en forma constante o que aparezca un carácter en la pantalla que se mueve por todo el video. Al auditar los sistemas, se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El crecimiento de los fraudes por computadora ha hecho patente que la potencialidad de los crímenes crece en forma más rápida que en los sistemas de seguridad (se considera que en los Estados Unidos se cometieron anualmente crímenes, denunciados o no, por más de tres mil millones de dólares). Los motivos de los delitos por computadora normalmente son por: • Beneficio personal • Beneficios para la organización • Síndrome de Robin Hood (por beneficiar a otras personas) • Jugando a jugar • Fácil desfalcar • El departamento es deshonesto • Odio a la organización (revancha) • El individuo tiene problemas financieros • La computadora no tiene sentimientos ni delata • Equivocación de ego (deseo de sobresalir en alguna forma) • Mentalidad turbada 130 Se considera que hay en cuatro factores que han permitido el incremento en los crímenes por computadora. Estos factores son: 1. El aumento del número de personas que se encuentran estudiando computación. 2. El aumento del número de empleados que tienen acceso a los equipos. 3. La facilidad en el uso de los equipos de cómputo. 4. El incremento en la concentración del número de aplicaciones y, consecuentemente, de la información. Estos cuatro factores, aunque son objetivos de todo centro de cómputo, también constituyen una posibilidad de uso con fines delictivos. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos al de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos. Estos delitos pueden ser cometidos por personas que no desean causar un mal, por ejemplo, un muchacho de 15 años que desde la computadora se conectó al banco de datos de la Universidad de Berkeley California y destruyó archivos de investigación muy valiosa que se estaba procesando. Otro ejemplo publicado en 1980 fue el caso de un estudiante de Dalton School que, usando la computadora de su clase, entró a la red canadiense de comunicación de datos (Canadian Data Comunication Network), y destruyó archivos de los clientes. El estudiante utilizó una rutina muy simple para entrar a la red y obtener una prioridad muy alta; ésta rutina era tan simple que los expertos se quedaron sorprendidos. En el caso de compañías que tienen altos gastos de envío de publicidad por correo, ¿cuánto podría costarles que la competencia adquiera su lista de clientes?, ¿o bien que la información sea cambiada o dañada?. Cabe mencionar aquí una compañía que vende enciclopedias en los Estados Unidos; uno de sus empleados vendió a la competencia una cinta con la lista de clientes; la pérdida se estimó en 3 millones de dólares. En la actualidad las compañías cuentan con grandes dispositivos para seguridad física de las computadoras y se tiene la idea que los sistemas no pueden ser violados si no se entra al centro de cómputo, olvidándose del uso de terminales y de sistemas remotos de teleproceso. Se piensa, como en el caso de la seguridad de incendio o robo, que "eso no me puede suceder a mí o es poco probable que suceda aquí". Algunos gerentes creen que las computadoras y sus programas son tan complejos que nadie fuera de su organización los va a entender y no les van a servir; pero en la actualidad existe un gran número de personas que pueden captar y usar la información que contiene un sistema y considerar hacer esto como un segundo ingreso. 131 En forma paralela al aumento de los fraudes hechos a los sistemas computarizados, se han perfeccionado los sistemas de seguridad tanto física como lógica; pero la gran desventaja del aumento en la seguridad lógica es que se requiere consumir un número mayor de recursos de cómputo para lograr tener una adecuada seguridad, lo ideal es encontrar un sistema de acceso adecuado al nivel de seguridad requerido por el sistema con el menor costo posible. En los desfalcos por computadora (desde un punto de vista técnico), hay que tener cuidado con los "caballos de troya" que son programas a los que se les encajan rutinas que serán activadas con una señal específica. El tipo de seguridad puede comenzar desde la simple llave de acceso (contraseña o password) hasta, sistemas más complicados, pero se debe evaluar que, cuando más complicados sean los dispositivos de seguridad, resultan más costosos. Por lo tanto, se debe mantener una adecuada relación de seguridadcosto en los sistemas de información. Los sistemas de seguridad normalmente no consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones. La introducción de información confidencial a la computadora puede provocar que este concentrada en las manos de unas cuantas personas y una alta dependencia en caso de pérdida de los registros. El más común de estos delitos está dado en el momento de programación, en el cual por medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, en un sistema de nómina al momento de programarlo se puede incluir una rutina que verifique si se tiene dentro del archivo de empleados el registro federal de causantes del programador. En caso de existir, continúa el proceso normalmente, si no existe significa que el programador que elaboró el sistema renunció o fue despedido y en ese momento borra todos los archivos. Esta rutina, aunque es fácil de detectar puede provocar muchos problemas en caso de que no se tenga los programas fuente o bien no se encuentre debidamente documentado. También en el caso de programadores honestos, en ocasiones en forma no intencional, pueden tener fallas o negligencia en los sistemas. La dependencia con ciertos individuos clave, algunos de los cuales tienen un alto nivel técnico, comúnmente pone la organización en manos de unas cuantas personas, las cuales suelen ser las únicas que conocen los sistemas debido a que no los documentan. Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes. Sin embargo, los paquetes de control de acceso basados en contraseñas pueden ser eludidos por delincuentes sofisticados en computación y no podría dependerse de esos paquetes por sí solos para brindar seguridad adecuada. 132 El sistema integral de seguridad debe comprender: Elementos administrativos Definición de una política de seguridad Organización y división de responsabilidades Seguridad física y contra catástrofes (incendio, terremoto etc.) Prácticas de seguridad del personal Pólizas de seguros Elementos técnicos y procedimientos de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales) Aplicación de sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeación de programas de desastre y su prueba Uno de los puntos que se debe auditar con más detalle es el de tener las cifras de control y el medio adecuado que nos permita conocer en el momento que se produce un cambio o un fraude en el sistema. Otro ejemplo es en el caso de la contabilidad en forma manual. Se tienen una serie de indicadores (volumen de operaciones, cantidades, etc.) que nos permiten auditar en forma rápida y eficiente al sistema; este tipo de indicadores deben ser incluidos dentro del sistema computarizado, logrando en lo posible que el mismo sistema y la computadora "actúe" como su propio auditor. Los accidentes pueden surgir por un mal manejo de la administración, por negligencia o bien por ataques deliberados hechos por ladrones, fraudes sabotajes o bien por situaciones propias de la organización (huelgas). El poder trabajar con la posibilidad de que ocurra un desastre debe ser algo común, aunque se debe evitar en lo más posible y planear de antemano las medidas en caso de que esto ocurra. Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgo, con un gran impacto en la organización o en la comunidad, si es que el servicio se interrumpe cierto periodo; otras pueden fácilmente continuar sin afectar grandemente a la organización por medio de utilización de métodos manuales. Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente: Clasificar la instalación en términos de riesgo (alto, mediano, pequeño) identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo 133 Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera. La justificación del costo de implantar las medidas de seguridad Para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo debemos preguntarnos lo siguiente: ¿Qué sucedería si no se puede usar el sistema? Si la contestación es que no se podría seguir trabajando, esto nos sitúa en un sistema de alto riesgo. Por ejemplo, si vemos el sistema de reservaciones de boletos de avión, éste es un sistema de alto riesgo, de menor riesgo podría ser la nómina y por último la contabilidad (en periodos normales, no en periodos de entrega de información contable). La siguiente pregunta es: ¿Qué implicaciones tiene el que no se tenga el sistema, y cuánto tiempo podríamos estar sin utilizarlo? En el caso de reservaciones no se pueden trabajar si no se tiene el sistema y no podemos estar sin él más que unos minutos. En el caso de la nómina depende de cuándo se debe entregar (semanal, quincenal, mensualmente), lo mismo que la contabilidad. ¿Existe un procedimiento alterno y qué problemas nos ocasionaría? En las reservaciones, el procedimiento alterno de utilizar otro sistema ajeno a la compañía no es posible debido a las redes y a los bancos de datos, y el procedimiento alterno consistiría en que sólo se reciban reservaciones en una oficina o bien que se estén comunicando por teléfono para que una oficina concentre las reservaciones. Ello provocaría una gran ineficiencia y un pésimo servicio. Al terminar la emergencia se deben dar de alta al sistema las reservaciones captadas manualmente. En la nómina se puede hacer manual (lo cual puede ser muy complicado) o bien pagar lo mismo que la nómina anterior, lo que provocaría reclamos por parte del personal al que se le pague menos, y después de la emergencia procesar la nómina nueva y sacar un programa de diferencias que permita pagar la diferencia de más o de menos y ajustar los impuestos. En caso de contar con respaldos se puede tener como procedimiento alterno procesarlo en otro sistema. En la contabilidad puede obtenerse en forma manual o bien, en caso de tener respaldo, procesarse en otro sistema. ¿Qué se ha hecho para un caso de emergencia? En el caso de sistemas 134 como el de reservaciones, de bancos o casas de bolsa, el único procedimiento para evitarlos es tener sistemas simultáneos (tándem o en paralelo) que permitan pasar de un equipo a otro en forma instantánea, disponer de sistemas duplicados en áreas críticas (aires acondicionados, discos, etc.) y tener sistemas de energía no interrumpible (no break), ya que debido a su alto riesgo son los que deben tener mayor seguridad. En la nómina existe un riesgo intermedio ya que, aunque se puede pagar con la nómina anterior, quizás surjan grandes problemas con el personal, y utilizando otro sistema se debe tener mucho cuidado con los respaldos, su actualización y probar constantemente los sistemas alternos para estar seguros de que pueden utilizarse. En el caso de contabilidad, el riesgo es menor pero también se debe tener cuidado de hacer los respaldos y la posibilidad de utilización de otros equipos. Una vez que hemos definido el grado de riesgo, hay que elaborar una lista de los sistemas con las medidas preventivas que se deben tomar, así como las correctivas en caso de desastre señalándole a cada uno su prioridad. En caso de desastre se procurará trabajar los sistemas de acuerdo con sus prioridades, ya que no se podrán trabajar los sistemas en otra instalación, en la misma forma que se venían trabajando en la instalación original. Hay que tener mucho cuidado con la información que sale de la oficina, su utilización y que sea borrada al momento de dejar la instalación que está dando respaldo. Según una de las 8 grandes firmas estadounidenses de contadores públicos, los planes de seguridad deben asegurar la integridad y exactitud de los datos; permitir identificar la información que sea confidencial, de uso exclusivo o delicada en alguna otra forma; proteger y conservar los activos de desastres provocados por la mano del hombre y de actos abiertamente hostiles; asegurar la capacidad de la organización para sobrevivir accidentes; proteger a los empleados contra tentaciones o sospechas innecesarias y la administración contra cargos por imprudencia. Para clasificar la instalación en términos de riesgo se debe: a) Clasificar los datos, información y programas que contiene información confidencial que tenga un alto valor dentro del mercado de competencia, organización, e información que sea de difícil recuperación. b) Identificar aquella información que tenga un gran costo financiero en caso de pérdida o bien que pueda provocar un gran impacto en la toma de decisiones. 135 c) Determinar la información que tenga una pérdida en la organización y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa información. Un ejemplo de alto riesgo puede ser la información confidencial de tipo nacional o bien la información sobre el mercado y la publicidad de una compañía. Un ejemplo de riesgo medio es la nómina, la cual puede ser hecha a mano, utilizar procedimientos alternos o bien un adecuado sistema de respaldos. Un ejemplo de bajo riesgo pueden ser los balances, los cuales pueden ser reestructurados con cierta facilidad, salvo el caso de los días de presentación con fines fiscales. Para cuantificar el riesgo es necesario que se efectúen entrevistas con los altos niveles administrativos que sean directamente afectados por la suspensión en el procesamiento y que cuantifiquen el impacto que les puede causar este tipo de situaciones. Para evaluar las medidas de seguridad se debe: • Especificar la aplicación, los programas y archivos • Las medidas en caso de desastre, pérdida total, abuso y los planes necesarios • La prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo. En cuanto a la división del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependerán del riesgo que tenga la información y del tipo y tamaño de la organización. a) El personal que prepara la información no debe tener acceso a la operación. b) Los analistas y programadores no deben tener acceso al área de operación y viceversa. c) Los operadores no deben tener acceso irrestringido a las librerías ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librería y de operación. d) Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados. e) Al implantar sistemas de seguridad, puede reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia. f) Otro de los puntos que hay que evaluar y revisar en forma visual es el orden y limpieza, no tan sólo en la sala de cómputo, lo cual es esencial, sino también en las oficinas ya que una inadecuada limpieza en el trabajo refleja problemas de disciplina y crea posibilidades de fallas en la seguridad, además de que perjudica el desarrollo normal del trabajo. 136 9.2 Seguridad en el personal Un buen centro de cómputo depende, en gran medida, de la integridad, estabilidad y lealtad de personal, por lo que al momento de reclutarlo es conveniente hacerle exámenes psicológicos, médicos y tener muy en cuenta sus antecedentes de trabajo. Se deben considerar los valores sociales y, en general, su estabilidad ya que normalmente son personas que trabajan bajo presión y con mucho estrés, por lo que importan mucho su actitud y comportamiento. En los equipos de cómputo es normal que se trabajen horas extras, con gran presión y que no haya una adecuada política de vacaciones debido a la dependencia que se tiene con algunas personas, lo cual va haciendo que se crean "indispensables", que son muy difíciles de sustituir y que ponen en gran riesgo la organización. Se debe verificar que existan adecuadas políticas de vacaciones (lo cual nos permite evaluar la dependencia con algunas personas, y evitar esta dependencia) y de reemplazo. La adecuada política de reemplazo en caso de renuncia de alguna persona permitirá que, en caso necesario, se pueda cambiar a una persona sin arriesgar el funcionamiento de la organización. También se deben tener políticas de rotación de personal que disminuyan la posibilidad de fraude, ya que un empleado puede estar haciendo otra actividad en un mes y sería muy arriesgado cometer un fraude, sabiendo que la nueva persona que esté en su lugar puede detectarlo fácilmente. Esto se debe hacer principalmente en funciones de alto nivel de confianza, aunque impliquen un alto costo. Este procedimiento de rotación de personal nos permita además, detectar los indispensables y eliminarlos. Se deberá también evaluar la motivación del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad y disminuirá la posibilidad de ataques intencionados a la organización. El programador honesto en ocasiones elabora programas que ponen en peligro la seguridad de la empresa, ya que no se consideran procedimiento de auditoría dentro de los programas tales que excluyan las posibilidades de fraude. 9.3 Seguridad física El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, información debido a contingencias como incendio, inundación, huelgas, disturbios, sabotaje, 137 etc. y continuar en un medio de emergencia hasta que sea restaurado el servicio completo. En el pasado se acostumbraba poner los equipos de cómputo en un lugar visible, con grandes ventanales, y constituían el orgullo de la organización, por lo que se consideraba necesario que estuviese a la vista del público y con una gran cantidad de invitados a visitarlos. Esto ha cambiado de modo radical, principalmente por el riesgo de terrorismo o sabotaje. Pensemos que una persona que desea perjudicar a la organización querrá dañar su cerebro o centro de información, por lo que en la actualidad se considera extremadamente peligroso tener el centro de computo en las áreas de alto tráfico de personas o bien en la calle en un alto numero de invitados. Otras de las precauciones referentes al material y construcción del edificio del centro de computo es que existen materiales que son altamente inflamables, que despiden humo sumamente tóxicos o bien paredes que no queda perfectamente selladas y despiden polvos (ejemplo, el tiro) planchado). También en lo posible se debe tomar precauciones en cuanto a la orientación del centro de computo (por ejemplo, centro de computo sumamente caluroso a los que todo el día le esta dando el sol) y se deben evitar en lo posible las grandes ventanas, los cuales además permite la entrada del sol pueden ser arriesgados para la seguridad del centro de computo. Entre las precauciones que se deben revisar están: - Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas de polvo y se habrá de contar con detectores de humo que indiquen la posible presencia de fuego. - En las instalaciones de alto riesgo se debe tener equipos de fuente no interrumpible, tanto en la computadora corno en la red y los equipos de teleproceso. - En cuanto a los extintores, se debe revisar en número de éstos, su capacidad, fácil acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder que no se encuentren recargados o bien que sean de difícil acceso de un peso tal que sea difícil el utilizarlos. - Estos es común en lugares en donde se encuentran trabajando hombre y mujeres y los extintores están a tal altura o con un peso tan grande que una mujer no pueda utilizarlo. - Otro de los problemas es la utilización de extintores inadecuados que pueden provocar mayor perjuicio a las máquinas (extintores líquidos) o que producen gases tóxicos. - También debe ver si el personal sabe usar los equipos contra incendio y si ha habido prácticas en cuanto a su uso. - Se debe verificar que existan suficientes salidas de emergencia y que estén debidamente controladas Para evitar robos por medio de estas salidas. 138 - Los materiales más peligro son las cintas magnéticas que, al quemarse producen gases tóxicos y el papel carbón es altamente inflamable. Cuestionario para la evaluación física ¿Se han adoptado medidas d seguridad en la dirección de informática? SI( ) NO ( ) ¿Existe una persona responsable de la seguridad? SI( ) NO ( ) ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad ? SI( ) NO ( ) ¿Existe personal de vigilancia en la institución de seguridad? SI( ) NO ( ) ¿La vigilancia se contrata: a) Directamente? b) Por medio de empresas que venden ese servicio? ¿Existe una clara definición de funciones entre los puestos clave? SI( ) NO( ) ¿Se investiga a los vigilantes cuando son contratados directamente? SI( ) NO( ) ¿Se controla el trabajo fuera de horario? SI( ) NO( ) ¿Se registran las acciones de los operadores para evitar que realicen alguna que pueda dañar el sistema? SI( ) NO( ) ¿Existe vigilancia en el cuarto de máquinas las 24 horas? SI( ) NO( ) ¿A la entrada del cuarto de máquinas existe a) Vigilante? b) Recepcionista? c) Tarjeta de control de acceso? d) Nadie? ¿Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? SI( ) NO ( ) ¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que alguien pretenda entrar sin autorización? SI( ) NO( ) 139 ¿El edificio donde se encuentra la computadora está situado a salvo de: a) Inundación? b)Terremoto? c) Fuego? d) Sabotaje? ¿El centro de cómputo da al exterior? SI( ) NO( ) Describa brevemente la construcción del centro de cómputo, de preferencia proporcionando planos y material con que fue construido y equipo (muebles, sillas, etc.) dentro del centro. ¿Tiene el cuarto de máquinas una instalación de escaparate y, si es así, pueden ser rotos los vidrios con facilidad? SI( ) NO( ) ¿Existe control en el acceso a este cuarto a) Por identificación personal? b) Por tarjeta magnética? c) Por claves verbales? d) Otras? ¿Son controladas las visitas y demostraciones en el centro de cómputo? SI( ) NO( ) ¿Cómo son controladas? ¿ Se registra el acceso al cuarto de personas ajenas a la dirección de informática? SI( ) NO( ) ¿Existe alarma para a) Detectar fuego (calor o humo) en forma automática? b) Avisar en forma manual la presencia del fuego? c) Detectar una fuga de agua? d) Detectar magnetos? e) No existe ¿Estas alarmas están a) En el cuarto de máquinas? b) En la cintoteca y discoteca? ¿Existe alarma para detectar condiciones anormales del ambiente? a) En el cuarto de máquinas b) En la cintoteca y discoteca c) En otros lados ¿Cuáles? 140 ¿La alarma es perfectamente audible? SI( ) NO( ) ¿Esta alarma también está conectada a) Al puesto de guardias? b) A la estación de bomberos? c) A ningún otro lado? d) Otro ¿Existen extintores de fuego a) Manuales? b) Automáticos? c) No existen ¿Se ha adiestrado el personal en el manejo de los extintores? SI( ) NO( ) ¿Los extintores, manuales o automáticos, funcionan a base de TIPO SI NO a) Agua? b) Gas? c) Otros ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI( ) NO( ) NOTA: verifique el número de extintores y su estado. Si es que existen extintores automáticos, ¿son activados por los detectores automáticos de fuego? SI( ) NO( ) Si los extintores automáticos son a base de agua, ¿se han tomado medidas para evitar que el agua cause más daño que el fuego? SI( ) NO( ) Si los extintores automáticos son a base de gas, ¿se han tomado medidas para evitar que el gas cause más daño que el fuego? SI( ) NO ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos, para que el personal a) Corte la acción de los extintores por tratarse de falsas alarmas? b) Pueda cortar la energía eléctrica? c) Pueda abandonar el local sin peligro de intoxicación? d) Es inmediata su acción? ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos? SI( ) NO ( ) 141 ¿Saben qué hacer los operadores del cuarto de máquinas en caso de que ocurra una emergencia ocasionada por fuego? SI( ) NO( ) ¿El personal ajeno a operación sabe qué hacer en el caso de una emergencia (incendio)' SI( ) NO ¿Existe salida de emergencia? SI( ) NO( ) ¿Esta puerta sólo es posible abrirla: a) Desde el interior? b) Desde el exterior? c) Ambos lados ¿Se revisa frecuentemente que no este abierta o descompuesta la cerradura de esta puerta y las ventanas, si es que existen SI( ) NO( ) ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI( ) NO( ) ¿Se han tornado medidas para minimizar la posibilidad de fuego: a) Evitando artículos inflamables en el cuarto de máquinas? b) Prohibiendo fumar a los operadores en el interior? c) Vigilando y manteniendo el sistema eléctrico? d) No se ha previsto ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del cuarto de máquinas para evitar daños al equipo? SI( ) NO( ) ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso? SI( ) NO( ) ¿Se controla el acceso y préstamo en la: a) Discoteca? b) Cintoteca? c) Programoteca? Explique la forma como se ha clasificado la información vital, esencial , no esencial etc. ¿Se cuenta con copias de los archivos en lugares distintos a la de la computadora SI ( ) NO( ) Explique la forma en que están protegidas físicamente estas copias (bóveda, caja de seguridad, etc. que garantice su integridad en caso de incendio, inundación, terremoto etc.) 142 ¿Se tienen establecidos procedimientos de actualización a estas copias? SI( ) NO( ) Indique el número de copias que se mantienen de acuerdo con la forma en que se clasifique la información. 0 2 1 3 ¿Existe departamento de auditoría interna conoce todos los aspectos de los sistemas?. SI( ) NO( ) ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas?. SI( ) NO( ) ¿Qué tipos de controles ha propuesto? ¿Se cumplen? SI( ) NO( ) ¿Se auditan los sistemas en operación? SI( ) NO( ) ¿Con qué frecuencia? a) Cada seis meses b) Cada año c) Otra (especifique) ¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quién es? a) Usuario b) Director de informática c) Jefe de análisis y programación d) Programador e) Otras (especifique) ¿La solicitud de modificaciones a los programas se hacen en forma: a) Oral? b) Escrita? En caso de ser escrita solicite formatos. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados? SI( ) NO( ) ¿Existe control estricto en las modificaciones? SI( ) NO( ) ¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI( ) NO( ) Si se tienen terminales conectadas, ¿se han establecido procedimientos de 143 operación? SI( ) NO( ) Se verifica identificación: a) De la terminal b) Del usuario c) No se pide identificación ¿Se ha establecido qué información puede ser accesada y por qué persona? SI( ) NO( ) ¿Se ha establecido un número máximo de violaciones en sucesión para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI( ) NO( ) ¿Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? SI( ) NO( ) ¿Existen controles y medidas de seguridad sobre las siguientes operaciones?, ¿Cuáles son? ( ) Recepción de documentos ( ) Información confidencial ( ) Captación de documentos ( ) Cómputo electrónico ( ) Programas ( ) Discotecas y cintotecas ( ) Documentos de salida ( ) Archivos magnéticos ( ) Operación del equipo de computación En cuanto al acceso de personal ( ) Identificación del personal ( ) Policía ( ) Seguros ( ) Cajas de seguridad ( ) Otras lesoecifiauel 9.4 Seguros Los seguros de los equipo en algunas ocasiones se dejan en segundo termino aunque son de gran importancia. Existe un gran problema en la obtención de seguros ya que a veces el agente de seguros es una persona que conoce mucho de seguros, riesgos comerciales, riesgos de vida, etc. Pero muy poco sobre computadoras, y el personal de informática conoce mucho sobre computación y muy poco sobre seguros. 144 Se tiene poco conocimiento de los riesgos que entraña la computación, ya que muchas veces el riesgo no es claro para los vendedores de seguros, debido a lo nuevo de la herramienta y la poca experiencia existe sobre desastres. Como ejemplo de lo anterior tenemos las pólizas de seguro contra desastres, ya que algunos conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual hace, que se duplique el seguro o bien sobreviene desastres que no son normales en cualquier otro tipo de ambiente. Se debe verificar las fechas de vencimiento de las pólizas, puede suceder que se tenga la póliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos. El seguro debe cubrir todo el equipo y su instalación, por lo que es probable que una sola póliza no pueda cubrir todo el equipo con las diferentes características (existe equipo que pueda ser unidades de disco duro) por lo que tal vez convenga tener dos o más pólizas por separado, cada una con las especificaciones necesarias. Debemos tomar en cuenta que existen riesgos que son difíciles de evaluar y de asegurar como el caso de negligencia. El costo de los equipos puede variar, principalmente en aquellos países que tienen grandes tasas de inflación o de devaluación, por lo que los seguros deben estar a precio de compra (valor de adquisición de nuevo equipo con iguales características) y no a precio al momento de contratación del seguro. El seguro debe cubrir tanto daños causados por factores externos (terremoto, inundación, etc.) como por factores internos (daños ocasionados por negligencia de los operadores, daños debidos al aire acondicionado, etc.) También se debe asegurar la pérdida de los programas (software), de la información, de los equipos y el costo de recuperación de lo anterior. En el caso de los programas se tendrá en cuenta en el momento de asegurarlos el costo de elaborarlos en determinado equipo, el costo de crearlos nuevamente y su valor comercial. En el caso del personal, se pueden tener fianzas contra robo, negligencia, daños causados por el personal, sabotaje, acciones deshonestas, etc. Es importante que la dirección de informática esté preparada para evitar en lo posible el daño físico al personal, oficinas, equipo de cómputo, así como al sistema de operación. Además deberá tener cuidado de que existan normas y prácticas eficaces. 145 9.5 Seguridad en la utilización del equipo En la actualidad los programas y los equipos son altamente sofisticados y sólo algunas personas dentro del centro de cómputo conocen al detalle el diseño, lo que puede provocar que puedan producir algún deterioro a los sistemas si no se toman las siguientes medidas: 1) Se debe restringir el acceso a los programas y a los archivos. 2) Los operadores deben trabajar con poca supervisión y sin la participación de los programadores, y no deben modificar los programas ni los archivos. 3) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. Como ejemplo de los problemas ocasionados por un mal uso de los respaldos está el de una instalación en que al mismo tiempo que estaba capturando la información para el archivo maestro, el programador hacía pruebas y cambios a los programas. El capturista capturaba el 15 de enero y en ese momento el programador deseaba que pusieran en el mismo usuario que el capturista la información del 13 de enero. El capturista continuaba capturando pero ya no en los archivos del 15 sino del día 13, y cuando volvían nuevamente a poner la información del día 15 descubría que había información que había capturado pero no la encontraba. 4) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales. 5) En los casos de información confidencial debe usarse, de ser posible, en forma codificada o criptografiada. 6) Se debe realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos. 7) Se debe monitorear periódicamente el uso que se les está dando a las terminales. 8) Se deben hacer auditorías periódicas sobre el área de operación y la utilización de las terminales. 9) El usuario debe ser responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto sólo se logrará por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseño general del sistema. 10) Debe existir una perfecta división de responsabilidades entre los capturistas de datos y los operadores de computadora, y entre los operadores y las personas responsables de las librerías. 11) Deben existir registros que reflejen la transferencia de información entre las diferentes funciones de un sistema. 146 12) Debe controlarse la distribución de las salidas (reportes, cintas, etc.). 13) Se deben guardar copias de los archivos y programas en lugares ajenos al centro de cómputo y en las instalaciones de alta seguridad; por ejemplo: los bancos. 14) Se debe tener un estricto control sobre el transporte de discos y cintas de la sala de cómputo al local de almacenaje distante. 15) Se deben identificar y controlar perfectamente los archivos. 16) Se debe tener estricto control sobre el acceso físico a los archivos. 17) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versión. Esto nos servirá para identificar el número de veces que se ha compilado o corrido un programa, y nos permitirá costear en el momento que se encuentre un sistema en producción. También evitará que el programador ponga nombres que no signifiquen nada y que sean difíciles de identificar, lo que evitará que el programador utilice la computadora para trabajos personales. Otro de los puntos en los que hay que tener seguridad es en el manejo de información; por ejemplo, existe un gran robo de información confidencial por medio de fotocopiado, se da el caso de compañías en que sus competidores han conocido los planes confidenciales por medio del desperdicio de papel o bien el caso de una compañía que elaboró una serie de políticas de personal sumamente confidenciales y en que los operadores y, consecuentemente, toda la compañía conoció la información al momento de obtener los listados por medio de la computadora. Lo más drástico en este caso es que los listados que se obtuvieron eran planes, que servirán como alternativas de solución, pero que no habían sido autorizados. Para controlar este tipo de información se debe: 1. Cuidar que no se obtengan fotocopias de información confidencial sin la debida autorización. 2. Sólo el personal autorizado debe tener acceso a la información confidencial. 3. Controlar los listados tanto de los procesos correctos como aquellos procesos con terminación incorrecta. 4. Controlar el número de copias, y la destrucción de la información y del papel carbón de los reportes muy confidenciales. El factor más importante de la eliminación de riesgos en la programación es que, todos los programas y archivos estén debidamente documentados, por lo cual se debe considerar la necesidad de tener un alto grado de seguridad desde el momento de hacer el diseño preliminar del sistema, siguiendo uno de los pasos del diseño detallado y de la programación. 147 El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas, programas, archivos y documentación necesarios para que pueda funcionar el plan de emergencia. En los sistemas de cómputo en que se tiene sistemas en tiempo real, bases de datos y red de computadoras se deben tomar medidas de alta seguridad en cuanto a: - Equipo, programas y archivos Control de aplicaciones por terminar (definir qué aplicaciones se pueden correr en una terminal específica) Definir una estrategia de seguridad de la red y de respaldos Requerimientos físicos Estándar de aplicaciones y de control Estándar de archivos Auditoría interna en el momento del diseño del sistema, su implantación y puntos de verificación y control Seguridad al restaurar el equipo En un mundo que depende cada día más de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falla o siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño causado, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. También se debe analizar el impacto futuro en el funcionamiento de la organización y prevenir cualquier implicación negativa. En todas las actividades relacionadas con las ciencias de la computación, existe un riesgo aceptable; y es necesario analizar y entender estos factores para establecer los procedimientos que permitan eliminarlos al máximo y, en caso que ocurran, poder reparar el daño y reanudar la operación lo más rápidamente posible. En una situación ideal, se deberían elaborar planes para manejar cualquier contingencia que se presente. Analizando cada aplicación se deben definir planes de recuperación y reanudación, para asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. Las acciones de recuperación disponibles a nivel operativo pueden ser algunas de las siguientes: - En algunos casos es conveniente no realizar ninguna acción y reanudar el proceso. Mediante copias periódicas de los archivos se puede reanudar un proceso a partir de una fecha determinada. El procesamiento anterior complementado con un registro de las 148 - transacciones que afectaron los archivos permitirá retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo y a partir de él reanudar el proceso. Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de emergencia. Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones. Cualquier procedimiento que se determine que es el adecuado para un caso de emergencia deberá ser planeado y probado previamente. Este grupo de emergencia deberá tener un conocimiento de los posibles procedimientos que pueda utilizar, además de un conocimiento de las características de las aplicaciones, tanto desde el punto técnico como de su prioridad, el nivel de servicio planeado y su influjo en la operación de la organización. Además de los procedimientos de recuperación y reinicio de la información, se deben contemplar los procedimientos operativos de los recursos físicos como hardware y comunicaciones planeando la utilización de equipos que permitan seguir operando en caso de falla de la corriente eléctrica, caminos alternos de comunicación y utilización de instalaciones de cómputo similares. Estas y otras medidas de recuperación y reinicio deberán ser planeadas y probadas previamente como en el caso de la información. Con frecuencia un problema en algún programa, un error en los datos, un error de operación o una falla del equipo hacen que una corrida en la máquina aborte antes de terminar el proceso. Generalmente cuando esto sucede, no se puede iniciar el trabajo donde se produjo la interrupción. El objetivo del siguiente cuestionario es evaluar los procedimientos de restauración y repetición de procesos en el sistema de cómputo: ¿Existen procedimientos relativos a la restauración y repetición de procesos en el sistema de cómputo? SI( ) NO( ) Enuncie los procedimientos mencionados en la pregunta anterior ¿Cuentan los operadores con alguna documentación en donde se guarden las instrucciones actualizadas para el manejo de restauraciones? SI( ) NO( ) En el momento en que se hacen cambios o correcciones a los programas y/o archivos se deben tener las siguientes precauciones: 1. Las correcciones de programas deben ser debidamente autorizadas y probadas. Con esto se busca evitar que se cambien por nueva versión que antes no ha sido perfectamente probada y actualizada. 149 2. Los nuevos sistemas deben estar adecuadamente documentados y probados. 3. Los errores corregidos deben estar adecuadamente documentados y las correcciones autorizadas y verificadas. Los archivos de nuevos registros o correcciones ya existentes deben estar documentados y verificados antes de obtener reportes. Los datos de entrada deben estar debidamente probados y verificados contra la entrada de datos durante el procesamiento. Uno de los fraudes más comunes se comete durante el periodo en el cual ya se obtuvieron las cifras de control pero no se han emitido los reportes definitivos; por ejemplo, la obtención de cheques. Esto se puede hacer si es que se permite que se metan datos en el periodo previo a la obtención de los reportes definitivos, y si no se tiene control sobre estos datos introducidos posteriormente a las cifras de control. 9.6 Procedimiento de respaldo en caso de desastre Se debe establecer en cada dirección de informática un plan de emergencia, el cual ha de ser aprobado por la dirección de informática y contener tanto procedimiento como información para ayudar a la recuperación de interrupciones en la operación del sistema de cómputo. Algunas compañías se resisten a tener un plan para casos de desastre o emergencia, considerando que esto es imposible. Eso puede ser cierto en los sistemas en línea o en tiempo real, ya que un sistema en línea difícilmente puede ser usado en otro equipo y lo único que queda es tener una alta seguridad en los equipos o bien computadoras en forma de "tándem". El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia se tenga la seguridad que funcionará. La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se han de utilizar respaldos (posiblemente en otras instituciones). Hay que cambiar la configuración y, posiblemente se tengan que usar algunos métodos manuales, no sólo simulando un ambiente ficticio cercano a la realidad sino considerando que la emergencia existe. Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el respaldo; en efecto, aunque el equipo de cómputo sea aparentemente el mismo, puede haber diferencias en la configuración, el sistema operativo, en discos, etc. 150 Las revisiones al plan se deben realizar cuando se haya efectuado algún cambio en la configuración del equipo o bien en periodos semestrales. Una de las principales objeciones al plan de emergencia es su costo; pero como en el caso de un seguro contra incendio, sólo podemos evaluar sus ventajas si desafortunadamente el desastre ocurre. El plan de emergencia, una vez aprobado, se distribuye entre personal responsable de su operación, por precaución es conveniente tener una copia fuera de la dirección de informática. En virtud de la información que contiene el plan de emergencia, se considerará como confidencial o de acceso restringido. La elaboración del plan y de los componentes puede hacerse en forma independiente de acuerdo con los requerimientos de emergencia. La estructura del plan debe ser tal que facilite su actualización. Algunas emergencias pueden no afectar a toda la instalación, sino a algunas partes tales como la discoteca y la cintoteca. Para la preparación del plan se seleccionará el personal que realice las actividades claves del plan. El grupo de recuperación en caso de emergencia debe estar integrado por personal de administración de la dirección de informática (por ejemplo, el jefe de operación, el jefe de análisis y programación y de auditoría interna). Cada uno de ellos debe tener tareas específicas como la operación del equipo de respaldo, la interfaz administrativa, de logística; por ejemplo, el proporcionar los archivos necesarios para el funcionamiento adecuado. Cada miembro del grupo debe tener asignada su tarea con una persona de respaldo para cada uno de ellos. Se deberá elaborar un directorio que contenga los nombres, direcciones y números telefónicos. Los desastres que pueden suceder podemos clasificarlos así: a) Completa destrucción del centro de cómputo b) Destrucción parcial del centro de cómputo c) Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (electricidad, aire acondicionado, etc.) d) Destrucción parcial o total de los equipos descentralizados e) Pérdida total o parcial de información, manuales o documentación j) Pérdida del personal clave g) Huelga o problemas laborales El plan en caso de desastre debe incluir: - La documentación de programación y de operación 151 Los equipos. - El equipo completo El ambiente de los equipos Datos y archivos Papelería y equipo accesorio Sistemas (sistemas operativos, bases de datos, programas de utilería, programas) El plan en caso de desastre debe considerar todos los puntos por separado y en forma integral como sistema. La documentación estará en todo momento tan actualizada como sea posible, ya que en muchas ocasiones no se tienen actualizadas las últimas modificaciones y eso provoca que el plan de emergencia no pueda ser utilizado. Cuando el plan sea requerido debido a una emergencia, el grupo deberá: - Asegurar que todos los miembros sean notificados Informar al director de informática Cuantificar el daño o pérdida del equipo, archivos y documentos para definir qué parte del plan debe ser activada Determinar el estado de todos los sistemas en proceso Notificar a los proveedores del equipo cuál fue el daño Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en cuenta: - Elaboración de una lista con los métodos disponibles para realizar la recuperación Señalamiento de la posibilidad de alternar los procedimientos de operación (por ejemplo, cambios en los dispositivos, sustitución de procesos en línea por procesos en lote) Señalamiento de las necesidades para armar y transportar al lugar de respaldo todos los archivos, programas, etc., que se requieren Estimación de las necesidades de tiempo de las computadoras para un periodo largo Cuando ocurra la emergencia, se deberá reducir la carga de procesos, analizando alternativas como: - Posponer las aplicaciones de prioridad más baja - Cambiar la frecuencia del proceso de trabajos - Suspender las aplicaciones en desarrollo 152 Por otro lado, se debe establecer una coordinación estrecha con el personal de seguridad a fin de proteger la información. Respecto a la configuración del equipo hay que tener toda la información correspondiente al hardware y software del equipo propio y del respaldo. Deberán tenerse todas las especificaciones de los servicios auxiliares tales como energía eléctrica, aire acondicionado, etc., a fin de contar con servicios de respaldo adecuados y reducir al mínimo las restricciones de proceso, se deberán tomar en cuenta las siguientes consideraciones: - Mínimo de memoria principal requerida y el equipo periférico que permita procesar las aplicaciones esenciales - Se debe tener documentados los cambios de software - En caso de respaldo en otras instituciones, previamente se deberá conocer el tiempo de computadora disponible Es conveniente incluir en el acuerdo de soporte recíproco los siguientes puntos: - Configuración de equipos - Configuración de equipo de captación de datos - Sistemas operativos - Configuración de equipos periféricos Finalmente se deberá estudiar que se tenga una lista de los requerimientos mínimos que deben tener para un efectivo plan de recuperación en caso de desastre. Lo más importante es identificar el número y tipo de componentes esenciales que puedan ser críticos en caso de emergencia o de desastre. I Equipo principal (equipo, canales de comunicación, memoria, etc.) Equipo fabricado Proyecto en el equipo ¿Es esencial para procesar? II Unidades de disco (incluyendo controladores, número de unidades, paquetes de discos, número de discos por paquete). Fabricante Número de unidades Capacidad Proyectos en que se usa ¿Es esencial para procesar? 153 III Unidades de cinta. IV Unidades de almacenamiento (en línea o fuera de línea) V Equipo periférico (lectoras, impresoras., etc.) VI Unidades de comunicación, controladores. Equipo Número de Proyecto en ¿Es equipo el que se esencial conectado usa para procesar? VII Sistemas operativos VIII Terminales. Equipo Unidad/ modelo Localización Proyecto en el ¿Es esencial que se usa para procesar? IX Equipo adicional - Electricidad KVA - Aire acondicionado BTU - Temperatura requerida - Humedad requerida Red de comunicación 1. Descripción de la red de comunicación. 1.1 En caso de emergencia, ¿es esencial el uso de la red de comunicación?. Describa el porqué de su respuesta. 2. Programas necesarios para la comunicación. Identificación Fabricante de los circuitos Ejemplo A++ Tipo/ Vaduz Condición Velocidad C-1 9600 Protocolo Asíncrono Punto final 154 Servicio dedicado Multipunto Computadora Timeplex mux Interfase Dispositivo Bell z/2 Tipo Localización ADM. II Coyoacán Méx. D.F. Se debe contar con: a) Copia de programas de producción b) Copia de archivos maestros de las aplicaciones clave y sistemas operativos c) Copia de la documentación de los sistemas e instructivos de operación d) Copia de los archivos necesarios para procesar las transacciones e) Inventario de formas especiales utilizadas en la operación normal (se deben incluir también papelería normal, cintas magnéticas, cintas de impresión) j) Un local con las instalaciones necesarias (energía, aire acondicionado, piso adecuado, etc.) k) Convenios para el uso de computadoras compatibles 9.7 condiciones, procedimientos y controles para otorgar soporte a otras instituciones Una práctica conveniente, que desde hace tiempo se ha venido observando en los centros de procesamiento es establecer arreglos con otros centros para utilizar su equipo. En caso de fallas mayores o en caso de desastre, como fuego, inundaciones, explosiones, etc., a fin de evitar interrupciones de los servicios de procesamiento por un largo periodo. Es muy conveniente que este tipo de arreglo se llevan acabo de una manera formal, interviniendo en ellos los niveles jerárquicos más adecuados para asegurar la seriedad del compromiso. A. B. C. D. A quiénes se les otorga Condiciones y controles Procedimientos Tiempo, periodicidad y costo NOTA: Es muy importante que señales si nos proporcionan servicio o si nosotros proporcionamos el respaldo o si se tiene. 155 10 __________________________________________________________________ Informe final 10.1 Técnicas para la interpretación de la información. Para interpretar la información podemos utilizar desde técnicas muy sencillas hasta técnicas complejas de auditoría. 10.1.1 Análisis crítico de los hechos Una de las primeras técnicas es el análisis crítico de los hechos. Esta técnica sirve para discriminar y evaluar la información; es una herramienta muy valiosa para la evaluación y se basa en la aplicación de las siguientes preguntas. PREGUNTA Qué Dónde Cuándo Quién Cómo Cuándo FINALIDAD el propósito el lugar el orden y el momento, sucesión la persona responsable los medios la cantidad La pregunta más importante es "qué", pues la respuesta permitirá saber si puede ser: Eliminada Modificada o cambiada Simplificada Las respuestas que se obtengan deben ser sometidas a una nueva pregunta "Por qué", la cual planteará un nuevo examen que habrá de justificar la información obtenida. Cada interrogante se debe descomponer de la siguiente manera: 156 1. Propósito a) qué se hace b) por qué se hace c) qué otra cosa podría hacerse d) qué debería hacerse 2. Lugar a) dónde se hace b) por qué se hace ahí c) en qué otro lugar podría hacerse d) dónde debería de hacerse 3. Sucesión a) cuándo se hace b) por qué se hace entonces c) cuándo podría hacerse d) cuándo deberá hacerse 4. Persona a) quién lo hace b) por qué lo hace esa persona c) qué otra persona podría hacerlo d) quién debería hacerlo 5. Medios a) cómo se hace b) por qué se hace de ese modo c) de qué otro modo podría hacerse d) cómo debería hacerse 6. Cantidad a) cuánto se hace b) por qué se hace esa cantidad (volumen) c) cuánto podría hacerse d) cuánto debería hacerse 10.1.2 Metodología para obtener el grado de madurez del sistema Para poder interpretar la información de los sistemas debemos evaluar el grado de madurez de los mismos. - Verificar si el sistema está definido - Verificar si el sistema está estructurado - Verificar si el sistema es relativamente estable - Verificar si los resultados son utilizados o no 157 CARACTERÍSTICAS DEFINIDO ESTRUCTURADO ESTABLE RESULTADOS MADURO COMPLETAMENTE ALTO NO CAMBIA UTILIZADOS INMADURO INCOMPLETO BAJA MUCHOS CAMBIOS NO UTILIZADOS Dependiendo del grado de madurez y su grado de estructuración, se determina si debe estar automatizado y la posible madurez que repercutirá en una mejor utilización y en disminución de cambios. Si el sistema está estructurado y maduro, se debió usar la técnica de sistema de información; si está estructurado pero no está maduro se debió seguir haciéndolo manualmente; si está semiestructurado y maduro se podrá usar la técnica de soporte en la toma de decisiones (DSS= Decisión system support). Si el sistema está semiestructurado pero no está maduro, debió seguirse haciendo en forma manual; si no está estructurado y maduro es un sistema guiado por la intuición y deberá seguirse haciendo en forma manual. Si no está estructurado ni maduro el sistema no tiene razón de existir. NIVEL DE MADUREZ MADURO INMADURO NIVEL ESTRUCTURA ESTRUCTURADO SISTEMA DE INFORMACIÓN GENERAL SEMIESTRUCTURADO SISTEMA SOPORTE DE MANUAL DE DECISIONES NO ESTRUCTURADO INTUITIVO SIN RAZÓN 10.1.3 Uso de diagramas Otra forma de analizar los hechos es seguir la ruta de información desde su origen hasta su destino y disponer de este camino en una secuencia cronológica, con el fin de clarificar dónde aparece, cómo avanza a lo largo del sistema y cómo llega a su destino. Esta técnica ayuda a hacer un estudio objetivo de todos los paros por los cuales deberá de pasar la información. 158 10.2 Evaluación de los sistemas Se debe evaluar el desarrollo que ha tenido el sistema por medio de analizar los pasos que comprendieron el desarrollo del sistema y comparar lo que se planeó contra lo que realmente se esta obteniendo. ANÁLISIS Se debe evaluar la información obtenida en los sistemas para poder: Determinar el objeto y compararlo con lo obtenido Buscar la interrelación con otros sistemas Evaluar la secuencia y flujo de las interacciones ETAPAS DEL ANÁLISIS 1. Análisis conceptual - Evaluar el sistema funcional - Evaluar la modularidad del sistema - Evaluar la segmentación del sistema - Evaluar la fragmentación del sistema - Evaluar la madurez del sistema - Evaluar los objetivos particulares del sistema - Evaluar el flujo actual de información - Definir el contenido de los reportes y compararlo con el objetivo 2. - Detalle de análisis actuales y esperados Evaluar los modelos de los reportes Evaluar los controles de operación Cuantificar el volumen de información Evaluar la presentación y ajustes Se debe conocer en términos generales el nivel del sistema funcional para obtener los elementos suficientes que permitan evaluar el nivel de interacción, su grado de estructuración y la madurez del sistema con el fin de determinar si se justifica su automatización. 1. EVALÚE EL OBJETIVO Evalúe que el objetivo general y el alcance del sistema funcional estén en forma clara y precisa. Esta actividad se encarga de delimitar el sistema obteniendo todo lo relacionado con él, mediante las entrevistas a los usuarios involucrados con el fin de evaluar si se cumplió con el objetivo. Las versiones que ofrezcan los usuarios deberán ser confrontadas para verificar su compatibilidad 159 2. EVALÚE LA INTERACCIÓN CON OTRO SISTEMAS Se debió analizar la información del sistema con el propósito de localizar sus interacciones y sus contactos con otros sistemas a fin de determinar si existe un sistema integral de información, sistemas aislados o simplemente programas o si existe redundancia y ruido y cuáles son los controles con que cuenta el sistema. Para evaluar todas las entradas y salidas que tienen lugar en el sistema, esta parte de la auditoría determina el flujo de operación y también todas las entradas y salidas que ocurren internamente. La manera de desarrollar esta actividad es usar aquellos documentos de información que maneja el sistema rastreando las fuentes y destinos elaborando o reservando la matriz de recepción/distribución de los documentos y la matriz de entradas/salidas. 3. EVALÚE SI SE OBTIENE LA SECUENCIA Y EL FLUJO DE LAS INTERACCIONES Para llevar a cabo esta actividad es necesario establecer el flujo de información a través del sistema, tomando la matriz de entradas/salidas y agregándole el orden de ocurrencia así como la periodicidad. Grafíquela en un plano horizontal para tratar de encontrar duplicidad de información. Este plano debe hacerse de tal manera que refleje un período de tiempo así como el orden de ocurrencia. 4. EVALÚE EL SISTEMA FUNCIONAL Dado que ya se evaluó el objetivo, las interacciones y su flujo, lo que se hace es analizarlo para tener una idea más clara de su función. Tomando como base los elementos de los primeros tres pasos, se debe verificar si es congruente con su objetivo, es decir, si la descripción define sus propósitos. En esta etapa se evalúa "qué hace" el sistema. 5. EVALÚE LA MODULARIDAD DEL SISTEMA Esta actividad subdivide el sistema en partes que puedan ser procesadas en forma independiente, pero cuyo objetivo particular es buscar el objetivo general del sistema funcional, correspondiendo a cada módulo una función general del sistema. Así mismo una función general del sistema consiste en identificar aquellas partes de él donde ocurre una entrada, un proceso y se obtiene un resultado parcial. 6. EVALÚE LA SEGMENTACIÓN DEL SISTEMA Este paso tiene por objeto subdividir los módulos en funciones particulares, de tal manera que el conjunto de funciones defina al módulo en cuestión. En esta parte deben evaluarse aquellas funciones que son realizadas para distintos módulos (interconexión modular); cada función extraída del módulo debió ser consistente y validada con el usuario. 160 7. EVALÚE LA FRAGMENTACIÓN DEL SISTEMA Se subdivide el segmento en funciones específicas o procedimientos, pues cada función particular o segmento puede contener uno o más procedimientos. As su vez cada procedimiento puede estar formado por distintos niveles (Jerarquía de procedimientos); dependiendo de su complejidad en esta parte se debe evaluar haciendo énfasis en "qué hace" y no el cómo lo hace ya que esto se evalúa en el análisis detallado. 8. EVALÚE EL FLUJO FUNCIONAL DE INFORMACIÓN DEL SISTEMA Identifique en cada documento su origen y su seguimiento a través de las diferentes entidades o departamentos por donde transita; a la vez vaya identificando sus adiciones y supresiones de información. Por último identifique cómo y dónde llega a su destino. Se recomienda el uso de 1 diagrama de flujo de información. 9. EVALÚE LOS DOCUMENTOS DE ENTRADA Y EL CONTENIDO DE LOS REPORTES Se deben evaluar las formas de entrada, su contenido, claridad, controles, copias solicitadas y autorizaciones, verificar que los reportes o pantallas de salida contengan todos los datos necesarios sin importar de dónde provienen. El uso que se le da, quién los prepara y a quién van dirigidos. 10. EVALUÉ LOS CONTROLES DE OPERACIÓN DEL SISTEMA Se debe evaluar claramente en qué parte del proceso operacional si se llevan a cabo controles, analizando sobre qué variables se ejerce y cómo s ejerce (procedimiento) y las acciones a tomar en cada situación dada, es decir, se evalúan su razón de ser, su método y su grado de sensibilidad. 11. CUANTIFIQUE EL VOLUMEN DE INFORMACIÓN QUE SE MANEJARÁ La importancia de este paso es tener una idea en la aproximación de los recursos que se necesitan se están siendo usados correctamente la situación del equipo y la posibilidad de incremento de equipo. Se obtiene sumando los caracteres involucrados en los reportes y documentos utilizados, especificando el número de veces que ocurre cada rubro y la longitud de ellos. El sistema deberá tener las siguientes características: GENERALIDAD. Que busca objetivos amplios pensando en que las aplicaciones pueden ser ampliadas. FLEXIBLE. Que puede ser susceptible de ser implantado en diferentes ambientes y equipos. CONFIABILIDAD. Esto es, que sea capaz de detectar posibles errores para que éstos no se procesen. 161 SEGURIDAD. Que el sistema cuente con dispositivos para que sólo la gente autorizada pueda tener acceso a la información. Fácil de usarse y operable, o sea que tenga la capacidad para recuperarse de una falla del equipo. CONFIDENCIALIDAD. Accesible sólo a aquellas personas autorizadas para su manejo, consulta y explotación. MODIFICABLE. Que se traduce en la capacidad del sistema para adiciones, sustituciones o eliminación de elementos con el fin de efectuar nuevas funciones o deje de efectuar otras, sin alterarse las que no se deseen. 12. EVALUACIÓN DE LOS ARCHIVOS. Analice al detalle los archivos de información involucrados en el sistema señalando sus atributos y propiedades, su estructura, clasificación, organización, factor de bloque, frecuencia de uso, campos, códigos, tamaño. Se recomienda hacer referencia a los programas que lo usan. 13. EVALUACIÓN DE REPORTES. Se evaluarán las formas de salida de los reportes, o sea la infraestructura de lo mismo, mediante el diseño de la forma y la distribución de su contenido, validándola con el usuario. Programa que lo genera Archivos usados Frecuencia Usuario Contenido PRUEBAS Y REVISIONES. El objetivo es asegurarse que el sistema funcione de acuerdo a las especificaciones funcionales a fin de que el usuario tenga la suficiente información para su manejo, operación y aceptación. (Es recomendable utilizar la información obtenida en las opiniones de los usuarios). Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento en que se detecta. Las pruebas del sistema buscan asegurar que se cumplan los requisitos de las especificaciones funcionales, verificando datos estadísticos, transacciones, reportes, archivos anotando las fallas que pudieran ocurrir y realizando los ajustes necesarios. Los niveles de prueba pueden ser agrupados en módulos, programas y en el sistema total. 162 10.3 Evaluación de los sistemas de información Esta función tiene gran importancia en el ciclo de evaluación de las aplicaciones de sistemas de información por computadora. Busca comprobar que la aplicación cumpla las especificaciones requeridas por el usuario, que haya desarrollado dentro de lo presupuestado y que efectivamente cumpla con los objetivos y beneficios esperados. Un cambio a un sistema existente, como la creación de un nuevo, introduce necesariamente cambios en la forma de obtener la información y un costo adicional. Ambos deberán ser evaluados antes y después del desarrollo. Se debe evaluar el cambio (si lo hay) de la forma en que las operaciones son ejecutadas, comprobar si mejora la exactitud de la información generada, si la obtención de los reportes efectivamente reduce el tiempo de entrega, si es más completa, en que tanto afecta las actividades del personal usuario, si aumenta o disminuye el personal de la organización, los cambios de las interacciones entre los miembros de la organización. De ese modo se sabrá si aumenta o disminuye el esfuerzo por generar la información para la toma de decisiones, con el objeto de estar en condiciones de determinar la productividad y calidad del sistema. El análisis deberá proporcionar: la descripción del funcionamiento del sistema desde el punto de vista del usuario, indicando todas la interacciones del sistema, la descripción lógica de cada dato, las estructuras que forman éstos, el flujo de información que tiene lugar en el sistema. Lo que el sistema tomará como entradas, los procesos que serán realizados, así como las salidas que deberá proporcionar, los controles que se afectarán para cada variable y los procedimientos. De este modo se agruparán en cuatro grandes temas. EVALUACIÓN EN LA EJECUCIÓN EVALUACIÓN EN EL IMPACTO EVALUACIÓN ECONÓMICA EVALUACIÓN SUBJETIVA 1. EVALUACIÓN EN LA EJECUCIÓN Se refiere al uso de cuestionarios para recabar datos acerca de la actuación de la aplicación en la computadora, con objeto de conocer qué tan bien o qué tan mal está siendo usada y opera eficientemente. Los cuestionarios son medios para recopilar datos acerca de los recursos de informática y pueden ser cuestionarios manuales, encuestas de opiniones, evaluación de documentación, obtención de información electrónica integrada al equipo (hardware) y de programas ejecutándose (software), obteniéndose en ambas las estadísticas acerca de su uso. 163 Existen dos tipos de estadística: 1. Estadística de software Son un juego de instrucciones ejecutables, conectadas al sistema operativo con el fin de colectar datos acerca de la operación del sistema ya„cerca de los programas de aplicación; éste requiere memoria y proceso adicional, decrementando la rapidez del microprocesador. Esta estadística ayuda a detectar qué recursos adicionales se necesitan o qué recursos existentes deben ser ejecutados para lograr más eficiencia, ayuda a identificar cuáles son los lenguajes más usados, qué tipo de proceso es más común, etc. 2. Estadística de hardware Puede ser utilizada para medir la cantidad de tiempo de la unidad de procesamiento central, pero también podrá ser concentrada a los canales de comunicación y dispositivos de almacenamiento secundario para determinar la frecuencia y la cantidad utilizada. Estos dos tipos de estadística normalmente son proporcionados por el fabricante de computadoras, pero algunos pueden ser desarrollados por la propia organización. 2. EVALUACIÓN EN EL IMPACTO Es la evaluación que se hace sobre la manera en que afecta a la gente que interviene en la aplicación (usuarios) con el objeto de determinar como la implantación y el uso del sistema de información que afecta a la organización, distinguiendo qué factores son directamente atribuibles al sistema. Las principales áreas que nos deben interesar son las que intervienen en la toma de decisiones y en las actividades de operación. Esta evaluación se hace con el fin de detectar a la gente involucrada , las actividades que son necesarias realizar, la calidad de la información y el costo de operación resultante. Algunas expectativas deben ser elaboradas y jerarquizadas antes de empezar a diseñar el sistema con el fin de que, cuando se instale, se compruebe si los resultados satisfacen plenamente lo planeado. Asimismo se debe evaluar el efecto que se tiene sobre el ambiente del sistema (personas, leyes, etc.). Para ello contamos con varias técnicas que nos ayudan en este propósito, las cuales son: a) Bitácora de eventos b) Registro de actitudes c) Contribución y peso d) Análisis de sistemas 164 PRESUPUESTO 3. EVALUACIÓN ECONÓMICA Aquí se obtiene el costo de una aplicación y cuantifican los beneficios esperados con el objeto de justificar o no su desarrollo, o comprobar que la aplicación se desarrolló según lo presupuestado. Es importante para la organización obtener la evaluación económica que le permitirá justificar su desarrollo e implantación. Cuando la aplicación ha sido realizada, se busca obtener el costo real contra el beneficio real para comprobar o determinar el porqué de la diferencia de los presupuestado y/o la calidad de la aplicación. Se debe evitar crear sistemas que perjudiquen la organización y minen su economía. Hay que tratar de obtener el mayor beneficio con el equipo disponible e invertir en equipos adicionales sólo cuando esté plenamente justificada la inversión por los beneficios que se obtendrán. 4. EVALUACIÓN SUBJETIVA Partiendo de la premisa de que los usuarios son los principales afectados directamente por el sistema, sus puntos de vista y necesidades deberán ser considerados para la evaluación. Los que procesan los datos, el personal de sistemas y personal de alta dirección deberán también participar en la determinación de los beneficios económicos de la actividad particular a ser desarrollada. La justificación de la evaluación subjetiva se centra en que la opinión del grupo usuario proporciona un punto de vista más completo de la aplicación, ayudando a obtener aquellos factores que se hubieran pasado por alto. Los métodos de la evaluación subjetiva pueden ser: a) Uso de cuestionarios b) Desarrollo de una metodología que midiera el valor de la información generada por la aplicación y por la ganancia de su uso. 10.4 Controles Un punto muy importante a considerar dentro de la auditoría en informática son los controles, los cuales se dividen en generales, operativos (dependiendo del sistema) y técnicos (equipos y sistemas). 165 Los controles generales normalmente se aplican a todo procesamiento de la información y son independientes de las aplicaciones, estos controles incluyen: - Planeación - Organización - Políticas y procedimientos - Estándares - Administración de recursos - Seguridad - Confidencialidad Los controles operativos comprenden cada uno de los sistemas en forma individual y constan de: - Control de flujo de la información y tabla de decisiones - Control de proyectos - Organización del proyecto - Reporte de avance - Revisiones del diseño del sistema - Control de cambios a programa - Requisición del cambio - Bitácora de cambios - Mantenimiento y documentación - Producción - Controles de documentación - Documentación (sistema, programa) - Mantenimiento y acceso a la documentación - Control de sistemas y programas - Sistemas en lote - Control de programas - Etiquetado de archivos - Sistemas en línea - Controles de salida - Control de programa - Controles de salida Los controles técnicos que se deben de evaluar son: - Controles de operación y uso de la computadora - Supervisor - Capturistas - Bibliotecario - Operadores - Mesa de control 166 - Controles de entrada y salida - Reporte de fallas y mantenimiento preventivo - Controles sobre archivos - Recuperación de desastres - Controles de usuarios De origen de datos - Controles de entrada de datos - Controles de salida de datos - Controles técnicos - Aplicaciones Sistemas - Equipos - Controles lógicos del sistema - Sistemas operativos - Sistemas de utilería - Sistemas de bibliotecas - Sistemas de mantenimiento de archivo - Sistemas de seguridad - Control de acceso al sistema - Control de cambios al sistema - Redundancia en la información - Inconsistencia de datos - Seguridad - Controles de seguridad, respaldo y confidencialidad 10.5 Confección y redacción del Informe Final La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. 167 Estructura del informe final: • • • • El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría. Enumeración de temas considerados: antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: a. Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. b. Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c. Puntos débiles y amenazas. d. Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e. Redacción posterior de la Carta de Introducción o Presentación. Modelo conceptual de la exposición del informe final - El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector. El Informe debe consolidar los hechos que se describen en el mismo. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios: 1. El hecho debe poder ser sometido a cambios. 2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. 3. No deben existir alternativas viables que superen al cambio propuesto. 4. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. La aparición de un hecho en un informe de auditoría necesariamente la existencia de una debilidad que ha de ser corregida. implica 168 Flujo del hecho o debilidad: 1. Hecho encontrado. - Ha de ser relevante para el auditor y para el cliente. - Ha de ser exacto, y además convincente. - No deben existir hechos repetidos. 2. Consecuencias del hecho - Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3. Repercusión del hecho - Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. 4. Conclusión del hecho - No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. 5. Recomendación del auditor informático - Deberá entenderse por sí sola, por simple lectura. - Deberá estar suficientemente soportada en el propio texto. - Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación. - La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. - Carta de introducción o presentación del informe final: La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de introducción. La carta de introducción poseerá los siguientes atributos: • Tendrá como máximo 4 folios. • Incluirá fecha, naturaleza, objetivos y alcance. • Cuantificará la importancia de las áreas analizadas. • Proporcionará una conclusión general, concretando las áreas de gran debilidad. • Presentará las debilidades en orden de importancia y gravedad. • En la carta de introducción no se escribirán nunca recomendaciones. 169 11 __________________________________________________________________ Diferentes auditoría enfoques de la 11.1 Introducción Existen estudios en relación con la función informática que hacen la siguiente aseveración " La función informática no está ni ha estado bien administrada", esto quiere decir que generalmente a la problemática que se presenta se le da un seguimiento por excepción y no por función ya que en las empresas no están establecidos los controles preventivos, correctivos o detectivos necesarios para administrarla de manera adecuada y que toda la problemática se resuelve después de haber aparecido de manera momentánea sin establecer un control definitivo, teniendo como consecuencia un despilfarro en los recursos informáticos y en recursos económicos, por lo que se hace cada vez mas evidente la necesidad de establecer una evaluación periódica y permanente de las áreas involucradas en esta función para lograr una operatividad eficiente de acuerdo con las normas establecidas, que es lo que se conoce como auditoría en informática. Esta se puede llevar a cabo teniendo dentro de la organización esta función o contratando asesores externos. Las auditorias en informática pueden ser realizadas con diferentes metodologías, en donde cada una de ellas es elaborada por para obtener el mismo producto final, que es el llamado: "informe final" que es donde se plasman todas las recomendaciones del grupo de auditores con el objetivo de que la función de informática trabaje de la manera más eficiente y eficaz y disminuir la 170 incertidumbre de la interrupción de la misma. Es necesario que los auditores tomen en cuenta las siguientes tres normas: • • • Normas personales Normas de ejecución del trabajo Normas de información Normas personales 1. La evaluación debe de ser realizada por una persona o personas que tengan el entrenamiento técnico y la capacidad profesional adecuada para realizarla. 2. En todos los asuntos relacionados con el trabajo, el auditor o los auditores deben mantener imparcialidad mental. 3. Tener el debido cuidado y diligencia profesional en el desarrollo de la evaluación y en la preparación del informe. Normas de ejecución del trabajo. 1. El trabajo se debe planear adecuadamente y los colaboradores, si es el caso, deben ser supervisados en forma adecuada. 2. Se debe efectuar un estudio y evaluación del control interno existente como base de la confianza que se va a depositar en él, y como fundamento de la extensión de las pruebas a que deberán sujetarse los procedimientos de auditoría. 3. Se debe obtener la evidencia suficiente y competente a través de inspecciones en el área de trabajo, observaciones, investigaciones y confirmaciones que permitan establecer la base razonable sobre la que se apoya el dictamen a los sujetos a la revisión. Normas de información 1. El informe deberá expresar una opinión relacionada a cada una de las áreas evaluadas, haciendo referencia al cumplimiento o no de la normatividad establecida en cada una de ellas, en caso de que no se pueda dar una recomendación adecuada, deberá de establecer las razones que lo llevan a ello. 171 Primer enfoque Enrique Hernández Hernández autor del Libro "Auditoría en Informática" en su segunda Edición, escribe lo siguiente: Que es necesario la implantación en la empresa una estructura organizacional que permita tener dentro de ella la función de auditoría en informática, basada en las siguientes estrategias y cursos de acción Estrategias: 1) Formalizar la auditoría en informática en la organización a través de: a) Cursos de acción que justifiquen el desarrollo de la función de auditoria informática en el negocio. b) Presentar a la alta dirección el documento de justificación. c) Aprobación del proceso por la alta dirección. d) Difusión de la auditoría en informática en las áreas relacionadas directa e indirectamente con la informática. e) Desarrollo del proceso de auditoría en informática en el negocio. 2) Proporcionar a la empresa o institución un proceso de auditoría en informática permanente con objetivo de garantizar a la alta dirección: a) Que la seguridad, políticas y procedimientos que se orientan hacia los recursos de informática y a la información que éstos manejan sean eficientes y confiables. b) Apoyo a los objetivos del negocio al tomar decisiones con base a información que cumpla con los requisitos mínimos exigidos por auditoría, como exactitud, totalidad, autorización, actualización, etc. Asimismo, se cumplirán los requerimientos exigidos de calidad y oportunidad. c) La verificación del uso de tecnología que requiere y justifica cada área y nivel organizacional dentro del negocio. d) La existencia de un proceso de evaluación y justificación de cada proyecto de inversión relacionado con la función informática. e) La elaboración y desarrollo formal de un proceso de planeación en informática que se oriente al plan del negocio. 172 f) El uso formal de metodologías, técnicas y herramientas por el personal de informática para el desempeño eficiente de sus tareas y generador de productos de calidad. g) Promover que el personal de informática se desarrolle en un ambiente de profesionalismo y de alta productividad tomando como base habilidades, conocimientos y perfiles requeridos por la organización. Cursos de acción: 1. Lograr que la alta dirección, las áreas o departamentos usuarios y el personal, de informática tomen conciencia de la necesidad de contar con una función de auditoría en informática que asegure y oriente el uso eficiente de los recursos involucrados con la misma. 2. Formalizar un procedimiento que contemple la difusión, asimilación de los planes, objetivos, beneficios y áreas de oportunidad que representa la auditoría en informática para la organización. 3. Una vez aprobada la creación o contratación de externos para el proceso de auditoría en informática, se produce a la planeación y desarrollo formal del mismo. 4. El proceso de planeación de la auditoría en informática ha de reflejar proyectos que contemplen prioridades para la alta dirección, áreas de oportunidad para el negocio y evaluaciones que la función de auditoría en informática considere fundamentales para el aseguramiento de la calidad y uso eficiente de los recursos de informática y de la información manejada por dichos recursos. 5. Coordinar formalmente las visitas y reuniones necesarias con el personal usuario y de la informática involucrado en cada proyecto. 6. Ejecutar de manera formal y oportuna cada proyecto de acuerdo con lo planeado. 7. Entregar a la alta dirección informes ejecutivos y detallados de cada proyecto aprobado por el comité de trabajo. Dicho comité puede estar integrado por la dirección general, gerentes usuarios, gerentes de sistemas, gerentes de auditoría interna y auditores externos. 8. Lograr que las áreas y los niveles involucrados en los proyectos de auditoría en informática que reconozcan la importancia que representa el apoyo formal y oportuno que requiere este tipo de proyectos para la implantación de las soluciones emanadas del proceso. 9. Investigar, analizar y formalizar la metodología de auditoría en informática utilizado por el personal de la función con el objeto de orientar los requerimientos actuales y futuros de la organización, tomando en cuenta las políticas, procedimientos y estándares recomendados a nivel nacional e internacional por las asociaciones y entidades profesionales especializadas en el campo. 173 10. Elaborar un programa de actualización de personal de auditoría en informática, que mida su desempeño con base en los objetivos logrados contra los objetivos planeados. 11. Orientar los esfuerzos de la función de auditoría en informática hacia la búsqueda y logro de soluciones que apoyen los objetivos del negocio. Después de organizar el área busca la ubicación jerárquica de la función de auditoría informática, tratando de que los auditores cuenten con: • • • • • Independencia funcional. Libertad de acción. Facultad para la toma de decisiones. Negociación con los niveles gerenciales. Involucramiento en proyectos de alto impacto para el negocio. Y esta puede estar de dos formas: 1. A nivel estratégico 2. A nivel táctico 174 1. Nivel estratégico (Equipo de apoyo a la dirección) Características Independencia funcional Beneficios Comunicación formal y permanente entre la alta dirección y los responsables de auditoría en informática El proceso de auditoría Apoyo y soporte opera estratégicamente constante de la alta dirección a la función Por lo general se haya en Objetivo en el instituciones financieras, desempeño de la función de crédito Posibles limitaciones El seguimiento del desempeño de la función por parte de la alta dirección En gran parte de las empresas no se acepta la auditoría en informática No existen muchos profesionales con experiencia, técnicas y habilidades requeridas para ejercer la función de auditoría informática a un nivel estratégico. Existe un compromiso permanente con la alta dirección Personal de auditoría con visión del negocio 175 2. Nivel táctico (gerencias, jefaturas) Características No hay independencia funcional respecto a otras direcciones o gerencias Beneficios La alta dirección la considera una función indispensable para observar el cumplimiento de políticas y procedimientos de informática en el negocio La función tienen contacto con los responsables para la toma de decisiones Se encuentra en los diversos sectores de la comunidad, con frecuencia en ciertas instituciones de crédito, gubernamentales y en grado menor en el sector industrial y educativo. Se limita mucho al estilo Existen asociaciones, de trabajo del nivel consultores y escuelas superior al que reporta profesionales que impulsan diariamente la formalización de la función, al menos a un nivel táctico. Posibles limitaciones Se debilita el compromiso y soporte de la alta dirección hacia la función El porcentaje de empresas que considera importante contar con una función a este nivel es mínimo. No existen muchos profesionales con experiencia, técnicas y habilidades requeridas para ejercer la función de auditoría informática a un nivel táctico. Después de analizar que tipo de estructura tendrá la función de informática, se analiza de quien dependerá, y para ello se plantean cuatro posibles escenarios: 176 1. Dependiendo de la dirección o gerencia de auditoría. Consideraciones clave de la función en el entorno del negocio Independiente de la función de informática y de las otras áreas de la empresa donde se dará la auditoría en informática Integración de los controles y políticas de informática a los establecidos para las otras áreas del negocio. Ventajas/áreas oportunidad de Integración de los controles y políticas de informática a los establecidos para las otras áreas del negocio Hay una planeación y desarrollo conjunto de proyectos con las otras áreas de auditoría Se asegura control y seguimiento sobre todos los recursos y proyectos de informática. Desventajas/restricciones Las áreas del negocio no aceptan con facilidad ser evaluadas por personal de la misma empresa. 2. Dependiendo de la dirección o gerencia de informática Consideraciones clave de la función en el entorno del negocio Hay dependencia de tipo funcional hacia el director o gerente de informática El director o gerente de informática debe ser negociador y facilitador para impulsar el proceso de auditoría en informática en todo el negocio, no sólo en su área Ventajas/áreas oportunidad de Se facilita en alto grado de nivel de apoyo de informática Conocimiento formal y oportuno de los proyectos e inversiones de informática Desventajas/restricciones Incertidumbre acerca de qué anomalías, carencias e incumplimiento de la función informática se hagan del conocimiento de la alta dirección de manera formal y oportuna. El enfoque de la auditoría en informática es limitarse a ser una entidad que “sugiere, no que controla o asegura” Se agiliza el proceso de concientización en el personal de informática en el cumplimiento de políticas y controles 177 3. Como personal de apoyo de la dirección general Consideraciones clave de la función en el entorno del negocio La función se ubica como una entidad estratégica dentro del negocio El responsable de la función debe tener una visión de negocio Hay un compromiso de dar resultados que generen valor agregado. Ventajas/áreas oportunidad de Apoyo permanente de la alta dirección en la difusión e implantación de políticas, controles y procedimientos Las áreas del negocio se comprometen a cumplir las políticas y controles inherentes a informática de una manera formal. Se justifica el perfil de ejecutivo del auditor en informática. Desventajas/restricciones La alta dirección debe dar seguimiento al desempeño de informática con conocimiento de causa Se reduce el margen de error en cada uno de los proyectos de auditoría en informática al ser evaluados por la alta dirección. Se orientan los proyectos de informática. 4. Como función de auditoría en informática ejercida por externos Consideraciones clave de la función en el entorno del negocio Los proyectos con los asesores externos deben ser coordinados por la dirección o gerencia de auditoría o informática. Se da cuando se carece de la función de información, o si ésta existe se busca asegurar o validar información relevante para la alta dirección. El personal externo ha de contar con amplia experiencia en este ramo y ser reconocido por su trayectoria en el mercado regional o nacional al menos. Debe evaluarse su desempeño una vez terminado su trabajo. Ventajas/áreas oportunidad de Desventajas/restricciones Los despachos o asesores externos por lo general se apoyan en métodos, técnicas y estándares de auditoría en informática comúnmente aceptados a nivel nacional e internacional. Son personal de n nivel profesional más que aceptable, debido a su experiencia y constante actualización. Existe un compromiso moral y profesional del auditor en informática para ejercer la asesoría de manera ética e independiente. Pueden darse información. fugas de Se exigen resultados y beneficios desde el inicio de los proyectos. En ocasiones las soluciones y recomendaciones no son las adecuadas para el negocio. Si es contratado por el responsable de la informática puede estar influido en el momento de elaborar y entregar el informe final del trabajo. Se requiere compromiso y participación formal de todos los involucrados. Costos altos y difíciles de controlar. El tiempo de asimilación de lo que e el negocio puede prolongarse. 178 Una vez que es ubicada la función de auditoría en informática en alguna de las cuatro estructuras jerárquicas anteriores, es necesario para hacer rentable la función, establecer las funciones que debe realizar, entra las que se encuentran como mínimas las siguientes: a) Evaluación y verificación de los controles y procedimientos relacionados con la función de informática dentro de la organización. b) La validación de los controles y procedimientos utilizados para el aseguramiento estable del uso eficiente de los recursos informáticos dentro de la organización. c) Evaluación, verificación e implantación oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática. d) Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimientos que regulan las actividades y utilización de los recursos de informática de acuerdo con las políticas de la organización. e) Desarrollar la auditoría informática conforme normas y políticas estandarizadas a nivel nacional e internacional. f) Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del negocio. g) Elaborar un plan de auditoría en informática en los plazos determinados por el responsable de la función. h) Obtener la aprobación formal de los proyectos del plan y difundirlos entre los involucrados con el mismo. i) Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de auditoría en informática. Habla de la necesidad de administrar la función de auditoría en informática con la finalidad de verificar que al menos cumplan con los principios básicos del proceso administrativo, con el objetivo de que esta función realmente aporte beneficios a la organización, mediante el desempeño eficiente dentro de la misma, siendo los más importantes: a) la planeación, es necesaria para establecer de manera conjunta con los demás auditores de la empresa fechas probables de revisión de las áreas, unificación de metodologías, capacitación de personal de auditoría de manera conjunta, seguimiento de debilidades importantes que se hayan detectado, etc. 179 b) el personal, este es verdaderamente importante en la realización de una auditoría en informática, debido que depende mucho de los conocimientos los auditores, así como de la experiencia profesional el éxito de la misma. Por lo que es importante recalcar que es necesario establecer el perfil necesario de los auditores que se necesitan dentro de la organización para tomarlo en cuenta al momento de la contratación de personal, así como de la participación de personal de la función de informática para su aprobación. c) el control, aquí se encuentra la supervisión, que es una parte importante de la auditoría en informática ya que permite visualizar mediante un proceso continuo la planeación de la auditoría finiquitada con la entrega del informe final. d) el seguimiento del desempeño, es importante para evaluar: - Productividad y calidad de los proyectos. Avances de proyectos Resultados. Áreas susceptibles de control y seguimiento. Seguimiento individual y de grupo. con el objetivo de que esta función realmente aporte beneficios a la organización , mediante el desempeño eficiente dentro de la misma. La metodología para el desarrollo e implantación de la auditoría en informática es verdaderamente importante para llevarla a cabo, ya que brinda al grupo de auditores un camino estructurado que les permita llevar a cabo tareas, actividades, productos terminados, revisiones, funciones, responsabilidades, etc.; orientándolos a trabajar en equipo para la obtención de productos terminados de buena calidad. Es conveniente recalcar que una metodología no augura el éxito de una auditoría, además se requiere de un buen dominio de: Técnicas Herramientas de productividad Habilidades personales Conocimientos técnicos y administrativos Experiencia en los campos de auditoría e informática Conocimiento de los factores del negocio y del medio externo al mismo Actualización permanente 180 Involucramiento y comunicación constante con asociaciones nacionales e internacionales. Otras La metodología de auditoría en informática esta formada por seis etapas. 181 1. Etapa preliminar o diagnóstico del negocio Es el primer paso práctico del auditor en informática dentro de las empresas o instituciones al efectuar un proyecto de auditoría en informática. Se busca la opinión de la alta dirección para estimar el grado de satisfacción y confianza que tiene en los productos, servicios y recursos de informática del negocio; de la misma forma es posible detectar las fortalezas, aciertos y apoyo que brinda dicha función desde la perspectiva de los directivos del negocio. Tareas Diagnóstico negocio Productos terminados del Misión y objetivos del negocio Organización de informática Grado de apoyo al negocio Diagnóstico informática de Misión y objetivos de la función de informática Organización de informática Control (formalidad) Productos y servicios Detectar área oportunidad de Área de oportunidad mejoras inmediatas para Responsables Involucrados LP/RAI AD LP/RAI AS LP/RAI AD/PU LP/RAI RI LP/RAI LP/RAI LP/RAI RI RI/PI RI LP/RAI AD/PU/RI Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área de informática; PI = Personal de informática; RAI = Responsable del área de Auditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática. En esta etapa del proceso metodológico se estiman las áreas de informática que deben de auditarse y se bosquejan tiempos, costos y recursos inherentes a dicha revisión. Esto se hace una vez que el auditor conoció: 1) Del negocio: • • • • • • • Giro de la empresa. Áreas organizacionales y procesos básicos que componen la empresa. Planes o proyectos del negocio que involucren a informática. Cultura organizacional. Imagen del desempeño del departamento o área de informática ante la alta dirección. Apoyo de la dirección a informática. Fortalezas y debilidades de informática, según la alta dirección. 182 2) Del área de informática • Estructura. • Puestos y funciones globales, servicios relevantes, planes o proyectos del área cultural de trabajo. • Consideraciones del responsable de informática relativas al apoyo que recibe de la alta dirección de la empresa. • Fortalezas y debilidades del área, según el responsable de informática. 2. Etapa de justificación. Una vez finalizada satisfactoriamente la etapa preliminar, el auditor en informática debe iniciar la siguiente etapa de la metodología que corresponde a la justificación; cabe mencionar que en esta etapa el auditor puede llevara a cabo actividades en paralelo lo que es válido y justificado si éste cuenta con los recursos y la experiencia necesarios en este tipo de proyectos. Tareas Reductos terminados Realizar matriz de Matriz de riesgos riesgo Responsables Justificar la auditoría Justificación de la por cada área de matriz de riesgos revisión Hacer un plan Plan general general de auditoría informática en informática Aprobación del plan de Plan aprobado Involucrados LP/AI RAI LP/AID RAI LP RAI/AI LP RAI/RI Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área de informática; PI = Personal de informática; RAI = Responsable del área de Auditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática. En esta etapa se obtienen tres productos terminados importantes que son: 1. Matriz de riesgos, que define las áreas que van a ser auditadas, en dónde su formato es el siguiente: __________________________________________________________________ Empresa: Gerencia: Representante usuario: Representante de informática: Fecha de elaboración: Líder del proyecto Áreas susceptibles Aspectos o componentes Riesgo por Clasificación del riesgo Área por auditar de auditar por evaluar del área componente por áreas (Total) Según clasificación 183 Las consideraciones que se deben de tomar en cuenta al elaborar la matriz de riesgos son: • Es una tarea relevante y necesaria para el auditor en informática. • Los parámetros para medir el nivel de riesgos pueden cariar de acuerdo con factores como la experiencia y conocimiento en la auditoría, así como las áreas que conforman informática o el grado de profundidad y análisis que desee darle el auditor en informática. • Algunos hechos pueden indicar directamente al auditor en informática la existencia de riesgos relevantes. • Revisar la matriz de riesgos con el responsable de auditoría en informática. • Asegurarse de contar con el soporte que requieran las debilidades o anomalías detectadas (entrevistas, cuestionarios analizados revisados y documentados) para ser validadas oportunamente. 2. Plan general de auditoría en informática, que consiste en plantear las tareas más importantes que se ejecutarán durante cierto período al efectuar la auditoría en informática. __________________________________________________________________ Empresa: Gerencia: Representante usuario: Representante de informática: Áreas por auditor según Clasificación y Prioridades Aspectos o componentes del área por auditor Fecha de elaboración: Líder del proyecto: Prioridad asignada Clasificación del riesgo Fecha de inicio/ por área (total) Fecha de terminación (estimadas) Este se elabora después de haber terminado la matriz de riesgos y los principales aspectos que debe contemplarse en su elaboración, son: • • • El plan general de auditoría en informática se deriva de los siguientes elementos: - Áreas de oportunidad. - Matriz de riesgos. - Prioridades de la alta dirección, de auditoría, de informática o de la misma función de auditoría en informática. En esta etapa se elabora sólo el plan de auditoría general ya que sólo se busca la aprobación y análisis por parte de la alta dirección. Es importante la retroalimentación constante entre el líder del proyecto u los demás involucrados. 184 Y dentro de las principales actividades del auditor para elaborar el plan general de auditoría en informática, son: • • • • • • • • Estimar el tiempo necesario para auditar cada área determinada en la matriz de riesgos y en las tareas de apoyo con el fin de alcanzar las áreas de oportunidad planteadas. Analizar y definir los aspectos y componentes más relevantes que se evaluarán, tomando en cuenta las características propias del negocio, Si es necesario verificará la importancia y validez de los puntos anteriores con los involucrados sin consumir mucho tiempo ni aplicar tecnicismos en las entrevistas que pueden ser por vía telefónica, por fax o personales. Asignar prioridades a cada área por evaluar o revisarlas con los principales involucrados en el proyecto. Definir fechas estimadas de inicio y terminación por área de revisión, no por componente. Establecer fechas de revisión formales (firmas, aprobaciones) e informales (avances). Definir responsables e involucrados directos por etapas del proyecto. Otras de interés para el auditor en informática según las características del proyecto y del negocio. 3. Compromiso ejecutivo, aquí se otorga el visto bueno al líder del proyecto para continuar con las siguientes etapas de la metodología. En esta etapa, es necesario presentar para lograr el compromiso del ejecutivo, los siguientes aspectos: • Presentación del plan con la información de soporte requerida bien documentada y validada con los principales involucrados: Resumen del diagnóstico actual. Áreas de oportunidad. Matriz de riesgos. Prioridades. Otros comentarios que sirvan de apoyo. Ser objetivo y claro al exponer el plan general. Justificar cada una de las áreas a auditar con datos concretos y bien documentados. 185 Lograr que la alta dirección tome conciencia del compromiso requerido para la culminación exitosa del proyecto. Recibir la aprobación formal del plan general (firma) El líder del proyecto debe indicar las fechas de inicio y terminación estimadas. Para la elaboración del plan general de auditoría en informática, el auditor en informática o líder del proyecto deberá tomar en cuenta lo siguiente: • • • • • • • • • • • • Revisión del plan general Considerar fecha posible de reunión con los involucrados en esta tarea. Documentar y resumir el diagnóstico actual. Verificar y documentar áreas de oportunidad y matriz de riesgos. Justificar cada área de revisión con los datos obtenidos anteriormente. Recomendar o negociar fecha de revisión y aprobación del plan con los involucrados. Efectuar reunión. Exponer y justificar el plan de auditoría en informática. Obtener aprobación formal del plan general. Establecer fechas de inicio del proyecto. Obtener el compromiso del ejecutivo en el transcurso del proyecto. Otros que el auditor en informática considere pertinentes. 3. Etapa de adecuación El objetivo principal de esta etapa, es la de adaptar el proyecto de auditoría a las características del negocio, sin olvidar la referencia de estándares, políticas y procedimientos de auditoría en informática comúnmente aceptados y recomendados por las asociaciones relacionadas con el proceso, así como las formuladas y aprobadas de manera particular en los negocios para informática. Una vez concluida esta etapa, el auditor en informática contará con un proyecto bien especificado y clasificado adaptado a las necesidades de la empresa en particular a través de un conjunto de tareas estructuradas, definiendo con certeza los objetivos y requerimientos particulares para concluir positivamente la revisión de las área mencionadas en el plan de auditoría informática. En está etapa se obtiene como producto terminado, el plan detallado de auditoría en informática, además por área de revisión deberá definir: 186 • • • Técnicas y herramientas. Estándares, políticas y procedimientos. Cuestionarios. Tareas Productos terminados Definir los objetivos Objetivos y alcances del proyecto proyecto del Responsables LP Involucrados RAI Definir etapas del Etapas y sus tareas proyecto y su detalle Plan actualizado Responsables e involucrados Productos terminados Revisiones (formal e informal) AI AI AI AI AI LP LP LP LP LP Definir los Aspectos o elementos por elementos por áreas evaluar por cada área de de revisión revisión Técnicas Software Equipo de cómputo Otros de interés para el auditor AI LP AI AI AI AI LP LP LP LP Definición o Políticas y procedimientos por actualización de verificar de cuerdo con cada políticas por área área que será auditada Políticas complementarias AI LP AI LP Elaboración actualización cuestionarios área o Cuestionarios por cada área de que será auditada por AI LP Cuestionarios adicionales RAI LP Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área de informática; PI = Personal de informática; RAI = Responsable del área de Auditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática. Conforme avanza el proyecto de auditoría en informática es probable que surjan actualizaciones en prioridades, involucrados, requerimientos, etc., que obligan a actualizar el plan de auditoría en informática que en la etapa anterior se estableció el compromiso con el ejecutivo; por lo que es necesario: 1. 2. Primero justificar la actualización, Llevar una bitácora de cambios, en donde se registre: • El cambio. • Motivo del cambio. 187 • • • • • • • Responsable de solicitar el cambio. Tareas o fechas que afecta. Área(s) por evaluar afectadas por el cambio. Responsable de aprobar el cambio. Fecha del cambio. Plan actualizado. Otros que el auditor en informática considere necesarios para la culminación exitosa del proyecto. 3. Evitar caer en 4 el ciclo de actualización-terminación-actualizaciónterminación. Es importante mencionar que en esta etapa es recomendable que se realicen dos planes detallados con orientación diferente y objetivo común: el llevar a cabo la administración del proyecto: 1. Un plan interno, que su propósito principal poder verificar el cumplimiento del proceso metodológico por parte de los auditores en informática. Este plan puede hacerse antes de la etapa preliminar o de diagnóstico. Tareas Productos Involucrados Responsables Revisiones Duración Preliminar Justificación Adecuación Formalización Desarrollo Implantación 2. Plan detallado de auditoria informática, el cual contiene datos que pretenden ser guía del proyecto de auditoría en informática ya que describen tareas, productos terminados, responsables, involucrados, fechas de revisión, etc. Tareas Actividades Productos Responsable Terminados Involucrados Fechas inicio/ fecha término Fecha de revisión 4. Etapa de formalización. Esta etapa puede llevarse a cabo al mismo tiempo que la etapa de adecuación si existen los recursos y los involucrados se encuentran disponibles. Aquí una vez detectadas las debilidades, fortalezas más importantes, de haber definido las áreas que serán auditadas, y tener todo documentado se busca la aprobación formal de la alta dirección la cual no debe de prolongarse demasiado ya que en ya se obtuvo en la elaboración del plan detallado en informática en la etapa de adecuación el visto bueno de los usuarios clave y del personal de informática. 188 Las tareas, productos terminados, responsables e involucrados son: Tareas Productos terminados Verificar prioridades Prioridades clasificadas y cursos de acción Área por auditar verificadas Verificar plan actividades Responsables LP AI/LP y Etapas y sus tareas Plan detallado final Presentación formal Proyecto del proyecto auditoría revisado de la Aprobación formal Aprobación del proyecto del proyecto de Compromiso ejecutivo auditoría en Inicio formal del proyecto informática Presentación proyecto a usuarios informática del Entendimiento del proyecto los Aceptación del proyecto de Compromiso para cada una de las áreas involucradas Definir las áreas por visitar y concertar citas con el personal que se entrevistará Fechas de entrevistas Fechas de visitas Fechas para la aplicación de cuestionarios. Involucrados RAI RAI AI AI LP LP RAI AD/PU/RI AD/PU/PI AD LP RAI/LP RAI/RI/PU AD/PU/PI RI PI/PU PI/PU LP/AI LP/AI LP/AI LP LP LP PI/PU PI/PU PI/PU Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área de informática; PI = Personal de informática; RAI = Responsable del área de Auditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática. En esta etapa es importante señalar cuales son las prioridades, entendiéndose por prioridad como las acciones que se deben llevar a cabo antes que las demás sugeridas para el proyecto. Esto se debe de justificar por: • • • • Urgencia de mejorar algún hecho que perjudica en alto grado el negocio. Un requerimiento específico de la alta dirección. Implantación de algún proceso previamente justificado. Otros. Además tomar en cuenta las restricciones, que son los hechos o circunstancias identificables que pueden ocurren o que pueden ocurrir durante el transcurso de la auditoría que afecten directa o indirectamente el proyecto. Estas limitaciones o carencias por lo general que no se pueden resolver de inmediato o a lo largo del proyecto. Aquí en esta misma etapa es necesario determinar el 189 alcance del proyecto de tal forma que se defina la cobertura específica que tendrá el proyecto, además de aclarar qué se realizará que vendrían a ser las tareas y etapas y los resultados que serían los productos terminados que se obtienen de cada una de las etapas de la metodología. La presentación formal•del plan de auditoría en informática en una de las tareas más importante para el líder del proyecto en informática ya que esto le permitirá obtener la aprobación formal del proyecto por parte de la alta dirección de la empresa y dar paso a la siguiente etapa de la metodología, por lo que es importante tomar en cuenta algunas actividades primordiales para su aprobación, como son: • • • • • Asegurarse de contar con toda la información en un formato de presentación resumida e inteligible, ya que su principal audiencia será la alta dirección, los usuarios clave y el responsable de informática. Revisarla y verificarla con este último. Concertar la cita en fecha y lugar apropiados. Ser fluido, claro y contundente en la presentación de la información. Asegurar el entendimiento de la audiencia de los datos presentados. Para esto se debe tomar en cuenta consideraciones clave como: • • • • • • Contar con el soporte documentado de los que se presentará. No concertar la cita para la reunión si tiene sin aclarar dudas o pendientes de tareas anteriores. Hacer del conocimiento a la alta dirección de la importancia de su apoyo para el éxito del proyecto conciencia Tratar que los presentes comprendan que forman un equipo de trabajo. En caso de ser necesario buscar el apoyo de los usuarios clave y/o del responsable de informática. Presentar un resumen de la matriz de riesgos, áreas de oportunidad, plan detallado de auditoría 5. Etapa de desarrollo. Está es la etapa más importante del auditor en informática, ya que aquí es donde va a ejercer su función práctica de acuerdo con los estándares, normas y procedimientos recomendados por las asociaciones profesionales como la AMAI (Asociación Mexicana de Auditoría en Informática) o el IMCP (Instituto Mexicano de Contadores Públicos). 190 Es importante la aplicación de los conocimientos y la experiencia de los auditores para adecuada evaluación que salvaguarde la integridad y rentabilidad de la información, además de otros recursos de informática en la empresa. El auditor en informática siempre debe trabajar con profesionalismo, entusiasmo y sensibilidad, ética personal, tener una metodología de trabajo, en la revisión de las áreas seleccionadas, de tal forma que logre combatir la resistencia hacia el proceso de revisión que permita el trabajo en equipo, para lograr establecer la se realicen revisiones por parte de la función de auditoría en informática de periódica y programada. En esta etapa el auditor debe de realizar las siguientes tareas: Tareas Concretar citas Productos terminados Fechas aprobadas actualizadas Responsables AI Involucrados PI/PU Verificar tareas, involucrados, etc. Tareas, involucrados, etc., revisado AI PI/PU Clasificar técnicas, cuestionarios y herramientas por usar Técnicas clasificadas Cuestionarios clasificados Herramientas clasificadas AI AI AI LP LP LP Efectuar entrevistas Entrevistas realizadas Entrevistas documentadas Entrevistas analizadas AI AI LP/AI PI/PU AI RAI Aplicar cuestionarios Cuestionarios aplicados Cuestionarios documentados Análisis de cuestionarios AI AI LP/AI PI/PU AI RAI Visitas realizadas Comentarios documentados Análisis de comentarios AI AI LP/AI RI/PI/PU AI RAI AI LP AI AI LP LP AI LP AI LP AI LP AI LP Efectuar visitas verificación de o Observaciones (acerca de debilidades o carencia de controles) Áreas de oportunidad Alternativas por cada área de oportunidad detectada Recomendaciones (acciones específicas) por alternativa Responsables de ejecutar cada acción Plazos de ejecución por acción Áreas auditadas clasificadas 191 Informe documentado, almacenado y clasificado AI LP Revisar el informe por área Borrados de auditoría en informática revisado LP RAI/AI Autorizar el borrador por área Informe preliminar revisado Informe preliminar corregido Informe preliminar entregado Informe preliminar autorizado LP AI LP AD/PI/PU PI/PU/AI LP LP AD/PI/PU Efectuar entrevista, cuestionarios y visitas complementarias Entrevistas, cuestionarios y vistas pendientes realizados Informe actualizado con observación de las áreas auditadas LP/AI PI/PU AI LP Elaborar informe final Informe final revisado con información de las áreas auditadas Informe con visto bueno del responsable de la función de auditoría en informática Informe almacenado en medios magnéticos (respaldo) Documentación del informe para la alta dirección Documentación del informe para responsables de los usuarios de informática y para responsables del área de informática AI LP RAI LP/AI AI AI LP/AI RAI AI LP LP/AI RAI LP/AI RAI Elaborar un plan general de acciones sugeridas Acciones clasificadas por plazos sugeridos Costo / beneficio del plan Aprobar el informe y plan de implantación Informe de auditoría en informática y plan aprobados AD/RI/PU RAI/LP Presentación del plan de auditoría en informática y plan de implantación Informe final presentado a la alta dirección RAI Informe presentado a personal usuario y de informática RAI AD/RI/LP LP/AI PI/PU Aprobar informe final Revisión del informe de auditoría en informática Aprobación del informe de auditoría en informática Compromiso ejecutivo AD/RI/PU RAAI/LP/PI AD/RI RAI/LP/PU AD/RI RAI/PU 192 Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área de informática; PI = Personal de informática; RAI = Responsable del área de Auditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática. Es importante que para obtener un producto final de calidad y beneficios tangibles para el negocio al final de la etapa de desarrollo, que el auditor en informática, al revisar las áreas requeridas realice las siguientes acciones: • Basarse en el plan de auditoría en informática elaborado y aprobado en las etapas anteriores para la secuencia y duración de su trabajo en esta etapa. • No interrumpir la continuidad de las operaciones de la empresa. • Utilizar técnicas y herramientas según lo demande cada tarea del área actual. • Apoyar su trabajo con políticas y estándares comúnmente aceptados. • Involucrar a los usuarios y personal de informática según lo amerite cada tarea. • Utilizar los cuestionarios para cada área auditada. • Aplicar entrevistas de manera profesional y adecuarlas al perfil de cada entrevistado. • Respetar las políticas que imperan en el ' medio cuando se realicen visitas a las áreas de informática. Es conveniente que el auditor realice informes preliminares con la siguiente información: • • • • • • • • Áreas de oportunidad para mejorar de inmediato los procesos de negocio apoyados en informática. Observaciones (debilidades) de los aspectos de informática auditados. Recomendaciones preliminares para cada una de las observaciones recomendadas. Responsables de ejecutar las recomendaciones. Actualización del plan de auditoría informática Revisión detallada de los aspectos que tengan un impacto considerable en la operación del negocio o que soporten alguna estrategia del negocio. Comunicación abierta con, los usuarios y el personal de informática involucrados. Presentar un plan de implantación de auditoría en informática factible y realista que contemple los siguientes elementos: Debilidades o carencias de control, su problemática y causas que lo originan. Acciones inmediatas de corto y mediano plazo. 193 Responsable e involucrados en la implantación de estándares, políticas y procedimientos en cada componente de informática que así lo requiera. Análisis costo / beneficio del proyecto de implantación. Aprobación formal de los directivos, usuarios y del responsable de informática. 6. Etapa de implantación. En esta etapa es la más importante para el personal involucrado en la auditoría en informática ya que termina el trabajo del auditor y a ellos les corresponde llevar a cabo las recomendaciones hechas en el informe final de auditoría. La labor del auditor estriba en dar seguimiento y apoyo. Es conveniente hacer mención que aunque la labor del auditor se menciono que es de seguimiento y apoyo no debe de desatenderse en esta etapa ya que una recomendación puede no llevarse a cabo por distintas razones de la manera que se indicó y provocar que estas no resuelvan las situaciones (debilidades) encontradas en las áreas auditadas. En esta etapa se obtienen los siguientes productos terminados: Tareas Productos terminado Responsables Involucrados Definir requerimiento Recursos humanos, para el éxito del plan de tecnológicos y financieros implantación requeridos para el éxito de la implantación sugerida por auditoría en informática Recursos aprobados Personal de trabajo para la implantación Equipo de trabajo aprobado Funciones y responsabilidades Fechas de revisión Resultados esperados Análisis costo / beneficio revisado Análisis costo / beneficio revisado Inicio de la implantación RI/PU LP AD RI/PU RI/PU/LP LP AD RI/PU RI/PU/LP LP RI/PU RI/PU RI/PU LP LP LP AD RI/PU/LP RI/PU LP Desarrollar el plan de Plan de implantación implantación detallado revisado según los resultados de la primera tarea. Plan de implantación corregido y actualizado Documentar plan final RI/PU LP/AI PI AI/PU RI AI/PU 194 Plan final aprobado Efectuar la implantación Inicio de los proyectos sugerida por auditoría Tareas terminadas en informática Presentación de implantación Implantación aprobada Seguimiento a la implantación del plan recomendado por la auditoría Acciones de seguimiento seleccionadas Seguimiento de la implantación Revisiones informales Revisiones formales Aseguramiento de calidad Implantación exitosa final Implantación aprobada AD PI/PU/LP PI/PU PI/PU RI AD/PI/PU RI RI AD/RAI/LP RI/RAI/LP LP RAI/AI LP AI LP LP LP LP RAI AI AI RAI RAI RAI Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área de informática; PI = Personal de informática; RAI = Responsable del área de Auditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática. En esta etapa es necesario y conveniente que el auditor en informática, realice revisiones posteriores a la implantación que le den la certidumbre de que la empresa va por buen camino, realizando: • Visitas rápidas a las áreas más importantes de la función de informática que se evaluaron con el objetivo de tomar las medidas necesarias que aseguren la correcta implantación de estándares, políticas o procedimientos relativos a informática. Fortalezas y debilidades de la metodología. Fortalezas. 1. Tener un camino estructurado para llevar a cabo acciones de auditoría en informática. 2. Esta orientada en gran parte a buscar la implementación de la función de auditoría en informática dentro de la empresa buscando la estructura organizacional más adecuada. 3. Busca mediante la participación de directivos, usuarios clave y personal de informática desarrollar conciencia de la importancia de auditoría en informática como práctica permanente. 4. Obtener un informe final que permita detectar las debilidades de la empresa con formalidad y oportunidad para que puedan ser resueltas satisfactoriamente. 5. El personal participante (alta dirección, usuarios clave y personal de informática) se desarrolla como un equipo de trabajo, para lograr el éxito del proyecto. 195 6. Recomienda el respeto a los estándares, políticas y procedimientos establecidos en la empresa. 7. Se tiene identificado plenamente los productos terminados por cada una de las etapas de la metodología, de tal manera que sabemos perfectamente para que se están realizando cada una de las tareas. 8. Permite establecer tiempos de duración de la auditoría. 9. Establece prioridades. Debilidades. 1. Define que es auditoría en informática, pero no define todas las demás auditorias que tienen relación con la informática como: • • • • Auditoría de sistemas. Auditoría administrativa Auditoría financiera / contable Etc. 2. Para poder dar inicio al Desarrollo de la auditoría en informática, es necesario antes llevar a cabo la etapa de: diagnóstico, justificación, adecuación y formalización; en las cuales existe una inversión considerable de tiempo. 3. No menciona la forma de interpretar la información de los datos obtenidos en el desarrollo de la auditoría en informática a través de cuestionarios, entrevistas, visitas físicas a las áreas a evaluar, etc. 4. Si la auditoría se llevara a cabo por personal externo el desconocimiento de la empresa conlleva a una gran inversión de tiempo. 5. No se habla de llevar a cabo auditorias de cumplimiento. 6. No existe una recomendación de tiempo para llevar a cabo las auditorias entre una y otra. 7. Manejo de conceptos muy básicos. 196 Segundo enfoque El autor José Antonio Echenique en su libro titulado Auditoría en Informática, hace mención del desarrollo que han presentado las empresas a través del tiempo mediante la utilización de la tecnología informática para el procesamiento de datos para la generación de información, que es usada para la toma de decisiones y la cual para que realmente pueda ser útil debe de ser: confiable, veraz y oportuna. Las estructuras organizacionales en las empresas también ha venido cambiando de tal forma que existe una descentralización de equipos aunada a una centralización de información provoca una gran diversidad de problemas para la toma de decisiones y organización de las áreas de informática. Por lo que unos de los problemas más frecuentes dentro de las áreas de informática es la falta de organización que les permita realizar su trabajo de una forma eficiente y eficaz que les permita avanzar al ritmo de las exigencias de la organización. No resulta extraño que existan áreas de informática en donde no se conozca el uso adecuado de las técnicas y herramientas por parte del personal originado una serie de problemas que provocan el incumplimiento o interrupción de la función informática; por lo que es necesario establecer los controles preventivos, correctivos y detectivos a través de un seguimiento por función para lograr establecerlos de manera permanente y disminuir la incertidumbre de fallas imprevistos que originan pérdida de recursos humanos, materiales y económicos. Por lo anterior expuesto, es necesario tomar conciencia de la importancia de la auditoría en informática dentro de las empresas llevada a cabo por personal de la empresa o por asesores externos. En este estudio el autor divide su revisión en tres partes: 1. Evaluación de la función informática. 2. Evaluación de los sistemas. 3. Evaluación del proceso de datos y de los equipos de cómputo, incluyendo la evaluación de la seguridad. La auditoría en informática inicia con una planeación de la auditoría en informática que debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasiones modificaciones al plan general, sean justificadas por escrito. La planeación de la auditoría en informática, se hace de acuerdo a tres puntos de vista: 197 1. Evaluación administrativa del área de procesos electrónicos, 2. Evaluación de los sistemas y procedimientos, 3. Evaluación de los equipos de cómputo, y da inicio con una investigación preliminar en donde se debe conocer la información sobre: a) Administración, qué permita tener una visión general del área de informática por medio de observaciones, entrevistas preliminares y solicitudes de documentos para poder definir alcances y objetivos del mismo. Para lo cual se debe de solicitar: • Información a nivel organizacional. • Información a nivel del área de informática. • Recursos materiales y técnicos. • Información de los sistemas. Una vez terminada la planeación se debe de analizar cuál será el personal participante en donde se recomienda que el grupo de trabajo sea multidisciplinario, cuente con las características necesarias para llevar a cabo la auditoría en informática; pero también se debe de pensar en el personal asignado por la empresa para asesorar en la auditoría así como el apoyo de la alta dirección para logra el éxito del mismo. Una vez que se tiene la planeación de la auditoría en informática y el personal participante es necesario formalizar el trabajo mediante una carta compromiso del auditor dirigida a la empresa para la confirmación del mismo. Es importante llevar un control de avance de la auditoría que permita cumplir con los procedimientos de control y que permita asegurar que el trabajo se lleva a cabo de acuerdo con el programa de auditoría, con los recursos estimados y en el tiempo señalado en la planeación. En la evaluación de la función informática se debe de: 1. Recopilar la información organizacional, para determinar si: a. Las responsabilidades en la organización están definidas adecuadamente. b. La estructura organizacional está adecuada a las necesidades. c. El control organizacional es el adecuado. d. Se tienen los objetivos y políticas adecuadas, se encuentran vigentes y están bien definidas. e. Existe la documentación de las actividades, funciones y responsabilidades. f. Los puestos se encuentran definidos y señaladas sus responsabilidades. 198 g. El análisis y descripción de puestos está de acuerdo con el personal que los ocupa. h. Se cumplen los lineamientos organizacionales. i. El nivel de salarios comparado con el mercado de trabajo j. Los planes de trabajo concuerdan con los objetivos de la empresa. k. Se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operación o se cuenta con "indispensables". I. Se evalúan los planes y se determinan desviaciones. 2. Evaluar la estructura orgánica. 3. Evaluar los recursos humanos. 4. Entrevistar al personal de informática, que sirve para determinar: a. Grado de cumplimiento de la estructura organizacional administrativa. b. Grado de cumplimiento de las políticas y los procedimientos administrativos. c. Satisfacción e insatisfacción. d. Capacitación. e. Observaciones generales. 5. Conocer la situación presupuestal y financiera, para conocer: a. Los costos del departamento de informática, desglosado por áreas y controles. b. Presupuesto del departamento de informática, desglosado por áreas. c. Características de los equipos, número de ellos y contratos. En la evaluación de los sistemas realiza: 1. Evaluación de sistemas. 2. Evaluación de análisis. 3. evaluación del diseño lógico del sistema. 4. evaluación del desarrollo del sistema. 5. Control de proyectos. 6. control y diseño de sistemas y programación. 7. Instructivos de operación. 8. Forma de implantación. 9. Equipo y facilidades de programación. 10. entrevistas a usuarios. 199 En revisan: 1. 2. 3. 4. la evaluación del proceso de datos y de los equipos de cómputo se Controles. Orden en el centro de cómputo. Evaluación de la configuración del sistema de cómputo. Productividad. En la evaluación de la seguridad de revisa: 1. Seguridad lógica y confidencial ¡dad. 2. Seguridad en el personal. 3. Seguridad física. 4. Seguros. 5. Seguridad en la utilización del equipo. 6. Procedimientos de respaldo en caso de desastre. 7. Condiciones, procedimientos y controles para otorgar soporte a otras instituciones. Una vez realizadas las evaluaciones se procede a la interpretación de la información que permite realizar las conclusiones de la auditoría y presentarla de la siguiente forma: 1. Dando una breve descripción de la situación actual en la cual se reflejen los puntos más importantes. 2. Una descripción detallada que comprenda: a. Los problemas detectados. b. Posibles causas, problemas y fallas que originaron la situación presentada. c. Repercusiones que puedan tener los problemas detectados. d. Alternativas de solución. e. Comentarios y observaciones de la dirección de informática y de los usuarios sobre las soluciones propuestas. f. Si se opta por alguna alternativa de solución, cuáles son sus repercusiones, ventajas y desventajas y el tiempo estimado para efectuar el cambio. 3. Se debe de hacer hincapié en cómo se corregirá el problema o se mejorará una determinada situación, se obtendrán los beneficios, en cuánto tiempo y cuáles son los puntos débiles. 4. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por medio de conclusiones concretas que sean sencillas (procurando que se entiendan los términos técnicos y, si es posible, usar técnicas audiovisuales). 200 Fortalezas y debilidades de la metodología. Fortalezas. 1. Por ser más práctica y conocer el negocio de una manera más rápida la inversión de recursos es menos. 2. La clasificación de los recursos para realizar la auditoría en informática, permite que se pueda realizar por partes. 3. Puede ser realizada por personal de la empresa o por personal externo, ya que no pretende establecer la función de auditoría en informática. 4. Existe una definición de las auditorias, así como la relación existente con las auditorias en informática, lo que permite determinar cual de ellas se va a llevar a cabo en cada una de las partes. 5. Proporciona elementos de control de proyectos. 6. Establece un procedimiento para ayudar a la interpretación de la información recolectada durante la evaluación. 7. Proporciona elementos para la evaluación de las áreas. Debilidades. 1. No se habla de llevar a cabo auditorias de cumplimiento. 2. No se establecen los productos terminados ni los involucrados por área. 201 12 __________________________________________________________________ Conclusiones La globalización de la economía y el aumento de volúmenes de información en las organizaciones tanto a nivel nacional como mundial hace necesario la implementación e implantación de tecnologías modernas, que originan algunas ventajas y desventajas, como: a) una acentuada dependencia hacia los sistemas de información que la genera, b) creación de áreas de oportunidad, c) aumento considerable a la comisión de delitos informáticos por personal externo o interno a la organización, d) generación de información de forma más eficiente, e) altos costos por compra o desarrollo de software, f) altos costos de inversión inicial... lo que hace necesario la búsqueda de un ámbito adecuado para evitar al máximo las pérdidas por las debilidades o amenazas que presenta la organización; y es aquí donde la auditoría en informática cobra importancia, ya que con su desarrollo se logra el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficientes; para lograr proporcionar a los altos directivos de las organizaciones información para la toma de decisiones que cumpla con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etc., ya que su ámbito de acción se centra, en revisar y evaluar: los procesos de planificación, inversión en tecnología, organización, los controles generales y de aplicación en proyectos de automatización de procesos críticos, el soporte de las aplicaciones, aprovechamiento de las tecnologías, sus controles específicos; los riesgos inherentes a la tecnología, tales como, la seguridad de sus recursos, redes, aplicaciones, comunicaciones, instalaciones y otras. 202 Los cambios en el campo de la tecnología como en la metodología para realizar auditorias informáticas, hacen necesario bibliografía y personal cada vez más actualizado, en el desarrollo de esta investigación se podrá consultar sobre dos metodologías para la realización de las auditorias en informática en donde cada una tiene sus respectivas fortalezas y debilidades. Es necesario tomar en cuenta que independientemente de la metodología que se este llevando a cabo en la realización de la auditoría en informática, se debe de obtener la autorización y el apoyo de los altos directivos que es uno de los pasos que nos llevará a la culminación de la misma con éxito. Es importante conocer cual es el tipo de seguimiento que se le va a dar a los problemas que se presentan en el área de informática para su solución. El seguimiento puede ser: 1. Seguimiento por excepción. Es el que va dirigido meramente a la corrección momentánea y no al establecimiento de controles en función de las causas. Un esquema de esto, es como se muestra a continuación: Errores en el tiempo Como se puede apreciar, con un seguimiento por excepción la cantidad de errores es frecuente y su impacto es elevado. Prácticamente, al no analizar las causas y no establecer los controles, la probabilidad de que un mismo tipo de error se presente de nuevo es alta; y sumada la frecuencia el impacto se vuelve crítico. 2. Seguimiento por función. Aquí el error se analiza, se corrige y se deja establecido un control, tenderá necesariamente a su eliminación, o cuando menos, a su aparición en espacios de tiempo más aislados. La aparición repetida en este caso puede obedecer a la misma dinámica de los sistemas. Al cambiar éstos, pueden hacer que un procedimiento establecido ya no sea adecuado. El impacto tiende a minimizarse. Gráficamente puede visualizarse así: 203 Las debilidades dentro de una organización que pueden ser síntomas de la necesidad de llevar a cabo una auditoría en informática pueden ser: 1. 2. 3. Descoordinación y desorganización Debilidades económico-financiero Inseguridad (lógica, física, confidencialidad) Estas conllevan a la necesidad de planear periodicidad de realización de auditorias (cada 6 meses o mínimo una al año); y a buscar la forma más adecuada para realizarla, tomando en cuenta lo siguiente: 1. 2. 3. Estableciendo la función de auditoría en informática dentro de la estructura organizacional de la empresa buscando que la ubicación sea la más adecuada para que no existan nexos que puedan quitarle credibilidad a la función. Si la empresa no tiene los suficientes recursos económicos o de infraestructura para implementar la función de auditoría en informática dentro de su estructura organizacional, puede recurrir a la realización de auditoría por personal externo a la empresa. Sin tener definida la función de auditoría en informática dentro de la empresa esta puede llevarse a cabo por personal de la empresa, buscando para su éxito el apoyo de los altos directivos de la empresa. La primera y la tercera se llevan a cabo generalmente en las empresas grandes, y la segunda aún teniendo un grupo de auditores dentro de las organizaciones, en ocasiones es conveniente utilizar los servicios de asesores externos: • para contrastar los resultados de los auditores internos con los de los externos, 204 • • para auditar una materia de gran especialización, tener una visión desde fuera de la empresa, otros. En conclusión, hoy en día la empresa pública o privada que tiene implantado sistemas de información, no está conciente de la importancia de establecer revisiones de manera preventiva que permitan que existan pérdidas que pueden repercutir en un descontrol organizacional y minar su economía, por lo que deben de considerar necesario el someterse a un control estricto de medición de eficiencia y eficacia con el objetivo de que éstos sistemas de información generen información confiable veraz y oportuna que realmente pueda ser útil en la toma de decisiones. Para esto es necesario establecer la calidad en el software que el American Heritage Dictionary lo define como una característica o atributo. Como atributo de un artículo, la calidad se refiere a características mensurables, que en el software pueden encontrar dos tipos de calidad: calidad del diseño, que se refiere a las características que especifican los ingenieros de software para el artículo y calidad de concordancia que es el grado de cumplimiento de las especificaciones de diseño durante su realización y es centrado principalmente en la implementación. Se debe tener claro que en la actualidad para ser competitivos es necesario hacer uso de la tecnología e implantar sistemas de información en las empresas; pero esto no es lo que asegura el éxito, ya que si su función de informática es lenta, propensa a errores, inestable y vulnerable no lo va a lograr, por lo que el cumplimiento de estándares de calidad como el ISO 9001 que es el estándar de garantía de calidad que se aplica a la ingeniería de software, contempla 20 requisitos que son: Responsabilidad de la gestión, sistema de calidad, revisión de contrato, control de diseño, control de datos y documentos, compras, control del producto suministrado por el cliente, identificación y posibilidad de seguimiento del producto, control del proceso, inspección y prueba, control de inspección, medición y equipo de pruebas, inspección y estado de prueba, control de producto no aceptado, acción correctora y preventiva, tratamiento, almacenamiento, empaquetamiento, preservación y entrega, control de registros de calidad, auditorias internas de calidad, formación, servicios y técnicas estadísticas y implementación e implantación de la auditoria informática en las empresas deben formar parte de las actividades planeadas y programadas de manera continua que logren que la función de informática de la empresa sea lo más eficiente y eficaz posible. 205 BIBLIOGRAFÍA [1] Hernández Hernández, Enrique; Auditoría en informática; Editorial CECSA, 2ª edición [2] Echenique, José Antonio; Auditoría en informática; Editorial Mc Graw Hill, primea edición. [3] http://www.monografas.com/trabajos3/concepaudit/concepaudit.shtml; [4] http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml; [5] http://www.monografas.com/trabajos/maudisist/maudisist.shtml; Portales, Diego; Centro de formación técnica, Chile. [6] http://www.lafacu.com/apuntes/informaticalaudit inforldefault.htm; canaves@infovia.com.ar [7] http://dmi.uib.es/-bbuades/auditorialsid003.htm; Gabrial Buades 206 ANEXOS 207 Anexo 1 PROGRAMA DE AUDITORIA EN INFORMÁTICA ORGANISMO_____________________________ HOJA N°___________DE______ FECHA DE FORMULACIÓN______________ FASE DESCRIPCIÓN ACTIVIDAD NÚM. DEL PERSONAL PARTICIPANTE PERIODO ESTIMADO INICIO TÉRMINO DÍAS HAB. EST. DÍAS HOM. EST. Anexo 2 AVANCE DEL CUMPLIMIENTO DEL PROGRAMA DE AUDITORIA EN INFORMÁTICA ORGANISMO______________________HOJA N°___________DE_________ FECHA DE FORMULACIÓN____________ FASE SITUACIÓN DE LA AUDITORIA PERIODO REAL AUDITORIA NO INICIADA INICIADA EN PROCESO TERMINADA DE LA TERMINADA DIAS REALES UTILIZADOS GRADO DE AVANCE DIAS HOMBRE EST. EXPLICACIÓN DE LA VARIACIONES EN RELACIÓN CON LO PROGRAMADO Anexo 3 CONTROL DE PROYECTOS NOMBRE DEL PROYECTO______________________________________________________________PROYECTO N°_________ COORDINADOR________________________________________________________________________FECHA________________ (anotar en la primera línea las fechas estimadas y en la segunda las reales) N° ACTIVIDADES RESPONSABLE ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC Anexo 4 CALENDARIO DE ACTIVIDADES ANÁLISIS Y PROGRAMACIÓN RESPONSABLE APLICACIÓN FECHA HOJA_________DE NÚM DE ACT. DESCRIPCIÓN % DE AVANCE 0 1 2 3 4 5 6 7 8 9 1 MES: 0 0 0 0 0 0 0 0 0 0 SEMANA 1 SEMANA 2 0 E R E R E R E R E R E R E R E R E R E R E R E R E R E R E R E R E = ESTIMADO R= REAL SEMANA 3 SEMANA 4 SEMANA 5 Anexo 5 FECHA_____________ CONTROL DE ACTIVIDADES DEL PROGRAMADOR SISTEMA__________________________________________________________ PROGRAMA________________________IDENTIF.________________________ PROGRAMADOR___________________________________________________ ACTIVIDAD PLANEADO INICIO TERMIN.DIF. REAL INICIO TERMIN. DIF. DIF. 1. ANÁLISIS 2. DIAGRAMA LÓGICO 3. CREC. DE PRUEBAS 4. PRUEBA ESCRITORIO 5. CODIFICACIÓN 6. CAPTURA 7. COMPILACIÓN 8. GENER. PRUEBAS 9. DEPURACIÓN 10. PRUEBAS 11. VERIF. PRUEBAS 12. CORRECCIONES 13. DOCUMENTACIÓN FINAL ESPECIFICAR EL NÚMERO DE COMPILACIONES REALIZADAS______________________________________ PRUEBAS REALIZADAS____________________________________________ OBSERVACIONES Anexo 6 FECHA________________ REPORTE SEMANAL DE LOS RESPONSABLES DE SISTEMA SISTEMAS METAS FIJADAS METAS ALCANZADAS COMENTARIOS RECURSOS SISTEMAS MOV. EJECUTIVOS HRS. PROGRAM. HRS. ANÁLISIS HRS. PRUEBA Anexo 7 CONTROL DE PROGRAMADORES PROGRAMA A REALIZAR NOMBRE DEL RESPONSABLE DIAGRAMA DE FLUJO FECHA FECHA INIC. FINAL CODIFICACIÓN FECHA INIC. FECHA FINAL CAPTURA FECHA INIC. FECHA FINAL PRUEBAS FECHA INIC. FECHA FINAL IMPLANTACIÓN FECHA INIC. FECHA FINAL OPERACIÓN FECHA FECHA IMC. FINAL Anexo 8 CONTROL DE PROGRAMACIÓN NOMBRE COD. FECHA TIEMPO DE DEL DEL DE PROGRAMACIÓN PROGRAMA PROG. ENTR. EST. REAL GRADO DIFICULTAD DE P R C A 0 LECTURA DIAG. REVIS. PRUEBA CODIFI- CAPTURA COMPI- REVIS. DATOS FLUJO ANALIZ. ESCRITA CACIÓN LACIÓN SUPER. PRUEB. REVIS. DOCUPRUEBA MENTO Anexo 9 FECHA____________ PLANEACIÓN DE PROGRAMACIÓN SISTEMA_____________________________________________________ PROGRAMADOR_______________________________________ FASE___________________________________________ PROGRAMA_____________________________________ NÚM DESCRIPCIÓN PRODUCTO A OBTENER PRIOR. DURAC. EN DÍAS FECHA DE ENTREGA ORIGI. 'ACTUAL REAL Anexo 10 HOJA DE PLANEACIÓN DE ACTIVIDADES SISTEMA: FECHA USUARIO: CLAVE ACTIVIDAD ACTIVIDADES FECHAS REALES INIC. TERM. NÚM. PROD. HOJA FECHA DE ENTREGA ORIG. ACTU. REAL DE Anexo 11 INFORME DE AVANCE DE PROGRAMACIÓN FECHA: SISTEMA: HOJA DE RESPONSABLE: PROGRAMAS TERMINADOS A LA FECHA NÚM. FASE NÚM. FECHA PROG. ENTREGA NÚM. FASE NÚM. PROG. PROA. CON DESVIACIÓN O CANCELACIÓN NÚM. FASE NÚM. FECHA PROG. NUEVA NUEVOS PROGRAMAS A INCLUIR EN EL PLAN DESCRIPCIÓN DURACIÓN DÍAS FECHA DE ENTREGA DEL PROGRAMA Anexo 12 CONTROL DE AVANCE DE PROGRAMACIÓN SISTEMA_______________________________________FECHA_____________ PROGRAMADOR___________________________________________________ FECHA REAL DÍAS INICIO TERMIN CÓDIGO DE ACTIVIDADES NÚM. DE PROG AVANCE DURANTE EL MES EN DÍAS NUM DE COMP OBSERVACIONES A INTERPRETACIÓN B DIAGRAMACIÓN LÓGICA C CREACIÓN DE PRUEBAS D PRUEBAS DE ESCRITORIO E CODIFICACIÓN F CAPTURA G COMPILACIÓN H CREACIÓN DE PARALELO 1 DEPURACIÓN J PRUEBAS EN PARALELO K VERIFIC. DE PRUEBAS L CORRECCIONES M DOCUMENTACIÓN HOJA DE NUM DE PRUE Anexo 13 FECHA_______________ AVANCE DE PROGRAMA SISTEMA__________________________________________________________ FECHA DE INICIO__/__/__ PROGRAMA NÚM NOMBRE FECHA DE TERMINACIÓN___/___/___ GDO. A B C D E F G H I J K L M DIF. FECHA TERMIN. PERSONA ASIGNADA SIGNIFICADO DE LAS CLAVES A B C D E F G INTERPRETACIÓN DIAGRAMACIÓN LÓGICA CREACIÓN DE PRUEBAS PRUEBAS DE ESCRITORIO CODIFICACIÓN CAPTURA COMPILACIÓN H I J K L M GENERACIÓN DE PRUEBAS DEPURACIÓN PRUEBAS VERIFICACIÓN DE PRUEBAS CORRECCIONES CORRECCIONES Anexo 14 HOJA DE PLANEACIÓN DE ACTIVIDADES Y CONTROL DE AVANCE SISTEMA: CLIENTE: PROGRAMADOR___________________________________________________ PROGRAMA__________________________ FASE______________________ CLAVE ACTIVIDAD ACTIVIDADES FECHA FECHA REALES INICIA TERMINA HOJA NÚM PROD. FECHAS DE ENTREGA ORIGI. ACTU. REAL DE