AUIBITORIA ENAUDITORIA EN INFORMATICA Segunda edicién JOSE ANTONIO ECHENIQUE GARCIA Universidad Nacional Auténoma de México Universidad Autonoma Metropolitana McGraw-Hill MEXICO « BUENOS AIRES - CARACAS « GUATEMALA « LISBOA « MADRID NUEVA YORK « SAN JUAN + SANTAFE DE BOGOTA - SANTIAGO + SAO PAULO AUCKLAND « LONDRES « MILAN « MONTREAL » NUEVA DELHI + SAN FRANCISCO ‘SINGAPUR - ST. LOUIS - SIDNEY - TORONTOConTENIDO AGRADECIMIENTOS INTRODUCCION, CAPITULO 1: Concepto de auditoria en informatica y diversos tipos de auditorias .. Concepto de auditoria y concepto de informética .. Diversos tipos de auditoria y su relacién con la auditoria en informatica... ‘Auditoria interna/extema y auditorfa contable_/financiera Auditoria administrativa/ operacional Auditoria con informatica . Definicién de auditoria en informatica... Concepto de auditoria en informatica Campo de la auditoria en informa Auditoria de programas ... CAPITULO 2: Planeacién de Ia audiloria en informética sn Fases do la auditoria os “i PlaneaciGn de la auditoria en informatica Revisién preliminar... Revisién detallada Examen y evaluacidn de la informacion . Pruebas de consentimiento .... Pruebas de coniroles del usuario . Pruebas sustantivas.. Evaluacign de los sistemas de acuerdo al riesgo. Investigacién preliminar. Personal participante. CAPITULO 3: Auditoria de la funcién de informatica Recopilacién de la informacién organizacional PPrincipales planes que se requicren dentro de la organiizacicn de informatica Evaluacién de la estructura organica Estructura orgénica Funciones: Objetivos.. Anilisis de onganizaciones EvaluaciGn de los recursos humanos .. Entrevistes con el personal de informatica Situacién presupuestal y financiora ..conTENDO Presupuestos .. Recursos financieros... Recursos materiales CAPITULO 4: Evaluacién de los sistemas... Evaluecion de sistemas Evaluacisn del anlisi Andlisis y disefio estructirade vnesnn Evaluecisn ciel diseno ldgico del sistema... Programas de desarrollo... Bases de datos El administrador de bases de datos Comunicacién ‘ Informes Andlisis de informe’... Ruido, redundancia, entropia Evaluacisn del desarrollo del sistema Sistemas distribuidos, Internet, comunicacién entee oficinas Control de proyectos vemnsmn Control de disefo de sistemas y programadén Instructivos de operacisn .. Forma de implantacion Equipo y facilidades de Programadia Enirevistas a usuarios .. ct Entrevistas . Cuestionario Derechos ce autor y secretos industriales Intemet - - Proteccién de los derechos de autor... 144 Secretos industriales. eon oe CAPITULO 5: Evaluacién del proceso de datos y de los equipos de cémputo Controles: _ Control de datos fuente y manejo de cifras de control... snine LOL Control de operacion... Control de salida Control de asignacién de trabajo Control de medios de almacenamiento masivo Control de mantenimiento Orden en el centro de eSmputo ... de la configuracién del sistema de computo... Puntos a evaluar en los equipos .. CAPETULO 6: Evaluacion de la seguridad ..n. Seguridad ldgica y confidencialidad... Seguri Riesgo Encrip Seguridad Seguridad Ubicac Piso el Aire ac Instala Seguri Seguric Detece: ‘Tempe Seguridad. Protec Seguros . Conic Seguridad. Seguridad. Plan de con de desa Plan de Selecci CAPITULC ‘Técnicas pa Analisi Metodo Evaluaciéa | Anilisis Evaluacion Evaluag Evaluad Evaluad Evaluag Controles Presentacion Conclusion Bibliogratia Indice analitBRGRS S FA Seguridad 16g{¢€ soon Riesgos y controles a auditar Encriptamiento Seguridad en el personal... Seguridad fisica Ubicacién y construccién del centro de cémputo iso elevado o camara plena Aire acondicionado .. Instalacién eléctrica y suministro de energia =. Seguridad contra desastres provocados por agua . Seguridad de autorizacién de accesos. Deteccidn de humo y fuego, extintores ‘Temperatura y humedad. Seguridad en contra de virus Protecciones contra virus y elementos a auditar Seguros Condiciones generales del seguro de equipo electrénico.. Seguridad en la utilizacién del equipo Seguridad al restaurar el equipo Plan de contingencia y procedimientos de respaldo para casos de desastre Plan de contingencias.. Seleccion de la estrategia .. CAPETULO 7: Interpretacién de la informaciéa . ‘Técnicas para la interpretacién de Ia informacisn’ Analisis critico de los hechos Metodologia para obtener el grado de madurez del sistema Evaluacién de los sistemas Analisis Evaluacién de los sistemas de informacién Evaluacién en la ejecucién Evaluacion en el impacto Evaluacién econémica Evaluacién subjetiva . Controles Presentacién. Conclusiones Bibliografia nn. {ndice analiticoINTRODUCCION En la actualidad el costo de los equipos de eémputo ha disminuido considera blemente, mientras que sus capacidades y posibilidades de utilizacién han au- mentado en forma inversa a la reduceién de sus costos. Aunque los costos uni tarioshan disminuido (el de una computadora personal, “microcomputadora”), los costos totales de la computacién (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc.) se han incrementado considerablemente. Ello se debe a que, si bien la relacién precio /memoria es menor, el tamaiio de la me- moria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de més datos en mucho menos tiempo y que procesan la informacién en forma mas ripida (memorias RAM y ROM, fijos, etc.). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, Io que ha tenido como consecuencia que os costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Intemet, Extranet, comu- nicacién, bases de datos, multimedia, etc.) hacen que también se pueda tener acceso a mayor informacién, aunque el costo total de los sistemas, asf como la confiabilidad y segurided con que se debe trabajar, sean muy altos. En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relaciGn con la informacién y uso que se da a éstas. También se tiene poco control sobre la utilizacién de los equipos, existe un de- ficiente sistema de seguridad tanto fisica como logica y se presenta una falta de confidencialidad de la informaciGn. Lo que se debe incrementar es la producti- vidad, el control, la seguridad y Ia confidencialidad, para tener la informacién necesaria en el tiempo y en el Iugar adecuados para poder tomar las mejores decisiones. Los siguientes puntos de la tecnologia de informacién son particularmente notables: ‘+ Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacién, a través de Ia miniaturizaci6n de po- derosas capacidades, en diferentes dispositivos disefiados para usos pers nales y profesionales Una gran dispordbilidad de software poderooo, btrato relativamente ac- cesible, con interfases de uso grafico. ‘Ala medida del cliente, cambio de sistemas a software preempacado. ‘Cambio de computadoras principales (mainframe) a computadoras de us0 individual aumentadas como parte de rectes dedicadas a compartir infor- macién, asi como computadoras corporativas con los correspondientes cam-xii irRoDUCCION bios en la naturaleza, organizacisn y localizacién de actividades de los si temas de informaci io final + _Incrementoen la habilidad de las computadoras para accesar datos en tiempo Feal 0 demorado, ambos en forma local 0 a través de acceso a facilidades Temotas, incluyendo via Intemet. + Captura de nuevos datos y el liderazgo en tecnologfa en almacenamiento maximo para incrementar la computarizaci6n, datos/ informacién en tex- tos, graficas y video, con énfasisen la adminisiracisn, presentacisn y comu- nicacidn de informacién, utilizando aproximaciones de multimedia + Lacobertura de informacion y as tecnologias de comunicacién afectan la forma en que se trabaja y se compra ‘+ Incremento del uso de Intemet para unir individuos, intraorganizaciones, a través de sistemas tales como correo electrOnico (E-mail), intemet, inclu- yendo world y wide web. + Elincremento en ol uso de Intornet para conducir comunicacién entre orga- nizaciones e individuos, a través de sistemas de comercio electrénico, tales como intercambio electrénico de datos (EDI)y sistema de transferenciae trSnica de fondos (EFTS). + Mercadeo masivo y distribucién de productos de tecnologia de informa: ida y servicios, tales como computadoras, software preempacado, servicio de recuperacisn de datos en linea, correo electrSnico y servicios financieros. + Reduccién de barreras de uso e sistemas, estimulando una gran penetra ion de sistemas de informacion dentro de organizaciones de todos los ta: mais, de lucto 0 no lucrativas, para contadores y consejos de administs cin, y para propésitos estratégicos ¢ incremento de papeles del usuario final de computadoras. * Una amplia penetracién de tecnologia de informacisn, tal como disefio manufactura por medio de asistencia computarizada (CAD/CAM), siste- ma de imagenes por computadora, sistemas de informacion para eecutivos (EIS) y sistemas de reuniones en forma electrénica (EMS), * Nuevas técnicas de desarrollo de sistemas, basados en tecnologias de infor macidn, tales como software de ingenierfa de asistencia computarizada (CASE), programacién orientada a objetos y temologia de flujos (WORK FLOW). * Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis temas expertos, redes neuronales, agentes inteligentes y otras ayudas de solucién de problemas. + Acceso a reingenieria de nuevos negocios, basado en la integraci6n efectiva de tecnologia de informacién y procesos de negocios. mn, como el cambio a computadoras de usu Uno de los problemas més frecuentes en los centros de informatica es la falta de una adecuada organizacisn, que permita avanzar al ritmo de las exi sgencias de las organizaciones. A esto hay que agregar la situacion que presen- tan los nuevos equipas en cuanto al uso de bases de datos, rades y sistemas de informacién, Loantcrior, combinado con lanecesidad de una eficiente plancacivn cetratégica y corporativa de las organizaciones, y con una descentralizacion de equipos y centralizacidn de la informacién, ha provocado que la complejidad de las decisiones, y las dimensiones de los problemas en cuanto a la mejor for ma de org izar control y adminis En muchos « pleo de herramee Puestos, finanzas Tepercute en una nes con las caract hace que no se cu desvien de los ob La proliferaci manda de control vVacidad de la info Ademés, hay una dad de (a continui sistemas se caigan incompatibles y el Los sistemastt de las herramiont Para poder evaluai Iarlo desde su inic electrénico, 0 bien respaldos, seguride No basta, pues, con Pos de cémpato, qu ma total de informa La informatica Mos afios, En una g prendié hace alga €reaciGn del horno, década hemos visio era algo cominlata Femoto, y considera tedes. Esto ha provo uitica. Yo no poden con microcomputed conocia en detalles de tener especialisia informatica, y en ola rentes funciones que de la informitica yd EI principal obet Ios siguientes puntos La parte adminis! Tos recursos mat Los sistemes y pro necesidades delavio etre sta stra- lode tiste tivos afor vada IRK- sde ma de organizar el érea de emputo, requieran aplicar técnicas modemas de control y administracién. En muchos centros de informatica también se desconoce el adecuado em- pleo de herramientas administrativas, contables//financieras. tales como presu- puestos, finanzas, costos, recursos humanos, organizacién, control, etc. Esto repercute en una inadecuada drea de informatica que no permite tomar decisio- nes con las caracteristiras que deben tener las organizaciones actuales, lo cual hace que no se cuente con los controles para asegurar que esas decisiones no se desvien de los objetivos. La proliferacién de la tecnologia de informacién ha incrementado la de- manda de control de los sistemas de informacién, como el control sobre la pri- vacidad de la informaci6n y su integridad, y sobre los cambios de los sistemas. Ademés, hay una preocupacién sobre la caida de los sistemas y sobre la seguri- dad de la continuidad del procesamiento de la informacién, en caso de que los sistemas se caigan. Otra drea de preocupaciénes la proliferacién de subsistemas incompatible y el ineficiente uso de los recursos de sistemas. Los sistemas tienen diferentes etapas, y una de ellas puede ser la utilizacién de las herramientas que nos proporcionan los mismos sistemas electronicos. Para poder evaluar un sistema de informacién es necesario conocerio y contro- larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecanico, electrGnico, o bien 1a combinaciGn de éstos, hasta llegar a su almacenamiento, respaldos, seguridad y eficiencia en el uso de la informacién que proporcionan. No basta, pucs, conocer una parte 0 fase del sistema, como pueden ser les equi- pes de cémputo, que tan sélo vienen a ser una herramienta dentro de un siste- ma total de informacién. La informatica ha sido un rea que ha cambiado drasticamente en los tilt mos aftos. En una generacidn, la tecnologfa ha cambiado tanto que Io que sor- prendié hace algunos afios, como la Ilegada del hombre a la Luna, o bien la creacién del horno de microondas, hoy nos parece algo muy familiar. En una década hemos visto el cambio en la organizacion de la informatica: st hace poco era algo comin la tarjeta perforada, hoy la vemos como algo de un pasado muy remoto, y consideramos como algo normal el uso de microcomputadoras y de reds. Esto ha provocado que se tengan especialistas dentro del érea de la infor- mitica. Yano podemos pensar en el personal de informatica que podia trabajar con microcomputadores y con grandes computadoras, o bien en la persona que conocia en detalle sobre bases de datos y de comunicaciones. Ahora se deben de tener especialistas en cada una de las reas. Una de éstas es la auditoria en informétiea, y en ella debemos de tener especialistas para cada una de las dife- rentes funciones que se reatizardn. Esto sin duda depende del tamano del area de la inforsnstica y de la organizacién. El principal objetivo del libro es evaluar la funcién de la informatica desde Jos siguientes puntos de vista La parte administrativa del departamento de informatica. Los recursos materiales y técnicos del drea de informética. Los sistemas y procedimientos, y laeficiencia de su uso y su relacién con las necesidades de la organizacién. mnTRopuccionxiv rRooUCCON inform dependiendo de su tamaiio Es conveniente precisar y aclarar que la funcién de la auditoria e1 sad con la que me relies dcpesera ‘ane de las caracteristicas y del mimero de equipos de cémputo con que se cuente. El Findizarde ecuerda.n h erggnizacion de que sc trate-e los equlposoFiven CaPiTUI y caracteristicas. La prot Os, Al finalizConcepto de auditoria carityco €N informatica te y diversos tipos de auditorias Obuetivos Al finalizar este capitulo, usted: 1. Analizaré lo 2. Conocera to: informética 3. Expondré cudles s con informatica 4. Descrbira las habi formética. 5. Detiniré cual es el campo de la auditoria en informatica. 6. Explicaré cudles son los principales objetivos de la auditoria en informatica 0s de auditoria e informatica, 0s tipos de auditoria y su relacion con la auditoria en sonicas avanzadas que se utiizan en la euditoria fades fundamentales que debe tener todo auditor de in2 : cari Concerto pe aupioria r Y CONCEPTO DE INFORMATICA Ste pe coe Nace in mnctsta El concapte Ue ecco eva coop ss = srgiaig" El raion tend -vsnl de ply coven atréanoner dese at SS ee nc cain aera qiseniaTes “ae | El Roletin C de normas de auditoria® del Instituto Mexicano de Contadores | ost ria debe ev, tivas de sol Informatie equipas de, conferencia tica dela Fa Nacional A) palabra 1a conjur facestim En 1966, del modo sig ndquin: Hacia pe cién, sobre fc por redefini Interguberna UNESCO. Es ello, formuld Aplicacisn La IBItan ca que, aungt Ciencia de En 1977, Mexicana de | Ciencia de En alguns proceso electr mas amplio, ytia debe evaluar par Informitica equipos d conferencia f de Ia Facult 1 ministracis Frectamerts al Auténoi amplio; no eevaluar la jjetivos pro e*auditor de cuentas debe estar intergubern: INESCO. F Allo, form: intos para | laauditoria sidera el total del sistem:DIVERSOS TIFOS DE AUDITOR: Niveles de informacion También es comtin confundir el concepto de dato con el de informacién. La Jenados con un objetivo co: min. El dato se refiere tinicamente a un simbolo, signo o a una serie de let nuimeros, sin un objetivo que dé un significado a esa serie de simbolos, signos letras o ntimeros, La informacion esté orientada a reducir la incertidumbre del receptor y tie- ne la caracteristica de poder duplicarse pricticamente sin costo, no se gasta Ademds no existe por si misma, sino que debe expresarse en algtin objeto (pa pel, cinta, etc.); de otra manera puede des: con la comunicacisn oral, Io cual hace que la inform: debidamente por medio de adecuados sist recer 0 deforn se, como sucede ién deba ser controlada mas de seguridad, confidencialidad y respaldo. La informacién puede comunicarse, y para ello hay que lograr que los me- dios de seguridad sean levados a cabo después de un adecuado examen de la forma de transmisisn, de la eficiencia de los canales de comunicacién{el trans misor, el receptor, el contenido de la comunicacién, la redundancia y el ruidg) La informacisn ha sido dividida en varios niveles. El primero es el nivel técnico, que considera los aspectos de eficiencia y capacidad de los canales de transmisidn; el segundo es el nivel semntico, que se ocupa de la info desde el punto de vista de su considera al rese xto dado, y el cuarto nivel analiza la informa cidn desde el punto de vista normativo y de la parte ética, o sea considera cuan do, dénde y a quién se destina la informacién 0 la@ikusiDquie se le dé abarcar los cuatro niveles de Thformacién, Enel cuarto nivel tenemos una serie de aspectos importantes, como la parte Jegal del uso de 2 iucidi ca ¥ la crevcidn de la ética en informatica, gue no sélo debe incluir a los profesionales t cnicos y especialistas en informatica, sino también a los usua rios tanto de gr indes computadoras como de computadaras personales, gnificado; el tercero es el pragmatic, el cual Ia informacién, los estudios que se han hecho sabre la Kan a de la infor. La informac in tradicional (oral y escrita) se ve afectada dentro de Ia infor mitica cuando se introduce el manejo de medios electronicos, lo cual la hace facilmente mod ficable y adaptable a las caracteristicas de cada receptor. La informacisn tambien tiene la capacidad de mangjarse en forma rdpida y en gran- des voltimenes, lo cual permite generar, localizar, duplicar y distribuir la infor macién de modo sorprendente a través de métodos, téenicas y herramientas como microcomputadoras, procesos distribuidos, redes de comunicacisn, ba ses de datos, etcetera, La nueva tecnologia permite que el usuario disponga de la informacién en cualg) momento, ya sea para su acceso, actualizacién, tacidn o para que pueda distribuirse como se desee. Aunqu mbio 0 explo e intercambiarse entre tantos usuarios mismo tiempo se plantea un gran problema en cuanto al cuarto nivel de la informacién, que es st parte étic el estudio de la posibilidades del buen o mal uso de la informacidn por parte de personas no autorizadas. La planeacién y control de la informacién nos ofrece nuevos aspectos im- portantes a consid 1, entre los que estén la teoria de sistemas, las bases datos, los sistemas de comunicacién y los sistemas de informacién, que van a complementar el concepto de informatica y su c: po de accisn. Dwer YSUR EN INF Avon Y AUDI EL Boletin E interno: stud la neem, estudio para det permitar procedir Lo procedir guardar ticas pre Objetivosb tro objetivor + Laprote © Laobter + Lapron © Lograr¢ blecidas Seha es! troles inte nistrativos, Objetivos g del plan de proteccidn dDiversos TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA EN INFORMATICA Avorroria INTERNA/EXTERNA Y AUDITORIA CONTABLE/FINANCIERA 22 del Instituto Mexicano de Contadores® sefiala respecto al control Detinicion y objetivos det control internoon lentificar d pjetivos de control interno apl de trarsaccon as diferentes ‘on sen Objetivos de autorizacion Objetivos dei procesamiento y clasificacién de transacciones haat evan pin obama? peepee lta i “laste en forma tal qué pertaitan la preps Las traraacek pstradas en el mismo peviodo contable Objetiv Elac administ Objetive desarrollay que se Elare no. La prin fen el logro decir, come 2 audi cién, proce da fisica, veObjetivo de salvaguarda fisica Objetivo de verificacion y evaluaciongeneral, al equipo de cémputo y al departamento de informatica, para lo cual se requieren conocimientos de contabilidad, finanzas, recursos humanos, ad. ministracién, etc,, asi como de experiencia y un saber profundo en informé tica La auditoria interna debe estar presente en todas y cada tuna de las partes de la organizacién. Ahora bien, la pregunt icual debe ser su participacién dentro del érea de informatie: La informatica es en primer lugar una herramienta muy valios que normalmente se plantea a que debe toner un adecuado control y es un auxiliar de Ia auditoria interna, Pero, sogtin este concepto, la auditor de informatica Se ha estudiado que los interna puede considerarse como un usuario del dre 4ivos generales del control intezno son: + Autorizacion, * Procesamiento y clasificacién de las transacciones. + Salvaguarda fisica, Con base en los objetivos y responsabilidades del control interno pademos hacer otras dos preguntas: ;De qué manera puede participar el personal de con. trol intemo en el disefio de los sistemas? {Qué conocimientos debe tener el per jones den: sonal de control intemo para poder cumplir adecuadamente sus fun tro del érea de informs Las respuestas a estas preguntas dependersn del nivel que tenga el control enel disefio general y detalla do de los sistemas se debe incluir'a personal de la contraloria interna, que habr: intemo dentro de la organizacién. Sin emb: de tener conocimientos de informatica, aunque no se requerird que sean espe cialistas, ya que s6lo intervendran en el disefio general del sistema, en el diseno decontroles, en los sistemas de seguridad, en el respaldo y confidencialidad del sistema y en les sistemas de verificaciéa. Se habrén de comprobar las férmul de obtencién del i seguro social, etc,, pero no debersn intervenit en la elaboracisn de los sistemas, probai esto sobre el producto del trabajo, el cdlculo del pago del alado en el bases de datos 0 programacién. Tendrin que © que lo diseno general sea igual a lo obtenido en el momento de implantacién, para que puedan dar su autorizaci6n a la corrida en paralelo. El auditor interno, en el momento en que se eatin claborando los sistemas, debe participar en estas * Asegurarse de verificar que los requerimientos de seguridad y de auditoria sean incorporados, y participar en la revisién de puntos de vorificacién + Revisar la aplicacién de los sistemas y de control tanto con el usuario como enel centro de informatica * Verificar que las politicas de eguridad y los procedimientos estin incorpo: -ades al plan en caso de desastre * Incorporar técnicas avanzadas de auditoria en los sistemas de computo. 1s sistemas de seguridad no pueden llevarse a cabo a menos que existan procedimientes de control y un ade 1ado plan en caso de desastre, elaborados { desde el momento en el que se disefia el sistema. El auditor planesa largo de tal manera dad sean incor Au DITO La tecnologia « estin estructu son dramatico administrative planeacisn ad: trol interno de de la tecnologi esta soportad nologia William P, Elexamen planes y ob des human Se lleva a ¢ presa con el fi Pérdidas y Mejores a Mejores fo Operacion Mejor uso La auditor del drea de inf auditoria en ini aplicarlos al ér El departa Objetivos, Organizac Estructura FuncionesAupiroria ADMINISTRATIVA/JOPERACIONAL esti afectando la forma en que lus organizaciones= siguientes factore +) Verifieae era reportes PTO OF informac jc organizacién). macenad = + Pruebasi auDToRIa la valida: © Clasificat * Seleccién + Llevaras compustac Con fines para Auorroria CON INFORMATICA es de softwa © Supervisa Concepto de auditoria con informatica auitorai x ‘equipo, q Los procedimientos de aud a tador o mi en la mayoria de los ambientes de informatica. necer bajo estn mito. nutales y métodos asistidc ‘cumentacisn,t ademas de los En Utilizaci6n de las técnicas de auditorias cece asistidas por computadora Jas instruccione desde la bibliot objeto de En general, cl auditor debe utilizarla computadora en la gjecucién de la audit od jue esta herramienta permitiré ampliar | ura del examen, reduciend * . €l tiempo/ costo de las pruebas y procedimientos de muestreo, que de otra mane ratendrian que zee manualmente. Existen paquetes de computadora(e are) gue permiten elaborar auditorias a sistemas financieros y contables que s encuentran en medios informaticos. Ademis, el empleo de la computed auditorle permit faliarcarscon a 0 enel centro ¢ aaa + Desorrollar Ee ne Sines smputadora del auditor, para ser trabe te, 0 bien acceso al siste ae a en red para que el auditor elabore las prus “re| i o1 cat 1 independiente una simu de tr ' sac '$ para verificar la conexion y cor gram + Ullizaci6n de paquetes para auditorfa; por ejemple P 1 1 fabricante ¢ firmas de contadores 08.0 bajo estricto control del departamento de auditoria. Por esto, toda la dc < Je auditoria pueden ser guardados utilizandc seria aceptable en tanto s el control d i » almacenados. Las programas desarrallados co deben estar cuidadosamente documentad: d : + Mantener el control basico sobre los programas que se encuentren cata & el sistema y llevar a cabo protecciones apropiad, + Desarrollar prog independientes de control que monitoreen el pro% samiento del programa de auditori iandos de control.2 + Controlar la integridad de los archivos que se estan procesando y las sal das generadas. vousnsoe res Técnicas avanzadas w° de auditoria con informética de datos y procesamiento computacién, como procesamiento en linea, bases distribuido, se podria evaluar el sistema empleando técnicas avanzadas de auditoria. Estos méiodes requieren un experto y, por lo tanto, pueden no ser apropiados si el departamento de auditoria no cuenta con el entrenamientoade cuado. Otra limitante, incluyenda el casto, puede ser la sobrecarga del sistem y la degradaci6n en el tiempo de respuesta. Sin embargo, cuando se usan apro- piadamente, estos métodos superan la utilizacién en una auditoria tradi Pruebas integrales. Consisten en el procesamiento de datos de un departamen to ficticio, comparando estos resultados con restiltados predeterminados otras palabras, las transacciones iniciadas por el auditor son independientes de laaplicacion normal, pero son procesadas al mismo tiempo. Se debe tener espe cial cuidado con las particiones que se estén utilizando en el sistema para prue ba de la contabilidad o balances, a fin de evitar situaciones anormale Simulacién. Consiste en desarrollar programas de aplicacién para determina da prueba y comparar los resultados de la simulacién con la aplicaci6n real Revisiones de acceso. Se conserva tin registro computarizado de todos los ac cesos a determinados archivos; por ejemplo, informacién de la identificacién tanto de la terminal como del usuario. Operaciones de la informacisr los resultados que paralelo. Consiste en verificar la exactit oduce un ma nuevo que sustituye a uno ya Evaluacidn de un sistema con datos de prueba. Esta verificaci6n consiste er probar los resultados produ én con datos de prueba co los resultados que fueron obtenidos inicialmente en las pruebas del progran (solamente aplicable cuando se hacen modificaciones a un sistema), aplicacién que Registros extendidos. Consisten en age determinado, como un campo datos de todos los progr: ampo de control a un registro stro extra, que pueda inclu sd forman parte del procesamien- to de determinada transac Totales aleatorios de ciertos programas. Se consi tuen totales en algunas p: fes del sistema para ir verificando su exactitud en forma parcial Seleccién de d deun archivo parcial el archi car en forma t Resultados de demos compar una metodolo Btaaimentc Gan losprobie dencia al audi Biter pores El empleo mienta que fac Trasladar I Llevar a cal Verificar la Visualizaci Ordenamie El auditor sistemas, cone con las politicas continua dencia que exis puede cambiar Transacciones ceso. En las apl Por ejemplo, el cuando el inve computadora s orden de repos blecido, El registro man Enlas aplicacioy do Ia informaci némina puede través de la red tener unaclaveden no ser adientes de tener espe para pruc determin dos los ac aformacisr tun registro fa inclu Selecci6n de determinado tipo de transacciones como auxiliar en el andlisis deun archive histérico. Por medio de este métado podemas analizar en forma parcial el archivo hist6rico de un sistema, el cual seria casi imposible de verif Resultados de ciertos edlculos para comparaciones posteriores. Con ellos po demos comparar en el futuro los totales en diferentes fechas. Las téenicas anteriormente descritas ayudan al auditor interno a establece ana metodologia para la revision de los sistemas de aplicacion de una institu actualmente se han desarzollado programas y sistemas de auditoria que elimi nan los problemas de responsabilidad del departamento de auditoria, al int enir en las actividades e informacién cuyo control corresponde estrictamente al departamento de informstica, lo cual proporciona una verdadera indeper dencia al auditor en la revisidn de los datos del sistema. En la actualidad, el auditor puede estar desarrollando algunas de sus funciones al intervenir en la El empleo de la microcomputadora en la auditoria constituye una herra: mienta que facilita la realizacidn de actividades de revisién como: Jadar los datos del sistema a un ambiente de control del au levar a cabo la seleccién de datos Verificar la exactitud de los célculos: muestreo estadistico. Visualizacién de datos. Ordenamiento de la informacién. Produccién de reportes e histogramas, El auditor intemo debe participar en el disefio general y especifico de los sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo politicas internas antes de que se comience la programacién del sistema, A continuacién se muestran ejemplos de las formas tradicionales de evi dencia que existen en un proceso manual y las maneras en que la computadora puede cambiarla: Transacciones originadas por personas y accesadas a un sistema para su pro- e260. En las aplicaciones computarizadas, pueden generarse automaticamente Porejemplo, el sistema puede emitir automaticamente una orden de reposicién cuando el inventario esté a un nivel por debajo del punto de reorden. Sin la computadora se requerfa que una persona estuviera revisando y elaborara la den de reposicién cuando el inventario estuviera abajo del mfnimo ya esta: blecido. E registro manual de la informacién necesaria para originar una transaccién. En as aplicaciones computarizades no se producen documentos impresos cuan do la informacién es accesada. Por ejemplo, un cambio hecho a las tarifas de través de la red interna, sin dejar registro impreso del cambio, aunque se debe tener una clave de seguridad para poder accesarlo y llevar un registro histérico4 a La revisin de transacci s por el personal, que deja constancia con sus firmas, iniciales 0 sellos en los documentos para indicar la autorizacién de! proceso. En as aplicaciones computarizadas la autorizacién puede ser automa ica. For ejemplo, una venta a crédito puede ser automaticamente aprobada si limite de c previamente d D ninado no esté excedido. Otro: os de autorizacisn idad inica incluyen el acceso mediante claves de seg Anteriormente se tenian firm londe ahora sélo se tiene una clave ave de acceso, que ¢s equivalente a la autorizacién, dejando tinicamente egistro (en el mejor de los casos) de la Have de acceso utilizada, el lugar donde tuvo acceso y la hora y dia en que fue autorizada El transporte de documentos de una estacién de trabajo a otra por personas, correo 0 servicios similares de un lugar del negocioa otro sitio completamen- te distinto. tun documento fisicamente. En aplica formacion es transcrita, codificada, frecuentemente condensada y entonces en ro de cudndo recibié la informacion el recepte Procesamiento ma tienen espacio de trabajo para ejecutar el necesario. En la aplicaci snicamente dentro de la memori ;putarizadas, el proce Jel computador mediante p determinad roceso simplificado que facilita las ejecuciones repetitivas sin alta probabi: lidad de error, En les aplicaciones computarizadas, el proc de ser ext nadamente complejo debido a la velocidad y exactitud del computador. For jemplo, una compara puede utiliza mputadora para calcular la efectivi dad de cientos de posibles horarios 0 eSdulas de produccién a fin de seleccion 1 mas adecuado, mientras que en los métodos manuales esto seria casi impo- Mantenimiento en manuales de informacién de naturaleza fija que es nece saria para el proceso, como tarifas de néminas o precios de productos. E aplicaciones computarizadas, esta informacién se almacena en medio: computarizados o bien por medio de catélogos; en los métodos manuales es dificil tener catalo muy amplios y con actualizacién inmediata Listado de los resultados del proceso en documentos impresos, como che ques y reportes. Frecuentemer procesos intermedios. En las aplicaciones computarizadas el proceso puede n dar por resultado documentos impre: Por ejemplo, ransferidos electrénicamente. En algunos sistemas, la informacién ratinaria ¢ retenida de ren accién. Almacenam archivo 0 si recobrarsemr computariza ben utilizars dios, los cual de bases de Uso de doce nuales estos métodos de partir de las pistas de serviria de pi dos. Las pist roglas del pre gjecutar Unoo més m alas transac. cic y proces den set incl Revision de nes computar mente media dificil para | tacionales est Ladivision d la distribuciét pleadgs, sino! zado. Por eje partes fengar enel caso del Proceso de gr cruzamientod diticil y costosUno o mas manuales de procedimientos que contienen informacion relativa ransacciones del sistem: re Cn | F i in Jas ap es computarizadas, pue yas den ser incluidos en I mas mediante ayud. babi nar su razonabilidad, exactitud, totalidad y autorizacion. En las dificil para la gente monitorear los proces orme los sistemas compu integrados y son mas complejos y el Jel proceso se as nece Ladivisién de tareas entre los empleado plicaciones compu oceso de grandes cantidades de datos ue pueden requerir la repeticin 0 , ruzamiento de diversos elementos16 Habilidades del auditor aciones computarizadas, grandes cantidades de datos pue uusos secundarios de los datos Planeacién de los procedimientos de auditoria con informatica El propssito principal de la planeacién de las met didas de auditoria es incluir dentro de las aplicaciones las facilidades que per an realizar las actividade de auditorfa dela manera mas fl La planeacidn de los servicios establece las facilidades tanto actuales como El auditor debe examinar est futuras que ofrece la direccién de informatic plan para establecer los requerimientos de auditorfa necesarios. Para el funcionamiento de dichos procedimientos se requieren dentro de los programas rutinas que permitan accesar la informacion y sisten indepen: dientes para la selecci6n, sumarizacién, comparacidn y emisidn de reportes, El poder planear y realizar estas tareas implica un trabajo complicado pero que es necesario hacer. La computarizacién de I organizaciones ha dado por resultado una concentracién de datos y funciones, que son seleccionades, correlacionados, resumidos y dise pico, normalmente un dato puede nados. En un ambiente computarizado tt actualizar muchos archivos. Es necesario que el auditor cuente con las herramientas adecuadas del mismo y tambien verificar que el sist 2 poder seguir el fema esté realizando las funciones que supuestamente debe ejecutar; estas herramientas computarizadas le deben per mitir detectar los errores y corregirlos po rior mente 1 auditor no es un programador especializ do, por lo que es obligacisn de este grupo de proceso planear el desarrollo de estas herramientas de cémputo, atendiendo las solicitudes y Es comprensible pensar que recomendaciones, de los auditores y aportando su propia experiencia, También debe participar en las pruebas en paralelo y en la implantacién del nara asegurarse de que tod procedimientos, entradas y salidas son los solicitados por el usuario en el momento del diseno detallado, asi como para evaluar que los calculos realizados sean los correctos y, en general, para darla aprobacién del sistema una vez verificado que cumpla con los objetivos, flujo de informaci6n, controles y politicas del usuario y de la organizacion. La participacisn del auditor interno en el disefo e implementacién dk sistema es de suma importancia. Por ejemplo, la clasificacién de la evidene que se venia utilizando tradicionalmente, como la firma del funcionario pera autorizar una transaccién, se ve reemplazada por una clave de seguridad de acceso o la firma electrénice, aunque la introduccién de un computador no ne cesariamente cambia las formas de la evidencia de auditoria, El auditor interno debe estar presente en el desarrollo del sistema para eva: luar que la informacién requerida por el usuario quede cubierta y se cumpla conel grado dt acuerdo con le Existen cie Jas minimas qi + Hobilidad ‘+ Habilidadt + Hobilidad + Hobilidad ‘© Habilidad Como eval tre los proceso piadas para en rea de trabajo mientos de los contexto dela} y pricticas que tribucidn poter especifico. Las habilid implantar, ejeo de la tecnologi gobiemen el ot Dernic Concer Después de ana tipos de audito: ponder las sign campo de accid, Esta es lad Practice sobre at Es una fanci vvos de los sis los objetivos Mientras qu Auditoria en reas de laoinar este lento d indepen- alo pero dado por onados ado tt snrio que eialize rrollo de scion del lidas son ‘mo para fa dar la flujo de dad de 2rnone cumpla con el grado de control que necesita la informacién procesada por el sistema, de acuerdo con los objetivos y politicas de la organizacisn B eras habilidades fundamentales que deben ser consideradascomo lasminimas que todo auditor de informatica debe tener Hobilidad para manejar paquetes de procesadores de texto, + Habilidades para manejo de hojas de calculo. + Habilidad para el uso del E-mail y conocimiento de Internet + Habilidad para manejo de bases de dato: + Habilidad para el uso de al menos un p ete bisico de contabilidad. Como evaluador, el auditor de informatica debe ser capaz de distinguir en ttelos procesos de evaluacién de sistemas y las aproximaciones que son apro- piadas para encauzar los propésitos especificos de evaluacion relevante para el ea de trabajo. En este sentido, el auditor en informatica debe tener los conoci- nnientos de los pasos cequerides para aplicar una evaluacién particular en contexto de la tecnologia de la informacidn. Debe poser esténdares relevant y pricticas que gobiernen la conduccién de una evaluacién particular. Su con- ibucién potencial a una evaluacién particular puede ser hecha en un contexto speafico. Lashabilidades técnicas requeridas por el auditor en informatica son las de mplantar, ejecutar y comunicar los resulta os de la evaluacidn en el contexto de la tecnologia de informacién, de acuerdo con estandares profesionales que gobiemnen el objetivo de la auditoria DeriniciON DE AUDITORIA EN INFORMATICA Concerto DE AUDITORIA EN INFORMATICA Después de analizar los conceptos de auditoria y de informatica, los diferentes tipes de auditoria, asf como su interrelacién con la informética, debemos re ponder las siguientes p tuntas: Qué es auditorfa en informatica? gCudl es su es la definicién de Ron Weber en Auditing Conceptual Foundations and tice sobre auditoria informatica: Es una funcién que ha sido desarrellada para asegurar la salv uarda de los act wos de los sistemas de computadoras, mantener la integridad de los datos y logra Mientras que la definicion de Mair William es la siguiente: Auditoria en informatica es la verificacién de los controles en las siguientes trwate : El cont bido loin mas debi El abus informatica de informat informacisr robes horm tambien sor La audi equipos de mas habra ¢ das, proced (desarroll n incluir y el pers Ademé: se ro adec dafios consic inversién im dencial a la pérdidas en pro un recur estrenado, nuestra soci den ir des¢ bertad ode l Ademis es responsabgue mangjan estos dos tipos de problemas han sido mejor desarrolladas que aquellas que se relacionan con el abuso en las computadora H control en el abuso de las computadoras es normalmente més dificil de bio lo ineclecuado de las leyes. Es mas dificil condenar a alguien que hizo un inadecuado uso del tiempo de las computadoras, 0 copias ilegales de progra- mas, debido a que las leyes no consideran a Jas computadoras como una perso na, s6lolas personas pueden ser declaradas como culpables, o bien considerar 4a informacion como un bien tangible y un determinado cost 1s0 tiene una importante influencia en el desarrollo de la auditoria en informética, ya que ena mayoria de las ocasiones el propio personal de la orga~ hizaci6n es el principal factor que puede provocar las pérdidas dentro del area Gién del equipo en trabajos distintos « los de la organizacién, la obtencibn de informacion para fines personales (Internet), los juegos 0 pasatiempos, y los también son Ilevades a cabo por el propio personal de la organizacién, La auditoria en informatica debera comprender no sélo la evaluacién de lo das, procedimientos, comunicacidn, controles, archivos, seguridad, personal (esarrollador, operador, usuarias) y obtenciéa de informacidn. En esto se de- it los equipos de cSmputo, por ser la herramienta que permite obte ner una informaci6n adecuada y une organizacicn especifica (departamento de cimputo, departamento de informatica, gerencia de procesos electrénicos, etc), cl personal que hard posible el uso de los equipos de cémputo. Ademds de los datos, el hardware de computadora, el software y persor son recursos criticos de las organizaciones. Algunas organizaciones tienen in- versiones en equipo de hardware con un valor multimillonario, Aun con un seguro adecuado, las pérdidas intencionales 0 no intencionales pueden causar ios considerables, En forma similar, el software muchas veces constituye una inversiGn importante. Si el software es corrompido o destru psible que la organizacion no pueda continuar con sus operaciones, si no es prontamente recobrado. Si el software es robado, se puede proporcionar informacién confi- dencial a la competencia, y si el software es de su propiedad, pueden tenerse pérdidas en ganancias o bien en juicios legales. Finalmente, el personal es siem- pre un recurso valioso, sobre todo ante la falta de personal de informatica bien, s computadoras ejecutan automaticamente muchas funciones criticas en nuestra sociedad. Consecuentemente, las pérdidas pueden ser muy altas y pue- len ir desde pérdidas multimillonarias en lo econdmico, hasta pérdidas de li- ertad o de la vida en el caso de errores en laboratories médicos o en hospitales. Ademiés de los aspectos constitucionales y legales, muchos paises han con iderado la privacidad como parte de los derechos humanos. Consideran que responsabilidad de las personas que estén con las computadoras y con las edes de comunicaci6n, asegurar que el uso de Ia informacidn sea recolect integrada y entregada répidamente y con la privacidad y confidencialidad jveridas, Existe una responsabilidad adicional en el sentido de asegurarse de que la informacién sea usada solamente para los propésitos que fre elaborada Perdida do informacién20 capiruto 1 EPTO DE \UOITORIA Campo de la auditoria Eneste caso se encuentran las bases de datos, las cuales pueden ser usadas para nes ajenos para los que fueron disefiadas o bien entrar en la privacidad de las, La tecnologia es neutral, no es buena ni mala. El uso de la tecnologia es lo que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnolo- giaen Internet no es problema de la tecnologia, sino de la forma y caracteristi cas sobre las cuales se usa esa tecnologia. Es una funcién del gobierno, de las asociaciones profesionales y delos grupos de presién evaluar cl uso de la teeno- logia; pero es bien aceptado el que las organizaciones en Jo individual tengan una conciencia social, que incluya el uso de la tecnologia en informatica. Debers de existir una legi la que se considere el andlisis y acién mas estricta en el uso de la tecnologia, en investigacion paraevitar el mal uso de Internet y otras tecnologias, para evitar situaciones como el suicidio colectivo de sectas religiosas, como sucedié en Estados Unidos. También se requiere de una tica por parte de las organizaciones y de los individuos que tis todo tipo de tecnologia, no sélo la de informatica. Campo DE LA AUDITORIA EN INFORMATICA Fl campo de accién de la auditoria en informstica es: * Laevaluaci6n administrativa del area de informatica, La evaluacién de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la informacién. La evaluacién de la eficiencia y eficacia con la que se trabaja * La evaluacién del proceso de datos, de los sistemas y de los equipos de cémputo (software, hardware, redes, bases de dates, comunicaciones). ‘+ Seguridad y confidencialidad de la informacion. * Aspectos legales de los sistemas y de Ia informacién, Para lograr los puntos antes seftalados se necesita: A) Evaluacién administrativa de la evaluacién de lel departamento de informatica. Esto compren Los objetivos del departamento, direccién o gerencia Metas, planes, politicas y procedimientes de procesos electrdnicos estén- dares. © Organizacisn del drea y su estructura orgénica Funciones y niveles de autoridad y responsabilidad del drea de proce s0s electronicos, Integracisn de los recursos materiales y tenicos. Direceién, Costos y controles presupuestales Controies administrativos del area de procesos electrénicos. B) D) Evalu: se tien Ey Ey Ey Fa rosy co Ins For foi Co Uti ei cur Pro Der Evaluac prende: Con Con Con ‘Con Con Con Com Ord Seguride Sega Cont esp Segu Segu Segu Plan sastre + Resta Los prine = Salva ware © Integradas para 8) Evaluacisn de los sistemas y procedimientos, y de la eficiencia y eficacia qui a lad de las tienen en e! uso de la informacién, lo cual comprende saseacd ogfa es lo + Evaluacidn del anallisis de los sistemas y sus diferentes etapas. INFORMATICA vlecnolo- + Evaluacién del disefio Igico del sistema racterist + Evaluacién del desarrollo fisico del sistema, to, de + Facilidades para la elaboracién de los sistemas. Iatecno Control de proyectos. al tengan Control de sistemas y programacién. ic mentacir slogia, en Formas de implantacién Soguridad fisica y ISgica de los sistema: = Confide + Instructivos y doc cialidad de los sistemas. * Controles de mantenimiento y forma de respaldo de los sistemas. Utilizacién de los sistema Prevencidn de factores que p cuperacién en caso de desa: * Productividad. Jan causar contingencias; seguros y re Derechos de autor y secretos industriales. Evaluacién del praceso de datos y de los equipos de prende: ‘émputo que com- Controles de los datos ente y manejo de cifras de cor Control de operacién. = Control de salida, i. Control de asignaci6n de trabajo. | me © Control de medios de almacenamiento masivos. cc * Control de otros clementos de cémputo. B * Control de medios de comunicacién c © Orden en el centro de aémputo. D) Seguridad * Seguridad fisica y Kégica + Confidencialidad jmpren + Respaldos. «Seguridad del personal * Seguridad en la utilizacién de los equipos. os est + Plan de contingencia y procedimiento de respaldo para casos de de cast. + Restauracién de equipo y de sistemas. Ae prove Bed Los principales objetivos de la auditoria en informatica son los siguientes = Salvaguardar los activos. Se refiere a la proteccién del hardware, soft- ware y recursos humanos, ‘© Integridad de datos. Los datos deben mante plicarse22 © Efectividad de sistemas. Los sistemas deben cumplir con los abjetivos dela + Eficiencia de sistemas. Que se cumplan los objetivos con los menores recut * Seguridad y confidencialidac Para que sea eficiente la auditoria en informatica, ésta se debe realizar tam: bién durante el proceso de disedio del sistema, Los disefiadores de sistem: nen la dificil tarea de asegurarse que interpretan las necesidades de los usa ios, que disenan los controles requeridos por los auditores y que aceptan y entienden los isefios propuesto: La interrelacién que debe existir entre la auditoria en informatica y los dife rentes tipos de auditoria es la siguiente: el nuicleo o centro de la informatica so los programas, los cuales pueden ser auditados por medio de la auditor programas, Estos programas se usan en las computadoras de acuerdo con la organizacion del centro de cémputo (personal). La auditoria en informética debe evaluar todo (informatica, organizacié del centro de cémputo, computadoras, comunicacién y programas), con auxili de los principios de auditoria administrativa, auditorta interna, auditoria co table/financiera y, a su vez, puede proporcionar informacién a esos tipos de aurditorfa, Las comp adoras deben ser una herramienta para la realizacién di cualquiera de las auditorias. La adecuada salvaguarda de los activos, la integridad de los datos y la efi ciencia de los sistemas solamente se pueden | 1 si la administracidn de | organizacién desarrolla un adecuado sistema de control interno El tipo y caracteristicas del control interno dependeran de una serie de fa tores, por ejemplo, si se trata de un medio ambiente de minicomputadoras macrocomputadoras, si estén cone n en forma indivi dual, sie tiene Internet y Extranet. Sin embargo, la division de responsabilida: des y la delegacién de autoridad es cada vez mas dificil debi: usuarios comparten recursos, lo que dificulta el proceso de control inte Como se ve, la evaluacin que se debe desarrollar para la rea n de Ie nto en informatica y con mucha experiencia en el érea La informacion proporcionada debe ser confiable, oportuna, veridica, y debe manejarse en forma segura y con la suficiente confidencialidad, pero debe estar contenida dentro de parémetros legales y ética Aunrroria DE PROGRAMAS 2 auditoria de programas es la evaluacién de la eficiencia técnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los progra su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluat e riesgo que tienen para la organizacién. La auditoria de programas tiene un mayor grado de profundidad y de de le que la auditoria en informatica, ya que analiza y evaliia Ia parte central de uso delas con parte dela at Para logn realicen han ¢ temas deadm bases de dato, el programa. cién del mism mas se neces tengan los res general se ca optimizar un) Para optit cidn del sistem mentacién dettives uso de las computadoras, quees el programa, aunque se puede considerar com parte de la auditoria en informatica ores recur Para lograr que la auditoria de programas sea eficiente, las personas que la mes deadministracién de base de datos, lenguajes de programaciGn, utilerias, datos, medios de comunicaci6n y acerca del equipo en que fue escrito tema Flaca Pars octerlicwas dae tre hutbcras wbctanta deen progr do con I mentaciGn detallada del sistema to $tipos de win de fede fac fadoras ta indiv isabilida: tmuchos temo, fo dePlaneacién de la auditoria en informatica CAPITULO Osuetivos Al finalizar este capitulo, usted: Conocera las distintas fases que comprende la auditoria en informatica Comprenderd la importancia en el trabajo de auditoria de la planeacién, el examen y la evaluacion de la informacion, la comunicacion de los resultados. y el seguimiento, . Explicard el valor de la evaluacién de los sistemas de acuerdo al riesgo . Desoribira las fases que deben sequirse para realizar una adecuada invest ‘gacién preliminar Definird cuales son las principales caracteristicas que requiere ol personal que habrd de panicipar en una aucitoria. Conocard cémo se elabora una carta-convenio de servicios profesionales de auditoria.26 capiTuLo 2 Auditoria interna Fases DE LA AUDITORIA ‘ecoleccisn y evaluacién de eviden. ar cudndc dos, de qué man: son salvaguardados los activos de los sistemas a se mantiene la integridad de los datos y cémc abjetivos de la organizacisn eficazn consumidos eficientemente. La auditoria en inforn dicionales de la auditorfa: aquellos que son de la auditoria externa, de salva sarda de los activos y la integridad de datos, y los objetivos gerenciales, aque ios pr 2 auditoria interna que no sdlo logran los objetivos sefialados ino también los de eficiencia y eficacia. auditoria interna es una funcidn independiente de la evaluacién que s establece dentro de una organizacidn para examinar y evaluar sus actividades El objetivo de la auditoria interna consiste en apoyar alos miembros de la orga nizacién en el desemperio de sus responsabilidad Para ello, proporciona. uaciones, recomendacione Los auditores internos son responsables de proporcionar informacién acer a de la adecuacién y efectividad del sistema de control interno de la organiza cin y de la calidad de la gestién El manual de org: izacion deberé establecer clai ame los propésitos del lepartamento de auditoria interna, especificar queel alcance del trabajo no debe tener restricciones y sefialar que los auditores internos no tendrén au Ly/e responsabilidad respecto de las actividades que auditan El auditor interno debe ser independiente de las actividades que audita. Esta independencia permite que el auditor interne realice su trabajo libre y ob- jetivamente, ya que sin esta independencia no se pueden obtener los resultados deseados, Las normas de auditoria interna comprenden: Las actividades auditadas y la objetividad de los auditores intemos, * El conocimiento técnico, la capacidad y el cuidado profesional de los audi toresinternos con los que deben ejercer su funcidn. En el casa de la audito de su a importancia el que el auditor cuente con Ic nocimientos técnicos alizados y con la experiencia necesaria en el * Elalcance del trabajo de auditoria interna en el Area de informatica EI desarrollo de las responsabilidades asi responsables de la auditorfa a informatica Jas a los auditores internos Los auditores internos deber auditan, ser independientes de las actividades que deben de tener un amplio criterio para no tomar decisiones subjeti vas basadas en preferencias personales sobre determinado equipo 0 sin analizar a profundidad las opiniones. Los auditores internos son indepen: dientes cuando pueden desempeiiar su trabajo con libertad y objetividad. La independencia permite a los auditores internos rendir juicios imparciale feware iales para una adecua La obje internos de deben subo La ot de tal mane que no hay auditores it posibilitade Los rest el respectivi de que el tr Elaudit ridos y con Eldepa, as persona disciplina mw berd aseguri ditores sean des y periciz Fl depar mientos, exp bilidades de tores califica las responsa mento non Que las es un pr trabajo d * Quelosi tructivos + Quesea © Quelaa dencia a} Que los Que los disciplin: Cada au + Se requie cas de aw pericia lapara la adecuada conduccién de las auditorias; esto se log! adecuada objetividad y criterio, a objetividad es una actitud de independencia mental que los auditor Interes deben mantener al realizar las auditorias. Los auditores internos no deben subordinar sus juicios en materia de auditoria al de otros. La objetividad requiere que los auditores internos realicen sus auditoria Je tal manera que tengan una honesta confianza en el producto de su trabajo y que no hayan creado compromisos significativos en cuanto a la calidad. 1 auditores internos no deben colocarse en situaciones en las que se sientan im. osiblitados para hacer juicios profesionales objetivos. del trabajo de auditoria deben ser revisados antes de emiti me de auditoria, para proporcionar una tazonable seguridad 1 trabajo se realiz6 objetivamente El auditor en informatica debe contar con los conocimientos técnicos reque idos y con capacidad profesios Ei departamento de auditoria interna deberd asignar a cada auditorfa a aque las personas que en su conjunto posean los conocimientos, la experiencia y la fisciplina necesarios para conducir apropiadamente la auditoria, También de berd asegurarse que la experiencia técnica y Ia formacién académica de los au ditores sean las apropiadas para realizar las auditorias en informatica simismo, se deberd obtener una razonable seguridad sobre las capaci: des y pericias de cada prospecto para auditor en informatica 1 departamento de auditoria interna deberd contar u obtener los conoci nientos, experiencias y disciplinas necesarias para llevar a cabo sus responsa- ilidades de auditorfa en informatica. Deberd tener personal o emplear consul ores calificados en las disciplinas de informatica necesarias para cumplir con as responsabilidades de auditoria; sin embargo, cada miembro del departa mento no necesita estar calificado en todas las disciplines, El departamento de auditoria interna debera asegurarse Que las auditorias sean supervisadas en forma apropiada. La supervision S un proceso continuo que comienza con la planeacién y termina con el trabajo de auditori (Que los informes de auditoria sean precisos, objetivos, cla tructivos y oportunos, Que se cumplan los objetivos de la auditors (Que la auditoria sea debidamente documentada y que se conserve la evi dencia apropiada de la supervisin Que los auditores camplan con las normas profesionales de conducta Que los auditores en informatica posean los conocimientos, experiencias y iplinas esenciales para realizar sus auditorias Cada auditor interno requiere de ciertos conocimientos y experiencia: Se requiere pericia en la aplicacién de las normas, procedimientos y técni cas de auditoria interna para el desarrollo de las revisiones. Se entiende por pericia la habilidad para aplicar los conocimientos que se poseen a las si- Habilidades de los auditores28 Cuidado profesional tuacion mente se encuentren, ocupandose de ellas sin tener que recurrir en exceso a ayudas o investigaciones técnicas, que posi + Tener habilidad para: aplicar amplios conocimientes a sittaciones que po siblemente se vayan encontrando, reconocer las desviaciones significativas y poder llevar a cabo las investigaciones necesarias para alcenzar solucic nes razonables Entre las habilidades que deben tener los auditores estar + Habilidad para comunicarse efectivamente y dar un trato adecuado a les personas, Los auditores intemos deben tener habilidad para comunicarse tanto de manera oral como escrita, de tal manera que puedan transmitir dlara y efectivamente asuntos como: los objetivos de la auditorfa, las eva Iuaciones, las conclusiones y las recomendaciones. * Los auditores en informatica son responsables de continuar su desarroll profesional para poder mantener st pericia profesional. Deberén mante nerse informados acerca de las mejoras y desarrollos recientes. * Los atsditores en informatica deben ejercer el debido c > profesional 4 realizar sus auditori Elcuidado profesional, deberd estar de acuerdo con 1a comple}idad de la auditoria que se realiza. Los auditores deben estar atentos ala posibilidad de errores intencionales, de errores omisiones, del ineficiencio, del desperdicio, de la inefectividad y del conflicto de interese También deberdn estar alertas ante aquellas condiciones y actividades en donde es més probable que existan irregularidades. Ademas, deberin d identificar los controles inadecuados y emitir .comendaciones para pro mover el cumplimiento con procedimientos y practicas aceptables. EI debido cuidado implica una razonable capacidad, no infalibilidad ni a ciones extraordinarias. Requiere nes con un alcance razonable, pero no requiere auditorias detalladas de todas r puede dar una absoluta se jaridades. Sin embai b no se cumplan posiciones debe ser considerada siempre gue el auditor emprende una auditoria Cuando el auditor detecte una irre deberd informarl: puede recomend. cunstancias. Pos las operaciones. Por consiguiente, el auditor no dad de queno existan incumplimientos o irregu idad de que existan irregularidades materiales 0 que ularidad que va en contra de lo estab a organizacién. El auditor eriormente, el auditor deberd efectuar su seguimiento para ver ficar que se ha cumplido con lo sefialado. a las autoridades adecuadas de El ejercicio del debido cuidado profesional significa el uso razonable delas experiencias y juicios en el desarrollo de la auditoria, Para este fin el auditor debera considerar * Elalcance del trabajo de auditoria necesario para lograr los objetivos de lt auditoria + Lamaterialidad o importancia relativa de los asuntos a los que se aplican los procedimientos de la auditoria. Laadea + Elcosto, Elcuida determinane plidos. Cuen Elalcan« cuacisn y ef lidad enel c revisar la ad sistema estat y metas de le Los objet © Laconfi sar la cot dos para © Elcumpl tos + La salvag El uso efi * Fllogro El sistem; control y el c eben examin + Quelosre tuna, com © Que losex Los audit cumplimiento que pueden te ben determin: La gerene mas disefiado politicas, plan res son respor y si las activi Piados. Los audit = La comece existencias sin tener es que po: nificativas ar solucio- transmitir desarrollo ofesional a cuerdo cor leben estar jones, ce | Je ntereses vidades en deberan de s para pro: es. dad ni ac verificacio- as de todas Juta seguri la las dis aauditoria establecido El auditor topare ve mable de las jelivos de la ese aplican + Laadecuacion y efectividad de los controles intemos, El costo de la auditoria en relacisn con los posibles beneficios. El cuidado profesional incluye la evaluacion de los estandares establecidos, determinando en consecuencia si tales esténdares son plidos. Cuando ést septables y si son cum son vages deberén solicitarse interpretaciones autorizada: El aleance de la auditoria debe abarcar el examen y evaluacién de la ade- uacion y efectividad del sistema de control interno de la organizacién y la ca- idad en el cumplimiento de las responsabilidades asignadas, El propésito de cevisar la adecuaciGn del sistema de control interno es el de cerciorarse si el sistema establecido proporciona una razonable seguridad de que los objetivos metas de la arganizacién se cumpli n eficiente y econémicamen Los objetivos elementales del control interno son para asegurar * Laconflabilidad e integridad de la informaci6n. Los auditores deben revi- sar la confiabilidad e integridad de la informacién y los métodos emplea: dos para identificar, medir, clasificar y reportar dicha informacién El cumplimiento de las politicas, planes, procedimientos, leyes y reglamen- + Lasalvaguarda de los activos. + Bluso eficiente y econdmico de les recursos. ELlogro de los objetivos y metas establecidos para las operaciones o progra- El sistema de informacién proporciona datos para la toma de decision control y el cumplimiento con requerimientos extemos. Por ello, los audi deben examinar los sistemas de informacién y cuando sea apropiado asegurarse: * Que los registros e informes contengan informacién precisa, confiable, opor- tuna, completa y titi * Que los controles sobre los registros e informes sean adecuados y efectivos, Los auditores deben revisar umplimiento de las pol que pueden tener un impacto significative en las operaciones e informes, y de- en determinar si la organizacién cumple con ellos. La gerencia de informa: sistemas establecidos para asegurarse del as, planes y procedimientos, leyes y reglamentos 2s responsable del establecimiento de los si nas disefiedos para asegusar el cumplimiento de requerimientos tales como Poiiticas, planes, procedimientos y leyes y reglamentos aplicables. Los atidito- ws son responsables de determinar si los sistemas son adecuados y efectivos si las actividades auditadas estar piados. Los auditores deberan revisai mpliendo con los requerimientos apro- + La correccisn de los métodos de salvaguarda de los activos y verificar la existencia de estes activos. 2930 Uso eticiente de recursos + Los métodos empleados para salvaguardar los activ de diferentes ti de riesgos tales como: robo, incendios, actividades impropias o ilegales, asi como de elementos naturales como terremotos, inundaciones, etestera Los auditores debersn evaluar i empleo de los recursos se realiza en forma econémica y eficiente Laadministracibn es responsable de establecer estandares medir la eficiencia y economia en el uso de los son responsables de determinar si fe operacion para »s. Los atsditores interns + Los esténdares para medir la economia y eficiencia en el uso de los recurso: son los adecuados. * Los estdndares de operacién establecidos han sido entendidos y se cum: plen. Las desviaciones a los estandares de operacion se identifican, analizan y se comunican a los responsables para que tomen las medidas correctivas. + Se toman las med s con el uso econdmicoy eficiente de los recursos deberén identificar situaciones tales com + Subutilizacién de instalacione + Procedimientos que no justifican su costo Exceso o insuficiencia de personal. Uso indebido de las instalaciones. Los auditores deberdn revisar las operaciones o programas para cerciorai se si los resultados son consist tes con los objetivos y metas establecidos y si las operaciones o programas se llevan a cabo como se planearon. Pianeacion DE LA AUDITORIA EN INFORMATICA Para hacer una adecuada planeacién de Ia auditoria en informética seguir una serie de pasos previos que permitiran dimensionar el tam racteristicas del area dentro del organismo a auditar, sus sis cidn y equipo. Con ello podremos dk personal de auditoria, las herramie minar el nuimero y caracteristicas del nias necesarias, el tiempo y costo, asf como definir los alcances de la auditoria para, en caso necesario, poder elaborar el contrato de servicios Dentro de la auditorfa en general, la planeacidn es uno de los pasos mas mportantes, ya que una inadecuada planeacién provocard una serie de proble efectiie cor El trak seguimien La plas © Elestal + Laobte © La dete © Elestal involuc © Lareal promov © laprp * Ladete: dos de | © La obter En el ca pues habra « * Evaluac * Eyaluac * Evaluac 0 (softw © Segurida © Aspectos Para logr informacién ¢ evaluar. Para trevistas prey deberd incluis solicitar o for El proces Programa Planes de Informes ¢ Las metas plimiento, sobates tipos hay que ticas de ahorar e eprotle mas que pueden im se cumpla con la auditoria 0 bien hacer que no efectiie con el profesionalismo que debe tener cualquier auditor. El trabajo de auditoria deberd incluir la planeacién de Ja auditoria, el ex. men.y la evaluaciGn de la informacién, la comunicacién de los resultados y La planeacién deberd ser documentada e incluiré: Flestablecimiento de los objetivos y el aleance del trabajo. Laobtencién de informacién de apoyo sobre las actividades que se auditardn La determinacin de los recursos necesarios para realizar la auditor Elestablecimiento de la comunicaciGn necesaria con todos los que estarén involucrados en la auditoria La realizacion, en la forma mas apropiada, de una inspeccién fisica para familiarizarse con las actividades y controles a auditar, as{ como identifica cidn de las reas en las que se deberd hacer énfasis a promover comentarios y la promocién de los auditad¢ La preparacién por escrito del programa de auditoria La determinacién de cémo, cudndo y a quién se le comunicarén los resulta dos de la auditoria. La obtencién de la aprobacién del plan de trabajo de la auditoria, En el caso de la auditoria en informatica, la planeacién es fundamenta pues habrd que hacerla desde el punto de vista de varios objet Objetivos valuacién administrativa del rea de procesos electrénico: de a plrmecial Evaluacién de Jos equipos de compute Evaluacién del proceso de datos, de los sistemas y de los equipos de eémpu Seguridad y confidencialidad de la informacion: + Aspectos legales de los sistemas y de la informacion, Para lograr una adecuada planeacicn, lo primero que se requiere es obtener informacién general sobre la organizacién y sobre la funcién de informatica a evaluar. Para ello es preciso hacer una investigacién preliminar y algunas er frevistas previas, y con base en esto planear el programa de trabajo, el cu: deberd incluir tiempos, costos, personal necesario y documentos auxiliares a clicitar o formular durante el desarrollo de la auditoria EI proceso de planeacion comprende el establecer: nas de trabajo de auditoria. contratacién de personal y presupuesto f Informes de actividades. Las metas se debersn establecer de tal manera que se pueda lograr su cum plimiento, sobre la base de los planes especificos de operacion y de los presu32 capiruto 2 buestos, los que hasta donde sea posible deberén ser cuantificables. Deberdn ompafiarse de los criterios para medirlas y de fechas limite para su logro. Los programas de trabajo de ausditoria deberdn inclu: las actividades que ‘mando en consideracion el alcance del trabajo de auditoria planeado y la natu- raleza y extensién del trabajo de auditoria realizado por otros. Los programas de trabajo deberdn ser lo suficientemente flexibles para cubrir demandas im Los planes de contratacién de empleados y los presupuestos financieros incluyendo cl niimero de auditores, st conocimiento, su experiencia y las disciplinas requeridas para realizar su trabajo—, deberén contemplarse ai el borar los programas de trabajo de auditoria, asf como las actividades adminis- amiento requeridos, la investigacién sobre trativas, la escolaridad y el adies auditoria y los esfuerzos de desartollo. Revision PRELIMINAR El primer paso en el desarrollo de la auditoria, después de la planeacio: revision preliminar del area de informatica, El objetivo de la revision prelimi- e el auditor pueda tomarla nar esel de obtener la informacidn necesaria para decisién de eémo proceder en la auditoria, Al terminar la revision preliminar el auditor puede proceder en uno de los tres caminos siguientes, » de la auditoria, Puede haber problemas debido a la falta de compe tencia técnica para realizar la auditorfa, © Realizar una revisién detallada de los controk Iaesperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas puedan reducir las consecuen- .s internos delos sistemas con + Decidir el no confiaren los controles internos del sistema, Existen dos razo- nes posibles para esta decisin. Primero, puede ser mis eficiente desde punto de vista de costo-beneficio el realizar pruebas sustantivas directa- mente. Segundo, los controles del érea de informatica pueden duplicar los controles existentes en el area del usuario, El auditor puede decidir que se obtendré un mayor costo-beneficio al dar una mayor confianza a los con- tzoles de compensacisn y revisar y probar mejor estos controles. La revisién preliminar significa la recoleccién de evidencias por medio de entrevistas con el personal de le instalacidn, la observacidn de las actividades en la instalacidn y la revisi6n de la documentaci6n preliminar. Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de 's considerar que ésta seré entrevistas, 0 con documentacién narrati s6lo una informacion inicial que nos permitira elaborar el plan de trabajo, ia cual se profundizard en el desarrollo de la auditoria La revi zada por ut no normaln parte geren familiarizac causas de el audi consideraci siel auditor gar de proc Con la fase ¢ ‘oles in Revis Los objetive Para que el dentro del 4 El audit timiento, co decontrolin bas compen: puede, desp internos se t alternos de « nla fas Tas causas d para reducir sin detallad dos reducen tencién de in usados en la con que se ol Como en de lograr los auditor inter ciencia y efic suficientes ps interno debe sobrecontral, nos controles controles inte tamente a rev procedimient de los sistem:Deberdin La revisi6n preliminar elaborada por un auditor interno difiere de la reali gto. zada por un auditor externo en tres aspectos, En primer lugar, el auditor inter 5 des que no normalmente requiere de menos revisiones y trabajos, especialmente en la be ta AUDITOR Fido, to: parte gerencial y de organizacién, ya que él es parte de la organizaciGn y est Ianatu- familiarizado con la misma, En segundo, el auditor externose enfoca més en la: agramas causas de las pérdidas y en los controles necesarios para justificar sus decisio Tipos res el auditor interno tiene una amplia perspectiva, la cual incorpora en sus de revisiones. consideraciones sobre laeficienciay la eficacia con la que se trabaja. En tercero, ancieros Sie! auditor interno supone serias debilidades en los controles internos, en Ii ay las proceder directamente con las pruebas sustantivas, deberd continuar ealela conla fase de revisiGn detallada para sefialar recomendaciones para mejorar lo: dminis. controles internos. in bre RevisiON DETALLADA Los objetives de Ia fase detallada son los de obtener Ia informacién necesaria pra que el auditor tenga un profundo entendimiento de los controles usados dentro del area de informatica. prelim: Elauditor debe decidir si debe de continuar elaborando pruebas de consen: imiento, con la esperanza de obtener mayor confianza por medio del sistema ni de control interno, o proceder directamente ala revisidn con los usuarios (prue- bas compensatorias), 0 a las pruebas sustantivas. En algunos casos el auditor puede, después de hacer un andlisis detallado, decidir que con los controles Beape intemos se tiene suficiente confianza, y en otros casos que los procedimientos temos de auditoria pueden ser mas apropiado: Bi con En la fase de evaluacidn detallada es importante para el auditor identificar ens las causas de las pérdidas existentes dentro de la instalacién y los controles para reducir las pérdidas y los efectos causados por éstas. Al torminar la revi sign detallada el auditor debe evaluar en qué momento los controles estableci- dos reducen las pérdidas esperadas a un nivel aceptable. Los métodos de ob- Bevel tencién de informacién al momento de la evaluacisn detallada son los mismos eee usaitos en la investigacién preliminar, y lo tinico que difiere es la profundidad [Bis tcc con que se obtiene la informacién y se evahia. i. Como en el caso de la investigacin preliminar, se tienen diferentes forma: lograr los objetivos desde et punto de vista del auditor intemo o extemo. El aditor interno debe considerar las causas de las pérdidas que afectan la efi- ciencia y eficacia, ademés de evaluar por qué los controles escogidos son o no . suficientes para reducir las pérdidas esperadas a un nivel aceptable. El auditor Taoice interno debe evaluar si los controles escogidos son dptimos, si provocan un | ee sobrecontrol, o bien si se logra un satisfactorio nivel de control usando me- noscontroles o controles menos costosos. Si el auditor interno considera que los, coniroles internos del sistema no son satisfactorios, en lugar de proceder direc- dencias fio de mente a revisar, a probar controles alternos o a realizar pruebas sustantivas y procedimientos, debe sefialar las recomendaciones para mejorar los controlescartruio 2 Examen Y EVALUACION DE LA INFORMACION Los auditores internos deberdn obtener, analizar, in informacién para apoyar los resultados de la auditoria, El proceso de ¢3 amen y evaluacién de la informacién es el s * Se debe obtener la informacion de Objetivos y alcances de la auditor ‘* La informacién deberd ser suficiente, compe! odos los asuntos relacionados con los lente, relevant es sdlidas en relacidn con los hallazgos y recomendaciones de la auditoria. La informacién suficiente significa que est basada en chos, que es adecuada y convincente, de tal forma gue una per e y util para que proporcione bi ona pruden las mismas conclusiones que el auditor. La ica que es confiable y puede obtenerse de la informacion competente s} mejor manera, usando las téenieas de auditoria apropiadas. La informacién relevante apoya les hallazgos y recomendaciones de auditoria y es consis tente con los objetivos de ésta. La informacion util ayuda a la organizacion a lograr sus metas, + Los procedimientos de auditoria, incluyendo el empleo de las técnicas de pruebas selectivas y el muestreo estadistico, deberdn ser elegidos con ant: rioridad, cuando esto sea posible, y ampliarse 0 modificarse cuando las ci cunstancias lo requierar * El proceso de recabar, analizar, interpretar y documentar la informacion deberd supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de auditoria se cum plieron * Los documentos de trabajo de la auditoria deberén ser preparados por los auditores y revisados por la gerencia de auditoria, Estos documentos deb rn registrar la informacidn obtenida y el andlisis realizado, y deben apo- yar las bases de los hallazgos de auditoria y las recomendaciones que se Los auditores deberén reportar los resultedos del trabajo de auditoria. El wuditor deberd discutir las cor Ta administracin beran ser objetivos, claros, c usiones y recomendaciones en Jos nivel ites de emitir su informe final. Los informes de piados ¢ constructivos y oporiunos, Los informes \ce y resultados de la auditoria y, cuando se con in la opinién del auditor. wir recomendaciones para mejoras potenciales y reconocer el trabajo satisfactorio y las medidas correctivas. Los puntos de vista ¢ los audiitados respecto a las conclusiones y recomendaciones luidos en el informe de auditoria presentarén el propésite sidere apropiado, contend: Los informes pueden Los auditores internos rea zavén el seguimiento de les recomendacion para asegurarse que se tomaron las accianes apropiaclas sobre los hallazgos de auditoria reportados. El dir + Selece © Entre todos + Eval El trak la ad. El dir ner un pro eee Lasup cabo conti Jas normas Las 10 auditoriar ra que cual Para e practicars Prue El objetivo controles in determinar jan confiabl Adema cuentement asistidas pont para qu sdacione’ da en he apruden- aditor. La erse de I formaciss -de que la Jos por los nto debe- eben apo: nes que se ditoria. EL informes lo se con- den ser in llazges de Eldirector de auditoria en informatica deberé establecer un programa para seleccionar y desarrollar los recursos, el cual debe contemplar Descripciones de puestos por cada nivel de auditoria en informatica Seleccién de individuos calificados y competente Entrenamiento y oportunidad de capacitacion profesional continua para todos y cada uno de los auditores. Fvaluacién del trabajo de cada uno de los auditores porlomenos una vez al Asesoria a los auditores en lo referente a su trabajo y a su desarrollo profe- El trabajo de auditoria interna y externa debera coordinarse para asegura Ja adecuada cobertura y para minimizar la duplicidad de esfuerzo: El director de auditoria interna en informatica debers establecer y mante ner un programa de control de calidad para evaluar las operaciones de! depa: tamento de auditoria interna. El propésito de este programa es proporcionar tuna seguridad razonable de que el trabajo de auditoria esté de acuerdo con las normes aplicables, Un programa de control de calidad deberd incluir los siguientes elementos: Revisiones internas Revisiones extemas, a supervision del trabajo de los auditores en informatica debera llevarse a bo continuamente para asegurarse de que estén trabajando de acuerdo con as normas, peliticas y programas de auditoria en informatica as revisiones internas deberan cealizarse periGdicamente por el personal del departamento de auditoria interna para evaluar la calidad del trabajo de raque cualquier otra auditoria Para evaluar la calidad del trabajo de auditoria en informética debern Pruceas DE CONSENTIMIENTO El objetivo de la fase de prueba de consentimiento es e] de determinar si los ontroles intemos operan coma fueron disefiados para operar. F] auditor debe determinar si los controles deciarados en realidad existen y si realmente traba ian confiablemente. Ademis de las técnicas manuales de recoleccidn de evidencias, muy fre- cuentemente el auditor debe recurrir a técnicas de recoleccién de informacién asisticas por computadora, para determiner la existencia y confiabilidad de los ELA AUDITORIA Programa de coniral de calidad36 Tipos de pruebas controles. Por ejemplo, par aluar la existencia y confiabilidad de los contro- ies de un sistema en red, se requeriré el entrar a la red y evaluar directamente al sistema, Pruesas DE CONTROLES DEL USUARIO {dir el no confiar en los controles int uaditor p dentro de las instalaciones informsticas, porque el usuario ejerce cantroles que ompensan cualquier debilidad dentro de los controles internos de informatica stas pruebas que compensan las deficiencias de los controles intemos se pue den realizar ‘ediante cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los usuarios Pruesas SUSTANTIVAS Elobjetivo de la fase de pruedas sustantivas es obtener eviciencia suficiente que permita al auditor emitir su jricio en las conclusiones acerca de cuando pueden ocurrir pérdidas materia jurante el procesamiento de la informacién. El au itor extemo expresaré este juicio en forma de opinién sobre cuéndo puede xxistir un proceso equivocado o dentificar ocho diferentes pru: Ita de control de la informacién. Se pueden mantanivas: ‘Pruebas para identificar errores en el procesamiento o de falta de seguri- dad 0 confidenc alidad de los dato: Pruebas para identificar la inconsistencia de los datos. >ruebas para comparar con los datos 0 contadores fisicos, Prucbas para asegurar Confirmacién de datos con fuentes externa Pruebas para confirmar la adecuada comunicacisn Pruebas para determinar falta de seguridad. Prucbas para determinar problemas de legalidad. Debemos cuestionamos el beneficio de tener un excesivo control o bien eva- luar el beneficio marginal de tener mayor control contra el costo que representa Sste. Para ello es necesario evaluar el costo por falla del sistema, y sus reperca- siones para determinar el grado de riesgo y confianza necesarios contra el costo de implantacién de controles y el costo de recuperacion de la informacion o eliminacién de las repercusiones - Flau * Dura + Dura © Dura Enge pendenci nar esto: Aume © Asign poster + Crear audite © Obten Realiz lograr los subsistem: ‘cas de cad subsisteme evaluacién sin olvidar La sum sistema, Los pas Mos que se investigacic de cémo es que son pr controles in To, el auditc troles ques dimientos.} 50s el audit der con pas Durante ciles, Cada ¢ quiere de ev cias obtenidEl auditor debe participar en tres estades del sistema: + Durante la fase de diseno del si + Durante la fase de operacién + Durante la fase posterior a la auditoria, En general, la opinién del gerente de informética y de la alta gerencia con: sideran que el que el auditor participe en la fase de diseno disminuye la inde endencia del auditor, pero existen varias formas en las cuales so puede elimi: + Aumentando los conocimientos en informatica del auditor. + Asignar diferentes auditores a la fase de disefio al trabajo de auditoria y al rior a la auditori Crear una seccién de auditoria en informatica dentro del departamento de auditoria interno, especializado en auditoria en informatica + Obtener mayor soporte de la alta gerenci Realizar una auditoria en informatica es un trabajo complejo, Por ello, par los objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas, y en forma agregada evaluar cada subsistema hasta llegar a una waluacién global sobre la confianza total del siste vidar el postulado de investigaci6n de operaciones, que 10 se debers realizar nos sefiala que La suma de los éptimos parciales de los subsistemas no es igual al 6ptimo de jstema, pero nos da una buena aproximacisr que involucran una auditoria en informatica son similares a aque Lospa los que se realizan para auditar un sistema manual, Primero se realiza un: acién preliminar del érea de informatica, para lograr un entendimiento sndo administrada la instalacién y de los principales sistemas fiar en lo: de cémo es que son procesados. En segundo lugar, si el auditor determina ec controles internos del sistema, se realiza una investigacidn detallada. En terce- rp, el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos con. tuoles que son criticos. En cuarto, se realizan pruebas sustantivas de los proce dimientos, Finalmente, el auditor debe dar una opinion. Después de estos pa ide si debe pros | auditor evaltia los controles internos del sistema y di con pasos alternativos, Durante la auditoria en informatica deber ciles. Cada evalitacién sobre la confianza de los sistemas de control interno re tomarse muchas decisiones diff: re de evaluaciones complejas realizadas en forma conjunta con las eviden:1 38 Ineimp10 Ejemplo Evatuacion DE LOS SISTEMAS DE ACUERDO AL RIESGO evaluar la importance! Una de las forn que puede tener para la organiza- cién un determinado sistema, es considerar el riesgo q implica el que no sea 2 informacién o bien el que sea usado utilizado adecuadamente, la pérdida di Por personal ajeno a la organizacién. Para evaluar el riesgo de un sistema con mayor detalle véase el apartado "Plan de co ingencia y procedimientos de respaldo para casos de desastre”, en el cap Algunos sistemas de aplicaciones son de més alto riesgo que otros debidoa que + Son susceptibles a diferentes tipos de pérdida ¢ Fraudes y desfeleas entre los cuales estén lo El auditor debe de poner especial atencién a aquellos sistemas que requii ran de un adecuado control financiero. Flujo de cala, inversiones cuentas por pagar y cobrar, nomine. 13 fallas pueden impactar grandemente a la organizacién. Una tala en el procesamiento de la némina puede tener como consecuencia fl que se tenga una huelga + Interfieren con otros sistemas, y los errores generados permean a otros sis + Potencialmente, alto riesgo debido a dafios en la competencia. Algunos sis femas le dan ala organiza mercadc jon un nivel competitivo muy alto dentro de un Sistema de planeacion esiratégica. Patentes, derechos de autor, ales son las mayores fuentes de recursos de la organizacion. Otros a través de los cuales su pérdida puede destruir la imagen de la organizacion + Sistemas de tecnologia de punta o avanzada. Si los sistemas utilizan tecno- logia avanzada o de punta. Sistemas de bases de dal somunicadion, tecno- logia sobre la cual la organizacién tanga muy poca experiencia o respaldo, 'a cual es mas probable que sea una fuente de problemas de contro. * Sistemas de alto ost, Sistemas que son muy costosos de desarrollar, los ales son frecu mente sistemas complejos que pueden prese nas de control. hos probl live Es ne que F rapid Lain trol gerer troles ger practicas de la inst: Ios contre dos sobre aplicacior Se del mento po document programa Se det dentro de ria y Ia fee En el cién prelin pos de es har se deb reas, basa Administr, departame de docume Laefici objetivos e: adapta a lo Esta ad usuarios de direccién y dicho sisten cutivos y us Asimisr que el perso dos que see trol, inicam Lethe SprInvestigacion PRELIMINAR que permita una prime sbal. El objeto de este primer contacto es percib idamente las estruct n ales y diferencias principales entre el no a auditar y otras organizaciones que se hayan investigado, a inv in preliminar debe incorporar fases de evaluacién del cor trol gerencial y del control de las aplicaciones. Durante la revisiGn de los con- troles gerenciales el auditor debe entender a la organizacisn y las politicas y pricticas gerenciales usadas en cada uno de los niveles, dentro de la jerarquia de la instalacion en que se encuentran las computadoras. Durante la revision de los controles de las aplicaciones, el auditor debe entender los controles ejerc dos sobre el mayor tipo de transacciones que fluyen a través de los sistemas de aplicaciones mas significativos dentro de la instalacién de computadoras, Se debe recopilar informaci6n para obtener una visién general del departa- mento por medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es definir el objetivo y alcance del estudio, asf como el programa detallado de la investigacis Se deberd observar el estado general del ituacin nntro de la organizacién, si existe la informacién solicitada, si es o no neces: ria y la fecha de su tiltima actualizacién n el caso de la auditoria en informstica debemos comenzar la investiga én preliminar con una visita al orgenismo, al érea de informética y a los equi- pos de computo, y solicitar una serie de documentos. La investigacion prelimi- xr se debe hacer solicitando y revisando la informacién de cada una de las paséndose en los siguientes punto: Administracién. Se recopila la informacién para obtener una visién general del mento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento, a eficiencia en el departamento de informatica sélo se puede lograr si sus bjetivos estin integrados con los de la institucidn y si permanentemente se adapta a los posibles cambios de éstos. ista adaptaciOn tinicamente puede ser posible si los altos ejecutivos y los asuarios de los sistemas toman parte activa en. cisiones referentes a la Jireccién y utilizacién de los sistemas de informacién, y si el responsable de Jicho sistema constantemente consulta y pide asesoria y cooperacién a los eje- Asimismo el control de la direceién de informatica no es posible, a menos ue el personal responsable aplique la misma disciplina de trabajo y los méto- dos que se exigen normalmente a los usuarios. Podemas hablar de tener el con- rol, tinicamente cuando se contemplaron los objetives, se establecié un presu40 caprruo 2 DE LA AUDITORIA EN INFORMATICA Requerimientos de una auditoria puesto y se registraron correctamente los costos en el desarrollo de la aplica- Gién, y cuando ésta contempla el nivel de ses tiempos minimos de entrega de resultados de calidad y vieio en términos d a operacidn del computador. El éxito de la direccién de informatica dentro de una organizacién depende finalmente de que todas las personas responsables adopt va respecto a su trabajo y evaltien constantemente la eficiencia en su propio trabajo, asi como el desarrollado en su drea, estableciendo metas y estandares, tuna actitud posit .ductividad La direccién de informatica, seguin las diferentes dreas de la organizaci6n, es evaluada desde diferentes p Los usuarios a nivel operativo generalmente la tos de vista, > una herramienta para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccién de informatica es una funcién de servicio. Cada grupo de usuarios tiene su propia po y nivel de servicio, sin considerar el costo del mismo y expectativa del normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios, Los altos ejecutivos consideran a la direccién di versién importante, que tiene Ia funcién de participar activamente en el cum- plimiento de los objetivos de la organizacién, Por ello, esperan an maximo del retorno de su inversion; esperan que los recursos destinados a la direccién de informatica proporcionen tn beneficio m iximo a la organizacién y que ésta participe en la aciministraciGn eficiente y en la minimizaciGn de los costos me- diante informacién que permita una adecuada toma de decisiones. Los directi- vos, con toda Ia raz6n, consideran que la organizacién cada dia depende mas del rea de informé ca y consecuentemente esperan que se deba administrar lo més eficiente y eficaz posible. 'sencialmente, la meta principal de los administradores de la direccién di informética es la misma que inspira cualquier departamento de serv binar un servicio adecuado con una operacién econémica. : El problema estriba en balance el nivel de servicio a los usuarios, que jempre puede ser incrementado a costa de un incremento del factor econémico Para poder analizar y dimensionar la estructura a auditar se debe solicita A nivel organizacién total Objetivos a corto y largo plazos, Manual de Antecedentes historia del organismo. Politicas generales. A nivel del drea de informatica * Objetivos a corto y largo plazos. Manual de organizacién del drea que incluya puestos, funciones, nivele jerérquicos y tramos de mando. * Manual de politicas, reglamentos internos y lineamientos generales rsonas y puestos en el dea, © Nuimero d Presi Recu solic local Esta Fechi Cont Cont Conv Conf Cons locali Plane Ubica Polit Politi Politic extern Sister Deseti larse,« Manu: Manus Deseti Diagra Fecha Proyee Bases ¢ Proced Sistem: Enela cion, deben No No Se tiene Noaplica- calidad y 1depende posit propio stindares excién de su propia nelc iximo del e ésta is directi- ande mas ristrar lo solicita Procedimientos administrativos del dre Presupuestos y costos del area INVESTIGACION {ELININAR Recursos materiales y técnicos: Solicitar documentos sobre los equipos, asi como el mimero de ellos, localizacién y sus caracteristicas (de los equipos instalados, por instalar programados). Estudios de viabilidad. Fechas de instalacién de los equipos y planes de instalacién. Contratos vigentes de compra, renta y servicio de mantenimiento, Contratos de seguros. Convenios que se tienen con otras instalaciones Configuracién de los equipos y capacidades actuales y méximas, Configuracién de equipos de comunicacién (redes internas y externa: localizacion de los equipes. Planes de expansién Ubicacién general de los equipo Politicas de operacidn. Politicas de uso de los equipos. Politicas de seguridad fisica y prevencin contea contingencias interna: Sistemas: Descripeién general de los sistemas instalados y de los que estén por ins rse, que contengan voltimenes de informacién Manual de formas. Manual de procedimientos de los sistema: Descripcién genérica Diagramas de entrada, archivos, salida. Fecha de instalacién de los sistemas. Proyecto de instalacién de nuevos sistemas. Bases de datos, propietarios de la informacion y usuarios de la misn Procedimientos y politicas en casos de desastre Sistemas propios, rentados y adquiridos. En el momento de hacer la planeaci6n de la auditoria o bien en su reali ign, debemos evaluar que pueden presentarse las siguientes situaciones. + Se solicita la informacin y se ve que: No se tiene y se necesita, Nose tiene y no se necesita ne la informacién pero: Es incompleta.42 capiruto 2 PLANEACION LAAUDTTORIA Uso do informacién No ests actualizada No es la adecuada. Se usa, esté actualizad is la adecuada y esta completa Enel caso de que no se disponga de la informacién y se considere necesita, se debe evaluar la causa por la que no es necesaria, ya que se pl estar solicitando un tipo de informacién que debido a las caracteristicas de organismo no se requii .0 nos dard un parémetro muy impor hacer una adecuada planeacion de la auditoria, Enel caso de queno se tenga la informacién pero que sea necesaria, se debe ante para recomendar que se elabore de acuerdo con las necesidades y con el uso que se vaa dar En el caso de que se ter a la informacién pero que no se utilice, se debe analizar por qué no se usa. El motivo puede ser que esté incompleta, que no est actualizada, que no sea la adecuada, etc. Hay que analizar y definir las ara seialar alternativas de solucién, lo que nos lleva a la utilizacién de la in- En caso de que se actualizada, si es la ‘enga la informacién, se debe analizar si se usa, si e decuada y si est completa; de ser asi, se considerard den- ‘ode las conclusiones de la evaluacidn, ya que como ¢e dijo la auditoria no sélo debe considerar errores, sino también sefalar los aciertos. Antes de concluir esta etapa no se olvide que el éxito del anélisis criti depende de las con ideraciones siguiente + Estudiar hechos y no opiniones (no se toma informacin sin fundamento). Investigar la: + Atender razones, no excusas. * No confiar en la memoria, preguatar constantemente * Criticar objetivamente y a fondo todos los informes y los datos recabado: 1usas, no los efecto: Persona PARTICIPANTE Una de las partes més importantes en la planeacién de la auditoria en inforn ca es el personal que debers participar En este punto no veremos el niimero de personas que debe ya queesto depende de las dimensiones de la organizacidn, de los sistemas y de los equipos; lo que se deberd considerar son las caracteristicas del personal que iabrd de participar en la auditoria Uno de los esquemas generalmente aceptados para tener un adecuado cot trol es que el personal que intervenga esté debidamente capacitado, que tenga nn alto sentido de moralidad, al cual se le exija la optimizacién de recursos ficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la practica sional y la eapacitacién que debe tener el personal que intervendré en la auditoria En primer zacién, que de la auditoria, p Jas reuniones Este es ur direcci6n, nie tuna o varias p cién en el mor También s en el moment de comprobac do, y complen sloel punto d del sistema Para comp de la auditoria ‘Técnico en Conocimie Experienci: Experienci: Conocimie ‘Conocimies + Conocimie Enel casod mientos y expe: eaciones, etcste Lo anterior y experiencias + ‘con las caracter Una vez pla bilidad de prese de auditores ext La carta con Su confirmacin auditoria, las lin dad y lo: fore Una vez que do en Ia figura 2 Este formato de ‘euado control de de formulacion, | dad, el niimero ¢ minaci6n, el ninEn primer lugar, debemos pensar que hay personal asignado por la orgar ucién. que deba tener el suficiente nivel para poder coordinar el desarrollo de Ibauditoria, proporcionarnos toda la informacin que se solicite y programar les reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direcci6n, ni contar con un grupo muultidisciplinario en el cual estén presentes o varias personas del area a auditar, sera casi imposible obtener informa- in en el momento caracteristicas deseadas. ambién se debe contar con personas a por los usuarios para que eel momento que se solicite informacién, o bien se efecttie alguna entrevista de comprobacién de hipétesis, nos proporcionen aquello que se esta solicitan do, y complementen el grupo multidisciplinario, ya que debemos analizar no séloel punto de vista de la direccién de informética, sino tambien el del usuario el sistema Para complementar el grapo, como colaboradores directos en la realiz auditorfa, se deben tener personas con las siguientes caracte + Técnico en informatica Conocimientos de administracién, contaduria y finanza: Experiencia en el érea de informétic xperiencia en operacin y anélisis de sistemas. Conocimientos y experiencia en psicologia industrial Conocimiento de los sistemas operativos, bases de datos, redes y comuni wiones, dependiendo del drea y caracteristicas a auditar ‘onocimientos de los sistemas mas importantes, Enel caso de sistemas complejos se deberd contar con personal con conoci mientos y experiencia en reas especificas como base de datos, redes, comuni- cciones, etcétera. o anterior no significa que una sola persona deba tener los conocimientos sxperiencias sefialadas, pero s{ que deben intervenir una o varias personas can las caracteristicas aj a vez planeada la forma de llevar a cabo la auditoria, estaremos en po: biidad de presentar la carta—convenio de servicios profesionales (en el caso de auditores externos)—y el plan de trabajo. a carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacién de aceptacicn. En ella se especifican el objetivo y aleance de la itoria, las limitaciones y la colaboracién necesaria, el grado de responsabil os informes que se han de entregar que se ha hecho la planeacién, se puede utilizar el formato senal. do en la figura 2.1, el cual servird para resumir el plan de trabajo de la auditoria Este formato de programa de auditoria nos servird de base para llevar un adi cuado control del desarrollo de la misma. En él figuran el organismo, la fecha de formulacisn, las fases y suibfases que comprenden la descripcién de Ia activi- sd, el mimero de personas participantes, las fe timadas de inicio y ter i6n, el ntimero de dias habiles y el nuim dias-hombre estimados. Caracteristicas el personal Programa de auditoriaaa El control del avai de la figura 2.2, ‘urarnos que el trabajo se esta llevando a cabo de acuerdo con el program de auditoria, con los -e de la auditoria lo podemos llevar mediante el formal tual nos permite cumplir con los procedimientos de « de conter con la informacién del avance permite que el taba elaborado pueda ser revisado por cualquiera de nuestros asistentes. 2 en informatica, véase la figura Como ejemplo de propuesta de auditor 2 somo ejemplo de contrato de auditoria en informética consiltesiecontro Iprograma planeacién, figura 24. Figura 2.1. Programa de auditoria en informatica48 capiruLo 2 ANEAGIGA Figura 2.2. Avance del cumplimiento del programa de auditoria en informatica ANTECE (Anotar los at OBJETIV (Anotar el obj ALCANC Elalcance de Evaluacié ‘Su on Funcit Objet? Estrue Recur Norme ‘Capac Planes Contro Estanc Condi Situaci Evaluacion Evalua mientos prograr los usu Evaluae con eld mas. Segurid Derech« los utiiz Evaiuaa Evaluacion ¢ Adquisic Estanda Controle Nuevos Almacer Comunejemplo de propuesta de servicios de auditoria en informatica ENTES, nlecedentes especiiicos del proyecto de auditorfa.) (0S DE LA AUDITORIA EN INFORMATICA jativo especifico de la aucitoria.) :S DEL PROYECTO s| proyecto comprende. bn Ge la direccion de informatica en lo que corresponce a: ‘ganizacién iones. 08. ctura. 60s humanos. las y politicas. Gitacion. 18 do trabajo. ‘les. dares. jones do trabajo. ci6n presupuesal y financiera. m de los sistemas: \acién de los diferentes sistemas en operacién (flujo, proced- 8, documontaci6n, organizacién de archivos, estandares do amacién, controles, utlizacién de ios sistemas, opiniones de suarios). acién de avances de los sistemas en desarrollo y congruencia | disefio general, control de proyectos, modulavidad de los siste- a ee ee ee ekAndlisis de la seguridad ldgica y confidencialidad. Evaluacion de los proyectos en desarrollo, prioridades y personal | PERSON asignado. ill Evaluacion de la participacién de auditoria interna, Evaluacion de controles. Evaluacién de las licencias, la obtencién de derechos de autor y de la confidencialidad de la informacién Entrevistas con usuarios de los sistemas. Evaluacién directa de la informacién obtenida contra las necesida- des y requerimientos de los usuarios. Analisis objetivo de la estructuracion y flujo de los programas. Analisis y evaluacién de Ia informacién compilada. Elaboracién de informe. Para la evaluacién de los equipes se llavardn a cabo las siguientes act Videdes: Solicitud de los estudios de viabilidad, costolbeneficio y caracteristi- cas de los equipos actuales, proyectos sobre adquisicién o amplia- clon de equipo y su actualizacion. Solicitud de contratos de compra o renta de los equipos Solicitud de contratos de mantenimionto do los equipos. Solicitud de contratos y convenios de respaldo. Solicitud de contratos de seguros. Bitécoras do loc equipos. on Elaboracion de un cuestionario sobre la utilzacion de equipos, archi- fists. vos, unidades de entrada/salida, equipos periféricos, y su seguridad. dota Visita a las instalacionos y a los lugares do almaconamionto do ar. chivos magnéticos. Visita técnica de comprobacién de seguridad fisica y 16 instalaciones. Evaluacion técnica del sistema eléctrico y ambiental de los equipos, del local utilizado y en general de las instalacion: Evaluacion de los sistemas de seguridad de acceso. Evaluaci6n de la informacion recopilada, obtencién de gréficas, por centales de utlizacion de los equipes y su justificacion. hyen Elaboracién de informe. uales Elaboracion del informe final, presentacion y discusion del mismo, y pre- sentacién de conclusiones y racomendaciones. TIEMPO Y COSTO (Poner el tiempo en que se realizard el proyecto, de preferencia indicando el | tempo de cada una de las etapas; el costo del mismo, que incluya el perso- nal parficipante en la auditoria y sus caracteristicas, y la forma de pago.EN INFORMATICA Figura 2.4. Ejomplo de contrato de auditoria en informatica Contrato de prestacién de servicios profesionales de auditoria en informatica que celebran por una parle representado por en su caracter de yqueen lo suce- sivo se denominard “el cliente’, por otra parle representada por a quien se denominara “el auditor’, de conformidad con las declaraciones y clausulas siguientes: DECLARACIONES L. Elcliente dectara: a) Queesuna ) Queesté representado para este acto por yquetiono come eudomicilio ©) Que requiere obtener servicios de auditoria en informatica, por lo que ha decidido coniratar los servicios dal auditor I. Declara el auditor: ) Que es una sociedad anénima, constituida y existonte do acvorde con las leyes y que dentro de sus objetivos primordiales esta el de prestar auditoria en informatica b) Que esta consiituida legalmento segin escritura nmero de fecha ante el notario pulico num del Lie, ©) Quesefiala como su domiciio Ill, Declaran ambas partes: a) Que habiendo llegado a un acuerdo sobre lo antes mencionaco, lo formalizan otorgando el presente contrato que se contiene en las siguientes: CLAUSULAS Primera. Objeto auditor se obliga 2 prestar al cliente los servicios de auditoria en informd- fica para llevar a cabo la ovaluecién de la direccién de informatica del cliente, que se detallan en la propuesta de servicios anexa que, firmada por las pat- » ° tes, forma parte integrante del contrato. Segund: El alcanc contrato 2) Eval oi aes i ee Se‘Segunda. Alcance del trabajo Bb Elalcance de los trabajos que llevaré a cabo el auditor intemo dentro de este natica contrato son: Evaluaciones de la direccién de informatica en lo que corresponde a: eo Su organizacién 4 Funcio Estructura. Cumplimiento de los objetivos. Recursos humanes. Normas y politcas. Capacitacion Planes de trabajo. Controles. Estandares Condiciones de trabajo. Sltuacion presupuestal y financiera ines y Frio Evaluacién de los sistemas: Evaluacin de los diferentes sistemas en operacién ({lujo, procedi- mientos, documentacion, organizacion de archivos, estandares de programacién, controles, utiizacién de los sistemas). we Opiniones de los usuarios. Bide | Evaluacion de avances de los sistemas en desarrollo y congruencia con el disefio general, control de proyectos, modularidad de los sis temas. ae Evaluacion de prioridades y recursos asignados (humanos y equi- pos de cémputo) Seguridad légica de los sistemas, confidencialidad y respaldos. hos de autor y secrets industiiales, de los sistemas propios y tiizados por fa organizacion Evaluacién de las bases do datos. Evaluacion de los equipos: Adquisicién, estudios de viabilidad y costo-beneficio. Capacidades. Utilizacion, Estan¢ Controles. Nuevos proyectos de adquisicio Almacenamiento, Comunicacién Redes. Equipos adici do. lo forma: lento, spar52 Contratcs de compra, renta o renta con opcién a compra. Planes y proyecciones de adquisicion de nuevos equipos. + Mantenimientos. ) Evaluacién de la seguridad: * Seguridad léaica y confidencialidad + Seguridad on ol personal + Seguridad fisica * Seguridad contra virus. + Seguros. Seguridad en la utlizacién de los equipos. Seguridad en la restauracin de los equipos y de los sistemas. Plan de contingencia y procedimientos en caso de desastre 2) Elaboracién de informes que contengan conclusiones y recomendacio: nes por cada uno de los trabajos sefialados en los incisos a. 6, c, dde esta cléusula, Tercera. Programa de trabajo Elciiente y el auditor convienen en desarrollar en forma conjunta un progra ma de trabajo en el que se determinen con precisién las actividades a reali zar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realizacién. Cuarta. Supervision Eloliente 0 quien designe tendra derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrata y a dar par escrito las, instrucciones que estime converientes. Quinta. Coordinacién de los trabajos El cliente designard por parte de la organizacién @ un coordinador del pro- yecto, quien sera el responsable de coordinar la recopilacién de la informa ion que solicite el auditor, y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas. Sexta. Horarlo de trabajo Personal del auditor dedicar4 el tiempo necesario para cumplir satisfacto: Mente con los trabajos matoria do la colebracién do este contrato, de acusr de al programa de trabajo convenido por ambas partes, y gozara de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no tard sujeto a horarios y jomadas daterminadas. ‘Septima. Personal asignado El auditor designard para el desarrollo de los trabajos objeto de este contrato 1 socios del despecho, quienes, cuando consideren necesario, incorporaran personal técnico capacitado de que dispone la firma, en el numero que se requieran y de acuerdo a los trabajos a realizar. Octava. F EI person queda ex; que ol auc pecto all p se deriver cualquier Novena. | El auditor de este co cumplimie Por las par del cliente ‘cual deber el program Décima. H Eiclente p norarios pc cl impuect siguiente: a) _— Bd wat 2 a inte Undécima, El importe dos, honore auditoria, pi Duodecima En caso de cién, domor table al cl so y se sen Decimoterc De ser nece contrato, las[Octava. Relacion laboral El personal del aucstor no tondrd ninguna relacién laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atencion a que el auditor en ringtin momento se considera intermediatio del liante res- pocto al porsonal que ocupe para der cumplimiento de las obligaciones que se deriven de las relaciones entre él y su personal, y que exime al cllenie de ‘ualquier responsabilidad que a este respecio existere. Novena. Plazo de trabajo Elauditor se obliga a terminar los trabajos sevialados en la cléusula segunda de este contrato en dias habiles después de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo «slimado para la terminacion de los trabajos esta con relacion a la oportuni- cad con que el cliente entrague los documentos requeridos por al auditor y al cumplimiento de las fechas estipuladas en el programa de irabajo aprobado porlas partes, porlo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas repercutird en el plazo estipulado, el cual deberd incrementarse de acuardo a las nueves fechas establecidas en € programa de trabajo, sin perjuicio alguno para el auditor Décima. Honorarios EI clente pageré al auditor por los trabajos objeto del presente contrato, ho- rarios por la cantidad de mas el impuesio al valor agregada correspondiente. La forma da pago serd la siguiente: % alla firma del contrato. % alos dias hébiles después de iniciados los. trabajos. S % a la terminacion de los trabajos y presentacién del informe final Undécima. Alcance de los honorarios El importe safialado en la clusula décima compensara al auditor por suol- dos, honorarios, organizacién y direccién técnica propia de los servicios de auditoria, prestaciones sociales y laborales de su personal Duodécima. incremento de honorarios En caso de que se tenga un retraso debido a la falta de entrega de informa: cién, demora 0 cancelacién de las reuniones, o cualquier otra causa impu- table al cliente, este contrato se incrementera en forma proporcional al retra 50 y se sefialaré el incremento de comin acuerdo. Decimotercera. Trabajos adicionales De ser necesaria alguna acicién a los alcances 0 productos del presente contrato, las partes celebraran por separado un convenio que formara parte54 capiruto 2 PLANEACION DE LA AUDITORIA NFORMATIC integrante de este instrumento y en forma conjunta se acordara el nuevo costo. Decimocuarta. Viaticos y pasajes El importe de los vidticos y pasajes en que incurra el auditor en el traslade, hospedaje y alimentacién que requieran durante su permanencia en la ciu dad de Como con: ‘sacuencia de los trabajos objeto de este contrato, serd por cuenta del cliente, Decimoquinta. Gastos generales Los gastos de fotocopiado y dibujo que se produzcan con motive de este contrato correrdn por cuenta del dliente. Decimosexta. Causas de rescision Soran causa de rescisién del presente contrato la violacién o incumplimiente de cualquiera de las cléusulas de este contrato, Decimoséptima. Jurisdiccién Todo lo no previsto en este contralo se regira por las disposiciones relalivas, contenidas en el Codigo Civil del y, en caso de contro: versia para su interpratacién y cum»plimiento, las partes se someten a la juris diccién de los tribunales federales, renunciando al fuero que les pueda co- responder en razon de su domicilio presente o futuro. Enteradas las partes del contenido y alcance legal de este contrato, le rubrican y firman de conformidad, en original y tres copias, en la ciuded de el dia “EL CLIENTE EL AUDITOR ; Oxy Al finalizeAuditoria de la funcion de informatica CAPITULO Ossetivos Miele oy ousted |. Explicara la importancia de a recoleccion de informacion sobre la organiza- ion que se va a auditar. 2. Deseribird los pas 9 a realizar una adecuada evaluacién de la estructura organ jon a auditar. Definird los elementos a tomer en cuenta en la evaluacién del personal de una organizacién. Manejaré una guia para entrevistar adecuadamente al personal de informé- tica, 5. Conocerd la importancia de evaluar los recursos financieros y materiales de una organizaciéncaprruto 3 Recopivacion DE LA INFORMACION ORGANIZACIONAL Una vez elaborada la planeacién de la auditorfa, 1a cual serviré como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditoria, cederd a efectuar la revisién sistematizada del drea, a través de los siguientes, elementos: debe empezar la recoleccién de la informacién. Para ello se pro A) Revisisn de la estructura orgénica + Jorarquias (definicién de la autoridad lineal, fancional y de asesoria ®) + Estructura orgénica + Funciones * Objetivos B) Se deberd revisar la situacién de los recursos humanos. C) Entrevistas con el personal de procesos electrénicas: Jefatura, Analisis. Programadores Operadores Personal de bases de datos. Personal de comunicacin y redes. Personal de mantenimiento. Personal administrativo. Responsable de comunicaciones, Responsable de Internet e Intranet. Responsable de redes locales 0 nacionales. Responsable de sala de t Responsable de capacitacién. D) Se deberd conocer la situacién en cuanto a: + Presupuesto. * Recursos financieros. * Recursos materiales, + Mobiliario y equipo. + Costos E) Se hard un levantamiento del censo de recursos humanos y anélisis de si: tuacion en cuanto 2: er on + ¢ 20 € oF onl fi leon + tt oP Por ti admit - 0 Le te + sil < sy qu - Si + Si atl * Sil © SisNiimero de personas y distribucion por éreas. Denorninacion de puestos y personal de confianza y de base (sindicaliza- y no sindicalizado). Salario y conformacidn del mismo (prestaciones y adiciones), Movimientos salariales. pacitacisn (actual y programa de capacitacién) Escolaridad. Experiencia profesional Antigiiedad (en la organizacién, en el puesto y en puestos similares fuera de la organizaciGn), Historial de trabajo. Indice de rotacién del persona Programa de capacitacion (vigente y capacitacin otorgada en el tlt iltimo, se deberd revisar el grado de cumplimiento de los documentos Normas y politicas, Planes de trabajo Controles Estdndares. Procedimient La informacion nos servird para determinar. ades en la organizacion estan definidas adecuada. Si la estructura organizacional ests adecuada a las necesidade Siel control organizacional es el adecuadc Sisse tienen los objetivos y politicas adecuadas, si se encuentran vigen tes y si estin bien definida Siexiste la documentacidn de las actividades, funciones y responsabili dades. Silos puestos se encuentran definidos y seftaladas sus responsabilidades Siel andlisis y descripcién de puestes estd de acuerdo con el personal que los ocupa Si se cumplen los lineamientos organizacionales. Si el nivel de salarios est de acuerdo con el mercado de trabajo. Sise tiene un programa de capacitacion adecuado y sise cumple con él Si los planes de trabajo concuerdan con los objetivos de la empresa. Si se cuenta con los recursos humanos necesarios que garanticen la continttidad de la operacicn o si se cuenta con los “indispensables Si se evaltian los planes y se determinan las desviaciones. Si se cumple con los procedimientos y controles admin:capruto 3 AUDITORIA DE. LAFUNCION DE INFORMATICA Funciones de la gerencia La onganizacién debe estar estructurada de tal forma que permita lograr cficiente y eficazmente los objetives, y que esto se logre a través de una adecua da toma de decisiones. Una forma de evaluar la forma en que la in de l gerencia de informitica se esta desempefiando es mediante la evaluac funciones que la alta gerencia debe realizar: Planeacién. Determinar los objetivos del drea y la forma en que se van a lograr estos objetivos. cién. Proveer de las facilidades, estructura, divisién del trabajo, responsabilidades, actividades de grupo y persona las metas. * Recursos humanos. Seleccionando, capacitando y entrenando al personal requerido para realizar las metas, Direccidn. Coordinando las actividades, proveyendo liderazgo y guia, y motivando al personal + Control. Compa necesario para realiza indo lo real contra lo plane: .do, como base para realizat PrinciPaLes PLANES QUE SE REQUIEREN DENTRO DE LA ORGANIZACION DE INFORMATICA Estudio de viabilidad Investiga los costos y beneficios de los uses a largo plazo de las computadoras, yrecomienda cuando debe ono usarse. En caso de requerirse el uso de la compu- tacidn, sirve para definir el tipo de hardware, el software el equipo periférico y de comunicacién necesarios para lograr los objetiv de la organizacién El estudio de viabilidad consiste en la evaluacién para determinar, prime- 10, sila computadora puede resolver o mejorar un determinado procedimiento, y; segundo, cudl es la mejor alternativa, Para lograr esto se deben de contestar una serie de preguntas, entre las cuales estan las siguientes: + GLa computadora resolvera o mejorar los procedimientos, funciones o ac tividades que se realizan? gla computadora mejoraré la informacién para lograr una adecuada toma de decisiones? Ene + (cua + iCud Sed 0 bia ques * Sed cuaci Se di Sed Qué Qué Cua 2Cual 2Cual cual 2Cual Despu cificacione asesores, ¢ y como gu Planeacic modifica: Especifica| y modificac do la organ hardware, « Alguna © Espeaif periféri Evaluac Planeac Pruebas Envioe Particip Disefiorita lograr a gerencia personal tutador lacompu- periférico star ada toma El costo de la informitica proporcionaré una adecuada tasa de retorno? {Eneste caso, uno de los mayeres problemases el de evaluar los intangibles.) {Cul es el periodo de recuperacién de la inversion? {Cual es la relacién costo-beneficio que se obtendrs? 0 bien hacer cambios al sistema actual o actualizar el sistema de cmputo {Se debe comprar o elaborar internamente los nuevos sistemas 0 las ade- {Se deben comprar los equipos, rentar o rentar con opcién a compra? cremento en las capacidades de procesamiento? Qué prioridad tiene el proyecto y para cuxindo debe ser realizado? {Qué caracterieticas tiene el sistema actual? {Cuales son las areas potenciales en que se usard el nuevo sistema? iCuéles son las fortalezas y debilidades del sistema actual? {Cusles son los recursos adicionales que se requeriran? ‘Cual es el impacto a informatica a largo plazo? Cusles son las restricciones que se deben considerar? {Cual es el proyecto (PERT) que se tiene para su implementacién? Después de contestar estas preguntas, se debe elaborar un manual de espe- sificaciones para ser distribuido al personal de informatica, a los vendedores asesores, para que les sirva de base para la contratacién, elaboracion o comp ycomo guia de referencia y control del proyecto. Planeacion de cambios, modificaciones y actualizacion Especifica las metas y actividades que se deben realizar para lograr los cambios ymodificaciones, su independencia, tiempos, responsables y restricciones, cuan- do la organizacién toma la decision de hacer cambios sustanciales de software, hardware, comunicacién 0 equipos periféricos. Algunas de las actividades tipicas en este plan son: Pruebas finales de aceptacién. Bris «ital, Disefio de la estructura organizacional en caso de que se vea afectada60 Plan maestro EI plan maestro o plan estratégico de una instalacién informatica define los objetivos a largo plazo y las metas necesarias para lograrlo. Una de las principales obligaciones del dea de gerencia en informatica es la construcci ‘vos, metas y actividades generales a realizar durante los siguientes aftos, inciu yendo los nuevos sistemas que se pretenden implemen un periodo coro o largo, dependiendo de las eazacteristicas y necesidades de la organizaci6n, y de lo cambiante de los sistemas. Una organizacion consolidada posiblemente requiera un plan maestro a mas largo plazo que una organizacién de un plan maestro, El plan maestro debe contener los objet: 7. Puede comprender de reciente creacién. EI plan maestro puede compren der cuatro subplanes: A) Elplanestratégico de organizadién. Incluye los objetivos de la organizacisn a largo plazo, el medio ambiente, los factores organizacionales que serén afectados, asf como sus prioridades, el personal requerido, su actualiza- cin, desarrollo y capacitacién. B) El plan estratégico de sistemas de informacion. Se debe elaborar el plan estratégico y los abjetivos planteadosa largo plazo dentro de un plan estra tégico de informacién, y las implicaciones que tendré dentro de Ia org: zacion en general y en la organizacion de informatica ©) Ep! objetivos planteados de requerimientos. Define la arquitectura necesaria para lograr los D) Elplan de aplicaciones de sistemas de informacién. Define los sistemas de aplicaciones que se desarrollardn, asociados con las prioridades y con et periodo en que seran implantados: + Adguisicidn o desarrollo de sistemas y su programa de trabajo. + Planeacin de desarrollo y capacitacidn del personal necesario, o bien su contratacién, + Recursos financieros que se necesitarsn + Requerimiento de facilidaces * Requerimientos de cambios en la organizacicn. Plan de proyectos Consiste en el plan basico para desarrollar determinado sistema y para asegu- rarse que cl proyectoes consistente con las metas y objetivos de la organizacién y con aquellos sefalados en el plan maestro. Es importante que este plan no solo contemple Jos sistemas, sino tambien las prioridades y el momento en el cual se desarrollarén los sistemas. Un pla grar un det cadas dent Identif Ident Detern Detern Detern Detern Plan de s continge en caso. Una instal razones: h deben tent de recupe encuentro to para la Eva Para logra de organi Organ Funci Odjeti Anais ‘ManuUn plan de proyectos debe contener las actividades bisicas para poder lo: gar un determinado proyecto. Las principales tareas que deben estar especifi- gyy alas dentro de un plan de proyecto son: LA ESTRUCTURA identificar las tareas a realizar identificar las relaciones entre tareas. Determinar las restricciones de tiempo de cada tarea del proyecto. Determinar los recursos necesarios para cada tarea. Determinar cualquier otra restriccién que se tenga. Determinar la secuencia de actividades. Plan de seguridad: seguros, contingencias y recuperacién en caso de siniestro Una instalacion de informatica esta expuesta a sufrir un desastre por muchas tazones: huracanes, fuego, inundaciones, terremotos, sabotaje, fraude, proble mas del equipo. Se debe tener un plan que permita eliminar en lo posible la ocurrencia de un desastre o de pérdida por causas internas 0 externas a la orga: nizacisn, Se debe contar con una adecuada planeacién sobre los seguros que se deben tener en caso de que ocurra un desastre. También se debe tener un plan de recuperacidn para que en caso de que ocurra un desastre la instalacién se encuentre en funcionamiento.en el menor tiempo posible y con el menor impac to para la organizacién Evatuacion DE LA ESTRUCTURA ORGANICA la evaluacién de la estructura orgénica se deberd solicitar el manual anizacién de la direccién, el cual debera comprender, como minimo: Organigrama con jerarquias, Dbjetives y politicas, Analisis, descripcidn y evaluacion de puestos. Manual de procedimientos Manual de normas, Instructivos de trabajo o guias de actividad62 Direccion de informatica También se deben solicitar = Objetivos de la direecién, * Politicas y normas de la direccién. © Planeacidn, El director de informatica y aquellas personas que tengan un cargo direc vo deben llenar los cuestionarios sobre estructura orgénica, funciones, objet vos y politi Basicamente, el departamento de informética puede estar dentro de alguno de estos tipos de dependencia: A) Depende de alguna direccién o gerencia, Ia cual, normalmente, es la direcciGn de finanzas. Esto se debe a que inicialmente informatica, 0 departa- mento de procesamiento electrénico de datos, nombre can que se le conocia, procesaba principalmente sistemas de tipo contable, financiero o administrati vo; por ejemplo, la contabilidad, la némina, ventas o facturacisn. El que informatica dependa del usuario principal, normalmente se presenta cen estructuras pequefias 0 bien que inician en el dtea de informatica. La ventaja gue tiene es que no se crea una para el rea de informética y permite que el usuario principal tenga un mayor control sobre sus sistemas. La desventaja principal es que los atros usuarios son considerados camo secundarios y normalmente no se les da la importancia y prioridad requerida. Otra desventaja es que, como la informacion es poder, a veces hace que un area tenga un mayor poder. También, en ocasion del 4 sucede que el gerente o director a usuaria del cual depende informatica tiene muy poco conocimiento de informatica; ello ocasiona que el jefe de informatica cree una isla dentro de la gerencia y que acuerde directamente con otras gerencias usua lugar a problemas con las Iineas de autoridad. Este tipo de organizacién se usa ias, lo que da ba cuando comenzé el érea de informética, y en Ta actualidad s6lo es recomen: dable para instalaciones muy pequefias B) La segunda posibilidad es que la direccidn de informatica dependa de la gerencia general; esto puede ser en li La ventaja de alguna de estas organizaciones es que el director de informa tica pode toner un nivel adecuada dentro de la organizacién, lo cual Ie permi. tanto, proporcionarles un mejor servicio y asignar las prioridades de acuerdo con los lineamientos dados por la gerencia general ao bien en forma de asesorfa La desventaja es que aumentan los niveles de la organizacién, lo que eleva r4 el costo de la utilizacidn de los sistemas de cémputo. C) La tercera posibilidad es para estructuras muy grandes, en las que hay bases de datos, redes o bien equipos en diferentes lugares. En esta estructura se considera la administracién coxporativa. La direcci6n de informatica depende de la gerencia general, y existen departamentos de in- formitica dentro de las demas gerencias, las cuales reciben todas las normas, politicas, procedimientos y esténdares de la direccién de informatica, aunque funcionalmente dependan de la gerencia a la cual estan adscritas. La direccién de informatica es la responsable de las politicas, normatividad y controles Las fi perfectan lugares d en un lug otro luga tener bien La ve centralize, se debe ter departame 208 ola dt Enlaa cidn de rec utilizadas muy claro es el respo zacién del Dent de tener ur los sistema te la creaci pero con la La resp yen qué tralizada o¥ minicompu el desarroll tener politic cién de equi sicién de e cual hace ne mas y platal DjLlaa pendiente q) Estru Uno de losel Un personal repercute dircargo direct jones, objeti- t1o de alguno Imente, es la aod see conocia, administrati ese presenta a La ventaja aformitica y ‘stemas, requerida, que un drea tec director imiento de dentro de la lo que da ecomen- penda dela de intorms- He pormi ° y, por lo de acuerdo que eleva as que hay ‘direccion tos de in- a, aunque {direcaién ttroles Las funciones, organizacién y politicas de los departamentos deben estar porfociamente definidas para evitar la duplicidad de mando y el que en do: lugares diferentes se estén desarrollando los mismos sistemas, o bien que sélo ex un lugar se programe y no se permita usar los equipos para programar er dirolugar que no sea la direccidn de informatica. Esto se puede dar en instala Cdones que tengan equipo en varias ciudades o lugares, y para evitarlo se deber tener bien definidas las politicas y funciones de todas las areas. La vontaja principal de esta organizacién consiste on quo se puede toner eenizalizada la informacién (base de datos) y descentralizades los equipos; perc se debe tener una adecuada coordinacion entre la direccion de informatica y los departamentos de informatica de las éreas usuarias para evitar duplicar eshuer 2350 a duplicidad de mando Ena actualidad, con la proliferacion de computadoras personales y la crea cién de redes tanto internas como externas, asi como de bases de datos que son Uilizadas por diferentes asuarios a diversas profundidades, este tipo de orga. hizacién se puede considerar como la més recomendable. Lo que hay que tene muy claro es que en este tipo de organizacion el departamento de informitice el responsable de las normas y politicas de adquisicién de equipo y de utili zacién del mismo. Dentro de esta misma forma de organizacion se debe evaluar la posibilidad do tener una estructura por proyectos, lo cual permitirs que los disenadores de tela creacion de una fuerza de trabajo independiente, con todos los recursos, pero con la obligacién de cumplir con los objetivos y metas sefialados para un Sistema deatzo de los diferentes planes Larespuesta a si un tipo de organizacién corporativa es la mas conveniente yenqué grado esté en funcién de la decisién sobre tener una organizacién cen trlizada o descentralizada. La descentralizacién del procesamiento de la infor- macién ocurre en la actualidad como algo natural, debido al incremento de las minicomputadoras y a los sistemas en redes. Sin embargo, si se desea controlar eldesarrollo, implementacién y adquisicién de equipes y de software, se deben tenes politicas de descentcalizacién muy bien definidas, para evita le prolifera ibn de equipo y de software que impida la adecuada comunicacién y la adqui- Sicién de equipo no compatible, y que dificulte la integridad de los datos, lo cual hace necesario que el personal sea entrenado en diferentes equ mas y plataformas, D) La cuarta forma de organizacién es la creacién de una compaiiia pendiente que dé servicio de informatica a la organizacién Estructura ORGANICA Uno de los elementos mas criticos es el relativo al personal y au organizacién. Un personal calificado, motivado, entrenado y con la adecuada remuneracién, repercute directamente en el buen desempefio del rea de informética IRGANICA64 Bases juridicas (principalmente writes en el sector publico) A continuacién oftecemos unos cuestionarios que serviran pa 2 evaluar la structura orgénica y las bases juridicas: Se ajusta la estructura orgénica actual a k disposiciones juridices vigentes? No, zpor qué razén? {Cuales son los ordenamientos legales en que se sustenta la direccion? OBJETIVO DE LA ESTRUCTURA La estructura actual esta encaminada a la consecucion de los objetvos del rea? Explique en qué forma. ePermite fa estructura actual que s+ e leven a cabo con eficiencia * Las atribuciones encomendadas? * Las funciones esiablecidas? + La distribucién det trabajo? El control interno? Si alguna de las respuestas es negativa, explique cud NIVELES JERARQUICOS Es conveniente conocer los niveles jerérquicos para poder evaluar si son los nacesarios y si estin bien datinidos. {Los niveles jerarqul i208 establecidos actualmente son necesarios y suficientes para el dese arrollo de las actividades del area? zCudles y por qué son sus recomendaciones? Permiten los niveles jerérquicos actuales que se desarrolle adecuadamente la = Operacién? + Suporvisién? + Control? ePermit oa 7 & * To Si algun eConsics + Ma + Me Por qué Se cons! dida actu: No, por eElareay No, 2aus Se debe te to, ya que dan ales p eLos puest llevar a cat No, zpor a. EI nimero fon les fune Solicit et m + Andis + Progra{Perniten los niveles aciuales que se tenga una Agi: + Comunisacién ascendente? + Gomunicacién descendente? si * Toma de decisiones? si ND Sialguna de las respuesias es negativa, explique cudl es la razén [boas vigentes? sw {Wonsidera que algunes éroee deberian tener + Mayor jererquia? + Menor jerarcula? No Hreceon? éPor qué razén? DEPARTAMENTALIZACION Ps cbjetivos vel ¢Se consideran adecuados los departamentos, areas y cficinas en que esté divi ida actualmente la esiructura de la direccion? sin No, gpor qué razén? area y sus subareas tienen delimitadas con claridad sus responsablidaces? si) mo No, Lqué efectos provoca esia situacién? PUESTOS ‘Se debe tener culdado de que estén bien definidas las funciones de cada pues- to, ya que desafortunadamente existe mucha confusion en los nombres que se dan a los puestos dentro del medio de la informatica fuer si son tos {Los puestes actuales son adecuados a las necesidades que tiene el érea para leva: @ cabo sus furcions No, ipor qué razén? LEI nimero de empieados que trabaja actualmente os adecuaco para cumplir f0n las funciones encomendada: adamente ta: Solicte el manual de descripcion de puestos de: si x0 + Analisis. + Programacién66 Técnicos. Operacion Capture Adminis cartruto 3 rador de bases de datos. Comunicacién y redes. Direccién, ‘Administrativos. Otros. Pida la plantita det personal, Se debe especi el numero de personas que feporten a las personas que a su vez reportan a cada puesto, ya sea: Director. Subdireotor. Jetes de departemento. Jetes de seccion, Jefes de area. {EI numero de personas es el adecuade en cada uno de los pue USI? gPor qué? No, zeudles el ntimero de personal que consideraria adecuado? Sefale el puesto © los puestos. EXPECTATIVAS Dentio de las expectativas se pueden detectar, en algunas ocasiones, defice cies y frustraciones de las personas. {Consider que debe revisarse la estructura actual, a fin de ha lente {Por qué. razé0? {Cudl ee la estructura que pon: F una modificaeién a la estructura, ,cuéndo cor jera que dabaria uSe encuen No, por que Su autorida No, por qué LEN su érea SI, explique ¢ UExiste en el Fu CIO Las funciones € designen con ¢ tuna organized nuacion un cue: Se han estat {Por qué no? {Las funciones Por qué ro et LEstan por esc zCual es Ia cat {Cual es la forAUTORIDAD é&e encuentra definida adecuadamente la linea de autoridad? si {¢No, por qué raz6n? (Su autoridad va de acuerdo a su responsabilidad? {UNo, por qué raz6n? UEn su rea se han presentado contlictos por el ejercicio de la autoridad? Si, expique en qué casos. {Existe en el drea algdn sistema de sugerencias y quejas por parte del personal? Funciones Las funciones en informatica pueden diferir de un organismo a otro, aunque se designen con el mismo nombre; por ejemplo, la funcién del programador en una organizacién puede ser diferente en otra organizaciGn. Ofrecemos a conti quaci6n un cuestionario para evaluar las funciones. EXISTENCIA {Se han establecido funciones del area? Por qué no? {Las funciones estén de acuerdo con las atribuciones legales? {Por qué no estén de acuerdo? Estén por esorto en algiin documento las funciones del Area? {Qudl es la causa de que no estén por escrito? LOudl es la forma de darlas @ conocer?{Quién olabors las funciones? eParticipd el érea on su Por qué causas no particip6? Quien las autorz6 0 aprobs? COINCIDENCIAS ‘Se debe tener cuidado en que se conozcan las funciones del Area éLes funciones estan encemis ‘a la consecucién de los abjetives institucione: les e internos? aon No, zpor qué? 2Les tunciones del area estan ac des al regamento interior? sino No, zen qué considera que differen? eConocen otra las funciones del area? d No No, épor qué? {Consicera que se deben dar a conocer? sw No, gpor qué? ADECUADAS Dobomes tener cuidado, ya que en esta area podemos detectar malestares de| personal, debido a que si las funciones no son adecuadas a las necesdades pueden ex'stir problemas de definicion de funciones o bien de cargas de traoglo, 2Son adecuadas a la realidad las {unciones? vo En caso negativo, ,por qué no son adecuadas? ‘eSon adecuad En caso negati ‘4Cuales son st Son adecuad: Epicton contlc De que tipo? éSe tiene conte (No, por qué? 406mo afecta 4Qué funciones éParticipo la ar No, zpor qué? Esta seccién no dol personal 2Estan delimitad {A nival de daoi GA nivel de pul No, zpor qué? Las actividad asignadas?{Sen adecuadas a las necesidades 2 En caso negativo, gpor qué no? {Cidles son sus principales limitaciones? a las cargas do trabajo? len confictos por las cargas de trabajo desequilioradas’ @De qué tipo? tisne contamplada la desconcentr .Cémo afeota la desconeentracién a las funciones? eQu6 fur @Patisips a dirocoién do informatica on su olaboracién? }, :por qué? (CUMPLIMIENTO secoion nos sirve para evaluar el grado de cumpimiento de las tunciones sn deliritadas las funciones? ZA nivel de departamento? nivel de puesto? No, zpor que? {Las aciividades que realiza el personal son acordes a las funciones que tiene asignadas? si No70 capiruco 3 No, Zqué tipo de actividades ignadas? liza que no estan acordes a las funciones {Quien las ordena? Las actividades que realiza actualmente cumplen en su totalidad con Giones conforidas? No, Zoual es su grado de cumpiimiento? La fata de cumplimiento de sus funciones as por + Falta de personal otk + Personal no capacitado. sin + Gargas de tranajo excesivas. * Porque realiza otras actividades, La forma en que las ordena, Cudlos furcionos realiza on forma: + Perogica? + Eventual? + Sistomatica’ + Owes? eTienen programas y tareas encomenda No, epor qué? ¢Permiten cumplir con los programas y tareas encomendadas (necesidades de Operaciér)? sion No, gpor qué causas? Quien es el responsable de ordenar que se ejecuten las actividades?” En caso de realizar otras actividades. :quién las ordena y autoriza? En caso de no encontrarse el jefe inmediato, zquién lo puede realizar? ePara cum De que tip £Cuél es ol £8e lo prop No, .que le No, zoomo éCon que fr Para curpli Si, que tip: eA cuantas : eCuédles son ZExiste dupli Si, cqué cont EExiste duplc St, gcuales y Qué conflict La cuplcidac SI, ccudl esl No, Zcual esAPOYOS Para cumpir con sus tunciones requiere de apoyos de otras areas? {De qué tpo? {Cu es al Area que proporeiona al {Se lo proporcionan con oportunidad? No, eque le ocasiona? No, goémo resuelve esa falta de apoyo? {0 on qué frecuencia lo solicita? Para cumplir con sus funciones, zproporciona apoyes a otras areas? Si, zqué tipo de apoyo proporciona? sAcudntas area ‘Cudles on? DUPLICIDAD UBxiste dupicidad de funciones en la misma érea? Si, zqué conflictos ocasiona y cules funciones? ¢Existe dupicidad de funciones en otras éreas? Si, goudles y donde? {Qué contlictos ocasiona? 212 duplicidad de funciones s0 debe a que ol area no puede realizarlas’ Si, coudl es fa razén? No, Zoual es su opinion al respecto?72 ‘Se pusden eliminar funciones? si No AUBTORADE Sf, gouales? Se pueden transfer funciones? ro SI, gouales y aconde? ¢Permite la dupicidad que se dé el control interno? No No, epor qué? Osuetivos Uno de los posibles problemas o descontentos q desi une falta de definicién de los objetivos; esto provoca que no se pueda tener un: ;nacimiento de los abjetivos de la organizacién, lo cual puede deberse Ofrecemos un cuestionario que sirve para evaluar los objetivos. EXISTENCIA, Se han esiablecido objetivos para el are {Quien los establecio? {Cuil fue | método para el establecimiento de los objetivos? iParticipé el area en su establecimiento? si {Cuales ‘ueron las princpales razones de la seleccion de lcs objetivos? Los objetivos establecidos son congruentes con + Los do ja aireccion? a) + Los de ia subdireccicn? 3} ND + Los del departamento/ofici si 80 ‘+ Los de otros departamentos/oficinas? o LPor qué no se han establecido cbjetivos para el Area? Nadie le exige establecerte 2 Considera importante que se establezcan. N Es responsabilidad de otra area establecer los objetivos. si 80 ecuai? eDe qui Como Se har 2En qué ePor que 2Qué pr éSe han 2A quien eQuienn Qué mé ePor qué

Potrebbero piacerti anche

• American Gods: The Tenth Anniversary Edition

  

  Da Everand

  American Gods: The Tenth Anniversary Edition

  Neil Gaiman

  Valutazione: 4 su 5 stelle

  4/5 (12954)
• The Iliad: A New Translation by Caroline Alexander

  

  Da Everand

  The Iliad: A New Translation by Caroline Alexander

  Homer

  Valutazione: 4 su 5 stelle

  4/5 (5719)
• American Gods [TV Tie-In]: A Novel

  

  Da Everand

  American Gods [TV Tie-In]: A Novel

  Neil Gaiman

  Valutazione: 4 su 5 stelle

  4/5 (12520)
• • Riviste
  • Podcast
  • Spartito
• Good Omens

  

  Da Everand

  Good Omens

  Neil Gaiman

  Valutazione: 4.5 su 5 stelle

  4.5/5 (12041)
• Pride and Prejudice: Bestsellers and famous Books

  

  Da Everand

  Pride and Prejudice: Bestsellers and famous Books

  Jane Austen

  Valutazione: 4.5 su 5 stelle

  4.5/5 (20479)
• The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  

  Da Everand

  The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  Mark Manson

  Valutazione: 4 su 5 stelle

  4/5 (5810)
• Good Omens: A Full Cast Production

  

  Da Everand

  Good Omens: A Full Cast Production

  Neil Gaiman

  Valutazione: 4.5 su 5 stelle

  4.5/5 (10912)
• Wuthering Heights (Seasons Edition -- Winter)

  

  Da Everand

  Wuthering Heights (Seasons Edition -- Winter)

  Emily Bronte

  Valutazione: 4 su 5 stelle

  4/5 (9974)
• The Art of War: A New Translation

  

  Da Everand

  The Art of War: A New Translation

  SUN TZU

  Valutazione: 4 su 5 stelle

  4/5 (3044)
• The Hobbit

  

  Da Everand

  The Hobbit

  J. R. R. Tolkien

  Valutazione: 4.5 su 5 stelle

  4.5/5 (24586)
• The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  

  Da Everand

  The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  Mark Manson

  Valutazione: 4.5 su 5 stelle

  4.5/5 (20054)
• The Handmaid's Tale

  

  Da Everand

  The Handmaid's Tale

  Margaret Atwood

  Valutazione: 4 su 5 stelle

  4/5 (13227)
• Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of Strategy

  

  Da Everand

  Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of Strategy

  Stephen F. Kaufman

  Valutazione: 4 su 5 stelle

  4/5 (3321)
• Never Split the Difference: Negotiating As If Your Life Depended On It

  

  Da Everand

  Never Split the Difference: Negotiating As If Your Life Depended On It

  Chris Voss

  Valutazione: 4.5 su 5 stelle

  4.5/5 (3295)
• Remarkably Bright Creatures: A Novel

  

  Da Everand

  Remarkably Bright Creatures: A Novel

  Shelby Van Pelt

  Valutazione: 4.5 su 5 stelle

  4.5/5 (5647)
• The 7 Habits of Highly Effective People

  

  Da Everand

  The 7 Habits of Highly Effective People

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2568)
• And Then There Were None

  

  Da Everand

  And Then There Were None

  Agatha Christie

  Valutazione: 4.5 su 5 stelle

  4.5/5 (8972)
• The Perfect Marriage: A Completely Gripping Psychological Suspense

  

  Da Everand

  The Perfect Marriage: A Completely Gripping Psychological Suspense

  Jeneva Rose

  Valutazione: 4 su 5 stelle

  4/5 (1120)
• How To Win Friends And Influence People

  

  Da Everand

  How To Win Friends And Influence People

  Dale Carnegie

  Valutazione: 4.5 su 5 stelle

  4.5/5 (6533)
• Habit 6 Synergize: The Habit of Creative Cooperation

  

  Da Everand

  Habit 6 Synergize: The Habit of Creative Cooperation

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2499)
• The 7 Habits of Highly Effective People: The Infographics Edition

  

  Da Everand

  The 7 Habits of Highly Effective People: The Infographics Edition

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2484)
• Freakonomics Rev Ed

  

  Da Everand

  Freakonomics Rev Ed

  Steven D. Levitt

  Valutazione: 4 su 5 stelle

  4/5 (7865)
• The 7 Habits of Highly Effective People

  

  Da Everand

  The 7 Habits of Highly Effective People

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (353)
• The Hobbit

  

  Da Everand

  The Hobbit

  J. R. R. Tolkien

  Valutazione: 4.5 su 5 stelle

  4.5/5 (25198)
• It Ends with Us: A Novel

  

  Da Everand

  It Ends with Us: A Novel

  Colleen Hoover

  Valutazione: 4.5 su 5 stelle

  4.5/5 (5825)
• Habit 1 Be Proactive: The Habit of Choice

  

  Da Everand

  Habit 1 Be Proactive: The Habit of Choice

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2558)
• Habit 3 Put First Things First: The Habit of Integrity and Execution

  

  Da Everand

  Habit 3 Put First Things First: The Habit of Integrity and Execution

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2507)