Unidad 1.

Introduccin a la auditora
1.1. Caractersticas de un auditor.

Las auditoras juegan un rol crucial en el futuro y en el xito de toda organizacin, porque contribuyen al proceso de toma de decisin de la gerencia. Es por eso que la competencia de los auditores es esencial.

Los auditores para el ejercicio de sus funciones debern ser: Profesionales en la materia auditen. Independientes a la organizacin que auditan, entendemos por independientes cuando llevan a cabo su trabajo con libertad y objetividad, porque esto les permite ser imparciales en sus juicios. Los auditores podrn ser miembros de un despacho o de una firma de consultora que se dedique o especialice en llevar a cabo dicho servicio. En su mayora el servicio de auditoria es ofrecido por un grupo de auditores que estn presididos por un Director de Auditora, quien deber verificar el cumplimiento de las responsabilidades de auditoria que le hayan sido asignadas al grupo; Deber de estar envestido de la autoridad suficiente con el propsito de promover la independencia del grupo y asegurar el margen de cobertura que tendr la misma, verificando que la organizacin adopte las medidas instauradas como producto de esta auditora. El auditor siempre deber de ver el alcance de la revisin, y para esto es preciso que tenga en cuenta hasta los ms mnimos detalles y aspectos que lo integran.

El auditor deber ser ms eficiente en sus resultados, es decir, tendr que ampliar el alcance de sus revisiones, y mejorar sus caractersticas y calificaciones personales y profesionales; Deber identificar reas y aspectos relevantes que merezcan su intervencin propiciando una sana relacin humana y de interaccin con los auditados en la bsqueda de soluciones conjuntas. El auditor no deber de concentrase nicamente en la revisin de una actividad determinada, su intervencin ser ms productiva si cubre varias actividades interrelacionadas. Con este enfoque podr analizar el ciclo de la funcin y la eficiencia con que sta es administrada y opera. El auditor deber tener un enfoque sinergetico, esto es, que el anlisis y evaluacin de la forma debern estar relacionados e interconectados con todos los elementos o factores que llevarn a cabo la consecucin de un objetivo o fin determinado; lo anterior consiste hacer sinergia entre ellos para tener la colaboracin de un equipo; esto significa hacer ms con menos. Otra de las caractersticas necesarias en un auditor es el enfoque rentable que debe tener respecto a la organizacin. Esto se traduce en la identificacin y evaluacin de los mecanismos y apoyos para los tipos de accin que servirn para incrementar y mejorar la marcha o los rendimientos de una organizacin particular sin importar si esta es lucrativa o no. A su vez un auditor deber tener un enfoque relacionado con sus metas y objetivos, esto es que toda meta u objetivo deber de estar claramente identificado, para ello es preciso definir y precisar hacia donde se quiere llegar disponiendo de los recursos con los que se cuenta. Esto origina una evaluacin de resultados la cual se podr llevar a cabo a travs de un juicio completo sobre la efectividad que se est logrando en relacin con la ejecucin de una funcin sujeta a revisin. Durante el proceso de auditoria el auditor deber optimizar la eficiencia y al examinar documentos deber hablar con individuos u observar las actividades que realizan. Se deber cuestionar aspectos tales como: Qu es lo correcto?, Qu tan responsable se determin la decisin?, Qu tan vlidos son los resultados alcanzados?, Qu ms se pudo haber hecho? Por otro lado el profesional no debe distorsionar la situacin actual ni deber tomar una actitud excesivamente optimista, en la medida de lo posible tendr que tener un enfoque realista.

1.2.

Definicin de auditora y tipos de auditora.

Inicialmente la auditoria se limit a las verificaciones de los registros contables, dedicndose solamente a observar si los mismos eran exactos. Es considerado como la forma primaria, lo cual es confrontar lo escrito con pruebas de lo acontecido y las referencias que en los registros se establecen. Con el tiempo el campo de accin de la auditoria se ha ido extendiendo, no obstante an existen posturas en relacin a que esa actividad debe de ser meramente de carcter contable. Holmes la define de forma clara y sencilla como: La auditora es el examen de las demostraciones y registros administrativos, en donde el auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos. Por otro lado, segn la Universidad de Harvard, se establece la siguiente definicin: La auditora es el examen de todas las anotaciones contables a fin de comprobar su exactitud, as como la veracidad de los estados o situaciones que dichas anotaciones producen. Auditoria, en su acepcin ms amplia, significa verificar que la informacin financiera, administrativa y operacional que genera una entidad es confiable veraz y oportuna, en otras palabras, es revisar que los hechos, fenmenos y operaciones se den en la forma en que fueron planeados; que las polticas y lineamientos establecidos se hayan observado y respetado; que se cumple con las obligaciones fiscales, jurdicas y reglamentarias en general. Asimismo, significa evaluar la forma en que se administra y opera con el fin de aprovechar los recursos al mximo. Auditoria interna, segn el Institute of Internal Auditors, es una funcin independiente de evaluacin, establecida dentro de una organizacin, para examinar y evaluar sus actividades como un servicio a la misma organizacin. Es un control cuyas funciones consisten en examinar y evaluar las adecuaciones y eficiencia de los controles. Auditoria es la acumulacin y evaluacin de la evidencia basada en informacin para determinar y reportar sobre el grado de correspondencia entre la informacin y los criterios establecidos. La auditora debe realizarla una persona independiente y competente.

TIPOS DE AUDITORA Existen dos tipos de auditoria la externa y la interna, en ambas se establece una necesidad de coordinacin. El auditor externo empieza su labor a partir, de los resultados finales mientras que el auditor externo primero revisa las actividades bsicas de una organizacin con miras a futuro. Bsicamente el auditor externo deber expresar una opinin sobre la racionabilidad de la situacin de la organizacin; este auditor estar ms orientado hacia los resultados finales, mientras que el auditor interno se enfocar hacia la efectividad de la administracin as como los grados de contribucin y bienestar para la organizacin. De esta forma, a pesar de que ambos tipos de auditoria utilizan la misma fuente de informacin, tendrn prioridades diferentes, secuencias diferentes y objetivos diferentes. Un inters comn que comparten es el relacionado con el control interno, esto es que el auditor interno por ser el que se encarga de la vigilancia del cumplimiento de loso objetivos persigue el control interno instaurado en la organizacin. Finalmente, es preciso mencionar que si el servicio de auditoria es proporcionado por una firma de consultora autorizada que cuente con un equipo multidisciplinario de auditores, ellos podrn prestar el servicio tanto de auditoria interna como externa, ya que los conocimientos y especializaciones con las que cuentan les permiten distinguir a la perfeccin la operacin de la empresa, para obtener un dictamen adecuado a las necesidades operativas de la empresa auditada.

Fases de la auditora: preparacin, planeacin, revisin de auditora in situ, elaboracin del reporte. Preparacin y planeacin de la Auditora de Informacin Objetivo: Propiciar la colaboracin de todos los integrantes de la organizacin en el estudio, as como planear la auditoria y definir sus objetivos. Acciones a realizar 1. Motivar e involucrar directamente a los miembros de la organizacin en el proceso. a) Realizar una reunin con el Equipo de Direccin y luego con todos los trabajadores del Hotel en la cual se explique el objetivo y los resultados que se prevn con la realizacin de este proceso, enfocado a determinar el estado de los recursos y los mtodos de gestin de informacin en la organizacin, as como las fuentes de informacin de que dispone y los servicios y sistemas (incluidos personas y equipos) para su explotacin adecuada, acordes con su misin y objetivos. b) Es imprescindible, para un buen resultado del trabajo, lograr involucrar a la direccin de la organizacin en la auditora, y tambin el respaldo del resto de los integrantes para la realizacin de las entrevistas, la entrega de documentos y el inventario de los recursos de informacin. c) Criterios de diferentes autores como Orna (1999); Henczel (2000) y Soy Aumatell (2003) estiman que se debe interactuar con personas que tienen un nivel de responsabilidad en la organizacin, con los que tengan determinada experiencia dentro de la organizacin, y con aquellos que aunque no cumplan los requisitos anteriores, muestran especial disposicin para comunicarse y compartir. 2. Determinar y conformar el equipo de auditora. a) Para determinar y conformar el equipo de auditora puede seguirse el criterio emitido por Buchanan (1998), quien opina que la AI debe ser conducida por el auditor de la informacin, en unin de un grupo de trabajo, es decir, un equipo representativo de los miembros de mayor experiencia en la organizacin, seleccionados por su conocimiento. b) Tambin puede tomarse el criterio emitido por Ramjaun (2000), quien considera que la AI puede realizarse tanto por una firma consultora con la experiencia requerida, como por un miembro del personal con antigedad en la entidad, con conocimientos amplios en la gestin de la informacin, apoyado por un equipo

multidisciplinario bien preparado en negocio, investigacin y en tecnologas de la informacin. c) Existe conceso de que la AI debe ser llevada a cabo por auditores internos, es decir miembros de la organizacin, y dada la complejidad de este proceso, conviene utilizar un equipo multidisciplinario, que incluya informticos, estadsticos, auditores y especialistas en recursos humanos, as como un profesional de la informacin experto en la gestin de informacin dentro del sector turstico. En ocasiones, es conveniente acudir a la colaboracin de un consultor externo para el diseo de las entrevistas, los cuestionarios y la valoracin de los resultados. d) El auditor de informacin, debe ser una persona con amplios conocimientos sobre gestin de informacin, y lo deben caracterizar rasgos como la integridad, la capacidad de establecer una adecuada comunicacin, y la habilidad profesional, entre otros. El mismo estar apoyado por un equipo multidisciplinario, ya mencionado, bien preparado en organizacin, investigacin, y en tecnologas de la informacin y la comunicacin. e) Los miembros del equipo tendrn la facultad de realizar entrevistas grupales o individuales acorde a los objetivos de la investigacin y llevar a cabo el trabajo de seleccin de la muestra, incluyendo la asignacin de cuotas o seleccin dirigida de elementos de la poblacin estudiada, a incluir en la muestra, dado su conocimiento de la misma. f) El equipo contar con un responsable, al cual estarn subordinados los dems miembros mientras dure la investigacin. g) El equipo rendir informe de los resultados y del plan de acciones, una vez finalizado el proceso, al consejo de direccin en pleno de la organizacin. 3. Definir claramente los Objetivos de la realizacin de la auditora en la entidad. En este sentido los objetivos de una AI pueden ser Operacionales o de Aprendizaje. a) Cuando el objetivo es Operacional se debe: Evaluar si la informacin se corresponde con las necesidades de la empresa en lo que se refiere a las polticas y estrategias, y cmo apoya el logro de las metas y los objetivos. Determinar cmo las necesidades de los clientes se reflejan en la informacin utilizada por la empresa en sus productos y servicios. La relevancia, utilidad y efectividad de los procesos. Identificar y eliminar la informacin duplicada.

 Evaluar la integridad, exactitud, actualizacin y fiabilidad del inventario de informacin, y la correspondencia con los requerimientos regulatorios y legales. Identificar la capacidad de bsqueda rpida de informacin en caso de contingencias en la empresa. Calcular el valor inducido de la informacin para la empresa y el valor operacional del recurso de informacin para sta. Definir la propiedad, actualidad, calidad y accesibilidad de la informacin. Detectar los cambios tecnolgicos y evaluar su impacto en la Gestin de Informacin dentro de la empresa. b) Cuando el objetivo es de Aprendizaje se debe: Definir el alcance de los procesos de Gestin de Informacin y determinar sus actividades fundamentales. Evaluar el reconocimiento por parte del personal de los beneficios de la gestin de informacin como un recurso intangible empresarial que debe manejarse igual o mejor que los tangibles. Evaluar el conocimiento del personal sobre cmo acceder a los recursos informativos con que cuenta la empresa. Cambiar la percepcin en la empresa de que los costos en adquisicin de informacin no constituyen gastos sino que son una inversin de pronta recuperacin. 4. Determinar el Alcance del proceso de la auditora. a) Se determinar si la Auditora ser total o parcial. En el primer caso, se abarcar a toda la organizacin y en el segundo, a determinado proceso, funcin, departamento o rea de responsabilidad en general. b) Para seleccionar el rea dnde se realizar la auditora, se tendrn en cuenta los criterios suministrados por Orna (1999) y Henczel (2000), los cuales son: Se deben buscar reas concretas dnde la informacin tenga una alta importancia estratgica y un alto potencial para el valor aadido. El rea debe tener un lmite claro y no debe ser demasiado grande, debe haber potencial para algunos resultados rpidos de gran impacto, y debe existir una proporcin justa entre las personas que tienen conciencia de la informacin. 5. Planificar el tiempo y los recursos requeridos para llevar a cabo la AI.

a) Se confeccionar un cronograma de actividades con las fechas de cumplimento de cada una de ellas. b) Se determinarn y coordinarn de conjunto con la direccin de la instalacin hotelera todos los recursos necesarios (materiales, financieros y humanos) para realizar el proceso. c) El perodo en que se llevarn a cabo las auditoras ser cada dos aos y la mxima responsabilidad en el Hotel para la aplicacin del procedimiento propuesto est en su pice estratgico, en particular en la persona de su director general gerente y el momento en que se aplicar la Auditora es facultad de la alta direccin y el consejo de direccin, independientemente del perodo de tiempo recomendado en el procedimiento. d) El consenso sobre la necesidad de la aplicacin del procedimiento puede obtenerse cuando: Existan evidencias de que hay deterioro de la Gestin de Informacin en algunas de las partes de la estructura de la organizacin. Cuando los resultados de auditoras internas o externas reflejen que ha existido un retroceso en los indicadores de la Gestin de Informacin en el Hotel, en comparacin con perodos anteriores. Cuando se perciban cambios desfavorables en el entorno social, poltico, econmico legal. Cuando ocurra un deterioro en la correlacin de los elementos de la matriz DAFO de la instalacin hotelera. Cuando se aprecie un deterioro en los indicadores de desempeo de la organizacin. Revisin de auditora in situ La Preparacin de las actividades de auditora in situ garantiza el xito de la revisin al favorecer un examen confiable del objeto a auditar, se debe considerar lo siguiente:

4.1 Preparacin de los documentos de trabajo1

Los documentos de trabajo permitirn la generacin de los papeles de trabajo y registros, incluye los formatos de registro de actas, estadsticas, y dems que se consideran necesarios. Los formaros referidos a continuacin son los que se consideran adecuados conforme a las buenas prcticas de auditora seguidas en

la Procuradura para auditora al Sistema de Gestin de Calidad o modelo de operacin por procesos. Los papeles de trabajo a preparar incluyen: Documentacin sobre los temas objeto de revisin Plan de Mejoramiento Plan de implantacin y avances Informe de la visita anterior e informacin de seguimiento Formato de Registro REG-EV-EI-012- Plan de Visita de Auditora Formato REG-EV-EI-063- Lista de chequeo implantacin SGC

Se debe considerar que: Existen sistemas de informacin que soportan el desarrollo de los diversos procesos de la entidad que pueden aportar informacin sobre la gestin de la entidad y que en forma previa se puede recopilar informacin de inters que orienta la realizacin del proceso de auditora. El Sistema de Gestin de la Calidad es una poltica estatal que ha sido acogida por la Procuradura General de la Nacin, su implantacin demanda la aplicacin de recursos financieros y que adems demanda un ingente esfuerzo de todos los niveles de la entidad. Se debe considerar la complejidad y magnitud del tema para realizar una ilustracin previa y compilar la documentacin del SGC necesaria para orientar la visita de auditora. La auditora aplicada utilizando como referente el SGC puede realizarse adicionalmente sobre un proceso, dependencia o evento, de manera que la recopilacin de la documentacin de calidad se puede orientar hacia el alcance y los objetivos de control definidos para la visita de auditora. En la Divisin de Gestin Humana del nivel central se puede obtener la informacin de la planta de cargos. Es necesario: Revisar el informe de la anterior visita de auditora (si se efectu) I. Los formatos se adjuntan en el software desde el men <adjuntos>. II. Recuerde que los registros corresponde a los formatos o formularios diligenciados que presenta la evidencia de los hallazgos y observaciones. Obtener y revisar el Plan Operativo Anual POA de la dependencia en la Oficina de Planeacin (solicitarlo va correo electrnico y preferiblemente obtener la copia en medio magntico).

Obtener y revisar el Mapa de Riesgos del proceso de implantacin del SGC. Obtener y revisar los planes de mejoramiento de la dependencia, incluyendo el mejorando, con el servidor de la Oficina de Control Interno encargado (solicitarlo va correo electrnico y preferiblemente obtener la copia en medio magntico)

En el caso del seguimiento a la implantacin del sistema de gestin de la calidad SGC, recuerde, u obtener y revisar la documentacin sobre calidad aplicable al rea o proceso. Abrir en el archivo de gestin la carpeta de la visita Guardar en medio magntico para su utilizacin posterior en la regional

Elaboracin del Informe de Auditora El informe de auditora es el documento final del proceso auditor, que sintetiza el resultado del cumplimiento de los objetivos definidos en el memorando de asignacin de auditora, en el plan de trabajo y el resultado de las pruebas adelantadas en la ejecucin. Los propsitos del informe definitivo son: Registrar los resultados de la auditora adelantada; Describir de manera precisa, clara y concisa los hallazgos determinados durante el proceso auditor; Apoyar el control poltico que ejercen las respectivas corporaciones pblicas; Servir de insumo para que el ente auditado formule el plan de mejoramiento; y Comunicar e informar pblicamente los resultados de la auditora.

Atributos y caractersticas del Informe:

El informe debe cumplir con los siguientes atributos:
Preciso Diga lo que tiene que decir. Es conveniente ser exacto (puntual) en cada frase y en el informe completo. Su redaccin debe ser sencilla, clara, ordenada, coherente y en orden de importancia. La redaccin debe ser breve pero sin omitir lo relevante, la breve dad permite mayor impacto. Se debe buscar la forma de redactar los hallazgos en forma concreta, pero sin dejar de decir lo que se tiene que decir sobre la condicin (situacin detectada); asimismo, se debe incluir el criterio de auditora, la causa y la consecuencia, aspectos que muestren claramente el impacto que tiene la situacin detectada por la contralora territorial. Todos los hallazgos deben reflejar una situacin real, manejada con criterios tcnicos, analticos e imparciales.

Conciso

Objetivo

Soportado Oportuno

Las afirmaciones, conceptos, opiniones y hallazgos, deben estar respaldadas con evidencia vlida, suficiente, pertinente y competente. Debe cumplir los trminos de elaboracin, consolidacin, entrega, comunicacin y publicidad.

El informe debe tener las siguientes caractersticas de presentacin:

Debe redactarse en: Letra Arial tamao 12 de Word. Margen superior, 4 cms. Protocolos Margen inferior, 3 cms. Margen izquierdo, 3 cms. Margen derecho, 3 cms. Espacio interlineado sencillo. Slo se utilizarn nmeros arbigos por niveles, as: 1. Primer Nivel: En maysculas, negrilla y centrado. 1.2. Segundo Nivel: En maysculas sin negrilla y alinea do a la Numeracin izquierda. 1.2.1. Tercer Nivel: En minscula con negrilla a la izquierda. 1.2.1.1. Cuarto Nivel: En minsculas sin negrilla, cursiva y alineado a la izquierda. Paginacin Debe ir en el margen inferior centrado y se numerar a partir del captulo Resultados de Auditora. Tener en cuenta las normas generales de redaccin y ortografa Redaccin En la redaccin del Informe debe evitarse mencionar nombres propios. En los cuadros y tablas se utilizan nmeros arbigos en tablas y grficas orden consecutivo a travs de todo el texto, se debe indi car primero el nmero y despus el ttulo, utilizando letra Arial tamao 10; si el cuadro es extenso utilizar tipo de letra ms pequeo. Cuadros, tablas y El anlisis de las grficas debe ser consecuente con la presentacin de las mismas. grficas As mismo, para la numeracin utilizar nmeros arbi gos en orden consecutivo en la parte inferior izquierda de la misma. La grfica se debe colocar en la misma pgina en que se menciona. Las cifras presentadas en el informe y en los diferentes cuadros deben ir en una sola unidad de medida: millo nes, miles de pesos, Cifras etc. Las cifras se separaran con puntos y no con comas. Numeracin de Los hallazgos se numerarn en forma consecutiva. hallazgos

 Estructuracin del informe El informe de auditora, de acuerdo con el memorando de asignacin debe contener, como mnimo, lo siguiente: Contenido Auditora Modalidad Regular si si si si no si si Auditora Modalidad Especialidad si si si no si si si Auditora Modalidad Expres si si opcional no si si si

Caratula Hoja de presentacin Tabla de contenido Dictamen integral Carta de conclusiones Resultados de auditoria Anexos

Elaboracin del informe preliminar Esta actividad es realizada por el equipo auditor, con base en las observaciones y conclusiones que se obtengan durante la fase de ejecucin de la auditoria. Este se organiza de acuerdo con los atributos y modelos establecidos, teniendo en cuenta que incluya la totalidad de las observaciones, opiniones o conceptos a las conclusiones detectados y validados en mesas de trabajo los cuales deben tener soporte en los papeles de trabajo. Nota: Para la modalidad de la auditora exprs, la contralora territorial podr prescindir del informe preliminar, previa aprobacin de la instancia competente. Revisin y validacin del informe preliminar Debe ser de forma y fondo, encaminada a validar que se haya cumplido con el (los) objetivo(s) definido(s) en el memorando de asignacin de auditora, plan de trabajo y programas de auditora. En el evento en que se detecten, inconsistencias y debilidades en los aspectos contenidos, el (los) responsable (s) de la revisin, validacin y aprobacin del informe debe(n) solicitar las aclaraciones, y/o ajustes correspondientes. Aprobacin del Informe Preliminar

Todo informe preliminar que se comunique al auditado debe ser aprobado en la instancia correspondiente, en el cual se declara la conformidad o no del mismo.

Firma y remisin del Informe preliminar El informe preliminar se entiende culminado una vez est firmado por las respectivas instancias y sea remitido al ente auditado. Elaboracin de informe definitivo Esta actividad es realizada por el equipo auditor, una vez se haya surtido el derecho de contradiccin, con base en los resultados de validacin de respuestas y se efecten los ajustes a que haya lugar. Revisin del informe definitivo Con base en los ajustes producto del derecho de contradiccin, la(s) instancia(s) competente (s) revisarn el contenido del informe definitivo, de acuerdo con los procedimientos establecidos en cada contralora territorial. Aprobacin del informe definitivo Una vez revisado el informe definitivo se proceder a su aprobacin por parte de la instancia competente, de acuerdo con los procedimientos establecidos en cada contralora territorial. Firma y remisin del Informe definitivo El informe se entender liberado una vez firmado por las respectivas instancias. Surtido este trmite se remitir al auditado en los trminos establecidos por cada contralora territorial.

UNIDAD 2. AUDITORIA DE LA DIRECCIN INFORMTICA 2.1. EXAMEN DE ORGANIGRAMA. 2.2. REVISIN DE LA DOCUMENTACIN RELACIONADA CON LA DIRECCIN. 2.3. ENTREVISTAS A DIRECTIVOS. 2.4. EVALUACIN

2.1. EXAMEN DE ORGANIGRAMA Organigrama El organigrama expresa la estructura oficial de la organizacin a auditar. Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia. Departamentos Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos. Relaciones Jerrquicas y funcionales entre rganos de la Organizacin El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes. Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el contrario, indican relaciones no estrictamente subordinables. Flujos de Informacin Adems de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extradepartamentales. Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontneamente canales alternativos de informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos canales alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa. Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades personales o simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones en la organizacin.

El equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la organizacin corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la existencia de funciones operativas redundantes. Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer tal circunstancia y expresarn el nmero de puestos de trabajo verdaderamente diferentes. Nmero de Puestos de trabajo Nmero de personas por Puesto de Trabajo Es un parmetro que los auditores informticos deben considerar. La inadecuacin del personal determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organizacin.

DIRECCIN DE INFORMTICA La Direccin de Informtica disea, integra, desarrolla e implementa las acciones de modernizacin, organizacin, simplificacin, sistematizacin y conectividad en materia de informtica, que apoyen y faciliten el logro de los objetivos fundamentales de la Secretara de Educacin. PERFIL DEL PUESTO "DIRECTOR DE INFORMTICA El Director de Informtica, por su preparacin en Sistemas de Informacin, Administracin de Centros de Cmputo, Redes Computacionales, Telecomunicaciones, Internet y Tecnologa de Informacin as como administracin general, de recursos humanos y de la informtica. [2] FUNCIONES DE LA DIRECCIN DE INFORMTICA

Procesar los datos y entregar la informacin que le sea requerida por las unidades administrativas de la Secretara. Proponer al Director General de Administracin y Finanzas, las polticas en materia de informtica, que deban seguirse para el diseo, desarrollo e implementacin de sistemas de cmputo. Elaborar para su aprobacin, los programas internos del procesamiento electrnico de datos que se realicen en el centro de cmputo a su cargo, en los trminos y con la periodicidad que se establezca con los usuarios del servicio. Administrar el centro de cmputo de la Secretara y desarrollar los procesos de operacin en materia computacional, en coordinacin con las distintas reas de las que aquella requiera el servicio. Realizar en coordinacin con las autoridades pblicas estatales competentes, estudios e investigaciones en materia de informtica que permitan a la Secretara estar a la vanguardia en la aplicacin y uso de sistemas electrnicos, que favorezca el servicio educativo. Establecer mecanismos que posibiliten el uso adecuado, as como el aprovechamiento de los equipos de computacin y del software a cargo de las unidades administrativas de la Secretara. Brindar apoyo tcnico a las unidades administrativas de la Secretara en el desarrollo de sistemas de informtica, adquisicin de software y equipo de cmputo necesario para la automatizacin y simplificacin de los procesos, as como, de los servicios administrativos de la Secretara. Disear para su aplicacin, sistemas de mantenimiento y proteccin de la informacin y procesos administrativos que se desarrollan a travs de medios electrnicos, as como de los equipos de computacin del Gobierno del Estado, a cargo de la Secretara, en coordinacin con las autoridades estatales competentes. En coordinacin con las unidades administrativas de la Secretara y la Direccin de Administracin Central, detectar y satisfacer entre el personal de la propia Secretara, las necesidades de capacitacin en materia de computacin. Planear, evaluar y dar seguimiento a la implantacin de sistemas informticos integrales, que permitan modernizar, agilizar y hacer ms eficientes las operaciones y los procesos administrativos. Disear los sistemas de informacin y estructurales que requiera el desarrollo organizacional de la Secretara, en coordinacin con las autoridades estatales competentes. Elaborar y coordinar, tanto los planes, programas, como la normativa tcnica y operativa, de las redes de comunicacin y sistemas de informacin de la Secretara, en coordinacin con las autoridades estatales competentes. Efectuar revisiones que permitan asegurar el buen uso del equipo de cmputo, de los sistemas electrnicos de informacin, de la paquetera utilizada y en general del apego a las polticas y normas establecidas. Promover y fomentar la cultura del cuidado, conservacin, eficiencia y buen uso de los equipos electrnicos de informacin.

Adoptar las medidas necesarias para salvaguardar la informacin, los programas y el equipo computacional que tiene bajo su responsabilidad la presente Direccin, y las dems que le sean conferidas por el Director General de Administracin y Finanzas. DIRECCIN DE INFORMACIN Un director de sistemas de informacin (tambin llamado DSI) tiene capacidades administrativas y tcnicas. Su tarea es la de aparejar los sistemas de informacin con los planes de la compaa, elaborar y administrar presupuestos y coordinar equipos tcnicos. El director de sistemas de informacin es considerado parte del equipo de administracin de la compaa. Con ese propsito, se rene con el Directorio, debe considerar los pedidos de otros ejecutivos e informarles acerca de sus actividades. PERFIL Habilidades. El director de sistemas de informacin debe poseer una experiencia tcnica slida en TI y una visin estratgica para la innovacin y el cambio, junto con habilidades de administracin. Es ms, el DSI debe ser metdico y riguroso en su trabajo. Debe poseer habilidades interpersonales para comunicarse con su equipo y debe tener la capacidad de negociar. Por ltimo, debe tener buen dominio de ingls, independientemente del lugar donde viva, para contactarse con socios comerciales de otros pases. Educacin.- No existe una capacitacin para ser DSI. Las personas que obtienen este puesto son aquellas que en la mitad o al final de su carrera han adquirido mucha experiencia en los diferentes campos de TI adems de haber dirigido varios proyectos relacionados con la informtica. Requisitos: Edad: Indistinta Sexo: Indistinto Idioma: Ingls Avanzado Carrera: Ing. en Sistemas o afn Conocimientos en: SAP (ventas, materiales, produccin) Administracin de Proyectos Tecnologas de Informacin Metodologa COSO / ITIL Experiencia requerida: Al menos 5 aos en puesto similar (NIVEL DIRECCION)? Administracin de equipos de trabajo superiores a 15 personas de manera local y remota

 Implementacin y mantenimiento de SAP Administracin de sistemas operativos Comunicaciones Windows server etc. Intercomunicacin de sucursales, plantas y/o almacenes (al menos 30) FUNCIONES Anteriormente su papel estaba enfocado, fundamentalmente, a asegurar que toda la plataforma tecnolgica estuviera preparada para dar soporte a las operaciones de la empresa. En este momento, su funcin va ms all y entra en el desarrollo de la estrategia de negocio. De hecho los directores de sistemas tienen un papel fundamental como impulsores de la innovacin en las empresas. Los tres retos fundamentales con los que se encuentran estos profesionales en su papel como agentes de la innovacin: la transformacin del modelo de negocio, impulsar la colaboracin con terceros e incrementar el grado de integracin entre la tecnologa y negocio.

Organigrama de la gerencia de desarrollo de sistemas.

GERENCIA DE DESARROLLO DE SISTEMAS Esta rea es la responsable de automatizar los requerimientos de informacin de aquellas unidades usuarias que por el alcance de sus operaciones dentro de la

empresa, volmenes de datos y requerimientos especficos de servicio, necesitan ser satisfechas mediante el desarrollo de sistemas de informtica, o el aprovechamiento del banco de datos centralizado en el computador principal. Page Personneles una empresa del Grupo Michael Page International, especializada en la contratacin de profesionales de mandos intermedios (analistas, coordinadores, supervisores) y gerencia junior de forma permanente o temporal. Est presente en 20 pases a travs de 89 oficinas en toda Europa, Australia y Amrica. Nuestro Cliente: Expertos en financiamiento y estructuracin de proyectos de vivienda e infraestructura. Descripcin de la Posicin: Reportando al Subdirector de desarrollo Las principales responsabilidades son: Realizar diagnsticos de los requerimientos del negocio Proponer soluciones informticas de acuerdo a los objetivos de la empresa Supervisar el ciclo de desarrollo de sistemas Reportar avances, retrasos y riesgos detectados en los proyectos Planear las implementaciones de los sistemas Mantenimientos de la documentacin de los sistemas

Perfil deseado: Egresado de carrera de sistemas o afines (titulado) 5 aos de experiencia desarrollando aplicaciones bancarias, banca mvil y banca electrnica Experiencia previa en puesto gerenciales y liderando equipo Conocimiento avanzado de T24, Infobasic y Oracle Con experiencia en normatividad bancaria y administracin de proyectos Poder de comunicacin de ideas a todos los niveles Analtico, auto dirigido, disciplinado y visin de negocio Ingles avanzadas

Nombre del puesto: Gerente de Desarrollo de Sistemas TI Carrera: Ingeniero en Sistemas, Administracin de Sistemas, Computacionales o carrera a fin. Preferentemente con Maestra en TI Sexo: indistinto Ingls: 90% Edad: 28 a 35 aos

Experiencia: Mnima de 8 aos como Gerente de Desarrollo de Sistemas, gestin de proyectos, en infraestructura y arquitectura de sistemas. Conocimientos y Funciones: Proveer soluciones y traducir necesidades tecnolgicas Anlisis y propuestas de soluciones y mejoras Establecer estndares de desarrollo Implementar y supervisar ambientes de prueba y produccin de interfaces Administrar recursos internos y externos de proyectos Administracin de presupuesto e inversiones Conocimientos en SAP Caractersticas personales: Liderazgo Trabajo en Equipo Iniciativa y Empuje Toma de decisiones Anlisis Orientacin a resultados Manejo de personal Orientacin al cliente Habilidades numricas y financieras COORDINADOR DE SISTEMAS Es el responsable de cubrir los requerimientos de informacin de un mtodo especfico, dentro del mbito de la compaa. PERFIL: Compaa: Empresa transnacional lder en la fabricacin de fibras. Puesto: Coordinador de Sistemas - SAE Compensacin: 300,000 - 500,000 pesos anuales Localizacin Pas: Mxico Estado: Distrito Federal Ciudad: DF Cdigo Postal: 11700 Estudios Requeridos: Universidad Idiomas: Ingls Tipo de Posicin: Tiempo Completo Nivel de Viaje: Ninguno Descripcin del puesto: Responsable del rea de Tecnologa de Informacin. Ser el encargado de implementar y administrar sistemas y redes de la compaa. Desarrollar reportes a la Direccin. Mantener actualizadas las redes y telecomunicaciones de la empresa.

Fuerte enfoque a SAE. Requerimientos del puesto: Escolaridad: Licenciatura o Ingeniera en Sistemas. Indispensable manejo avanzado de SAE, excelente manejo de Office (Excel, Word, PowerPoint). Experiencia: Mnimo 5 aos llevando el rea de sistemas y tecnologa, fuerte Experiencia en el manejo de redes y SAE, desarrollo de reportes a nivel Direccin. Actualizado en redes y telecomunicaciones. LDER DE PROYECTOS El Lder de Proyecto es el responsable de detectar las necesidades de los usuarios y gestionar los recursos econmicos, materiales y humanos, para obtener los resultados esperados en los plazos previstos y con la calidad necesaria. Su misin es la de dirigir y coordinar los proyectos de desarrollo y mantenimiento de las aplicaciones de un rea de la empresa, supervisando las funciones y los recursos de anlisis funcional, tcnico y programacin, con el fin de satisfacer las necesidades de los usuarios y asegurando la adecuada explotacin de las aplicaciones. Lo que se requiere para desempear un puesto de estas caractersticas son amplios conocimientos en distintas reas o entornos de trabajo. PERFIL El lder de proyecto, o administrador de proyectos, es responsable de administrar proyectos desde que inicia hasta que se completa. Entre sus responsabilidades se incluye: El desarrollo del plan del proyecto La identificacin de los requerimientos y el alcance del proyecto La comunicacin La administracin de los recursos humanos y materiales El control de tiempos Identificacin y control de riesgos Administracin de los costos/presupuesto El aseguramiento de la calidad El reporte y evaluacin del desempeo del proyecto El lder de proyecto debe mantener su foco en asegurar que el proyecto se termine en el tiempo y presupuesto planeado, y muy frecuentemente con tiempos limitados. Algunas de las cualidades que uno debe tener para convertirse en un buen lder de proyecto son las siguientes:

Organizado y metdico Facilidad para relacionarse con gente Buena comunicacin oral y escrita Liderazgo Conocimientos tcnicos bsicos

FUNCIN Dirigir un proyecto o megaproyecto especfico acotados en plazos y objetivos. Anlisis, diseo, desarrollo, implementacin y testeo. Planear y administrar un grupo de analistas calificados. Descripcin de las posiciones del rea de sistemas Obligaciones y responsabilidades Planear y supervisar el desarrollo de las aplicaciones del proyecto. Desarrollar especificaciones y asignar el grupo de profesionales. Monitorear y reportar el estado de avance peridicamente. Mantenerse actualizado en los nuevos desarrollos tecnolgicos en hardware, software y Tcnicas de la industria. Participar de la seleccin de proveedores para cada proyecto. Interaccin Gerente de sistemas, jefe de desarrollos, y jefe de seguridad informtica. Conocimientos y habilidades requeridos Ttulo universitario en anlisis de sistemas, ciencias de la computacin o ingeniera de Sistemas. Aptitudes en manejo de personal y desarrollo integral de proyectos. Experiencia de cuatro aos en el desarrollo de proyectos de sistemas y uno a dos aos en supervisin. ANALISTA-PROGRAMADOR El desarrollador (tambin conocido como analista/programador) debe disear y desarrollar una aplicacin para ordenadores, es decir, debe transcribir una necesidad en una solucin informtica escrita en lenguaje informtico. Histricamente, el desarrollo de ordenadores ha estado a cargo de un gerente de proyectos quien describa las necesidades, siendo el analista el que se encargaba del modelado y el programador, de la codificacin. El analista es para el programador lo que el diseo es para la produccin. Es una profesin de diseo que implica la traduccin de las necesidades de un cliente en instrucciones y la creacin de un modelo informtico. Las dos funciones de programador y diseador se han fusionado gradualmente. Por esta razn, se le da el nombre de analista/programador que es sinnimo de "desarrollador". El trabajo de un desarrollador consiste en crear sobre aplicaciones existentes y modelar otras nuevas.

PERFIL Habilidades.- Un analista/programador debe poseer conocimiento tcnico especfico de programacin de software, particularmente en programacin orientada a objetos e ingeniera de software. Se necesita experiencia en modelado UML. El desarrollador tambin debe tener dominio no slo de un lenguaje de programacin sino de varios, por ejemplo, Java (el entorno J2EE), C++, y Framework.NET. Por ltimo, es fundamental tener buen dominio de ingls. Sin importar el lugar del mundo donde trabaje, el desarrollador necesita buscar frecuentemente material escrito sobre temas tcnicos y puede terminar trabajando con asociados en otros pases. Puesto: Analista / Programador Descripcin del Puesto: las principales funciones de este puesto son: Anlisis y desarrollo de Aplicaciones en entorno Windows. Administracin y gestin de bases de datos relacionales. Perfil del candidato: Diplomado, licenciado en Informtica terminada en el ltimo ao. Slidos conocimientos de .NET / Visual Basic Administracin de bases de datos relacionales - SQL. Alto nivel de ingls

FUNCIN Lograr que los sistemas diseados cumplan los requerimientos y especificaciones de procesamiento Disear y probar la lgica y cdigos de los programas y prepararlos para operacin Preparar documentacin de programas bajo las directivas de los estndares de la Compaa Probar exhaustivamente la operacin de programas completos y preparar la interface Lgica entre los programas relacionados Obligaciones y responsabilidades Mantener conocimientos actualizados sobre lenguajes estndar, mtodos de codificacin y requerimientos de operacin Colaborar en el diseo de partes automatizadas del sistema

Analizar especificaciones de programas para el cumplimiento de los estndares Disear lgicas y cdigos de programas en lenguajes autorizados Preparar pruebas de unidades y sistemas de datos para validar programas Documentar programas de acuerdo a los estndares de instalacin Preparar material de entrenamiento para usuarios y personal de operaciones Preparar y mantener agendas de trabajo y generar reportes de progreso Interaccin Programador seor, jefe de seguridad informtica, programadores, personal de operaciones y usuarios especializados. Conocimientos y habilidades requeridos Ttulo universitario en anlisis de sistemas, ciencias de la computacin o ingeniera de Software Cursos de programacin y entrenamiento en ciencias de la computacin Experiencia de un ao como programador Jr

2.2. REVISIN DE LA DOCUMENTACIN RELACIONADA CON LA DIRECCIN. Revisin de la Documentacin La revisin de la documentacin de las empresas y la de los trabajadores, es un elemento clave en las auditoras sociales. En combinacin con las entrevistas a los trabajadores, la revisin ayudar a los auditores a obtener una idea ms clara sobre las condiciones de trabajo y empleo de la empresa auditada, incluyendo horas de trabajo, salarios y deducciones, y cualquier queja levantada por los trabajadores. Generalmente, los auditores revisan una variedad de documentos; incluyendo comprobantes de pago, polticas y procedimientos empresariales, contratos laborales, y otros documentos relevantes en el monitoreo de las condiciones de empleo de los trabajadores de la empresa. Cuando una auditora cubrir los temas de contratacin y reclutamiento justo, la revisin debera ser ms profunda y extensa. Se profundiza la revisin de dicha documentacin, con el fin de examinar a mayor nivel de detalle las condiciones de reclutamiento y empleo que enfrentan los trabajadores migrantes. sta se lleva a cabo de una manera ms extensa; y su alcance va ms all de la instalacin y su fuerza laboral, ya que incluye una revisin de las operaciones de los intermediarios laborales, y los trabajadores reclutados y manejados por dichos intermediarios. Es por eso que, una auditoria de contratacin justa, es ms minuciosa y amplia. Hay muchas acciones que pueden tomas las empresas para integrar los principios de contratacin justa en esta fase de la auditora. Ms abajo, se encuentra un listado de los tipos de documentos que se pueden revisar, adems de una explicacin de lo que se debera buscar. Las instrucciones estn divididas en dos secciones: primero, documentos de la empresa o instalacin que pueden ser revisados; y segundo, documentos de los intermediarios mismos.

DOCUMENTOS DE LA EMPRESA 1. Una copia de los contratos firmados entre la empresa y cada uno de los intermediarios que proveen trabajadores migrantes a la empresa. Revisar los contratos para asegurarse de que stos especifican las obligaciones relacionadas con lo siguiente: Servicios provedos por el intermediario laboral Gastos y honorarios pagados por la empresa y el intermediario laboral Honorarios de reclutamiento Prohibicin de trabajo forzoso y trata de personas Sanciones por falta de cumplimiento con los trminos de los contratos, en relacin a los derechos laborales y humanos Descripcin detallada sobre la cantidad y el tipo de deducciones hechas por la empresa o por el intermediario 2. Un listado completo de todos los trabajadores huspedes y migrantes empleados en la empresa y otra documentacin Al revisar este listado, es necesario asegurarse de que la siguiente informacin es incluida: Nombres completos y nmero de identificacin de cada trabajador Terminal o departamento de trabajo con su horario de trabajo y turno Fecha de contratacin Nombre de los intermediarios (en ambos, pas de origen y destino) Direccin e informacin de contacto en el pas de origen Informacin de contacto en caso de una emergencia

3. Un listado completo de todos los intermediarios que proveen trabajadores migrantes a la empresa, y otra documentacin Por cada intermediario, asegurarse de revisar lo siguiente: Informacin de contacto completa Informacin sobre las licencias y acreditaciones del intermediario Informacin sobre las licencias y acreditaciones de cualquier subcontratista o sub-agente utilizado por el intermediario Historial de las acciones tomadas por la empresa para la seleccin, contratacin y evaluacin de los intermediarios laborales 4. Todas las polticas relevantes de la empresa y su manual de procedimientos operativos La revisin de las polticas y procedimientos de una empresa, tiene dos propsitos bsicos: 1) puede ayudar a examinar el marco de polticas que han sido

adoptadas por la instalacin, para enfrentar los principales problemas laborales relacionados con los trabajadores migrantes; y 2) puede proporcionar informacin sobre los procedimientos desarrollados por la instalacin para abordar problemticas de recursos humanos y laborales en el lugar de trabajo. Revisar estos materiales incluyendo polticas de recursos humanos y cdigos de conducta para evaluar el compromiso de la empresa en cuanto a: La prohibicin del trabajo forzoso y la trata de personas, y todas las formas de engao y coercin en el reclutamiento, la contratacin y el manejo de trabajadores migrantes Trato justo de los trabajadores en relacin a: o Remuneracin o Horas de trabajo o Horas extras o Derechos a baja (por ejemplo, por maternidad o razones mdicas) o Membresa en sindicatos o Alojamiento o Beneficios y seguro social o La contratacin de intermediarios comprometidos a no cobrar ningn horario o gasto a los trabajadores por reclutamiento o La prohibicin de la confiscacin o retencin de pasaportes u otros documentos de valor de los trabajadores o Si la retencin de dichos documentos es requerida por ley, o solicitada por los trabajadores, revisar los procedimientos de la empresa, para asegurarse de que sta, tiene un mecanismo claro y transparente que garantiza que los trabajadores pueden tener acceso a sus pertenencias en el momento que los requieran o La prohibicin de: o La coleccin de depsitos o fianzas durante el reclutamiento o durante la relacin de empleo; o Horas extras obligatorias o no voluntarias que sobrepasan los lmites establecidos por las leyes nacionales; y o Sanciones disciplinarias que utilizan el trabajo forzoso u obligatorio como castigo por infracciones en el lugar de trabajo. o Prcticas de recursos humanos relacionadas con el reclutamiento, contratos laborales, salarios, y horas de trabajo; las cuales contribuyen a minimizar el riesgo de trabajo forzoso o la trata de personas. o Garantas de libertad de movimiento y libertad personal de los trabajadores, en las residencias operadas por los empleadores. o Desarrollo progresivo de un proceso eficaz de seleccin y contratacin de intermediarios laborales responsables, que incluya herramientas y metodologas de evaluacin rigorosas. 5. Archivos de personal de un nmero representativo de los trabajadores migrantes Cuando sean revisados los archivos de personal de los trabajadores migrantes, hay que asegurarse de recolectar la siguiente informacin:

Una copia del pasaporte del trabajador o carnet de identificacin nacional; El nombre e informacin de contracto del intermediario laboral; Informacin de contacto en caso de una emergencia; Notificaciones disciplinarias, si aplica; y El Contrato laboral firmado. Revisar los contratos laborales de cada trabajador migrante, para asegurarse de que las provisiones sobre los salarios cumplen con los estndares mnimos legales, o de la industria. Adems, los contratos laborales deberan: Detallar claramente las circunstancias bajo las cuales los trabajadores pueden dejar su empleo sin sancin, siempre con notificacin de tiempo razonable; Especificar los derechos y responsabilidades de los trabajadores en cuanto a: Salarios; Horas de trabajo; Das libres y bajas anuales; y Procedimientos disciplinarios que pueden resultar en el despido. Reveal no indications of contract substitution or the amendment of original contract provisions with those that are less favorable to the worker. 6. Archivos de personal de trabajadores migrantes despedidos o de trabajadores que han renunciado. Revisar los archivos de personal de todos los trabajadores migrantes despedidos o de trabajadores que han renunciado. Asegurarse de revisar todos los puntos anteriores, y en especialmente los procedimientos de quejas y disciplina. Los archivos de personal de los trabajadores despedidos deberan incluir la razn precisa y el detalle del despido, adems de la documentacin de la indemnizacin, cuando esta es requerida por ley; y Los archivos no incluyen ninguna evidencia de violencia, intimidacin, acoso, amenazas o abuso verbal o fsico en el lugar de trabajo. 7. Comprobantes de pago de los trabajadores migrantes (ver la seccin de Enfoque al final del documento) Revisar los comprobantes de pago de los trabajadores migrantes para asegurarse que: Los salarios corresponden con los salarios mnimos establecidos por la ley o la industria, y con los salarios de los ciudadanos que trabajan en el mismo tipo de trabajo o seccin; y Los clculos de salarios son claros y transparentes. No debe de existir ninguna evidencia de deducciones ilegales o no autorizadas. Revisar los records relacionados con los anticipos o prestamos, provedos a los trabajadores migrantes. Asegurarse que: Cumplan con la ley; Las tasas de inters no sean excesivas;

Otros trminos de pago sean justos; y Los records indiquen que previo al prstamo, hubo un acuerdo escrito y firmado por los dos partes, sobre los trminos y condiciones del prstamo y los pagos. Cuando la empresa es requerida por ley, o solicitada por el trabajador mismo, a remitir su pago o parte de el, a terceros; revise los registros pertinentes para garantizar que: Se indica que esto se est haciendo con el previo conocimiento y pleno consentimiento del trabajador, y que; El trabajador recibe un comprobante de la cantidad completa remitida. 8. Records de capacitaciones y orientaciones provedas por la empresa Aunque el intermediario laboral puede proporcionar la mayor parte de la capacitacin a los trabajadores migrantes - desde antes de la partida hasta la orientacin en el lugar de trabajo, la empresa puede compartir algunas responsabilidades de capacitacin. Dependiendo de la magnitud de su involucramiento, la instalacin deber mantener registros que documenten el alcance y la naturaleza de las capacitaciones impartidas. Estos registros deben indicar que - antes del despliegue y a su llegada - los trabajadores recibieron orientacin bsica y capacitacin sobre: Sus derechos y responsabilidades en el trabajo, as como las de su empleador; ya sea ste el intermediario o la empresa; Obligaciones contractuales; Trminos y condiciones de empleo; Condiciones de vida; y Procedimientos de quejas que estn en vigor, para los trabajadores en caso de que surja algn problema. DOCUMENTOS DEL INTERMEDIARIO LABORAL Nota: Los intermediarios laborales podran no estar en el sitio durante su auditora de empresa. Para asegurarse de que recibir los documentos necesarios para llevar a cabo una revisin completa, hay que considerar contactar al intermediario previamente a su visita. Hay que pedirles a los intermediarios que tengan lista la siguiente documentacin: 1. Una copia de la/s licencia/s del intermediario laboral para operar en el/los pas/es donde reclutan a los trabajadores migrantes y en el pas donde colocan a trabajadores. 2. Una copia del contrato firmado entre el intermediario y la empresa. 3. Un listado completo de los trabajadores huspedes y migrantes provedos a la empresa. Al revisar este listado, hay que asegurarse de que este listado coincide con el provedo por la empresa. Este debe incluir la siguiente informacin:

Nombre completo y nmero de identificacin de cada trabajador; Terminal o departamento de trabajo y horario laboral; Fecha de contratacin; Nombre del intermediario (en ambos, pas de origen y destino); Direccin e informacin de contacto en el pas de origen; y Informacin de contacto en caso de una emergencia 4. Un listado completo de todos los subcontratistas o sub-agentes utilizados para proveer trabajadores a la empresa Un intermediario laboral que opera en un pas de destino y que coloca a trabajadores en la instalacin, puede realmente estar operando a travs de una red extensiva de intermediarios subcontratados o sub-agentes en los pases de origen o destino. Es importante asegurarse de que cada una de estas entidades est operando de acuerdo a la ley y que respeta los derechos de los trabajadores que ayudan a colocar en la empresa. En el momento de la revisin de documentos, se deben adquirir lo siguiente: Una copia de la licencia de operacin de cada subcontratista o sub-agente correspondiente a cada jurisdiccin donde reclutan trabajadores. Copias de los contratos firmados entre el intermediario y sus subcontratistas y sub-agentes; Los nombres e informacin de contacto de cada subcontratista y sub-agente; y Un listado de los trabajadores reclutados por cada subcontratista. Nota: Si el intermediario laboral tambin acta como el empleador o gerente de los trabajadores migrantes en su lugar de trabajo, se tendran que revisar los documentos relacionados con las funciones; de modo que se obtenga ms informacin sobre las polticas y prcticas de los intermediarios sobre los recursos humanos y otros asuntos. Esto puede hacer ms compleja la auditora. La revisin de documentos ayudar a reducir la complejidad y determinar si los trabajadores migrantes reciben las protecciones que merecen. 5. Archivos de personal de un nmero representativo de los trabajadores migrantes Al revisan los archivos de personal de los trabajadores migrantes, asegurarse de que se recolecta la siguiente informacin: Una copia del pasaporte o carnet de identificacin nacional; El nombre e informacin de contracto del intermediario laboral; Informacin de contacto en caso de una emergencia; Notificaciones disciplinarias, si aplica; y Contrato laboral firmado. Revisar los contratos laborales de cada trabajador migrante para asegurarse de que las provisiones sobre los salarios cumplen con los estndares mnimos legales o de la industria. Adems, los contratos laborales deberan:

Detallar claramente las circunstancias bajo las cuales los trabajadores pueden terminar su empleo sin sancin, con una notificacin de tiempo razonable; Especificar los derechos y responsabilidades de los trabajadores en cuanto a: Salarios; Horas de trabajo; Das libres y bajas anuales; y Procedimientos disciplinarios que puedan resultar en el despido. Los contratos no deberan contener ninguna indicacin de sustitucin o alteracin de las provisiones, con el fin de crear condiciones menos favorables para el trabajador. 6. Archivos de personal de trabajadores migrantes despedidos o de trabajadores que han renunciado. Revisar los archivos de personal de todos los trabajadores migrantes despedidos y de los trabajadores que han renunciado. Asegurarse de revisar todo lo anteriormente mencionado, especialmente los procedimientos de quejas y disciplina, sealando si: Los archivos de personal de los trabajadores despedidos incluyen la razn precisa y detallada del despido, adems de la documentacin de la indemnizacin, cuando sta sea requerida por ley Los archivos no incluyen ninguna evidencia de violencia, intimidacin, acoso, amenazas o abuso verbal o fsico en el lugar de trabajo 7. Todas las polticas relevantes del intermediario laboral y el manual de procedimientos de operaciones Al igual que la revisin de las normas y procedimientos, la revisin de las operaciones del intermediario laboral tiene dos funciones bsicas: 1) ayudar al auditor a identificar el marco normativo formal y las normas de trabajo que guan el comportamiento del intermediario laboral en relacin a los derechos y la proteccin de los trabajadores migrantes; y 2) proveer una idea de las prcticas y procedimientos adoptados por el intermediario, ya sea por s mismo, o en cooperacin con la empresa; para hacer frente a los recursos humanos y otros problemas en el lugar de trabajo. Revisar las polticas y procedimientos del intermediario- incluyendo las provisiones del cdigo de conducta enfocndose en lo siguiente: El historial de los intermediarios laborales debera mostrar que la empresa tiene una estructura para la implementacin, una persona responsable y procedimientos claros, para asegurar que las polticas cumplen con todas las leyes y regulaciones relevantes. Las polticas de los intermediarios laborales tambin deberan prohibir toda forma de trabajo forzoso, trata de personas, y engao y coercin en el reclutamiento, la contratacin y el manejo de trabajadores migrantes. Adems, estas polticas

deberan asegurar que los trabajadores migrantes no reciben un trato peor al que reciben los trabajadores nacionales en relacin a: Remuneracin; Horas de trabajo; Horas extras; Derechos a baja (por ejemplo, baja por maternidad o por razones medicas); Membresa en sindicatos; Alojamiento; y Beneficios y seguro social. Las polticas y procedimientos de los intermediarios laborales tambin deberan: Indicar claramente que no se cobrar ningn honorario o gasto a los trabajadores por servicios de colocacin en la empresa; Prohibir la confiscacin o retencin de los pasaportes u otros documentos de valor de los trabajadores, a menos que esto sea requerido por ley o solicitado voluntariamente por los trabajadores. Prohibir horas extras obligatorias o no voluntarias que sobrepasan los limites establecidos por las leyes nacionales, o un mximo de 12 horas extras por semana - donde no existan lmites legales; Asegurar que no existen restricciones irrazonables que limiten la libertad de movimiento o libertad personal de los trabajadores; y Prohibir sanciones disciplinarias que utilicen el trabajo forzoso u obligatorio como castigado por infracciones en el lugar de trabajo. Prcticas de recursos humanos relacionadas a reclutamiento, contratos laborales, salarios, y horas de trabajo que minimicen el riesgo al trabajo forzoso o a la trata de personas. Los procedimientos escritos tambin deberan establecer prcticas ticas, con detalles precisos sobre las condiciones laborales provedas en el momento del reclutamiento, y que estos detalles sean comunicados en un lenguaje que los solicitantes del trabajo entiendan. Tambin deberan prohibir que los intermediarios o sus subcontratistas le hagan falsas promesas a los trabajadores en cuanto a las condiciones de empleo, especialmente aquellas relacionadas con los salarios. Los procedimientos tambin deberan indicar si el intermediario ha establecido un mecanismo eficaz para manejar; el reporte confidencial de las faltas de cumplimiento, los mecanismos de quejas, el proceso para la investigacin del reporte de quejas, las protecciones para los denunciantes, y los procedimientos eficaces de remediacin, despus de ser verificadas dichas faltas de cumplimiento. 8. Comprobantes de pago de los trabajadores migrantes (ver la seccin de Enfoque al final del documento) Revisar los comprobantes de pago de los trabajadores migrantes para asegurarse que:

Los salarios corresponden con los salarios mnimos establecidos por la ley o la industria, y con los salarios de los ciudadanos que trabajan en el mismo tipo de trabajo o seccin; y Los clculos de salarios son claros y transparentes. No debe de existir ninguna evidencia de deducciones ilegales o no autorizadas. Revisar los records relacionados con los anticipos o prstamos, provedos a los trabajadores migrantes. Asegurarse que: Cumplan con la ley Las tasas de inters no sean excesivas Los trminos de pago sean justos Los records indiquen que previo al prstamo, hubo un acuerdo escrito y firmado por los dos partes, sobre los trminos y condiciones del prstamo y los pagos Cuando la empresa es requerida por ley, o solicitada por el trabajador mismo, a remitir su pago o parte de l, a terceros; revise los registros pertinentes para garantizar que: Se indica que esto se est haciendo con el previo conocimiento y pleno consentimiento del trabajador, y que; El trabajador recibe un comprobante de la cantidad completa remitida. 9. Records de capacitaciones y orientaciones provedos por los intermediarios laborales. Estos records deberan indicar que los trabajadores hayan recibido una orientacin y capacitacin bsica sobre los siguientes temas - antes de salir de su pas de origen y cuando llegan a su pas de destino. Incluyendo: Sus derechos y responsabilidades en el trabajo, adems de los derechos y responsabilidades de su empleador - ya sea el intermediario o la empresa; Obligaciones contractuales; Trminos y condiciones del empleo; Condiciones de vida; y Procedimientos de quejas establecidos para los trabajadores que enfrentan algn problema. Enfoque La Auditora de Salarios El anlisis de los documentos de pago, puede ser el aspecto ms complejo y largo de una auditora. Sin embargo, la combinacin de este proceso con las entrevistas a los trabajadores permite determinar si los pagos cumplen con las obligaciones legales y contractuales. Un anlisis rigoroso de los sistemas de pago debera incluir: Un nmero representativo de comprobantes de pago Documentacin de la nmina Tarjetas de tiempo

 Cualquier otra informacin relevante para el clculo del pago de cada trabajador Una vez se hayan adquirido estos documentos, se debe tratar de determinar si los salarios son pagados de acuerdo a la ley y los contratos de trabajo firmados por los trabajadores. Los siguientes, son algunos consejos que pueden ayudar para realizar esta tarea: Asegurarse de diferenciar entre el salario base y el pago neto cuando se hagan los clculos; Asegurarse de usar el sueldo mnimo correcto, de acuerdo a la regin, el tipo de industria y el nivel de destrezas del trabajador; Seleccionar al azar una muestra de trabajadores de un listado provedo por la marca o el proveedor y/o intermediario, para llevar a cabo un anlisis de sus comprobantes de pago. La muestra debera ser representativa de todas las categoras de trabajadores migrantes y de todas las secciones de la instalacin. Que se deberan buscar: Utilizando las tarjetas de tiempo y los records de asistencia, ve rificar que todas las horas y los das trabajados son registrados en la nmina. Revisar el pago por horas extras, para determinar si cumple con los requisitos legales. Verificar que a los trabajadores les han pagado la tasa legal por horas extraordinarias, para todas las horas extras trabajadas. Verificar que slo se hacen las deducciones requeridas por ley. Verificar que todos los trabajadores hayan firmado, ind icando que han recibido sus salarios. Si un trabajador no ha firmado, preguntar el porqu. Revisar los comprobantes de pago para verificar que toda la informacin relevante es proveda. 2.3. ENTREVISTAS A DIRECTIVOS La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. CONTROLES Los datos son uno de los recursos ms valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados y auditados con el mismo cuidado que los dems inventarios de la organizacin, por lo cual se debe tener presente:

a) La responsabilidad de los datos es compartida conjuntamente por alguna funcin determinada y el departamento de cmputo. b) Un problema de dependencia que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poder determinar los propietarios o usuarios posibles(principalmente en el caso de redes y banco de datos) y la responsabilidad de su actualizacin y consistencia. c) Los datos debern tener una clasificacin estndar y un mecanismo de identificacin que permita detectar duplicidad y redundancia dentro de una aplicacin y de todas las aplicaciones en general. d) Se deben relacionar los elementos de los datos con las bases de datos donde estn almacenados, as como los reportes y grupos de procesos donde son generados. CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL La mayora de los Delitos por computadora son cometidos por modificaciones de datos fuente al: Suprimir u omitir datos. Adicionar Datos. Alterar datos. Duplicar procesos. Esto es de suma importancia en caso de equipos de cmputo que cuentan con sistemas en lnea, en los que los usuarios son los responsables de la captura y modificacin de la informacin al tener un adecuado control con sealamiento de responsables de los datos(uno de los usuarios debe ser el nico responsable de determinado dato), con claves de acceso de acuerdo a niveles. El primer nivel es el que puede hacer nicamente consultas. El segundo nivel es aquel que puede hacer captura, modificaciones y consultas y el tercer nivel es el que solo puede hacer todos lo anterior y adems puede realizar bajas. NOTA: Debido a que se denomina de diferentes formas la actividad de transcribir la informacin del dato fuente a la computadora, en el presente trabajo se le denominar captura o captacin considerndola como sinnimo de digitalizar (capturista, digitalizadora). Lo primero que se debe evaluar es la entrada de la informacin y que se tengan las cifras de control necesarias para determinar la veracidad de la informacin, para lo cual se puede utilizar el siguiente cuestionario: 1. Indique el porcentaje de datos que se reciben en el rea de captacin 2. Indique el contenido de la orden de trabajo que se recibe en el rea de captacin de datos: Nmero de folio ( ) Nmero(s) de formato(s) ( ) Fecha y hora de Nombre, Depto. ( ) Recepcin ( ) Usuario ( ) Nombre del documento ( ) Nombre responsable ( ) Volumen aproximado Clave de cargo de registro ( ) (Nmero de cuenta) ( ) Nmero de registros ( ) Fecha y hora de entrega de

Clave del capturista ( ) Fecha estimada de entrega ( )

documentos

registros

captados

3. Indique cul(es) control(es) interno(s) existe(n) en el rea de captacin de datos: Firmas de autorizacin ( ) Recepcin de trabajos ( ) Control de trabajos atrasados ( ) Revisin del documento ( ) Avance de trabajos ( ) fuente(legibilidad, verificacin de datos completos, etc.) ( ) Prioridades de captacin ( ) Errores por trabajo ( ) Produccin de trabajo ( ) Correccin de errores ( ) Produccin de cada operador ( ) Entrega de trabajos ( ) Verificacin de cifras Costo Mensual por trabajo ( ) de control de entrada con las de salida. ( ) 4. Existe un programa de trabajo de captacin de datos? a) Se elabora ese programa para cada turno? Diariamente ( ) Semanalmente ( ) Mensualmente ( ) b) La elaboracin del programa de trabajos se hace: Internamente ( ) Se les sealan a los usuarios las prioridades ( ) c) Que accin(es) se toma(n) si el trabajo programado no se recibe a tiempo? 5. Quin controla las entradas de documentos fuente? 6. En que forma las controla? 7. Que cifras de control se obtienen? Sistema Cifras que se Observaciones Obtienen 8. Que documento de entrada se tienen? Sistemas Documentos Depto. que periodicidad Observaciones proporciona el documento 9. Se anota que persona recibe la informacin y su volumen? SI NO 10. Se anota a que capturista se entrega la informacin, el volumen y la hora? SI NO 11. Se verifica la cantidad de la informacin recibida para su captura? SI NO 12. Se revisan las cifras de control antes de enviarlas a captura? SI NO 13. Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de asegurar que la informacin es completa y valida? SI NO

14. Existe un procedimiento escrito que indique como tratar la informacin invlida (sin firma ilegible, no corresponden las cifras de control)? 15. En caso de resguardo de informacin de entrada en sistemas, Se custodian en un lugar seguro? 16. Si se queda en el departamento de sistemas, Por cuanto tiempo se guarda? 17. Existe un registro de anomalas en la informacin debido a mala codificacin? 18. Existe una relacin completa de distribucin de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen? 19. Se verifica que las cifras de las validaciones concuerden con los documentos de entrada? 20. Se hace una relacin de cuando y a quin fueron distribuidos los listados? __________________________________________________________________ _______ 21. Se controlan separadamente los documentos confidenciales? __________________________________________________________________ _______ 22. Se aprovecha adecuadamente el papel de los listados inservibles? __________________________________________________________________ _______ 23. Existe un registro de los documentos que entran a capturar? __________________________________________________________________ _______ 24. Se hace un reporte diario, semanal o mensual de captura? __________________________________________________________________ _______ 25. Se hace un reporte diario, semanal o mensual de anomalas en la informacin de entrada? 26. Se lleva un control de la produccin por persona? 27. Quin revisa este control? 28. Existen instrucciones escritas para capturar cada aplicacin o, en su defecto existe una relacin de programas? CONTROL DE OPERACIN La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso en la computadora. El objetivo del presente ejemplo de cuestionario es sealar los procedimientos e instructivos formales de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos. 1. Existen procedimientos formales para la operacin del sistema de computo? SI ( ) NO ( ) 2. Estn actualizados los procedimientos? SI ( ) NO ( ) 3. Indique la periodicidad de la actualizacin de los procedimientos: Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo ( )

4. Indique el contenido de los instructivos de operacin para cada aplicacin: Identificacin del sistema ( ) Identificacin del programa ( ) Periodicidad y duracin de la corrida ( ) Especificacin de formas especiales ( ) Especificacin de cintas de impresoras ( ) Etiquetas de archivos de salida, nombre, ( ) archivo lgico, y fechas de creacin y expiracin Instructivo sobre materiales de entrada y salida ( ) Altos programados y la acciones requeridas ( ) Instructivos especficos a los operadores en caso de falla del equipo ( ) Instructivos de reinicio ( ) Procedimientos de recuperacin para proceso de gran duracin o criterios ( ) Identificacin de todos los dispositivos de la mquina a ser usados ( ) Especificaciones de resultados (cifras de control, registros de salida por archivo, etc. ) ( ) 5. Existen rdenes de proceso para cada corrida en la computadora (incluyendo pruebas, compilaciones y produccin)? SI ( ) NO ( ) 6. Son suficientemente claras para los operadores estas rdenes? SI ( ) NO ( ) 7. Existe una estandarizacin de las ordenes de proceso? SI ( ) NO ( ) 8. Existe un control que asegure la justificacin de los procesos en el computador? (Que los procesos que se estn autorizados y tengan una razn de ser procesados. SI ( ) NO ( ) 9. Cmo programan los operadores los trabajos dentro del departamento de cmputo? Primero que entra, primero que sale ( ) se respetan las prioridades, ( ) Otra (especifique) ( ) 10. Los retrasos o incumplimiento con el programa de operacin diaria, se revisa y analiza? SI ( ) NO ( ) 11. Quin revisa este reporte en su caso? 12. Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de cmputo, tomando en cuenta equipo y operador, a travs de inspeccin visual, y describa sus observaciones. 13. Existen procedimientos escritos para la recuperacin del sistema en caso de falla? 14. Cmo se acta en caso de errores? 15. Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes?

16. Se tienen procedimientos especficos que indiquen al operador que hacer cuando un programa interrumpe su ejecucin u otras dificultades en proceso? 17. Puede el operador modificar los datos de entrada? 18. Se prohibe a analistas y programadores la operacin del sistema que programo o analizo? 19. Se prohibe al operador modificar informacin de archivos o bibliotecas de programas? 20. El operador realiza funciones de mantenimiento diario en dispositivos que as lo requieran? 21. Las intervenciones de los operadores: Son muy numerosas? SI ( ) NO ( ) Se limitan los mensajes esenciales? SI ( ) NO ( ) Otras (especifique)______________________________________________________ 22. Se tiene un control adecuado sobre los sistemas y programas que estn en operacin? SI ( ) NO ( ) 23. Cmo controlan los trabajos dentro del departamento de cmputo? 24. Se rota al personal de control de informacin con los operadores procurando un entrenamiento cruzado y evitando la manipulacin fraudulenta de datos? SI ( ) NO ( ) 25. Cuentan los operadores con una bitcora para mantener registros de cualquier evento y accin tomada por ellos? Si ( ) por mquina ( ) escrita manualmente ( ) NO ( ) 26. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones de software. 27.Existen procedimientos para evitar las corridas de programas no autorizados? SI ( ) NO ( ) 28. Existe un plan definido para el cambio de turno de operaciones que evite el descontrol y discontinuidad de la operacin. 29. Verificar que sea razonable el plan para coordinar el cambio de turno. 30. Se hacen inspecciones peridicas de muestreo? SI ( ) NO ( ) 31. Enuncie los procedimientos mencionados en el inciso anterior: 32. Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc. fuera del departamento de cmputo? SI ( ) NO ( ) 33. Se controla estrictamente el acceso a la documentacin de programas o de aplicaciones rutinarias? SI ( ) NO ( ) Cmo?________________________________________________________ 34. Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificacin de seguridad de operador.

35. Existen procedimientos formales que se deban observar antes de que sean aceptados en operacin, sistemas nuevos o modificaciones a los mismos? SI ( ) NO ( ) 36. Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI ( ) NO ( ) 37. Durante cuanto tiempo? 38. Que precauciones se toman durante el periodo de implantacin? 39. Quin da la aprobacin formal cuando las corridas de prueba de un sistema modificado o nuevo estn acordes con los instructivos de operacin. 40. Se catalogan los programas liberados para produccin rutinaria? SI ( ) NO ( ) 41. Mencione que instructivos se proporcionan a las personas que intervienen en la operacin rutinaria de un sistema. 42. Indique que tipo de controles tiene sobre los archivos magnticos de los archivos de datos, que aseguren la utilizacin de los datos precisos en los procesos correspondientes. 43. Existe un lugar para archivar las bitcoras del sistema del equipo de cmputo? SI ( ) NO ( ) 44. Indique como est organizado este archivo de bitcora. Por fecha ( ) por fecha y hora ( ) por turno de operacin ( ) Otros ( ) 45. Cul es la utilizacin sistemtica de las bitcoras? 46. Adems de las mencionadas anteriormente, que otras funciones o reas se encuentran en el departamento de cmputo actualmente? 47. Verifique que se lleve un registro de utilizacin del equipo diario, sistemas en lnea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo. 48. Se tiene inventario actualizado de los equipos y terminales con su localizacin? SI ( ) NO ( ) 49. Cmo se controlan los procesos en lnea? 50. Se tienen seguros sobre todos los equipos? SI ( ) NO ( ) 51. Conque compaa? Solicitar plizas de seguros y verificar tipo de seguro y montos. 52. Cmo se controlan las llaves de acceso (Password)?. CONTROLES DE SALIDA 1. Se tienen copias de los archivos en otros locales? 2. Dnde se encuentran esos locales? 3. Que seguridad fsica se tiene en esos locales? 4. Que confidencialidad se tiene en esos locales? 5. Quin entrega los documentos de salida? 6. En que forma se entregan?

7. Que documentos? 8. Que controles se tienen? 9. Se tiene un responsable (usuario) de la informacin de cada sistema? Cmo se atienden solicitudes de informacin a otros usuarios del mismo sistema? 10. Se destruye la informacin utilizada, o bien que se hace con ella? Destruye ( ) Vende ( ) Tira ( ) Otro ______________________________ CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO Los dispositivos de almacenamiento representan, para cualquier centro de cmputo, archivos extremadamente importantes cuya prdida parcial o total podra tener repercusiones muy serias, no slo en la unidad de informtica, sino en la dependencia de la cual se presta servicio. Una direccin de informtica bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, adems de mantener registros sistemticos de la utilizacin de estos archivos, de modo que servirn de base a registros sistemticos de la utilizacin de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de informacin), principalmente en el caso de las cintas. Adems se deben tener perfectamente identificados los carretes para reducir la posibilidad de utilizacin errnea o destruccin de la informacin. Un manejo adecuado de estos dispositivos permitir una operacin ms eficiente y segura, mejorando adems los tiempos de procesos. CONTROL DE ALMACENAMIENTO MASIVO OBJETIVOS El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento bsico de la direccin. 1. Los locales asignados a la cintoteca y discoteca tienen: acondicionado ( ) Aire Proteccin contra el fuego ( ) (sealar que tipo de proteccin )__________________________________ Cerradura especial ( ) Otra 2. Tienen la cintoteca y discoteca proteccin automtica contra el fuego? SI ( ) NO ( ) (sealar de que tipo)_______________________________________________ 3. Que informacin mnima contiene el inventario de la cintoteca y la discoteca? Nmero de serie o carrete ( ) Nmero o clave del usuario ( ) Nmero del archivo lgico ( ) Nombre del sistema que lo genera ( ) Fecha de expiracin del archivo ( ) Fecha de expiracin del archivo ( ) Nmero de volumen ( ) Otros 4. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? SI ( ) NO ( )

5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? SI ( ) NO ( ) 6. Que tan frecuentes son estas discrepancias? _______________________________________________________________ 7. Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta a disco, el cual fue inadvertidamente destruido? SI ( ) NO ( ) 8. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso? SI ( ) NO ( ) Cmo?________________________________________________________ 9. Existe un control estricto de las copias de estos archivos? SI ( ) NO ( ) 10. Que medio se utiliza para almacenarlos? Mueble con cerradura ( ) Bveda ( ) Otro(especifique)_________________________________________________ 11. Este almacn esta situado: En el mismo edificio del departamento ( ) En otro lugar ( ) Cual?_________________________________________________________ 12. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? SI ( ) NO ( ) 13. Se certifica la destruccin o baja de los archivos defectuosos? SI ( ) NO ( ) 14. Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI ( ) NO ( ) 15 Se tiene un responsable, por turno, de la cintoteca y discoteca? SI ( ) NO ( ) 16. Se realizan auditoras peridicas a los medios de almacenamiento? SI ( ) NO ( ) 17. Que medidas se toman en el caso de extravo de algn dispositivo de almacenamiento? 18. Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? SI ( ) NO ( ) 19. Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales? SI ( ) NO ( ) 20. Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolvern? SI ( ) NO ( ) 21. Se lleva control sobre los archivos prestados por la instalacin? SI ( ) NO ( )

22. En caso de prstamo Conque informacin se documentan? Nombre de la institucin a quin se hace el prstamo. fecha de recepcin ( ) fecha en que se debe devolver ( ) archivos que contiene ( ) formatos ( ) cifras de control ( ) cdigo de grabacin ( ) nombre del responsable que los presto ( ) otros 23. Indique qu procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros: 24. Se conserva la cinta maestra anterior hasta despus de la nueva cinta? SI ( ) NO ( ) 25. El cintotecario controla la cinta maestra anterior previendo su uso incorrecto o su eliminacin prematura? SI ( ) NO ( ) 26. La operacin de reemplazo es controlada por el cintotecario? SI ( ) NO ( ) 27. Se utiliza la poltica de conservacin de archivos hijo-padre-abuelo? SI ( ) NO ( ) 28. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los archivos? SI ( ) NO ( ) 29. Estos procedimientos los conocen los operadores? SI ( ) NO ( ) 30. Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( ) SEMESTRAL ( ) OTRA ( ) 31. Existe un responsable en caso de falla? SI ( ) NO ( ) 32. Explique que polticas se siguen para la obtencin de archivos de respaldo? 33. Existe un procedimiento para el manejo de la informacin de la cintoteca? SI ( ) NO ( ) 34. Lo conoce y lo sigue el cintotecario? SI ( ) NO ( ) 35. Se distribuyen en forma peridica entre los jefes de sistemas y programacin informes de archivos para que liberen los dispositivos de almacenamiento? SI ( ) NO ( ) Con qu frecuencia?

CONTROL DE MANTENIMIENTO Como se sabe existen bsicamente tres tipos de contrato de mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez puede dividirse en aquel que incluye las partes dentro

del contrato y el que no incluye partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente mas caro, pero se deja al proveedor la responsabilidad total del mantenimiento a excepcin de daos por negligencia en la utilizacin del equipo. (Este tipo de mantenimiento normalmente se emplea en equipos grandes). El segundo tipo de mantenimiento es "por llamada", en el cual en caso de descompostura se le llama al proveedor y ste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo(casi todos los proveedores incluyen, en la cotizacin de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye refacciones. El tercer tipo de mantenimiento es el que se conoce como "en banco", y es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y este hace una cotizacin de acuerdo con el tiempo necesario para su compostura mas las refacciones (este tipo de mantenimiento puede ser el adecuado para computadoras personales). Al evaluar el mantenimiento se debe primero analizar cual de los tres tipos es el que ms nos conviene y en segundo lugar pedir los contratos y revisar con detalles que las clusulas estn perfectamente definidas en las cuales se elimine toda la subjetividad y con penalizacin en caso de incumplimiento, para evitar contratos que sean parciales. Para poder exigirle el cumplimiento del contrato de debe tener un estricto control sobre las fallas, frecuencia, y el tiempo de reparacin. Para evaluar el control que se tiene sobre el mantenimiento y las fallas se pueden utilizar los siguientes cuestionarios: 1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato). 2. Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de computo? SI ( ) NO ( ) 3. Se lleva a cabo tal programa? SI ( ) NO ( ) 4. Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( ) 5. Si los tiempos de reparacin son superiores a los estipulados en el contrato, Qu acciones correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( ) 6. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.SI ( ) NO ( ) Cul? 8. Cmo se notifican las fallas? 9. Cmo se les da seguimiento? ORDEN EN EL CENTRO DE CMPUTO Una direccin de Sistemas de Informacin bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cmputo. Los

dispositivos del sistema de cmputo, los archivos magnticos, pueden ser daados si se manejan en forma inadecuada y eso puede traducirse en prdidas irreparables de informacin o en costos muy elevados en la reconstruccin de archivos. Se deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cmputo. 1. Indique la periodicidad con que se hace la limpieza del departamento de cmputo y de la cmara de aire que se encuentra abajo del piso falso si existe y los ductos de aire: Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( ) No hay programa ( ) Otra (especifique) ( ) 2. Existe un lugar asignado a las cintas y discos magnticos? SI ( ) NO ( ) 3. Se tiene asignado un lugar especfico para papelera y utensilios de trabajo? SI ( ) NO ( ) 4. Son funcionales los muebles asignados para la cintoteca y discoteca? SI ( ) NO ( ) 5. Se tienen disposiciones para que se acomoden en su lugar correspondiente, despus de su uso, las cintas, los discos magnticos, la papelera, etc.? SI ( ) NO ( ) 6. Indique la periodicidad con que se limpian las unidades de cinta: Al cambio de turno ( ) cada semana ( ) cada da ( ) otra (especificar) ( ) 7. Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de cmputo? SI ( ) NO ( ) 8. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin? SI ( ) NO ( ) 9. Se tiene restringida la operacin del sistema de cmputo al personal especializado de la Direccin de Informtica? SI ( ) NO ( ) 10. Mencione los casos en que personal ajeno al departamento de operacin opera el sistema de cmputo: EVALUACIN DE LA CONFIGURACIN DEL SISTEMA DE CMPUTO Los objetivos son evaluar la configuracin actual tomando en consideracin las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalacin y revisar las polticas seguidas por la unidad de informtica en la conservacin de su programoteca. Esta seccin esta orientada a: a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cmputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y lago plazo. b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso. c) Evaluar la utilizacin de los diferentes dispositivos perifricos.

1. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existe equipo? Con poco uso? SI ( ) NO ( ) Ocioso? SI ( ) NO ( ) Con capacidad superior a la necesaria? SI ( ) NO ( ) Describa cual es ____________________________________________________ 2. El equipo mencionado en el inciso anterior puede reemplazarse por otro mas lento y de menor costo? SI ( ) NO ( ) 3. Si la respuesta al inciso anterior es negativa, el equipo puede ser cancelado? SI ( ) NO ( ) 4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser cancelado o cambiado. ________________________________________________________________ 5. El sistema de cmputo tiene capacidad de teleproceso? SI ( ) NO ( ) 6. Se utiliza la capacidad de teleproceso? SI ( ) NO ( ) 7. En caso negativo, exponga los motivos por los cuales no utiliza el teleproceso? SI ( ) NO ( ) 8. Cuantas terminales se tienen conectadas al sistema de cmputo? 9. Se ha investigado si ese tiempo de respuesta satisface a los usuarios? SI ( ) NO ( ) 10. La capacidad de memoria y de almacenamiento mximo del sistema de cmputo es suficiente para atender el proceso por lotes y el proceso remoto? SI ( ) NO ( ) SEGURIDAD LGICA Y CONFIDENCIAL La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. Antes esta situacin, en el transcurso del siglo XX, el mundo ha sido testigo de la transformacin de algunos aspectos de seguridad y de derecho. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar el llamado ""virus" de las computadoras, el cual aunque tiene diferentes intenciones se encuentra principalmente para paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus.

El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes. El sistema integral de seguridad debe comprender: Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes(incendio, terremotos, etc.) Prcticas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Aplicacin de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeacin de programas de desastre y su prueba. Se debe evaluar el nivel de riesgo que puede tener la informacin para poder hacer un adecuado estudio costo/beneficio entre el costo por perdida de informacin y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente: Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo). Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera. La justificacin del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: Que sucedera si no se puede usar el sistema?

o o

o o o o o o

Si la contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de alto riego. La siguiente pregunta es: Que implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? Existe un procedimiento alterno y que problemas nos ocasionara? Que se ha hecho para un caso de emergencia? Una vez que se ha definido, el grado de riesgo, hay que elaborar una lista de los sistemas con las medias preventivas que se deben tomar, as como las correctivas en caso de desastre sealndole a cada uno su prioridad . Hay que tener mucho cuidado con la informacin que sale de la oficina, su utilizacin y que sea borrada al momento de dejar la instalacin que est dando respaldo. Para clasificar la instalacin en trminos de riesgo se debe: Clasificar los datos, informacin y programas que contienen informacin confidencial que tenga un alto valor dentro del mercado de competencia de una organizacin, e informacin que sea de difcil recuperacin. Identificar aquella informacin que tenga un gran costo financiero en caso de prdida o bien puede provocar un gran impacto en la toma de decisiones. Determinar la informacin que tenga una gran prdida en la organizacin y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa informacin. Para cuantificar el riesgo es necesario que se efecten entrevistas con los altos niveles administrativos que sean directamente afectados por la suspensin en el procesamiento y que cuantifquen el impacto que les puede causar este tipo de situaciones.

Para evaluar las medidas de seguridad se debe: Especificar la aplicacin, los programas y archivos. Las medidas en caso de desastre, prdida total, abuso y los planes necesarios. Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo. En cuanto a la divisin del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependern del riesgo que tenga la informacin y del tipo y tamao de la organizacin.

o o o o o

El personal que prepara la informacin no debe tener acceso a la operacin. Los anlisis y programadores no deben tener acceso al rea de operaciones y viceversa. Los operadores no debe tener acceso irrestringido a las libreras ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librera y de operacin. Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados. Al implantar sistemas de seguridad puede, reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia. SEGURIDAD FSICA El objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de emergencia hasta que sea restaurado el servicio completo. Entre las precauciones que se deben revisar estn: Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas del polvo y se habr de contar con detectores de humo que indiquen la posible presencia de fuego. En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso. En cuanto a los extintores, se debe revisar en nmero de estos, su capacidad, fcil acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder que no se encuentren recargados o bien que sean de difcil acceso de un peso tal que sea difcil utilizarlos. Esto es comn en lugares donde se encuentran trabajando hombres y mujeres y los extintores estn a tal altura o con un peso tan grande que una mujer no puede utilizarlos. Otro de los problemas es la utilizacin de extintores inadecuados que pueden provocar mayor perjuicio a las mquinas (extintores lquidos) o que producen gases txicos. Tambin se debe ver si el personal sabe usar los equipos contra incendio y si ha habido prcticas en cuanto a su uso.

o o

Se debe verificar que existan suficientes salidas de emergencia y que estn debidamente controladas para evitar robos por medio de estas salidas. Los materiales mas peligrosos son las cintas magnticas que al quemarse, producen gases txicos y el papel carbn que es altamente inflamable. Tomando en cuenta lo anterior se elaboro el siguiente cuestionario: 1. Se han adoptado medidas de seguridad en el departamento de sistemas de informacin? SI ( ) NO ( ) 2. Existen una persona responsable de la seguridad? SI ( ) NO ( ) 3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO ( ) 4. Existe personal de vigilancia en la institucin? SI ( ) NO ( ) 5. La vigilancia se contrata? a) Directamente ( ) b) Por medio de empresas que venden ese servicio ( ) 6. Existe una clara definicin de funciones entre los puestos clave? SI ( ) NO ( ) 7. Se investiga a los vigilantes cuando son contratados directamente? SI ( ) NO ( ) 8. Se controla el trabajo fuera de horario? SI ( ) NO ( ) 9. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas?. SI ( ) NO ( ) 10. Existe vigilancia en el departamento de cmputo las 24 horas? SI ( ) NO ( ) 11. Existe vigilancia a la entrada del departamento de cmputo las 24 horas? a) Vigilante ? ( ) b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? ( ) 12. Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? SI ( ) NO ( ) 13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorizacin? SI ( ) NO ( ) 14. El edificio donde se encuentra la computadora esta situado a salvo de: a) Inundacin? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( )

15. El centro de cmputo tiene salida al exterior al exterior? SI ( ) NO ( ) 16. Describa brevemente la construccin del centro de cmputo, de preferencia proporcionando planos y material con que construido y equipo (muebles, sillas etc.) dentro del centro. 17. Existe control en el acceso a este cuarto? a) Por identificacin personal? ( ) b) Por tarjeta magntica? ( ) c) por claves verbales? ( ) d) Otras? ( ) 18. Son controladas las visitas y demostraciones en el centro de cmputo? SI ( ) NO ( ) 19. Se registra el acceso al departamento de cmputo de personas ajenas a la direccin de informtica? SI ( ) NO ( ) 20. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( ) 21. Existe alarma para a) Detectar fuego(calor o humo) en forma automtica? ( ) b) Avisar en forma manual la presencia del fuego? ( ) c) Detectar una fuga de agua? ( ) d) Detectar magnticos? ( ) e) No existe ( ) 22. Estas alarmas estn a) En el departamento de cmputo? ( ) b) En la cintoteca y discoteca? ( ) 23. Existe alarma para detectar condiciones anormales del ambiente? a) En el departamento de cmputo? ( ) b) En la cntoteca y discoteca? ( ) c) En otros lados ( ) 24. La alarma es perfectamente audible? SI ( ) NO ( ) 25.Esta alarma tambin est conectada a) Al puesto de guardias? ( ) b) A la estacin de Bomberos? ( ) c) A ningn otro lado? ( ) Otro_________________________________________ 26. Existen extintores de fuego a) Manuales? ( ) b) Automticos? ( ) c) No existen ( ) 27. Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( ) 28. Los extintores, manuales o automticos a base de TIPO SI NO a) Agua, ( ) ( )

b) Gas? ( ) ( ) c) Otros ( ) ( ) 29. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( ) 30. Si es que existen extintores automticos son activador por detectores automticos de fuego? SI ( ) NO ( ) 31. Si los extintores automticos son a base de agua Se han tomado medidas para evitar que el agua cause mas dao que el fuego? SI ( ) NO ( ) 32. Si los extintores automticos son a base de gas, Se ha tomado medidas para evitar que el gas cause mas dao que el fuego? SI ( ) NO ( ) 33. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos para que el personal a) Corte la accin de los extintores por tratarse de falsas alarmas? SI ( ) NO ( ) b) Pueda cortar la energa Elctrica SI ( ) NO ( ) c) Pueda abandonar el local sin peligro de intoxicacin SI ( ) NO ( ) d) Es inmediata su accin? SI ( ) NO ( ) 34. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? SI ( ) NO ( ) 35. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una emergencia ocasionado por fuego? SI ( ) NO ( ) 36. El personal ajeno a operacin sabe que hacer en el caso de una emergencia (incendio)? SI ( ) NO ( ) 37. Existe salida de emergencia? SI ( ) NO ( ) 38. Esta puerta solo es posible abrirla: a) Desde el interior ? ( ) b) Desde el exterior ? ( ) c) Ambos Lados ( ) 39. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? SI ( ) NO ( ) 40. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( ) 41. Se ha tomado medidas para minimizar la posibilidad de fuego: a) Evitando artculos inflamables en el departamento de cmputo? ( ) b) Prohibiendo fumar a los operadores en el interior? ( )

c) Vigilando y manteniendo el sistema elctrico? ( ) d) No se ha previsto ( ) 42. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cmputo para evitar daos al equipo? SI ( ) NO ( ) 43. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( ) 44. Se controla el acceso y prstamo en la a) Discoteca? ( ) b) Cintoteca? ( ) c) Programoteca? ( ) 45. Explique la forma como se ha clasificado la informacin vital, esencial, no esencial etc. 46. Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI ( ) NO ( ) 47. Explique la forma en que estn protegidas fsicamente estas copias (bveda, cajas de seguridad etc.) que garantice su integridad en caso de incendio, inundacin, terremotos, etc. 48. Se tienen establecidos procedimientos de actualizacin a estas copias? SI ( ) NO ( ) 49. Indique el nmero de copias que se mantienen, de acuerdo con la forma en que se clasifique la informacin: 0123 50. Existe departamento de auditoria interna en la institucin? SI ( ) NO ( ) 51. Este departamento de auditoria interna conoce todos los aspectos de los sistemas? SI ( ) NO ( ) 52. Que tipos de controles ha propuesto? 53. Se cumplen? SI ( ) NO ( ) 54. Se auditan los sistemas en operacin? SI ( ) NO ( ) 55.Con que frecuencia? a) Cada seis meses ( ) b) Cada ao ( ) c) Otra (especifique) ( ) 56.Cundo se efectan modificaciones a los programas, a iniciativa de quin es? a) Usuario ( ) b) Director de informtica ( ) c) Jefe de anlisis y programacin ( ) d) Programador ( ) e) Otras ( especifique) ________________________________________________ 57.La solicitud de modificaciones a los programas se hacen en forma? a) Oral? ( )

b) Escrita? ( ) En caso de ser escrita solicite formatos, 58.Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados? SI ( ) NO ( ) 59.Existe control estricto en las modificaciones? SI ( ) NO ( ) 60.Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO ( ) 61.Si se tienen terminales conectadas, se ha establecido procedimientos de operacin? SI ( ) NO ( ) 62.Se verifica identificacin: a) De la terminal ( ) b) Del Usuario ( ) c) No se pide identificacin ( ) 63.Se ha establecido que informacin puede ser acezada y por qu persona? SI ( ) NO ( ) 64.Se ha establecido un nmero mximo de violaciones en sucesin para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( ) 65.Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar las tendencias mayores? SI ( ) NO ( ) 66.Existen controles y medidas de seguridad sobre las siguientes operaciones? Cuales son? ( )Recepcin de documentos___________________________________________ ( )Informacin Confidencial____________________________________________ ( )Captacin de documentos____________________________________________ ( )Cmputo Electrnico_______________________________________________ ( )Programas_______________________________________________________ ( )Discotecas y Cintotecas_____________________________________________ ( )Documentos de Salida______________________________________________ ( )Archivos Magnticos_______________________________________________ ( )Operacin del equipo de computacin__________________________________ ( )En cuanto al acceso de personal_______________________________________ ( )Identificacin del personal___________________________________________ ( )Policia___________________________________________________________ ( )Seguros contra robo e incendio_______________________________________ ( )Cajas de seguridad_________________________________________________ ( )Otras (especifique)_________________________________________________ SEGURIDAD EN LA UTILIZACIN DEL EQUIPO

En la actualidad los programas y los equipos son altamente sofisticados y slo algunas personas dentro del centro de cmputo conocen al detalle el diseo, lo que puede provocar que puedan producir algn deterioro a los sistemas si no se toman las siguientes medidas: 1) Se debe restringir el acceso a los programas y a los archivos. 2) Los operadores deben trabajar con poca supervisin y sin la participacin de los programadores, y no deben modificar los programas ni los archivos. 3) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. 4) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales. 5) Se deben realizar peridicamente una verificacin fsica del uso de terminales y de los reportes obtenidos. 6) Se deben monitorear peridicamente el uso que se le est dando a las terminales. 7) Se deben hacer auditoras peridicas sobre el rea de operacin y la utilizacin de las terminales. 8) El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto slo se lograr por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseo general del sistema. 9) Deben existir registros que reflejen la transformacin entre las diferentes funciones de un sistema. 10) Debe controlarse la distribucin de las salidas (reportes, cintas, etc.). 11) Se debe guardar copias de los archivos y programas en lugares ajenos al centro de cmputo y en las instalaciones de alta seguridad; por ejemplo: los bancos. 12) Se debe tener un estricto control sobre el acceso fsico a los archivos. 13) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versin. Tambin evitar que el programador ponga nombres que nos signifiquen nada y que sean difciles de identificar, lo que evitar que el programador utilice la computadora para trabajos personales. Otro de los puntos en los que hay que tener seguridad es en el manejo de informacin. Para controlar este tipo de informacin se debe: 1) Cuidar que no se obtengan fotocopias de informacin confidencial sin la debida autorizacin. 2) Slo el personal autorizado debe tener acceso a la informacin confidencial. 3) Controlar los listados tanto de los procesos correctos como aquellos procesos con terminacin incorrecta. 4) Controlar el nmero de copias y la destruccin de la informacin y del papel carbn de los reportes muy confidenciales. El factor ms importante de la eliminacin de riesgos en la programacin es que todos los programas y archivos estn debidamente documentados. El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas, programas, archivos y documentacin necesarios para que pueda funcionar el plan de emergencia.

Equipo, programas y archivos Control de aplicaciones por terminal Definir una estrategia de seguridad de la red y de respaldos Requerimientos fsicos. Estndar de archivos. Auditora interna en el momento del diseo del sistema, su implantacin y puntos de verificacin y control. SEGURIDAD AL RESTAURAR EL EQUIPO En un mundo que depende cada da mas de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falta o siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao causado, lo que permitir recuperar en el menor tiempo posible el proceso perdido. Tambin se debe analizar el impacto futuro en el funcionamiento de la organizacin y prevenir cualquier implicacin negativa. En todas las actividades relacionadas con las ciencias de la computacin, existe un riesgo aceptable, y es necesario analizar y entender estos factores para establecer los procedimientos que permitan analizarlos al mximo y en caso que ocurran, poder reparar el dao y reanudar la operacin lo mas rpidamente posible. En una situacin ideal, se deberan elaborar planes para manejar cualquier contingencia que se presente. Analizando cada aplicacin se deben definir planes de recuperacin y reanudacin, para asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. Las acciones de recuperacin disponibles a nivel operativo pueden ser algunas de las siguientes: En algunos casos es conveniente no realizar ninguna accin y reanudar el proceso. Mediante copias peridicas de los archivos se puede reanudar un proceso a partir de una fecha determinada. El procesamiento anterior complementado con un registro de las transacciones que afectaron a los archivos permitir retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo a partir de l reanudar el proceso. Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de emergencia. Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones. Cualquier procedimiento que se determine que es el adecuado para un caso de emergencia deber ser planeado y probado previamente. Este grupo de emergencia deber tener un conocimiento de los posibles procedimientos que puede utilizar, adems de un conocimiento de las

caractersticas de las aplicaciones, tanto desde el punto tcnico como de su prioridad, el nivel de servicio planeado y su influjo en la operacin de la organizacin. Adems de los procedimientos de recuperacin y reinicio de la informacin, se deben contemplar los procedimientos operativos de los recursos fsicos como hardware y comunicaciones, planeando la utilizacin de equipos que permitan seguir operando en caso de falta de la corriente elctrica, caminos alternos de comunicacin y utilizacin de instalaciones de cmputo similares. Estas y otras medidas de recuperacin y reinicio debern ser planeadas y probadas previamente como en el caso de la informacin. El objetivo del siguiente cuestionario es evaluar los procedimientos de restauracin y repeticin de procesos en el sistema de cmputo. 1) Existen procedimientos relativos a la restauracin y repeticin de procesos en el sistema de cmputo? SI ( ) NO ( ) 2) Enuncie los procedimientos mencionados en el inciso anterior? 3) Cuentan los operadores con alguna documentacin en donde se guarden las instrucciones actualizadas para el manejo de restauraciones? SI ( ) NO ( ) En el momento que se hacen cambios o correcciones a los programas y/o archivos se deben tener las siguientes precauciones: 1) Las correcciones de programas deben ser debidamente autorizadas y probadas. Con esto se busca evitar que se cambien por nueva versin que antes no ha sido perfectamente probada y actualizada. 2) Los nuevos sistemas deben estar adecuadamente documentos y probados. 3) Los errores corregidos deben estar adecuadamente documentados y las correcciones autorizadas y verificadas. Los archivos de nuevos registros o correcciones ya existentes deben estar documentados y verificados antes de obtener reportes. PROCEDIMIENTOS DE RESPALDO EN CASO DE DESASTRE Se debe establecer en cada direccin de informtica un plan de emergencia el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimiento como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo. El sistema debe ser probado y utilizado en condiciones anormales, para que en cas de usarse en situaciones de emergencia, se tenga la seguridad que funcionar. La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se ha de utilizar respaldos. Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el respaldo, en efecto, aunque el equipo de cmputo sea aparentemente el mismo, puede haber diferencias en la configuracin, el sistema operativo, en disco etc. El plan de emergencia una vez aprobado, se distribuye entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direccin de informtica.

 o o o o o

En virtud de la informacin que contiene el plan de emergencia, se considerar como confidencial o de acceso restringido. La elaboracin del plan y de los componentes puede hacerse en forma independiente de acuerdo con los requerimientos de emergencia, La estructura del plan debe ser tal que facilite su actualizacin. Para la preparacin del plan se seleccionar el personal que realice las actividades claves del plan. El grupo de recuperacin en caso de emergencia debe estar integrado por personal de administracin de la direccin de informtica, debe tener tareas especficas como la operacin del equipo de respaldo, la interfaz administrativa. Los desastres que pueden suceder podemos clasificar as: a) Completa destruccin del centro de cmputo, b) Destruccin parcial del centro de cmputo, c) Destruccin o mal funcionamiento de los equipos auxiliares del centro de cmputo (electricidad, aire, acondicionado, etc.) d) Destruccin parcial o total de los equipos descentralizados e) Prdida total o parcial de informacin, manuales o documentacin f) Prdida del personal clave g) Huelga o problemas laborales. El plan en caso de desastre debe incluir: La documentacin de programacin y de operacin. Los equipos: El equipo completo El ambiente de los equipos Datos y archivos Papelera y equipo accesorio Sistemas (sistemas operativos, bases de datos, programas). El plan en caso de desastre debe considerar todos los puntos por separado y en forma integral como sistema. La documentacin estar en todo momento tan actualizada como sea posible, ya que en muchas ocasiones no se tienen actualizadas las ltimas modificaciones y eso provoca que el plan de emergencia no pueda ser utilizado. Cuando el plan sea requerido debido a una emergencia, el grupo deber: Asegurarse de que todos los miembros sean notificados, informar al director de informtica, Cuantificar el dao o prdida del equipo, archivos y documentos para definir que parte del plan debe ser activada. Determinar el estado de todos los sistemas en proceso, Notificar a los proveedores del equipo cual fue el dao,

 o o

Establecer la estrategia para llevar a cabo las operaciones de emergencias tomando en cuenta: Elaboracin de una lista con los mtodos disponibles para realizar la recuperacin Sealamiento de la posibilidad de alternar los procedimientos de operacin (por ejemplo, cambios en los dispositivos, sustituciones de procesos en lnea por procesos en lote). Sealamiento de las necesidades para armar y transportar al lugar de respaldo todos los archivos, programas, etc., que se requieren. Estimacin de las necesidades de tiempo de las computadoras para un periodo largo.

o o o o

Cuando ocurra la emergencia, se deber reducir la carga de procesos, analizando alternativas como: Posponer las aplicaciones de prioridad ms baja, Cambiar la frecuencia del proceso de trabajos. Suspender las aplicaciones en desarrollo. Por otro lado, se debe establecer una coordinacin estrecha con el personal de seguridad a fin de proteger la informacin. Respecto a la configuracin del equipo hay que tener toda la informacin correspondiente al hardware y software del equipo propio y del respaldo. Debern tenerse todas las especificaciones de los servicios auxiliares tales como energa elctrica, aire acondicionado, etc. a fin de contar con servicios de respaldo adecuados y reducir al mnimo las restricciones de procesos, se debern tomar en cuenta las siguientes consideraciones: Mnimo de memoria principal requerida y el equipo perifrico que permita procesar las aplicaciones esenciales. Se debe tener documentados los cambios de software. En caso de respaldo en otras instituciones, previamente se deber conocer el tiempo de computadora disponible. Es conveniente incluir en el acuerdo de soporte recproco los siguientes puntos: Configuracin de equipos. Configuracin de equipos de captacin de datos. Sistemas operativos.

Configuracin 2.4. EVALUACIN

de

equipos

perifricos.

Evaluaciones internas que incluyan: Revisiones continuas del desempeo de la actividad de auditora interna, y revisiones peridicas mediante: - autoevaluacin o, - mediante otras personas dentro de la organizacin; - con conocimiento de las prcticas de auditora interna y de las Normas. Evaluaciones externas, consistentes de:

Revisiones de aseguramiento de calidad - al menos una vez cada cinco aos - por revisores calificados e independientes; - proveniente de fuera de la organizacin. Como podemos ayudarle Realizamos evaluaciones del departamento de auditora interna, tal como lo requieren las Normas Internacionales de Auditora Interna, comparando la ejecucin de su funcin de auditora interna versus lo que exigen dichas Normas, identificando las brechas y los incumplimientos, as como las oportunidades de mejora para la optimizacin de su departamento de auditora interna, en cuanto a: Independencia

Estatus Organizacional Objetividad Habilidades profesionales

Personal Conocimientos, habilidades y disciplinas Supervisin Cumplimiento con estndares de conducta Relaciones humanas y comunicaciones Educacin continua Debido cuidado profesional Alcance del trabajo

Confiabilidad e integridad de la informacin Cumplimiento con polticas, planes, procedimientos, leyes y regulaciones Salvaguarda de activos Uso econmico y eficiente de los recursos Cumplimiento de objetivos establecidos y metas de operaciones o programas

Administracin

Propsito, autoridad y responsabilidad Planificacin Evaluacin de riesgos Plan de auditora Polticas y procedimientos Papeles de trabajo Administracin y desarrollo de personal Auditores externos Garanta de calidad Mtricas de desempeo Comunicacin

Informe de auditora Seguimiento de hallazgos Trato al personal auditado Relaciones con el comit y la alta gerencia Manejo de conflictos