Organización General Del Servicio Informático

Capítulo 2
La organización
general del servicio
informático
2.1 LA ESTRUCTURA DEL SERVICIO

INFORMÁTICO
• P. ¿Existe un organigrama escrito del departamento de

informática?
Aunque el organigrama escrito pueda parecer superfluo e incluso acon-
gojante en las estructuras pequeñas, se impone desde el momento que el per-
sonal supera una decena de personas.
Copyright © 2009. Marcombo. All rights reserved.
Encontraremos en la figura 1 una estructura tipo de servicio informá-

tico y, en el recuadro que hay a continuación, una sucinta descripción de las
principales funciones extraída de la obra Les techniques de l’ organisation
informatique.
El auditor comprobará, por supuesto, que el organigrama que le es dado
está al día y cubre el conjunto de las funciones necesarias para la buena mar-
cha del servicio.
Además, las fichas de definición de función son deseables, en particular
para ciertos puestos funcionales como: responsables de métodos, adminis-
tradores de datos, responsables de la seguridad, etc. El análisis de estas fi-
chas permitirá algunas veces descubrir que determinadas funciones no están
cubiertas.
La organización general del servicio informático 29

Derrien, Yann. <i>Técnicas de la auditoría informática</i>, Marcombo, 2009. ProQuest Ebook Central,
http://ebookcentral.proquest.com/lib/unadsp/detail.action?docID=3176647.
Created from unadsp on 2019-08-23 19:50:42.
Figura 1. Modelo de estructura de un servicio de informática.
30 Técnicas de la auditoría informática
A. LAS FUNCIONES PRINCIPALES EN EL SENO
DE UN SERVICIO DE INFORMÁTICA
a) La función de estudios
La función de estudios representa el conjunto del personal informático
dedicado al desarrollo de nuevas aplicaciones y al mantenimiento de las mis-
mas.
Estas aplicaciones serán utilizadas a continuación por el personal de pro-
ducción. Para fijar bien las ideas, tomemos por ejemplo la aplicación de un
nuevo sistema de gestión de pedidos y facturación, decidida por la Dirección
general. El Director de informática confía este trabajo al responsable de estu-
dios, quien constituye un equipo bajo la responsabilidad de un jefe de pro-
yecto. Este equipo escribe y prueba los programas (utilizando los lenguajes de
tipo COBOL, GAP, o lenguajes más evolucionados conocidos como de cuarta
generación), y posteriormente el usuario valida la aplicación gracias a un jue-
go de prueba. Solamente después de este juego de prueba es cuando los pro-
gramas son puestos en marcha y, por lo tanto, realmente utilizados bajo el
control del personal de producción. El personal de estudios no tendrá ya que
intervenir excepto para las operaciones de mantenimiento, es decir, para las
operaciones de modificación de las funciones de los programas. Volveremos
después sobre los métodos de puesta en marcha y de mantenimiento de las
aplicaciones.
El responsable de estudios tiene, por lo tanto, el control del conjunto de
las operaciones de desarrollo y de mantenimiento del software. Está asistido
en sus funciones por varios jefes de proyecto responsables de uno o varios
proyectos.
El jefe de proyecto dirige un equipo que puede estar constituido:
— por analistas;
— por analistas-programadores;
— por programadores.
b) La función de producción
Hace algunos años esta función era a menudo llamada explotación. Hoy
día, el término de producción consagra definitivamente el paso de la informá-
tica de la era «artesanal» a la era «industrial».
En efecto, la organización de la producción ha evolucionado profunda-
mente en pocos años, principalmente gracias al perfeccionamiento de los ma-
teriales y del software básicos. Al mismo tiempo, la cualificación del personal

de producción ha subido considerablemente.
Para delimitar mejor lo que hoy día es la producción en un centro de tra-
tamiento, partimos de la situación existente hace algunos años (y que hoy día
algunas veces aún existe), para después entretenernos con las evoluciones más
recientes.
Los preparadores: son los que han procedido a poner en marcha, y pos-
teriormente en producción, las aplicaciones desarrolladas por el personal de
estudio.
En efecto, los programas desarrollados por el personal de estudio han es-
tado en un entorno de prueba, utilizando en particular ficheros o bases de da-
tos de test. La aplicación de estos programas necesita, por lo tanto, una modifi-
cación de los procedimientos por medio del JCL (Job Control Language, o sea,
del lenguaje de comando del ordenador), lo que permite relacionar el progra-
ma con su entorno exterior.2 En particular, en el caso de cadenas de trata-
miento en tiempo diferido, los preparadores podrán proceder a una verdade-
ra optimización del procedimiento. A título de ejemplo, si el jefe de proyecto
hubiese previsto conservar en el disco duro un fichero destinado exclusiva-
mente a fines de salvaguarda, el preparador lo podrá copiar en cinta magnéti-
ca para reducir el espacio de disco consumido por la aplicación. En otras pa-
labras y para simplificar las cosas, se puede considerar que el preparador ha-
ce pasar la aplicación a «tamaño real».
Más tarde, cuando una aplicación se encuentre en producción, será el pre-
parador quien asegurará el conjunto de parámetros y el arranque suminis-
trando todas las consignas necesarias a los operadores y, por consiguiente, al
ordenador.
Los preparadores están, por lo general, agrupados en equipos de trabajo,
cada equipo con la responsabilidad de un conjunto de aplicaciones.
Por ejemplo: un primer equipo se encarga de todos los procesos relaciona-
dos con la gestión de producción, otro se encarga de todos los tratamientos de
tipo contable y el tercero se ocupa sólo de las aplicaciones de gestión
comercial.
Los teclistas son las personas que están en relación directa con el ordena-
dor por medio de su consola. Ellos ponen en marcha la máquina, la paran, la
vuelven a poner en marcha en caso de avería. Ponen en práctica la ejecución
de las cadenas partiendo de los procedimientos que fueron introducidos a la
espera de tratamiento por los preparadores, luego, aseguran eventualmente
ciertas intervenciones manuales que figuran en las consignas dejadas por los
mismos preparadores (incluso en caso de incidente). Algunas veces los teclistas
son auxiliados por los operadores en los trabajos más corrientes, tales como la
colocación y retirada de cintas magnéticas en las bobinadoras, colocación de
papel en las impresoras, etc.
Los teclistas están organizados en equipos para así asegurar una utiliza-
ción continua de los ordenadores. Algunas veces 24 horas al día. Por lo gene-
ral están especializados en una máquina. Los equipos de teclistas están algunas
veces bajo la responsabilidad de un jefe de sala.
La célula de control tiene como objetivo el control de los resultados de los
tratamientos en tiempo diferido antes de la distribución a los servicios de
2. Veremos a continuación un ejemplo simplificado intencionadamente con fines pedagó-

gicos de un JCL de lanzamiento del programa FACT que lee en forma de secuencia el fi-
chero de los pedidos para la emisión de facturas.
II JOB EDIFACT Nombre de la tarea a ejecutar
II OPTION LOG, PARTDUMP Opciones de ejecución
II ASSIGNSYS001, DISK,VOL=SYSWK1,SHR Relación entre los ficheros lógi-
cos descritos en el programa y fi-
cheros físicos en disco.
II DLBL FILE, FACTURE
II EXEC FACT Lanzamiento de la ejecución del programa
0292 Parámetro de ejecución

usuarios de los listados correspondientes. La célula de control debe tener de
este modo los «códigos» que permitan detectar eventuales anomalías de uso.
El gestor del archivo de cintas asegura la gestión física del parque de cin-
tas magnéticas necesarias para las operaciones de salvaguarda.
El crecimiento excepcional de las capacidades de almacenaje en disco
magnético en el curso de los últimos años ha conducido algunas veces a bajar
la guardia en la vigilancia del espacio disco. La gestión del espacio disco re-
presenta una función importante en los grandes centros de proceso. El gestor,
por supuesto, cuenta con la ayuda de sistemas de herramientas cada vez más
eficaces, que permiten una gran automatización de esta función.
La gestión de la red representa igualmente una función nueva e importan-
te. En efecto, las configuraciones informáticas actuales recurren, en gran par-
te, a las técnicas de transmisión de datos directamente o a distancia, utilizan-
do, en el segundo caso, conexiones telefónicas especializadas, la red telefónica
conmutada o también las redes especializadas. Además de la necesidad de uti-
lizar el software especializado, cuya implantación es por lo general confiada al
personal de sistema, esta evolución contribuyó a crear las funciones de gesto-
res de red, que garantizan el seguimiento continuo de la misma, por medio de
contacto telefónico con los usuarios,3 implantación de nuevos terminales,
diagnóstico de las paradas de sistema más comunes (corte en la red, incidente
en la unidad central, terminal desconectado, etc.).
Sólo los trabajos de manutención (desconexión, guillotinado, encuader-
nación, etc.) ocupan a menudo varias personas en los grandes centros infor-
máticos.
Por último, el departamento de registro, bajo la responsabilidad de una
monitor a, agrupa el personal encargado de la toma del caudal de documentos,
muy a menudo bajo la forma de una doble toma (asegurada por las perfora-
doras-verificadoras). Como es sabido, esta función se ha reducido considera-
blemente en el curso de los últimos años por el hecho de la aplicación progre-
siva de procedimientos de registro interactivo por los propios usuarios. En al-
gunos casos específicos, sin embargo, el registro masivo encuentra todavía su
razón de ser.
Después de este recuento de las principales funciones propias de la pro-
ducción informática, conviene aportar un cierto número de complementos re-
lacionados con la evolución reciente de esta actividad.
• Teniendo en cuenta el desarrollo de los sistemas de explotación y en
particular del número de aplicaciones que pueden ser ejecutadas simultánea-
mente en una misma máquina (multiproceso), el teclista ya no puede conocer

las especificaciones de estas aplicaciones ni tampoco velar por las operaciones
propias de éstas. Él es el garante del buen funcionamiento del ordenador, pe-
ro no del buen funcionamiento de las aplicaciones utilizadas por este ordena-
dor. Al igual que un fabricante de televisores, que es el garante de la calidad
técnica del aparato, pero no de la calidad de las emisiones. Además, la apari-
ción de los grandes sistemas de programas ha permitido automatizar un nú-
mero importante de órdenes de tecleado y reducir otro tanto la carga de los te-
clistas, los cuales, la mayoría de las veces, sólo procesan las intervenciones
más delicadas. En lo que concierne a la función del operador, ésta debería
3. Se habla a menudo de hot Une.
desaparecer progresivamente, sólo con la sustitución de las cintas magnéticas
por cuya manipulación es totalmente automatizada.
• Simultáneamente, gracias a la evolución de los sistemas de explotación,
es posible prever una automatización cada vez más estimulada por las cadenas
de proceso y por los procedimientos de reanudación en caso de incidente. Par-
tiendo de este hecho, se tiende a sustituir la noción de preparador por la de
responsable de producción de aplicación, teniendo cono funciones:
— La puesta en explotación de las nuevas cadenas de proceso y optimiza-
ción de la utilización de los recursos.
—Su preparación y su arranque con periodicidad ad hoc.
— El control de su buena ejecución.
— Las relaciones con los usuarios.
El responsable de producción de aplicaciones (o analista de aplicaciones)
cuenta además desde ahora con instrumentos informatizados para la prepa-
ración y control de explotación.
• El papel de la célula de control tiene tendencia a reducirse.
En efecto, las anomalías que tiene a su cargo descubrir tienen su origen:
— ya sea en errores de explotación, que pueden ser detectados por el
propio analista de explotación al recibir los informes de explotación
producidos por la máquina;
— o bien, en anomalías funcionales, las cuales también son detectadas
con mucha eficacia por los propios servicios de usuarios.
c) Las funciones de sistemas

El software básico puesto a disposición de los informáticos es cada vez más
numeroso. Los sistemas de explotación, compiladores, monitores de telepro-
ceso, software de protección de acceso, sistema de gestión de base de datos,
diccionarios de datos, gestor de red, gestor de espacio disco, gestor de archivo
de cintas, etc., son solamente algunos ejemplos entre tantos.
El papel de los ingenieros de sistemas es elegir el software que mejor se
adapte a las necesidades de su empresa, implantarlos, regular sus parámetros
y, quizás lo más delicado, conseguir que cohabiten de forma armoniosa.
d) Las junciones técnicas

Estas funciones no han aparecido en la mayoría de los centros informáti-
cos hasta el último decenio.
Citaremos a título de información las funciones en este área:
— Responsable de la microinformática.
— Responsable del infocentro (puesta a disposición de los usuarios de
lenguajes de interrogación simples).
— Responsable de los métodos.
— Responsable de la seguridad.
— Responsable de las bases de datos.
— Responsable de las redes.
En los centros importantes, estas funciones están a veces agrupadas en el
seno de una dirección técnica.
2.2 LA PLANJFICACIÓN DE LA ACTIVIDAD
INFORMÁTICA
• P. ¿Existe un comité informático, responsable de las principales

decisiones estratégicas?
Con frecuencia, la Dirección general de la empresa delega a la Dirección
de informática la definición de la política a llevar a cabo. Esta delegación es
evidentemente peligrosa en la medida de que el personal informático tiene la
tendencia a favorecer a sus propios criterios en la elaboración de las orienta-
ciones estratégicas.
De este modo, las elecciones de equipamiento corren el riesgo de ser lle-
vadas a cabo tanto en función del interés técnico de la maquinaria como en
función de sus cualidades intrínsecas. Igualmente, las prioridades en materia
de desarrollo de los programas podrían estar influenciadas por la calidad de
las relaciones de la informática con los diferentes Directores de la empresa,
o incluso por el carácter más o menos innovador de la aplicación a ser conce-
bida, tanto como por la importancia que ésta representa para la empresa.
Incluso con un equipo de personal informático totalmente integrado y ob-
jetivo, no es bueno que éste asuma la responsabilidad de arbitrajes entre
servicios que puedan, con el tiempo, transformarse en fuente de relaciones
conflictivas.
Por lo tanto, es esencial que las decisiones estratégicas sean llevadas a
cabo por la Dirección general. El comité de informática, compuesto por re-
presentantes de la Dirección general, por responsables de cada Dirección de
la empresa, y por los principales responsables de la Dirección de informá-
tica, es, por lo general, la instancia más apropiada para asumir esta decisión.
Tendrá a su cargo, por ejemplo, la elaboración o la aprobación del plan infor-
mático, tanto equipos como software, los presupuestos, la definición de prio-
ridades a corto plazo, el arbitraje de los conflictos eventuales y el segui-
miento de la calidad del servicio producido.
• P. ¿Hay un plan informático?

El plan informático tiene como objetivo anticipar las principales evolu-
ciones de la actividad informática, tales como: equipos, programas básicos,
progamas de aplicaciones, recursos humanos.
La elaboración del plan informático es, no obstante, un ejercicio peli-
groso, teniendo en cuenta la rapidez de la evolución tecnológica. Así pues,
¿cómo se pueden prever los equipos que serán implantados en una empresa
en un plazo de 24 meses, cuando los propios fabricantes desconocen lo que
será su política comercial en este plazo, o por lo menos no la han revelado
todavía al público?
De forma análoga, las prioridades de desarrollo de aplicaciones pueden
ser cuestionadas por varias razones, como por ejemplo: evolución de la polí-
tica comercial, situación de la competencia, modificación de la legislación
vigente, etc.
Un plan informático demasiado detallado está, por lo tanto, desgraciada-
mente condenado a una rápida obsolescencia. Por el contrario, un plan de-
masiado impreciso no necesitará ser cuestionado, pero no tendrá ninguna
utilidad.
Estos argumentos no deben conducir al rechazo de toda planificación.
Tienen más como finalidad sacar a la luz la necesidad de un cuestionamiento
permanente de los planes. El auditor sacará sus conclusiones sin resaltar el
desacato al plan, por lo menos cuando las evoluciones han sido aprobadas
por la Dirección general.
2.3 EL SEGUIMIENTO DE COSTES
• P. ¿Hay un presupuesto informático?

Más allá de la simple existencia de un presupuesto, el auditor se dedicará
a su contenido, el cual puede ser muy variable de una empresa a otra.
Se encontrará, entre otras cosas, los encabezamientos de capítulo si-
guientes: equipos, programas básicos, programas de aplicación, remunera-
ciones, telecomunicaciones, materiales consumibles (papeles, etc.).
• P. ¿Se justifican sistemáticamente los incrementos de costes?

Un crecimiento importante en los presupuestos de informática no deben
ser criticados a priori. Puede corresponder a necesidades reales, tales como:

introducción de una aplicación importante, evolución hacia un software más
asequible. Pero, a la inversa, los presupuestos deben estar justificados y, si
fuere necesario, ser objeto de arbitrajes por parte de la Dirección general en
función de las prioridades que contenga.
• P. ¿Hay un seguimiento de la actividad del personal de informática?

Cuando, en un centro pequeño, le compete al responsable de informática
controlar la actividad de sus colaboradores, este seguimiento, sin las herra-
mientas apropiadas, se hace rápidamente imposible a partir del momento
que aumenta la magnitud del servicio.
Así, en ausencia de un procedimiento serio de seguimiento de la activi-
dad, las informaciones tan importantes como el coste de cada proyecto o la
distribución en el seno del servicio entre las actividades de desarrollo y de
mantenimiento, serán mal identificadas.
El argumento frecuentemente evocado por los responsables de informá-
tica para rechazar un seguimiento de este estilo, a saber, el riesgo de rechazo
por su personal de procedimientos demasiado apremiantes, incluso cuando
no debe ser subestimado, es que no pueden resistir una constatación simple
del tipo: ¿Cómo y por qué la informática se ha transformado en la única acti-
vidad que no se preocupa de sus precios de coste?
• P. ¿Se facturan los costes de la informática a los servicios de

usuarios?
La respuesta a esta pregunta sólo puede ser analizada en el contexto más
general del control de gestión en el seno de la empresa.
La falta de facturación de costes encuentra a veces su justificación en la
voluntad de «promover» la informática. Esta «promoción», no obstante, a
priori será limitada en el tiempo.
Cuando hay refacturación, ésta incluirá habitualmente una separación
entre:
— Los costes de desarrollo.

— Los costes de mantenimiento.
— Los costes de explotación.
• P. ¿Hay en el seno del servicio de informática una función

de auditor de gestión?
Curiosamente, la Dirección de informática ha sido una de las últimas di-
recciones de la empresa en preocuparse por controlar sus costes. Con fre-

cuencia, la informática ha vivido en el axioma de que todo crecimiento de su
presupuesto contribuía a la automatización de sus usuarios y, por lo tanto, a
una reducción global de los gastos generales de la empresa. Este principio,
que ha justificado a menudo incrementos de presupuesto considerables, es
frecuentemente rebatido por la realidad. Los desarrollos inútiles o lujosos,
las dificultades sociales que impiden cualquier reducción de los efectivos, la
inadaptación de la organización, son algunos de los factores que limitan las
reducciones posibles de gastos generales.
Hoy día, la mayoría de las empresas ha comprendido que el control de los
gastos generales pasa también, entre otras cosas, por un control de los gastos
de informática, justificando así la creación de una función de auditor de ges-
tión en el seno de esta dirección para los grandes centros, o por lo menos el
seguimiento por parte del auditor de gestión de los costes de informática al
igual que los otros costes.
2.4 LAS PRÁCTICAS CONTABLES Y FINANCIERAS
• P. La elección del modo de financiación de los equipos, ¿es

económicamente satisfactoria?
La elección del modo de financiación (compra, leasing) debe ser objeto
de un estudio que observe, de acuerdo con las condiciones del mercado del
momento, las posibilidades financieras de la empresa y la duración previsi-
ble de la utilización del equipo.
• P. ¿Son coherentes los períodos de amortización elegidos para los

equipos y, en su caso, para el software, con su período de utili-
zación previsible?
Los equipos y programas adquiridos se amortizan en su período probable
de utilización.
Los períodos de amortización demasiado largos son con el tiempo gene-
radores de pérdidas excepcionales.
A título de ejemplo, podemos prever un período de amortización de:
— Tres años para los microordenadores.

— Cinco años para otros equipos.
— Cinco años para los programas, salvo aquellos que están relacionados
con los equipos, que se amortizan en el mismo tiempo que éstos.
Los gastos de desarrollo interno de software específico son la mayoría

de las veces imputados por prudencia. Sin embargo, se notará que, bajo re-
serva de que se cumplan ciertas condiciones, dicho software debe ser in-
movilizado y amortizado en el período probable de utilización de los
programas.4
4. Para más exactitud sobre los principios contables, ver Les techniques de l'organisation informatique,
Dunod, 1991.
2.5 LAS RELACIONES CON LOS SERVICIOS
DE USUARIOS
• P. ¿Hay un seguimiento de la calidad del servicio prestado?

Los instrumentos de medición simples dan una primera estimación de
esta calidad de servicio:
— Disponibilidad de la unidad central.

— Disponibilidad del teleproceso (incluso disponibilidad de las líneas
mismas).
— Tiempo de respuesta medio de las transacciones.
— Frecuencia de los incidentes por aplicación.
Por otro lado, las herramientas de seguimiento permiten optimizar la con-

figuración y, en su caso, anticipar las evoluciones de éstas antes de que se re-
gistre una degradación de las actuaciones. Se trata, por ejemplo, de los ins-
trumentos de medida de la carga de la unidad central de la tasa de ocupación
de los discos.
• P. ¿Está previsto en el servicio de usuarios una Junción de

corresponsal informático?
El corresponsal informático es, en cada servicio, la interfaz con los infor-
máticos. El interés de esta función es innegable. En efecto, el corresponsal
informático dispone, además de un buen conocimiento de la actividad de su
servicio, de una buena cultura general informática que le permite a la vez
aconsejar eficazmente a los usuarios y llevar apropiadamente los procesos
de mantenimiento que emanan de su servicio.
En ausencia de esta función, es de temer que no tardarán mucho en llegar
al servicio de informática peticiones contradictorias.
• P. ¿Se tienen en cuenta en el diseño de nuevas aplicaciones los

problemas relacionados con la organización de los servicios de
usuarios y con la adecuación de los procedimientos
administrativos ?
Se pueden considerar varias soluciones para dar respuesta a este objetivo:
— Creación de una estructura de organizadores dependientes del responsa-

ble de informática.
— Creación de una dirección de la organización dependiente de la dirección
general.
— Reclutamiento de jefes de proyectos de alto nivel capaces de asumir
igualmente la función de organizador (esta última solución es, no obs-
tante, cada vez mas difícil de aplicar teniendo en cuenta la dicotomía en-
tre las competencias técnicas, cada vez más elevadas, exigidas a los jefes
de proyecto, y las competencias específicas inherentes a la función de or-
ganizador).
2.6 LA SEPARACIÓN DE FUNCIONES
• P. ¿Hay en la organización del servicio informático una

separación entre las funciones de estudios y las de explotación?
Los principios de un buen control interno conducen a que sean separadas
las funciones:
— de los usuarios;
— del personal de estudios;
— del personal de explotación.
• Los usuarios
Tienen acceso a las transacciones para las cuales han sido habilitados. En
cambio, no deben tener ninguna otra posibilidad de actualizar los ficheros de
explotación.
• El personal de estudios
Desarrolla y prueba los nuevos programas en un entorno de prueba dedi-
cado a este fin, después solicita la puesta en explotación. En cambio, una vez
en explotación, no tiene acceso por ningún medio a los ficheros.
De este modo:
— No conoce la palabra clave de los usuarios de la aplicación que él mismo

ha desarrollado.
— No tiene acceso ni a los ficheros ni a la biblioteca de programas en ex-
plotación.
— No pone él mismo en explotación los programas que ha desarrollado.
• El personal de explotación
Es responsable de la puesta en explotación y de la producción de los pro-
gramas desarrollados por el personal de estudios. En cambio, no debe, bajo
ningún concepto, desarrollar o actualizar él mismo tales programas.
* * *
Los medios para conseguir una buena separación de las funciones son va-
rios y volveremos a hablar de los mismos más adelante de forma más deta-
llada.
Citemos a modo de ejemplo:
— El control de acceso de los usuarios al entorno informático (palabras

clave, cartas de memoria, etc.).
— La limitación de acceso a los locales. De este modo, el acceso a los
locales que abrigan los despachos y puestos de trabajo de los titulares
de ciertas funciones sensibles (ingenieros de sistemas, teclistas, etc.)
será estrictamente reglamentado y, la mayoría de las veces, el perso-
nal de estudios no tendrá acceso a los locales ocupados por el per-
sonal de explotación.
2.7 EL CONTROL DE LA ACTIVIDAD
• P. ¿Se efectúan regularmente misiones de auditoría de la

actividad informática?
Como hemos aclarado en la primera parte de la obra, un control de la acti-
vidad informática puede cubrir diferentes aspectos, tales como:
— Control de seguridad o control de las actuaciones.

— Control del entorno informático o control de una aplicación particular.
Este control puede, además, ser llevado a cabo a diferentes niveles. En

efecto, podrá ser efectuado dentro del servicio informático (por ejemplo, por
un responsable de seguridad); o bien fuera del servicio informático pero den-
tro de la empresa (generalmente por la Dirección de la auditoría); o, por úl-
timo, fuera de la empresa (contrato de servicio).
Por lo general, el auditor se ocupará de la frecuencia de las auditorías rea-
lizadas anteriormente y, por supuesto, de las conclusiones de las mismas.
2.8 EL ENTORNO SOCIAL
• P. ¿Es coherente la tasa de rotación del personal informático?

Un primer indicador «social» es, por supuesto, el turn-over del servicio.
Una rotación muy importante o una rotación muy escasa están encaminadas
a dañar la calidad del servicio prestado. Los inconvenientes de la primera
opción, la cual de alguna forma es la enfermedad crónica de la informática,
son evidentes: poco dominio de las aplicaciones por parte de los equipos que
no participaron en su diseño, falta de experiencia, falta de motivación de los
informáticos que tienen tendencia a considerarse como «de paso».
No se deben menospreciar los inconvenientes de una rotación demasiado
escasa de efectivos. Ésta conduce, en efecto, a un envejecimiento de la po-
blación con los riesgos que esto comporta: falta de motivación, disminución
de la competencia técnica y de la capacidad innovadora y costes de presta-
ciones elevados. Es verdad que el problema se parece bastante a la cuadra-
tura del círculo. El informático, más que ningún otro, está considerado como
obsoleto a partir del momento que se acerca a los cuarenta, además por razo-
nes, la mayoría de las veces, de tipo subjetivas. Conociendo el problema, él
mismo evita, a partir de esta edad, todo tipo de movilidad, de donde surge el
riesgo de reducción de competencia.
Muy concretamente, el auditor estará particularmente vigilante ante tasas
de rotación inferiores al 15 % o superiores al 25 %. También hace falta espe-
cificar la gran propensión que tienen las empresas a «cubrir» las estadísticas
en este campo. Así pues, si todas las ESII5 reconocen el problema general de
un gran turn-over en la profesión, cada uno, individualmente, probará con
base estadística que es bastante reducida.
En cualquier caso, la tasa de rotación del personal sólo puede ser anali-
zada en relación con algunas características de la gestión de los recursos hu-
manos que mencionaremos sucintamente a continuación.
• P. ¿Es satisfactoria la política de contratación de personal?

Un turn-over importante tiene algunas veces su origen en los procedi-
mientos de contratación de personal. De este modo, la contratación sistemá-
tica de principiantes implica un riesgo más grande de rotación rápida. De la
misma forma, la contratación de personas super cualificadas conduce a una
rápida puesta en cuestión, por parte de éstas, de su estatuto, pues ahí también
existe una gran probabilidad de salida.
5. Empresas de servicios e ingeniería informática.
Las remuneraciones muy bajas en la contratación o, por el contrario, de-
masiado elevadas son igualmente orígenes de dificultades rápidas.
Además, la validación de la competencia y de la integridad de las perso-
nas contratadas y su adecuación a los puestos propuestos, constituye un
componente esencial de la calidad del procedimiento. Si bien una validación
técnica es a menudo delicada, la empresa no se encuentra totalmente desar-
mada.
• P. ¿La política de remuneración está de acuerdo con las normas

del mercado?
Una política de remuneraciones muy bajas conduce en poco tiempo a un
turn-over elevado. La situación inversa es igualmente peligrosa. Las remu-
neraciones demasiado altas son fuente de inmovilismo, luego de envejeci-
miento de una población cuya edad media es, en principio, baja.
Además, el auditor comprobará que dentro del servicio las remuneracio-
nes sean coherentes entre sí.
• P. ¿Es coherente la cualificación del personal con la función que

ejerce?
Si el exceso de cualificación del personal es fuente de rotación rápida, la
falta de cualificación es todavía más lastimosa, ya que ella induce a un
riesgo, en muy corto espacio de tiempo, de degradación de la calidad del ser-
vicio prestado.
• P. ¿Está controlado el recurso de colaboradores externos?

El recurso de colaboradores externos no debe estar prohibido a priori. En
efecto, ofrece diversas ventajas:
— Permite absorber las sobrecargas temporales de actividad.

— Permite contar con recursos de competencia técnica especial y adquirir
progresivamente estas técnicas.
— Permite, por último, en algunos casos, integrar temporalmente dentro del
personal perfiles «raros», evitando así un recalentamiento de las remune-
raciones.
Sin embargo, la empresa no debe hacerse tributaria de sus colaboradores.

Dentro de esta óptica, y salvo en casos excepcionales y que estén totalmente
justificados:
— Los colaboradores no deberían ocupar puestos que les dieran las respon-
sabilidades jerárquicas dentro del servicio (jefes de proyecto, etc.).
— El número de colaboradores no debería en ningún caso sobrepasar del 20
al 25 % del personal.
• P. ¿Ha habido en el pasado hechos significativos en materia de

gestión de personal?
El auditor se interesará, por ejemplo, por:
— Un número elevado de despidos, y las condiciones de estos despidos.

— Los movimientos sociales (huelgas,...).
• P. ¿El interés técnico de la actividad informática permite una

motivación satisfactoria del personal?
Está claro que el servicio informático no debe definir su actividad «por
amor al arte». Escoger los equipos y el software básico más sofisticados im-
plica no solamente un incremento del coste de los servicios prestados, sino
también, en particular, un riesgo de encontrarse con problemas técnicos, que
los servicios seguramente no sabrán resolver.
De este modo, muchos programadores, aficionados a las bases de datos
interrelacionadas, han tenido que renunciar a esta técnica, cuando ésta estaba
aún en sus principios, debido al tiempo de proceso prohibitivo que impli-
caba. En este caso los propios programadores se han dado cuenta de que no
tenían ninguna necesidad de una base de datos relacionada. Desgraciada-
mente este descubrimiento ya había costado tiempo y dinero a su empresa.
Se comprende entonces que la utilización de las técnicas más sofisticadas,
aunque no estén todavía muy difundidas, deben continuar siendo patrimonio
de los grandes centros de proceso, los cuales disponen de medios y de com-
petencias para remediar dificultades eventuales y que, además son suscepti-
bles de desarrollar aplicaciones experimentales.
En cambio, la implantación de equipos y de software básico poco difun-

didos, o superados técnicamente, al igual que el desarrollo de aplicaciones
basándose en diseños obsoletos, son un factor de desinterés por parte de los
informáticos. ¿Qué jefe de proyecto estaría interesado actualmente en un di-
seño de un software totalmente basado en tiempo diferido («batch»), cuando
incluso el tiempo real estaría efectivamente totalmente injustificado?
Independientemente de las consideraciones de carácter puramente téc-
nico, que justifican por sí solas la evolución de las configuraciones, la Direc-
ción de la empresa pondrá todo su interés en velar por que su informática no
se torne arcaica.
En el caso de configuraciones estereotipadas y pasadas de moda, que al-
gunas veces encuentran su razón de ser (¿por qué refundir las aplicaciones
en los sectores de actividad con pérdida de velocidad y condenarlas a un
abandono progresivo?), deberá entonces anticipar el riesgo de una falta de
motivación progresiva de los equipos de personal informático.
Y lo que es más, una configuración obsoleta conduce a una «obsolescen-
cia» rápida de los hombres mismos, la cual conviene también prevenir.
• P. ¿Es suficiente la formación del personal?

Incluso cuando la formación permanente «en el taller» es una caracterís-
tica principal de la actividad de los informáticos, las formaciones teóricas
ocupan a la par, y con toda razón, una parte importante en el presupuesto de
los recursos humanos de los servicios informáticos.
Una política de formación insuficiente es, en efecto, un factor a la vez de
falta de motivación y de disminución de capacidad del personal.
• P. ¿El contexto general de la empresa es fuente de motivación?

Un sector de actividad en declive o aun una localización geográfica des-
favorable pueden tener consecuencias catastróficas en la contratación y en la
rotación de los informáticos, los cuales, en un mercado dinámico perderán el
interés por las empresas que tengan algún handicap.
He conocido una empresa con estas características, cuya informática era
técnicamente competitiva y actualizada, pero que no podía retener a sus in-
formáticos por la única razón de que estaba situada en un barrio de poco
prestigio y, por lo general, poco asequible para los medios de transportes.
Como última salida, esta empresa se ha orientado hacia el denominado «fa-
cilities management».6
2.9 LAS RELACIONES CON LOS PROVEEDORES
• P. ¿Existe una licitación o concurso para la elección de los sumi-

nistradores de equipos o de software?
El recurso de proveedores externos para un servicio informático puede
distribuirse en tres categorías:
6. «Facilities management» (gestión de servicios) consiste en la subcontratación total o parcial de la acti-

vidad informática (desarrollo y explotación) a un suministrador del servicio externo.
— La adecuación de los equipos frente a los fabricantes (o, según la forma
de financiación, ante las sociedades de leasing).
— La adquisión de software, comercializado por los fabricantes de hard-
ware o, más frecuentemente, por las ESII (Empresas de Servicios e Inge-
niería Informática).
— El recurso a las ESII para la elaboración, en administración o en bajo
contrato, de software específico para la empresa.
Veremos en los cuadros que siguen una lista de comprobación relativa a

estas prestaciones externas.
B. CUESTIONARIO RELATIVO A LA ELECCIÓN DE LOS EQUIPOS
■ El llamado a licitación del equipamiento

— ¿Se lleva a cabo una licitación para la elección del equipamiento que re-
presenta importes significativos (en la medida en que el equipo no va im-
puesto por una estimación preexistente)?
— Incluye: el pliego de condiciones del equipamiento que sirve de soporte a
la licitación
— ¿La descripción de las aplicaciones a procesar?

— ¿Una estimación de los volúmenes presentes y futuros?
— ¿Una lista de las exigencias de explotación, tales como tiempo de res-
puesta, duración de los procesos, procedimientos de reactivación,
confidencialidad, etc.?
— ¿Las fechas de entrega de los equipos a ser respetadas?
— ¿La elección de las prestaciones se halla formalizada y basada en cri-
terios concretos?
* La negociación del contrato

— Prevé el contrato negociado con el proveedor escogido:
— ¿Penalizaciones en caso de retrasos en las entregas?
— ¿Un compromiso sobre la capacidad del equipamiento servido para
procesar las aplicaciones definidas en el pliego de condiciones con los

volúmenes estimados y respetando las exigencias impuestas?
— ¿Un compromiso sobre el tiempo de respuesta del sistema?
— ¿Un compromiso del coste de los incrementos futuros de la configuración?
— ¿Las condiciones del mantenimiento, como costes, modalidades, retra-
so de intervención, etc.?
• Las condiciones de mantenimiento

— ¿Hay un seguimiento cualitativo de los equipos y de su mantenimiento?:
— ¿Media de tiempo de buen funcionamiento (MTBF)?
— ¿Seguimiento de incidentes y averías?
— ¿Rapidez y calidad de las intervenciones de mantenimiento?

- ¿Se ha estimado el coste de mantenimiento de los equipos?
— ¿El plazo de intervención contractual se corresponde con las necesidades?
— ¿Se han estudiado soluciones del tipo «mantenimiento por parte de
terceros»?
— ¿Se renegocian las condiciones regularmente?
C. CUESTIONARIO RELATIVO A LA ELECCIÓN DE PROGRAMAS
- ¿Se redacta un pliego de condiciones previamente a la elección de los pro-

gramas (salvo cuando esto es impuesto por una situación existente con an-
terioridad, como por ejemplo el caso de cierto paquete de software básico
del fabricante)?
- Incluye el pliego de condiciones del programa:
— ¿la descripción de las funciones a procesar?

— ¿los volúmenes a procesar?
— ¿los plazos para el arranque?
— ¿las obligaciones en materia de seguridad?
— ¿los datos básicos que deben ser controlados en los ficheros?
— ¿una descripción de las funciones cuya entrega podría ser solicitada en
una segunda etapa?
- ¿Se estudian y comparan varios programas antes de la elección definitiva?
- Se apoya la elección definitiva sobre:
— ¿la calidad de las propuestas recibidas?

— ¿visitas a compañías que tienen el programa?
— ¿consideraciones generales sobre el proveedor, como: envergadura,
notoriedad, calidad de los interlocutores, etc.?
— ¿las consideraciones concernientes al programa, como: número de re-
ferencias, perennidad previsible, etc.?
— ¿la calidad de la documentación del programa?
- Prevé el contrato firmado con el suministrador del servicio:
— ¿un compromiso por el procesamiento de las aplicaciones previstas en
el pliego de condiciones?
— ¿un compromiso por el procesamiento de los volúmenes previstos en el
pliego de condiciones?
— ¿las penalizaciones, en caso de retraso por parte del colaborador?
— ¿la definición precisa de la asistencia prestada, como: formación, do-

cumentación, asistencia en el arranque, mantenimiento inicial, etc.?
— ¿las condiciones del mantenimiento del programa?
— ¿las condiciones de pago del coste de la prestación?7
- ¿Está previsto que la empresa disponga de los programas fuente?
7. Por lo general, se prevé un calendario de pagos en función del avance de las prestaciones:
— el primer adelanto al efectuar el pedido;
— pago contra entrega de software después de la «factura provisoria», o sea, de la valida-
ción por parte del cliente basándose en un juego de prueba; se retiene un saldo de garantía
hasta «la factura definitiva».
— pago del saldo cuando se emite la «factura definitiva», después de algunos meses de fun-
cionamiento satisfactorio del software.
La organización general del servicio informático

47
Nota: Aun cuando el colaborador conserve la propiedad del programa
fuente, es deseable que la empresa disponga de una copia, en particular cuan-
do la envergadura de la ESII no permita garantizar la perennidad del progra-
ma; además del interés para la empresa de poder modificar ella misma el soft-
ware en caso de fallo de su proveedor. Nos referiremos en este punto a las obli-
gaciones en materia contable y fiscal.
— ¿Está prevista una fase de validación del programa sobre la base de un
juego de prueba en el momento del arranque?
— La utilización posterior del programa:
— ¿Está previsto un seguimiento cualitativo del programa, como: históri-
co de los bugs,8 rapidez del mantenimiento?
— ¿La modificación por la propia empresa misma del software servido por
la ESII se evita en la medida de lo posible (en caso contrario, la ESII no
estará más en condiciones de garantizar el mantenimiento de su pro-
ducto y, además, será difícil implantar las versiones siguientes)?
D. CONVOCATORIA A LAS ESII PARA LA REALIZACIÓN

DEL SOFTWARE ESPECÍFICO SOBRE UNA BASE DE PRECIO ALZADO
Siendo el procedimiento relativamente cercano a los de la elección de un

programa, las preguntas del apartado C son siempre válidas. Sin embargo,
pondremos especial interés en algunos aspectos más «sensibles» en el caso de
un software específico:
— La calidad del pliego de condiciones que sirve de base a la relación con-
tractual y el hecho que ésta defina con suficiente exactitud las funciones a
desarrollar.
— Los medios para asegurar el respeto de los plazos de realización por el su-
ministrador del servicio.
— Los puntos de validación intermedios proyectados, como: análisis funcio-
nal (si no vienen íntegramente detallados en el pliego de condiciones), aná-
lisis técnico detallado, etc.
— La calidad de las modalidades de validación del software antes de su pues-
ta en explotación (generalmente sobre la base de un juego de prueba que
sirve de soporte a la «receta provisoria»).
— El contenido de la documentación entregada.
E. CONVOCATORIA A LAS ESII PARA LA REALIZACIÓN

DEL SOFTWARE ESPECÍFICO EN ADMINISTRACIÓN9
En este caso, la ESII tiene por lo general como única obligación aportar el
personal de estudio (ingenieros, analistas y programadores) que se integrarán
en los equipos de desarrollo que trabajan con los proyectos conducidos por la
empresa misma.
8. Anomalía de programa.
9. El término «en administración» consiste en que la ESII factura su asistencia en función del
tiempo empleado por los colaboradores que ella pone a disposición de su cliente.
El auditor se encargará de algunos aspectos específicos relativos a la par-
ticipación de colaboradores externos a la empresa en el proyecto, tales como:
— Modalidades de elección de las ESII.
— Calidad general de los participantes.
— Nivel de responsabilidad confiado a los colaboradores (éstos, en principio,
deben estar a las órdenes del personal perteneciente a la empresa).
— Respeto por parte de los colaboradores externos de las reglas deontológicas
en materia de confidencialidad de la información.
— Seguimiento específico de la actividad de los colaboradores externos.
— Prohibición de acceso de los colaboradores externos a ciertas funciones
(si fuere necesario).
— Coherencia de las tasas diarias de facturación.

Organización General Del Servicio Informático

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Organización General Del Servicio Informático

Caricato da

Copyright:

Formati disponibili

Capítulo 2

2.1 LA ESTRUCTURA DEL SERVICIO

• P. ¿Existe un organigrama escrito del departamento de

Encontraremos en la figura 1 una estructura tipo de servicio informá-

La organización general del servicio informático 29

Figura 1. Modelo de estructura de un servicio de informática.

30 Técnicas de la auditoría informática

teriales y del software básicos. Al mismo tiempo, la cualificación del personal

La organización general del servicio informático 31

2. Veremos a continuación un ejemplo simplificado intencionadamente con fines pedagó-

32 Técnicas de la auditoría informática

mente en una misma máquina (multiproceso), el teclista ya no puede conocer

La organización general del servicio informático 33

c) Las funciones de sistemas

d) Las junciones técnicas

34 Técnicas de la auditoría informática

• P. ¿Existe un comité informático, responsable de las principales

• P. ¿Hay un plan informático?

La organización general del servicio informático 35

2.3 EL SEGUIMIENTO DE COSTES

• P. ¿Hay un presupuesto informático?

• P. ¿Se justifican sistemáticamente los incrementos de costes?

ser criticados a priori. Puede corresponder a necesidades reales, tales como:

• P. ¿Hay un seguimiento de la actividad del personal de informática?

36 Técnicas de la auditoría informática

• P. ¿Se facturan los costes de la informática a los servicios de

— Los costes de desarrollo.

• P. ¿Hay en el seno del servicio de informática una función

recciones de la empresa en preocuparse por controlar sus costes. Con fre-

La organización general del servicio informático 37

2.4 LAS PRÁCTICAS CONTABLES Y FINANCIERAS

• P. La elección del modo de financiación de los equipos, ¿es

• P. ¿Son coherentes los períodos de amortización elegidos para los

— Tres años para los microordenadores.

Los gastos de desarrollo interno de software específico son la mayoría

38 Técnicas de la auditoría informática

• P. ¿Hay un seguimiento de la calidad del servicio prestado?

— Disponibilidad de la unidad central.

Por otro lado, las herramientas de seguimiento permiten optimizar la con-

• P. ¿Está previsto en el servicio de usuarios una Junción de

• P. ¿Se tienen en cuenta en el diseño de nuevas aplicaciones los

— Creación de una estructura de organizadores dependientes del responsa-

2.6 LA SEPARACIÓN DE FUNCIONES

• P. ¿Hay en la organización del servicio informático una

— No conoce la palabra clave de los usuarios de la aplicación que él mismo

40 Técnicas de la auditoría informática

— El control de acceso de los usuarios al entorno informático (palabras

2.7 EL CONTROL DE LA ACTIVIDAD

• P. ¿Se efectúan regularmente misiones de auditoría de la

— Control de seguridad o control de las actuaciones.

Este control puede, además, ser llevado a cabo a diferentes niveles. En

La organización general del servicio informático 41

• P. ¿Es coherente la tasa de rotación del personal informático?

• P. ¿Es satisfactoria la política de contratación de personal?

5. Empresas de servicios e ingeniería informática.

42 Técnicas de la auditoría informática

• P. ¿La política de remuneración está de acuerdo con las normas

• P. ¿Es coherente la cualificación del personal con la función que

• P. ¿Está controlado el recurso de colaboradores externos?

— Permite absorber las sobrecargas temporales de actividad.

Sin embargo, la empresa no debe hacerse tributaria de sus colaboradores.

La organización general del servicio informático 43

• P. ¿Ha habido en el pasado hechos significativos en materia de