Teoria informatica

5/24/2018 Teoria informatica

1/32

Informtica como herramienta del auditor en la empresa

Definicin del entorno

Dentro de una especialidad tan reciente y expansiva como la llamada auditora informtica, cabe

perfectamente la confusin conceptual tanto entre los diferentes aspectos, reas o enfoques en s

mismos como por la debida a la vertiginosa evolucin que experimenta la especialidad.

Si desmenuzamos el contenido de la auditoria y su evolucin podemos observar que el concepto

permanece inmovible y su objeto y finalidad lo que puede variar.

Tambin parece procedente hacer una alusin especfica a la auditoria como especialidad

profesional, ya que se hace preciso delimitar sus respectivos campos que en ocasiones seconfunden y superponen.

Clases de auditoria

Se consideran dos tipos de auditora: las internas y las externas.

La auditora interna la desarrollan personas que pueden o no depender de la entidad yactan revisando, la mayora de las veces, aspectos que interesan particularmente a la

administracin, aunque pueden efectuar revisiones programadas sobre todos los aspectos

operativos y de registro de la empresa, con el fin de emitir un informe sobre su revisin. La auditora externa, conocida tambin como auditora independiente, la efectan

profesionistas que no dependen de la empresa, ni econmicamente ni bajo cualquier otro

concepto, y a los que se conoce un juicio imparcial merecedor de la confianza de terceros.

El objeto de su trabajo es la emisin de un dictamen. Esta clase de auditora es la actividad

ms caracterstica del Contador Pblico o del Licenciado en Informtica.

Tambin existen otros tipos de auditora como son:

Auditora operacional, se refiere a la revisin de la operacin de una empresa y se juzga laeficiencia de la operacin misma.

Auditora administrativa, se refiere a la organizacin y eficiencia de la estructura delpersonal con que cuenta la empresa y los procesos administrativo s en que acta dicho

personal.

Auditora social, se refiere a la revisin del entorno social en que se ubica y desarrolla unaempresa, con el fin de valorar aspectos externos e internos que infieran en la

productividad de la misma.


2/32

Auditoriaadministrativa

Auditoriaoperacional

Auditoracontable

Auditoriainformtica

NaturalezaTcnica decontroladministrativo

Tcnica decontroladministrativo



Propsito /Objetivo

Evaluar y mejorarla administracin

Promover laeficiencia de lasoperaciones

Dictamen a losestadosfinancieros

Evaluar losrecursosinformticos

Alcance

La eficiencia yproductividad delprocesoproductivo

La eficiencia delas operaciones

El sistemacontable

Todas lasactividadesinformticas

Fundamento

La cienciaadministrativa yla normatividadde la empresa

La cienciaadministrativa yla normatividadde la empresa

Principios decontabilidad ynormas deauditoria

Normatividadinstitucional ylegal

MetodologaApoyado enmtodoscientficos

Tcnicas yprocedimientospredeterminados



AplicacinA la empresa ysus funcionesbsicas

A las funcionesde la empresa

A los estadosfinancieros

A todas las reasde la empresa

Proyeccin Hacia el futuro Hacia el futuro Hacia el pasado Hacia el futuro

Informe Amplio Amplio Preciso Amplio y preciso

Procedimientos

La opinin profesional, elemento esencial de la auditora se fundamenta y se justifica por medio

de unos procedimientos especficos tendientes a proporcionar una seguridad razonable de lo que

se afirma.

Estudio General Anlisis. Inspeccin. Confirmacin. Investigacin. Declaraciones Certificacin. Observaciones. Clculo.


3/32

Estudio GeneralEs la apreciacin y juicio de las caractersticas generales de la empresa, las cuentas o las

operaciones, a travs de sus elementos ms significativos para concluir se ha de profundizar en su

estudio y en la forma que ha de hacerse.

AnlisisEs el estudio de los componentes de un todo para concluir con base en aquellos respecto de este.

Esta tcnica se aplica concretamente al estudio de las cuentas o rubros genricos de los estados

financieros.

InspeccinEs la verificacin fsica de las cosas materiales en las que se tradujeron las operaciones, se aplica a

las cuentas cuyos saldos tienen una representacin material, (efectivos, mercancas, bienes, etc.).

ConfirmacinEs la ratificacin por parte de una persona ajena a la empresa, de la autenticidad de un saldo,

hecho u operacin, en la que participo y por la cual est en condiciones de informar vlidamente

sobre ella.

InvestigacinEs la recopilacin de informacin mediante plticas con los funcionarios y empleados de la

empresa.

Declaraciones y CertificacionesEs la formalizacin de la tcnica anterior, cuando, por su importancia, resulta conveniente que las

afirmaciones recibidas deban quedar escritas (declaraciones) y en algunas ocasiones certificadas

por alguna autoridad (certificaciones).

ObservacinEs una manera de inspeccin, menos formal, y se aplica generalmente a operaciones para verificar

como se realiza en la prctica.

ClculoEs la verificacin de las correcciones aritmticas de aquellas cuentas u operaciones que se

determinan fundamentalmente por clculos sobre bases precisas.


4/32

Clasificacin de los Procedimientos de Auditoria

Como ya se ha mencionado los procedimientos de auditoria son la agrupacin de tcnicas

aplicables al estudio particular de una cuenta u operacin; prcticamente resulta inconveniente

clasificar los procedimientos ya que la experiencia y el criterio del auditor deciden las tcnicas que

integran el procedimiento en el caso particular.

Extensin o alcance de los Procedimientos

Se llama extensin o alcance a la amplitud que se da a los procedimientos, es decir, la intensidad y

profundidad con que se aplican prcticamente.

Oportunidad de los Procedimientos

Es la poca en que deben aplicarse los procedimientos al estudio de partidas especficas.

Adems de las tcnicas antes mencionadas, nos ayudaremos de los cuestionarios de control

interno, y cuestionarios de aplicacin general y especfica utilizando el modelo Jos de JessAguirre, que hace referencia a la ponderacin de cada etapa de la auditoria en informtica y se le

da un valor para medir, ya sea la productividad, costo-beneficio, y utilidad de la capacidad

instalada, para poder emitir una opinin sobre la razonabilidad en el uso de recursos informticos,

que es finalmente el objetivo de la Auditoria en informtica.

Variacin del objeto

Se ha introducido un nuevo elemento cualitativo en el objeto de la auditora, el uso de la

informtica como factor consustancial a la gestin, con la introduccin de las Tecnologas de la

Informacin (TI) en los sistemas, muy probablemente basada en las ventajas que aporta la

informatizacin con respecto al trabajo manual, entre las que se podran distinguir:

Humano Computadora

Costo de explotacin Alto Bajo

Costo de operacin Alto Bajo

Rendimiento continuado Disminuye ConstanteConsistencia Poca Excelente

Capacidad de clculo Buena Pobre

Reaccin ante lo inesperado Buena Pobre

Sentido comn Excelente Pobre

Lenguaje Bueno Pobre


5/32

Este nuevo elemento, la Tecnologa de la informacin, puede estar y de hecho tiende a estar en

todos los niveles del sistema.

Se presenta la alternativa al auditor de utilizar los listados procedentes de los archivos magnticos

como fuente de informacin o acceder directamente a los archivos electrnicos y proceder a su

anlisis de forma tambin electrnica.

Afortunadamente la propia TI incide en los procedimientos que el auditor ha de aplicar

proporciona paralelamente medios de ejecutarlos de forma eficiente y directa. Las CAATS

(Tcnicas de Auditora Asistidas por la Computadora) ponen a

disposicin del auditor una amplia variedad de herramientas que no solo viabilizan los nuevos

procedimientos sino que mejoran sensiblemente su aplicacin y amplan la gama disponible.

Por lo tanto deducimos que la introduccin de las TI en los sistemas de informacin afecta a los

auditores en forma dual:

Cambia el soporte del objeto de su actividad Posibilita la utilizacin de los medios informatizados (CAATs) para la realizacin de sus

procedimientos.

De todo ello se desprende la nueva situacin del auditor financiero: ha de aplicar procedimientos

que utilizan tcnicas asistidas por el computador a un objeto consistente en un sistema de

informacin basado en la TI.

Control interno y auditoria informtica de la empresa

Introduccin

Tradicionalmente en materia de control interno se adoptaba un enfoque bastante restringido

limitado a los controles contables internos.

Durante el ltimo decenio la prensa ha informado sobre escndalos relacionados con errores en el

otorgamiento de crditos con garanta de inmuebles inexistentes o sobrevalorados, la

manipulacin de informacin financiera, operaciones burstiles realizadas con informacin

privilegiada y otros fallos de los controles que han afectado a las empresas de diferentes sectores.

Por ellos hay cambios en las empresas que comprometen los controles internos existentes:


6/32

La reestructuracin de los procesos empresariales (BPR Bussines Process Re-enginieering).

La gestin de la calidad total (TQM-Total Quality Management). El redimensionamiento por reduccin y/o aumento del tamao hasta el nivel correcto. La contratacin externa (outsourcing). La descentralizacin.

El mundo en general est cambiando y somete a las empresas a la accin de muchas fuerzas

externas tales como la creciente necesidad de acceder a los mercados mundiales la consolidacin

industrial, la intensificacin de la competencia y las nuevas tecnologas.

Tendencias externas que influyen en las empresas:

La globalizacin. La diversificacin de actividades. La eliminacin de ramas de negocio no rentable o antiguas. La introduccin de nuevos productos como respuesta a la competencia. Las fusiones y la formacin de alianzas estratgicas

Ante la rapidez de los cambios los directivos toman conciencia que para evitar fallos de control

significativos deben reevaluar y reestructurar sus sistemas de controles internos. Deben evaluar

de manera PROACTIVA antes de que surjan los problemas, tomando medidas audaces para su

tranquilidad, as como para garantizar al consejo de administracin, accionistas, comits y pblico,

que los controles internos de la empresa estn adecuadamente diseados para hacer frente a los

retos del futuro y asegurar la integridad en el momento actual.

Un centro de informtica de una empresa suele tener una importancia crucial por soportar los

sistemas de informacin del negocio, por el volumen de recursos y presupuestos que maneja, etc.

Por lo tanto aumenta las necesidades de control y auditora, surgiendo en las organizaciones,

como medidas organizativas, las figuras de:

Control interno y auditoria informticos

La auditora ha cambiado notablemente en los ltimos aos con el enorme impacto que ha venido

obrando las tcnicas informticas en la forma de procesar la informacin para la gerencia. La

necesidad de adquirir y mantener conocimientos actualizados de los sistemas informticosdevuelve cada vez ms acuciante.

Los auditores informticos aportan conocimientos especializados, as como su familiaridad con la

tecnologa informtica. Se siguen tratando las mismas cuestiones de control de auditora, pero los

especialistas en auditora informtica de sistemas basados en ordenadores prestan ayuda valiosa a

la organizacin y a los otros auditores en todo lo relativo a los controles sobre dichos temas.


7/32

En muchas organizaciones el auditor ha dejado de centrarse en la evaluacin y la comprobacin de

resultados de procesos, desplazando su atencin a la evaluacin de riesgos y comprobacin de

controles.

Muchos de los controles se incorporan en programas de sistemas o se realizan por parte de la

funcin informtica de la organizacin, representado por el control interno informtico.

El enfoque centrado en controles normalmente exige conocimientos informticos a nivel de la

tecnologa utilizada en el rea o la organizacin que se examina.

Las funciones de control interno y auditoria informticos

Control Interno Informtico C.I.I.

Controla diariamente que todas las actividades de sistemas de informacin sean realizadas

cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizaciny/o Direccin de Informtica, as como los requerimientos legales.

La misin de C.I.I. es asegurarse de que las medidas que se obtienen de los mecanismos

implantados por cada responsable sean correctas y vlidas.

La funcin se le asigna a una unidad orgnica perteneciente al staff de la Gerencia de Informtica y

debe estar dotada de las personas y medios materiales requeridos para el cumplimiento de su

misin.

En los tratados de auditora se le denomina CONTROL INTERNO INFORMATICO (CII), definicin que

a nuestro concepto debe ser reemplazado por el titulo de ADMINISTRACION DE LA SEGURIDAD YCONTROL DE SISTEMAS (ASYCS), en concordancia a los criterios y conceptos actualizados de las

funciones especializadas de control y administracin de riesgos.

C.i.i. - principales objetivos

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normasfijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria Informtica, as como de las auditorias

externas.

Definir , implantar y ejecutar mecanismos y controles para comprobar el logro de losgrados adecuados del servicio informtico

C.i.i. - principales funciones


8/32

Realizar en los diferentes sistemas (centrales, departamentales, redes locales, Peces, etc.)y entornos informticos (produccin, desarrollo o pruebas) el control de las diferentes

actividades operativas sobre:

Cumplimiento de diferentes procedimientos, normas y controles dictados. Ejemplo.Control de cambios y versiones de software.

Controles sobre la produccin diaria. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del

servicio informtico.

Controles en las redes de comunicaciones. Controles sobre el software de base. Controles en los sistemas microinformticos. La seguridad informtica:

o Usuarios, responsables y perfiles de uso de archivos y bases de datos. Normas deseguridad. Control de informacin clasificada. Control dual de la seguridad

informtica.

o Licencias.o Contratos con terceros.o Asesorar y transmitir cultura sobre el riesgo informtico.

El auditor informtico (ai)

Evala y comprueba en determinados momentos del tiempo, los controles y procedimientos

informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditoria,

incluyendo el uso de software.

En muchos casos ya no es posible verificar manualmente los procedimientos informatizados que

resumen, calculan y clasifican datos, por lo que deber emplear software de auditora y otras

tcnicas asistidas por ordenador.

Es responsable de revisar e informar a la Direccin de la Empresa, sobre el diseo y

funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada.

El auditor informtico (ai): funciones principales

Se pueden establecer tres grupos de funciones principales: Participar en las revisiones durante y despus del diseo, realizacin, implantacin y

explotacin de aplicaciones informticas, as como en las fases anlogas de realizacin de

cambios importantes.

Revisar y juzgar controles implantados en los sistemas informticos para verificar suadecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de

confidencialidad y cobertura ante errores y fraudes.


9/32

Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos einformacin.

Control interno y auditora informticos: campos anlogos

La evolucin de ambas funciones ha sido espectacular en la ltima dcada. Muchos de los

funcionarios de controles internos informticos, fueron auditores. Han recibido formacin

enseguridad informtica tras su paso por la formacin en auditora.

Hay una similitud de los objetivos profesionales de control y auditora, campos anlogos que

propician una transicin natural.

DASYCSAI: ANALOGA

Sistema de control interno

Se puede definir el control interno como cualquier actividad o accin realizada manual y/o

automticamente para prevenir, corregir errores o irregularidades que puedan afectar alfuncionamiento de un sistema para conseguir sus objetivos.

Los controles cuando se diseen, desarrollen e implanten han de ser al menos, completos,

simples, fiable, revisables, adecuados y rentables.

Los controles internos que se utilizan en el entorno informtico continan evolucionando hoy en

da a medida que los sistemas informticos se vuelven complejos.


10/32

Los progresos que se producen en la tecnologa de soportes fsicos y de software han modificado

de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los

procesos de aplicaciones y para gestionar los sistemas de informacin.

Controles internos informticos: clasificacin

Controles preventivos.- para tratar de evitar el hecho, como un software de seguridad que impida

los accesos no autorizados al sistema.

Controles detectivos.- cuando fallan los preventivos, para tratar de conocer cuanto antes el

evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad

diaria para detectar errores u omisiones, etc.

Controles correctivos.- facilitan la vuelta a la normalidad cuando se han producido incidencias. Por

ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.

Implantacin de un sistema de control interno informtico

Criterio bsicoLos controles pueden implantarse a varios niveles.

La evaluacin de controles de tecnologa de la Informacin exige analizar diversos elementos

interdependientes. Por ello es importante conocer bien la configuracin del sistema, para poder

identificar los elementos, productos, herramientas que existen para saber donde pueden

implantarse los controles, as como para identificar los posibles riesgos.

Conocer la configuracin del sistemaPara llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red,

as como los distintos niveles de control y elementos relacionados:

Entorno de red..- esquema de la red, descripcin de la configuracin de hardware decomunicaciones, descripcin del software que se utiliza como acceso a lastelecomunicaciones, control de red, situacin general de los ordenadores de entornos de

base que soportan las aplicaciones crticas y consideraciones relativas a la seguridad de la

red.

Configuracin del ordenador base.- configuracin del soporte fsico, entorno del sistemaoperativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y

conjunto datos.


11/32

Entorno de aplicaciones.- procesos de transacciones, sistemas de gestin de base de datosy entornos de procesos distribuidos.

Productos y herramientas.- software para desarrollo de programas, software de gestin debibliotecas y para operaciones automticas.

Seguridad del ordenador base.- identificar y verificar usuarios, control de acceso, registroe informacin, integridad del sistema, controles de supervisin, etc.

Para la implantacin de un sistema de control interno informtico debe definirse:

Gestin de sistemas de informacin.- poltica, pautas y normas tcnicas que sirvan para el diseo y

la implantacin de los sistemas de informacin y de los controles correspondiente.

Administracin de sistemas.- controles sobre la actividad de los centros de datos y otrasfunciones de apoyo al sistema, incluyendo la administracin de las redes.

Seguridad.- incluye las tres clases de controles fundamentales implantados en el softwaredel sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestin de cambio.- separacin de las pruebas y la produccin a nivel de software ycontroles de procedimientos para la migracin de programas software aprobados y

probados.


12/32

Principales reas de la auditoria

Fsica

En la auditoria todo lo rodea el computador e incluso lo mismo son lo fsico, llamado entorno fsico

del computador (todo lo tangible), ejemplo; pantalla, teclado cables, etc...

La auditora fsica no se debe limitar a comprobar la existencia de los medios fsicos, sino tambin

su funcionalidad, racionalidad y seguridad.

Una auditoria fsica, es aquella que comprende todas aquellas medidas de seguridad aplicables a

un sistema de informacin, que tratan de proteger a este y a su entorno, tanto de las amenazas de

carcter fsico que proceden de la naturaleza, de los medios tcnicos y de las personas y como de

las amenazas de carcter lgico, y cuyas medidas de proteccin son de carcter fsico.

La auditora fsica, comprende cuatro normas bsicas, que son: evitar, retrasar, detectar y

defender, las cuales son de aplicacin a la proteccin fsica de los sistemas de informacin.

En esta rea se proporciona evidencia del nivel de la seguridad fsica en el mbito en el que se va a

desarrollar la actividad profesional, no limitndose a comprobar que existen los medios fsicos,

sino tambin su funcionalidad, racionalidad y seguridad.

La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales en un

centro de procesamiento de informacin. Existen tres momentos para responder ante una falla en

esta rea, relacionados con la cronologa de la misma:

Antes

Obtener y mantener un grado de seguridad adecuado, por medio de un conjunto de acciones que

eviten el fallo o disminuyan sus efectos. Es un concepto general aplicable a cualquier

Actividad en la que personas hagan uso de entornos fsicos.

Ubicacin del edificio Ubicacin del centro de procesamiento dentro del edificio Divisin Elementos de construccin Potencia elctrica Sistemas contra incendios Control de accesos Seguridad de los medios Medidas de proteccin Duplicacin de medios


13/32

Durante

Ejecutar un plan de contingencia adecuado, el cual realice un anlisis de riesgos de sistemas

crticos, establezca un periodo crtico de recuperacin (del desastre), realice un anlisis de

aplicaciones crticas, establezca prioridades y objetivos de recuperacin, designe un centro

alternativo de procesamiento, y asegurar la capacidad de las comunicaciones y de los servicios de

back-up

Despus

Los contratos de seguros vienen a compensar, en mayor o menor medida, las prdidas, gastos o

responsabilidades que se pueden derivar para el centro de procesamiento de informacin una vez

detectado y corregido el fallo. Entre algunos tipos de seguros estn:

Centro de proceso y equipamiento Reconstruccin de medios de software Gastos extra Interrupcin del negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos con proveedores y de mantenimiento

reas de la seguridad fsica

La revisin de la construccin y el estado de la infraestructura del edificio en s mismo no es un

objeto del que pueda diagnosticar un auditor, sino que tendr que apoyarse de peritos

independientes que den respuesta a sus preguntas para lograr

La valoracin.

Las reas en las que el auditor ha de interesarse personalmente tienen relacin directa con el

hecho informtico, como lo son:

Organigrama de la empresa (para obtener amplia visin de conjunto del centro deproceso).

Auditora interna (para conocer auditoras pasadas, relacionadas con la seguridad fsica). Administracin de la seguridad (normas, procedimientos y planes que haya emitido,

distribuido y controlado el departamento).


14/32

Centro de procesamiento e instalaciones (sala del host, de operadores, de impresoras,oficinas, almacenes, de instalaciones elctricas, de aire acondicionado, de descanso y

servicio).

Equipos y comunicaciones (host, terminales, pcs, equipos de almacenamiento masivo dedatos, impresoras, medios y sistemas de telecomunicaciones).

Computadoras personales (desde el punto de vista de acceso a datos y a la adquisicin decopias no autorizadas).

Seguridad fsica del personal (accesos y salidas seguras, medios y rutas de evacuacin,extincin de incendios, sistemas de bloqueo de puertas y ventanas, zonas de descanso y

servicios).

Fuentes de la auditora fsica

Polticas, normas y planes sobre seguridad Auditoras anteriores Contratos de seguros, de proveedores y de mantenimiento Entrevistas con el personal de seguridad, informtico y de otras actividades (limpieza y

mantenimiento)

Actas e informes de tcnicos y consultores Plan de contingencia y valoracin de las pruebas Informes sobre accesos y visitas Informes sobre pruebas de evacuacin ante diferentes tipos de amenaza Informes sobre evacuaciones reales Polticas de personal: revisin de antecedentes personales y laborales, procedimientos de

cancelacin de contratos, rotacin en el trabajo, contratos fijos, y temporales.

Inventario de archivos: fsicos y magnticos: back-up, procedimiento de archivo, control desalida y recuperacin de soportes, control de copias, etc.

Son objetivo de la auditora fsica

El edificio Las instalaciones El equipamiento y las instalaciones Los datos Las personas

Tcnicas


15/32

Observacin de las instalaciones, sistemas, cumplimiento de normas y procedimientos, noslo como espectador sino como actor.

Revisin analtica de documentacin sobre la construccin y preinstalaciones,documentacin sobre la seguridad fsica, polticas y normas de actividad, normas y

procedimientos sobre seguridad fsica de los datos, contratos de seguros y

mantenimiento,

Entrevistas con directivos y personal. Consultas a tcnicos y peritos independientes.

Fases de la auditoria fisica:

Alcance de la auditoria Adquisicin da la informacin general Administracin y planificacin Plan de auditoria Resultado de las pruebas Conclusiones y comentarios Borrador de informe

Responsabilidades de los auditores

Auditor informtico interno:

Revisar los controles relativos a la seguridad fsica. Revisar el cumplimiento de los procedimientos Evaluar riesgos Participar en la seleccin, adquisicin e implantacin de equipos y materiales. Participar en la creacin de planes de contingencia. Revisin del cumplimiento de las polticas y normas de seguridad fsica. Efectuar auditoras programadas. Emitir informes y efectuar el seguimiento de las recomendaciones

Auditor informtico externo:

Revisar las funciones del auditor informtico interno. Efectuar pruebas a los planes de contingencia. Mismas del a.i.i. Emitir informes y recomendaciones


16/32

Econmica

De la direccin

Los departamentos estn integrados en organizaciones mayores y que, por tanto, son

destinatarios de un sinfn de estmulos de las mismas, qu duda cabe de que, dado el mbito

tecnolgico tan particular de la informtica, la principal influencia que dichos departamentos

reciben viene inducida desde la propia direccin de informtica. En cualquier caso, es en lo que se

centra este captulo: en la auditora de la Direccin entendida como gestin (en el resto del

captulo se intercambiarn los dos trminos) de la Informtica.

Las enormes sumas que las empresas dedican a las tecnologas de la informacin en un

crecimiento del que no se vislumbra el final y la absoluta dependencia de las mismas al uso

correcto de dicha tecnologa hacen muy necesaria una evaluacin independiente de la funcin que

la gestiona. Ello constituye, de hecho, la razn principal de este libro. La direccin de informtica

no debe quedar fuera: es una pieza clave del engranaje.

Sin entrar en discusiones profundas sobre el alcance y significado detrs del verbo dirigir (no es el

objetivo de este libro y existen multitud de plumas ms preparadas que la ma para disertar

adecuadamente sobre este apartado), de una manera general, se podra decir que algunas de las

actividades bsicas de todo proceso de direccin son:

Planificar Organizar Coordinar Controlar

Planificar

En grandes lneas, se trata de prever la utilizacin de las tecnologas de la informacin en la

empresa. Existen varios tipos de planes informticos. El principal y origen de todos los dems, lo

constituye el Plan Estratgico de Sistemas de Informacin.

Plan Estratgico de Sistemas de Informacin

Es el marco bsico de actuacin de los Sistemas de Informacin en la empresa. Debe asegurar el

alineamiento de los mismos con los objetivos de la propia empresa.

Estos planes no son responsabilidad exclusiva de la Direccin de Informtica. Su aprobacin final

probablemente incumbe a otros estamentos de la empresa: Comit de Informtica (ver ms abajo)

e incluso en ltimo trmino de la Direccin General. Sin embargo, la Direccin de Informtica debe

ser el permanente impulsor de una planificacin de Sistemas de Informacin adecuada y a tiempo.


17/32

Otros planes relacionados

Deben existir otros planes informticos, todos ellos nacidos al amparo del Plan Estratgico. Entreotros, los ms habituales suelen ser:

Plan operativo anual Plan de direccin tecnolgica Plan de arquitectura de la informacin Plan de recuperacin ante desastres

Algunos de ellos (Plan tecnolgico, Plan de arquitectura) aparecen a veces integrados en el propio

Plan Estratgico. En este captulo, se tratarn slo dos de estos planes, los ms comunes y que,

adems, siempre tienen vida propia: Plan operativo y Plan de recuperacin.

Plan operativo anual

El Plan operativo se establece al comienzo de cada ejercicio y es el que marca las pautas a seguir

durante el mismo. Debe estar, obviamente, alineado con el Plan Estratgico, Asimismo, debe estar

precedido de una recogida de necesidades de los usuarios.

El Plan operativo de Sistemas de Informacin describe las actividades a realizar durante el

siguiente ejercicio natural. Entre otros aspectos, debe sealar los sistemas de informacin a

desarrollar, los cambios tecnolgicos previstos, los recursos y los plazos necesarios, etc.

Plan de recuperacin ante desastres

Una instalacin informtica puede verse afectada por desastres de variada naturaleza: incendio,

inundacin, fallo de algn componente crtico de hardware, robo, sabotaje, acto de terrorismo,

etc., que tengan como consecuencia inmediata la indisponibilidad de un servicio informtico

adecuado. La Direccin debe prever esta posibilidad y, por tanto, planificar para hacerle frente.

Organizar y coordinar

El proceso de organizar sirve para estructurar los recursos, los flujos de informacin y los controles

que permitan alcanzar los objetivos marcados durante la planificacin.

Comit de Informtica

Una de las acusaciones ms comnmente lanzadas contra la informtica y los informticos es la

falta de comunicacin y entendimiento que se establece entre el departamento de informtica en

la empresa y el resto de la misma. El Comit de Informtica es el primer lugar de encuentro dentro

de la empresa de los informticos y sus usuarios: es el lugar en el que se debaten los grandes

asuntos de la informtica que afectan a toda la empresa y permite a los usuarios conocer las


18/32

necesidades del conjunto de la organizacin -no slo las de su rea- y participar en la fijacin de

prioridades. Se evitan as acusaciones de favoritismo entre unas reas y otras, en cuanto al trato

recibido de informtica, y, en definitiva, se atiende a la mejor utilizacin de los recursos

informticos, tradicionalmente escasos.

Se ha escrito mucho sobre las funciones que debe realizar un Comit de Informtica y pareceexistir un cierto consenso en, al menos, los siguientes aspectos:

Aprobacin del Plan Estratgico de Sistemas de Informacin. Aprobacin de las grandes inversiones en tecnologa de la informacin. Fijacin de prioridades entre los grandes proyectos informticos. Vehculo de discusin entre la Informtica y sus usuarios. Vigila y realiza el seguimiento de la actividad del Departamento de Informtica.

Posicin del Departamento de Informtica en la empresa

El segundo aspecto importante a tener en cuenta a la hora de evaluar el papel de la informtica enla empresa, es la ubicacin del Departamento de Informtica en la estructura organizativa general

de la misma. El Departamento debera estar suficientemente alto en la jerarqua y contar con

masa crtica suficiente para disponer de autoridad e independencia frente a los departamentos

usuarios.

La informatizacin en las empresas comenz por el departamento financiero o de administracin

y, por tanto, el esquema tradicional era encontrar al departamento de informtica integrado

dentro del financiero o administrativo. Hoy en da, la informtica da soporte a un conjunto mucho

mayor de reas empresariales y, por ello, cada vez es ms habitual encontrar a departamentos de

informtica dependiendo directamente de Direccin General. Incluso, en las grandesorganizaciones, el Director de Informtica es miembro de derecho del Comit de Direccin u

rgano semejante. Siempre que el departamento de informtica est integrado en algn

departamento usuario, pueden surgir dudas razonables sobre su ecuanimidad a la hora de atender

las peticiones del resto de departamentos de la empresa.

Descripcin de funciones y responsabilidades del Departamento de Informtica. Segregacin de

funciones

Es necesario que las grandes unidades organizativas dentro del Departamento de Informtica

tengan sus funciones descritas y sus responsabilidades claramente delimitadas y documentadas.

Igualmente, es necesario que este conocimiento se extienda a todo el personal perteneciente a

Informtica: todos ellos deben conocer sus funciones y responsabilidades en relacin con los

sistemas de informacin. Y todo ello es una labor que compete, en gran medida, a la Direccin de

Informtica.


19/32

Se debera asegurar la segregacin entre las funciones de desarrollo de sistemas de informacin, la

de produccin o explotacin y los departamentos de usuarios. Adems, la funcin de

administracin de la seguridad debera estar claramente separada de la de produccin.

Estndares de funcionamiento y procedimientos. Descripcin de los puestos de trabajo

Deben existir estndares de funcionamiento y procedimientos que gobiernen la actividad del

Departamento de Informtica por un lado, y sus relaciones con los departamentos usuarios por

otro. Estos estndares son el vehculo ideal para transmitir al personal de Informtica la filosofa,

mentalidad y actitud hacia los controles necesarios con la finalidad de crear y mantener un

entorno controlado para la vida de los sistemas de informacin de la empresa.

Dichos estndares y procedimientos deberan estar documentados, actualizados y ser

comunicados adecuadamente a todos los departamentos afectados. La Direccin de Informtica

debe promover la adopcin de estndares y procedimientos y dar ejemplo de su uso.

Gestin de recursos humanos: seleccin, evaluacin del desempeo, formacin, promocin,

finalizacin

La gestin de los recursos humanos es uno de los elementos crticos en la estructura general

informtica. La calidad de los recursos humanos influye directamente en localidad de los sistemas

de informacin producidos, mantenidos y operados por el Departamento de Informtica. Adems,

parte de los recursos humanos necesarios en una instalacin informtica son grandes expertos

tcnicos. Seleccionarlos, mantenerlas y motivarlos adecuadamente puede ser crucial para la buena

marcha de la informtica y su papel en la empresa.

Comunicacin

Es necesario que exista una comunicacin efectiva y eficiente entre la Direccin de Informtica y el

resto del personal del Departamento. Entre los aspectos que es importante comunicar se

encuentran: actitud positiva hacia los controles, integridad, tica, cumplimiento de la normativa

interna -entre otras, la de seguridad informtica-, compromiso con la calidad, etc.

Gestin econmica

Este apartado de las responsabilidades de la Direccin de Informtica tiene varias facetas:

presupuestaran, adquisicin de bienes y servicios y medida y reparto de costes.

Presupuestacin

Como todo departamento de la empresa, el de Informtica debe tener un presupuesto

econmico, normalmente en base anual. Los criterios sobre cules deben ser los componentes del

mismo varan grandemente. Un ejemplo tpico son los costes de las comunicaciones: en unos

casos es el propio Departamento quien corre con ellos y, en otros casos, puede ocurrir que la

poltica de la empresa indique que sean pagados por los departamentos usuarios. En otro ejemplo,


20/32

tambin puede ocurrir que los terminales (pantallas e impresoras) sean costeados por los usuarios

en vez de serlo por Informtica. Sea cual sea la poltica seguida en la empresa, el Departamento de

Informtica debe seguirla para elaborar su presupuesto anual.

Adquisicin de bienes y servicios

Los procedimientos que el Departamento de Informtica siga para adquirir los bienes y servicios

descritos en su plan operativo anual y/o que se demuestren necesarios a lo largo del ejercicio han

de estar documentados y alineados con los procedimientos de compras del resto de la empresa.

Aqu, la variedad es infinita, con lo que es imposible dar reglas fijas.

Medida y reparto de costes

La Direccin de Informtica debe en todo momento gestionar los costes asociados con la

utilizacin de los recursos informticos: humanos y tecnolgicos. Y ello, obviamente, exige

medirlos.

Un aspecto muy relacionado es el reparto de los costes del Departamento entre los usuarios. Esta

medida no est implantada en todas las empresas y, adems, tiene sus ventajas e inconvenientes

que, tambin, se encuentran fuera del alcance de este libro. Normalmente, la existencia o

ausencia de un sistema de este tipo suele estar muy asociada a la propia cultura de la empresa. En

cualquier caso, es cierto que, de estar presente, se da en general, con mayor frecuencia, en

grandes organizaciones con grandes centros de proceso de datos centralizados. Es raro encontrar

un sistema de reparto de costes en centros informticos de departamentos.

Seguros

La Direccin de Informtica debe tomar las medidas necesarias con el fin de tener suficientecobertura de seguros para los sistemas informticos. Aqu se incluyen no slo las coberturas ms

tradicionales como la de los equipos (el hardware) o la de infidelidad de los empleados, sino

tambin otro tipo de coberturas normalmente ms asociadas a la repentina interrupcin del

servicio informtico por causa de algn desastre. Estas coberturas amparan riesgos tales como la

posible prdida de negocio derivada de dicha interrupcin.

Controlar

La tarea de dirigir no puede considerarse completa sin esta faceta que forma parte indisoluble detal responsabilidad.

Control y seguimiento

Un aspecto comn a todo lo que se ha dicho hasta el momento es la obligacin de la Direccin de

controlar y efectuar un seguimiento permanente de la distinta actividad del Departamento. Se ha

de vigilar el desarrollo de los planes estratgico y operativo y de los proyectos que los desarrollan,


21/32

la ejecucin del presupuesto, la evolucin de la cartera de peticiones de usuario pendientes, la

evolucin de los costes, los planes de formacin, la evolucin de la carga del computador y de los

otros recursos (espacio en disco, comunicaciones, capacidad de las impresoras...), etc.

Es muy conveniente que existan estndares de rendimiento con los que comparar las diversas

tareas. Son aplicables a las diversas facetas de la actividad del Departamento: consumo derecursos del equipo, desarrollo, operaciones, etc.

Cumplimiento de la normativa legal

La Direccin de Informtica debe controlar que la realizacin de sus actividades se lleva a cabo

dentro del respeto a la normativa legal aplicable. En particular, se consideran fundamentales los

relativos a la seguridad e higiene en el trabajo, normativa laboral y sindical, proteccin de datos

personales, propiedad intelectual del software, requisitos definidos en la cobertura de seguros,

contratos de comercio electrnico, transmisin de datos por lneas de comunicaciones, as como

normativa emitida por rganos reguladores sectoriales.

Administrativa

Desarrollo

La necesidad de que una organizacin cuente con procedimientos de control interno es aceptada

ampliamente como garanta de una gestin eficaz orientada a la consecucin de los objetivos

marcados. La funcin auditora es precisamente la encargada de comprobar la existencia de estos

procedimientos de control y de verificar su correcta definicin y aplicacin, determinando las

deficiencias que existan al respecto y los riesgos asociados a estas carencias de control.

Teniendo en cuenta que cada organizacin puede descomponerse funcionalmente en(Distintos

departamentos, reas, unidades, etc., es necesario que los mecanismos de control interno existan

y se respeten en cada una de las divisiones funcionales para que stas cumplan adecuadamente su

cometido y hagan posible que la organizacin en su conjunto funcione de manera correcta.

Aplicando la divisin funcional al departamento de informtica de cualquier entidad, una de las

reas que tradicionalmente aparece es la de desarrollo. Esta funcin abarca todas las fases que se

deben seguir desde que aparece la necesidad de disponer de un determinado sistema deinformacin hasta que ste es construido e implantado. Para delimitar el mbito de este captulo

sobre auditora del desarrollo, se entender que el desarrollo incluye todo el ciclo de vida del

software excepto la explotacin, el mantenimiento y la retirada de servicio de las aplicaciones

cuando sta tenga lugar .La auditora del desarrollo tratar de verificar la existencia y aplicacin de

procedimientos de control adecuados que permitan garantizar que el desarrollo de sistemas de

informacin se ha llevado a cabo segn estos principios de ingeniera, o por el contrario,

determinar las deficiencias existentes en este sentido.


22/32

Objetivos

Determinar cules son los riesgos no cubiertos, y en qu medida lo son y qu consecuencias se pueden derivar al no desarrollar una auditoria de desarrollo de un sistema

en general.

Comprender todas las conclusiones, pruebas y evidencias obtenidas sobre cada controlpermitir al auditor obtener el nivel de satisfaccin de cada objetivo de control, as como

cules son los puntos fuertes y dbiles del mismo.

Concluir y hacer recomendaciones acumuladas para que se plasmen en el informe generalde la auditora dependiendo de las particularidades de la organizacin.

Importancia de la auditora del desarrollo

Aunque cualquier departamento o rea de una organizacin es susceptible de ser auditado, hay

una serie de circunstancias que hacen especialmente importante al rea de desarrollo y, por tanto,tambin su auditora, frente a otras, funciones o reas dentro del departamento de informtica:

Los avances en tecnologas de los computadores han hecho que actualmente el desafo ms

importante y el principal factor de xito de la informtica sea la mejora de la calidad del software.

El gasto destinado a software es cada vez superior al que se dedica a hardware.

A pesar de la juventud de la ciencia informtica, hace aos que se produjo la denominada "crisis

del software". Incluye problemas asociados con el desarrollo y mantenimiento del software y

afecta- aun gran nmero de organizaciones. En el rea del hardware no se ha dado una crisis

equivalente.

El software como producto es muy difcil de validar. Un mayor control en el proceso de desarrollo

incrementa la calidad del mismo y disminuye los costes de mantenimiento.

El ndice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o

mal funcionamiento de los controles en este proceso. Las aplicaciones informticas, que son el

producto principal obtenido al final del desarrollo, pasan a ser la herramienta de trabajo principal

de las reas informatizadas, convirtindose en un factor esencial para la gestin y la toma de

decisiones.

Planteamiento y metodologa

Para tratar la auditora del rea de desarrollo es necesario, en primer lugar, acotar las funciones o

tareas que son responsabilidad del rea. Teniendo en cuenta que puede haber variaciones de una

organizacin a otra, las funciones que tradicionalmente se asignan al rea de desarrollo son:

Planificacin del rea y participacin, en la medida que corresponda, en la elaboracin delplan estratgico de informtica.


23/32

Desarrollo de nuevos sistemas. sta es la funcin principal y la que da sentido al rea dedesarrollo. Incluir para cada uno de los sistemas, el anlisis, diseo, construccin e

implantacin. El mantenimiento se supondr funcin de otra rea.

Estudio de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas, etc.relacionados con el desarrollo y adopcin de los mismos cuando se considere oportuno

para mantener un nivel de vigencia adecuado a la tecnologa del momento.

Establecimiento de un plan de formacin para el personal adscrito al rea.Establecimiento de normas y controles para todas las actividades que se realizan en el rea y

comprobacin de su observancia.

Una vez conocidas las tareas que se realizan en el rea de desarrollo, se abordar la auditora de la

misma desglosndola en dos grandes apartados, que ms tarde se subdividirn con ms detalle:

Auditora de la organizacin y gestin del rea de desarrollo. Auditora de proyectos de desarrollo de sistemas de informacin.

En los apartados siguientes se agrupan los distintos objetivos de control en varias series,

detallndose para cada uno de ellos sus controles asociados y pruebas de cumplimiento. El

esquema seguido es el siguiente:

Organizacin y gestin del rea de desarrollo Proyectos de desarrollo de sistemas de informacin Aprobacin, planificacin y gestin del proyecto Anlisis

o Anlisis de requisitoso Especificacin funciona

Diseoo Diseo tcnico

Construccino Desarrollo de componenteso Desarrollo de procedimientos de usuario

Implantacino Pruebas, implantacin y aceptacin.

Auditora de la organizacin y gestin del rea de desarrollo

Aunque cada proyecto de desarrollo tenga entidad propia y se gestione con cierta autonoma,

para poderse llevar a efecto necesita apoyarse en el personal del rea y en los procedimientos

establecidos. La importancia de estos aspectos ha motivado que se dedique un apartado exclusivo

a la organizacin y gestin del rea de desarrollo. Se consideran ocho objetivos de control (serie

A):


24/32

Objetivo de control a1.

El rea d desarrollo debe tener unos cometidos asignados dentro del departamento y una

organizacin que le permita el cumplimiento de los mismos.

Objetivo de control a2:

El personal del rea de desarrollo debe contar con la formacin adecuada y estar motivado para

la realizacin de su trabajo.


Si existe un plan de sistemas, los proyectos que se lleven a cabo, se basarn en dicho plan y lo

mantendrn actualizado


La propuesta y aprobacin de nuevos proyectos debe realizarse de forma reglada.

Objetivo de control a5

La asignacin de recursos a los proyectos debe hacerse de forma reglada.


El desarrollo de sistemas de informacin debe hacerse aplicando principios de ingeniera del

software ampliamente aceptados.


Las relaciones con el exterior del departamento tienen que producirse de acuerdo a un

procedimiento.


La organizacin del rea debe estar siempre adaptada a las necesidades de cada momento.

Auditoria de proyectos de desarrollo de s.i

Cada desarrollo de un nuevo sistema de informacin ser un proyecto con entidad propia. El

proyecto tendr unos objetivos marcados y afectara a determinadas unidades de la organizacin.

Debe tener un responsable y ser gestionado con tcnicas que permitan conseguir los objetivos

marcados, teniendo en cuenta los recursos disponibles y las restricciones temporales del mismo.

En esta gestin deben participar todas las partes de la organizacin a las que afecte el sistema.

Dentro del desarrollo de sistemas de informacin se han propuestos 5 subdivisiones, entre las

cuales se encuentran: anlisis, diseo, construccin e implantacin. Estas fases, ampliamente


25/32

aceptadas en ingeniera del software para el desarrollo, son en concreto las que propone la

metodologa de desarrollo de sistemas de informacin mtrica versin.

Adems estas fases, se han aadido una subdivisin que contienen los objetivos y tcnicas de

control concernientes a la aprobacin, planificacin y gestin del proyecto. La aprobacin del

proyecto es un hecho previo al comienzo del mismo, mientras que se aplica a lo largo de sudesarrollo. Las tcnicas a utilizar y los elementos a inspeccionar, normalmente los productos y

documentos generados en cada fase de desarrollo, sern los mismos en ambos casos. La nica

diferencia es que en el primer caso las conclusiones que vaya aportando el auditor pueden afectar

al desarrollo del proyecto, aunque nunca participaran en la toma de decisiones

Aprobacin, planificacin y gestin del proyecto

Se consideran dos objetivos

Objetivo de control b1.

El proyecto de desarrollo debe estar aprobado, definido y panificado formalmente.

Objetivo de control b2.

El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo

en cuenta las restricciones de tiempo y recursos. Los criterios usados sern coherentes con los

objetivos de las unidades afectadas.

Auditoria de la fase de anlisis

La fase de anlisis pretende obtener un conjunto de especificaciones formales que describan las

necesidades de informacin que deben ser cubiertas por el nuevo sistema independiente del

entorno tcnico. Esta fase se divide en dos mdulos:

Anlisis de Requisitos del Sistema (ASR)Se identificaran los requisitos del nuevo sistema.-

A partir del conocimiento del sistema actual y sus problemas asociados junto con los requisitosque se exigirn al nuevo sistema, se determinaran las posibles soluciones, alternativas que

satisfagan esos requisitos y entre ella se elegir la ms adecuada

Objetivo de control c1.

Los usuarios responsables establecern de forma clara los requisitos del proyecto.

Objetivo de control c2.


26/32

En el proyecto de desarrollo se utilizara la alternativa ms favorable para conseguir que el sistema

cumpla los requisitos.

Especificacin funcional del SistemaUna vez conocido el sistema actual los requisitos del nuevo sistema y la alternativa ms favorable.

Se elaborara una especificacin funcional detallada del sistema que sea coherente con lo que se

espera de l.

Objetivo de control d1.

El nuevo sistema debe especificar de forma completa desde el punto de vista funcional, contando

esta especificacin con la aprobacin de los usuarios.

Auditoria de la fase de diseo

En la fase de diseo se elaborara el conjunto de especificaciones fsicas del nuevo tema que servir

de base para la construccin del mismo. Hay un nico modulo.

Diseo tcnico del Sistema (DTS)A partir de las especificaciones funcionales, y teniendo en cuenta el entorno, se diseara la

arquitectura del sistema y el esquema externo de datos. Se considera un nico objetivo.

Objetivo de control e1.

Se debe definir una arquitectura fsica para el tema coherente con la especificacin funcional que

se tenga y con el entorno tecnolgico elegido.

Auditoria de la fase de construccin

En esta fase se programarn y probarn los distintos componentes y se pondrn en marcha todos

los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Estar

basado en las especificaciones fsicas obtenidas en la fase de diseo. Hay dos mdulos.

Desarrollo de los componentes del Sistema (DCS)En este mdulo se realizarn los distintos componentes, se probarn tanto individualmente como

de forma integrada, y se desarrollarn los procedimientos de operacin. Se considera un nico

objetivo de control (serie F):

Objetivo de control f1:

Los componentes o mdulos deben desarrollarse usando tcnicas de programacin correctas.

Desarrollo de los Procedimientos de los Usuarios (DPU)


27/32

En este mdulo se definen los procedimientos y formacin necesarios para que los usuarios

puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se trata dela instalacin, la

conversin de datos y la operacin/explotacin.

Objetivo de control g1:

Al trmino del proyecto, los futuros usuarios deben estar capacitados y disponer de todos los

medios para hacer uso del sistema.

Auditoria de la fase de implantacin

En esta fase se realizar la aceptacin del sistema por parte de los usuarios adems delas

actividades necesarias para la puesta en marcha. Hay un nico mdulo

Pruebas, Implantacin y Aceptacin del Sistema (PA)Se verificar en este mdulo que el sistema cumple con los requisitos establecidos en la fase de

anlisis. Una vez probado y aceptado se pondr explotacin. Se consideran dos objetivos decontrol (serie H):

Objetivo de control hl:

El sistema debe ser aceptado formalmente i los usuarios antes de ser puesto en explotacin.

Objetivo de control h2:

El sistema se pondr en explotacin formalmente y pasar a estar en mantenimiento slo cuando

haya sido aceptado y est preparado todo el entorno en el que se ejecutar. .

Mantenimiento

Varias investigaciones y experiencias revelan que la etapa de mantenimiento consume la mayor

parte de los recursos empleados en un proyecto software. Por tanto, esta etapa debe ser

especialmente considerada en los estudios de productividad y de la auditora informtica. La

mantenibilidad, factor crtico de estudio en auditora informtica del mantenimiento, es el factor

de calidad que engloba todas aquellas caractersticas del software destinadas a hacer que el

producto sea ms fcilmente mantenible y, en consecuencia, a conseguir una mayor productividaddurante la etapa de mantenimiento.

Objetivo principal

El objetivo principalde una auditora es la emisin de un diagnstico sobre un sistema de gestin

de mantenimiento software, que permita tomar decisiones sobre el mismo. Estas decisiones

pueden ser de diferentes tipos respecto al rea examinada y al usuario del dictamen o diagnstico.


28/32

Tipos de auditora

En funcin de si la auditora la realiza una entidad externa a la empresa auditada o la lleva a cabo

un departamento de dicha empresa, las auditoras de mantenimiento las podramos clasificar en:

Auditoras de mantenimiento de software internas. Auditoras de mantenimiento de software externas.

Una auditora de mantenimiento es un conjunto de tcnicas, actividades y procedimientos,

destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin,

control, eficacia, seguridad y adecuacin de la gestin del mantenimiento en la empresa, por lo

que comprende un examen metdico, puntual y discontinuo del servicio informtico.

Auditora interna

La auditora interna es una funcin dentro de la organizacin que tiene la capacidad de evaluar

permanente e independientemente cada organizacin, si es que tiene implementado un sistema

de retroalimentacin destinado a la mejora continua.

Su objetivo principal

es asesorar a la persona que toma las decisiones en la promocin de la eficiencia de los

procedimientos existentes. Cuando se plantea la necesidad de realizar la auditora interna es para

garantizar los resultados de la gestin y adems tener recomendaciones, las cuales son objeto de

consideraciones y decisiones.

Auditora externa

La auditora externa es un examen crtico, sistemtico y detallado de un sistema de gestin de

mantenimiento, realizado por un auditor sin vnculos laborales con la misma, utilizando tcnicas

determinadas y con el objeto de emitir una opinin independiente sobre la forma como opera el

sistema, el control interno del mismo y formular sugerencias para su mejora.

La auditora externa tiene como objetivo averiguar la razonabilidad, integridad y autenticidad de

los estados, expedientes y documentos y toda aquella informacin producida por el sistema de

mantenimiento de la organizacin.

Diferencias: Interna VS Externa

Costes. Dependencia profesional. Accesibilidad de la informacin. Formalidad de los resultados. Tiempo.


29/32

Calidad. Rapidez de la auditora.

Etapas de la auditora

Estrategia, Visin y Misin:Consiste en revisar y entender desde el nivel corporativo hasta la organizacin del mantenimiento,

cul es la estrategia, visin y misin de cada nivel de la organizacin de la empresa.

Reconocimiento del lugar:El auditor debe conocer in situ la planta completa o dnde se concentran los recursos destinados

al mantenimiento.

Entrevistas:La auditora no es solamente completar un formulario de preguntas, sino que se debe aprovecharla oportunidad para realizar una serie de entrevistas con un nmero significativo de gente de

mantenimiento

Recoleccin de datos:El auditor debe juntar los datos mediante la auditora del mantenimiento.

Sistema de mantenimiento:Una revisin del flujo de trabajos de mantenimiento y como se relacionan con los manuales de

procedimientos, rdenes de trabajo y sistemas computacionales usados por el mantenimiento.

Compilacin y anlisis:Realizados todos los pasos anteriores corresponde ordenar los antecedentes, rellenar los

formularios o plantillas y organizar todas las observaciones anotadas, complementndolas con lo

que el auditor pudo apreciar en el terreno.

Modelo para las auditoras

El contenido de la auditora debe cubrir las reas que van desde la identificacin y descripcin del

departamento de mantenimiento hasta el uso de herramientas de gestin. La importancia de este

recorrido por todos los aspectos involucrados en la gestin del mantenimiento es tener las bases

para ms adelante, cuando llegue el momento de plantear alternativas de soluciones a los

problemas detectados durante la auditora.


30/32

Para cada una de las fases que se describen a continuacin, el auditor o la persona encargada de

realizar la auditora deber rellenar un cuestionario en el cul se contemplan items o aspectos que

son la base para una buena gestin del mantenimiento

Identificacin y caracterizacin de la empresa:

Se comienza con la caracterizacin del tipo de mantenimiento que se practica en la empresa

Criticidad de las rutas de inspeccin:

La parte global de la auditora cubre tambin los aspectos de anlisis de las rutas como la

sectorizacin que se ha hecho de la planta, la identificacin de la criticidad de los equipos y la

estimacin de los tiempos de mantenimiento.

Manejo de la informacin sobre equipos:

En esta fase o etapa se recaban antecedentes sobre la existencia de informacin sobre equipos,

como pueden ser catlogos, fichas de inventario, adems de datos que son importantes en elmomento de planificar el mantenimiento.

Modelo para las auditoras

Estado del mantenimiento actual:

Esta etapa est dirigida a evaluar cmo se est realizando el mantenimiento actualmente en base

a aspectos como por ejemplo: Existencia de rutinas bsicas de mantenimiento.

Antecedentes de costes de mantencin:

En esta fase se realiza una evaluacin que pretende detectar el grado de uso de antecedentes que

son la base para medir la efectividad del mantenimiento.

Efectividad de la mantencin actual:

Este ltimo bloque est destinado a medir el aspecto relacionado principalmente con el manejo de

los ndices de control.

Herramientas de las auditoras.

Informe final Entrevistas: De amplia utilizacin a lo largo de todas las etapas de la auditora. Encuestas: Pueden ser de utilidad tanto para ayudar a determinar el alcance y objetivos de

la auditora como para la materializacin de objetivos relacionados con el nivel de

satisfaccin de los usuarios.

Observacin: Es conveniente observar cmo trabajan in situ los mantenedores, esto puedeayudar a detectar que, aunque el resultado final sea bueno la eficiencia no est en el nivel

ptimo.


31/32

Pruebas: Pruebas de conformidad y validacin.o Es la comunicacin formal del auditor al cliente tanto del alcance de la auditora

como de los resultados y conclusiones.

o Aqu se separar lo significativo de lo no significativo.o No hay un formato definido pero s esquemas recomendados.o Previamente a su realizacin, se decidir si el informe ser largo o corto, siendo

este complementado con otros informes.

o Debe ser claro, adecuado, suficiente y comprensible. Conclusiones

o Informe final - Puntos esenciales1. Identificacin del informe2. Identificacin del cliente3. Identificacin de la entidad auditada4. Objetivos de la auditora5. Normativa aplicada y excepciones6. Alcance de la auditora7. Conclusiones8. Resultados9. Informes previos10.Fecha del informe11. Identificacin y firma del auditor12.Distribucin del informe

De las bases de datos

De la calidad

De la seguridad

Auditoria informtica en diversos sectores


32/32

La auditora informtica en el sector bancario

La auditora informtica en las pymes

Marco jurdico de la auditoria informtica

Introduccin

Los delitos informticos

Los contratos de informtica

El documento electrnico

La proteccin jurdica de los programas

La proteccin de datos

Teoria informatica

Documents

Transcript of Teoria informatica