Documente Academic
Documente Profesional
Documente Cultură
La auditora computacional O
informatizada
GERARDO GLVEZ MENESES Ingeniero comercial Universidad de Chile
Introduccin /51-1186 Conceptos previos / 51-1186 L informacin / 51-1186 La organizacin / 51-1187 La auditora computarizada /51- 1187 Definicin / 51-1187 Justificacin /51-1188 Funciones de la auditora computarizada /51-1189 Perfil del auditor computarizado /51-1190 Metodologa de la auditora computarizada /51-1191 Definicin de mbitos y objetivos / 51-1191 Estudio inicial / 51-1192 Determinacin de perfiles / 51-1192 Elaboracin de planes / 51-1193 Elaboracin de programas /511193 Realizacin de las actividades /51-1193 Elaboracin del informe final / 51-1194
Reglas bsicas en la realizacin de una auditora /51-1194 Tcnicas y herramientas usadas en auditora computarizada Simuladores /51-1195 Paquetes de auditora / 51-1195 Monitores /51-1196 Matrices de riesgos / 51-1196 /51-1195
1185
Introduccin
Conceptos previos
La computacin aparece inicialmente en la empresa como solucin a problemas especficos de tipo operacional (gestin de stocks, facturacin, etc.), permitiendo el tratamiento repetitivo de grandes masas de datos. A medida que se generaliza su uso debido, sobre todo, a la bajada en los costes de los computadores, su uso se extiende a toda la empresa. Paralelamente se produce un aumento de los costes de personal. Dentro de una empresa dada, un departamento de computacin posee, en principio, dos funciones claramente definidas: desarrollo de sistemas computarizados y explotacin de sistemas computarizados. Las actividades llevadas a cabo por la funcin de desarrollo se refieren fundamentalmente a estudios de viabilidad, diseo y realizacin de sistemas computarizados, as como a su implantacin en forma de software para unas mquinas determinadas. Las de explotacin, por su parte, tienen que ver con la ejecucin de los trabajos precisos para obtener la informacin que se proporciona:.; a los usuarios, a partir de los sistemas desarrollados, adems de la custodia de informacin, equipos e instalaciones. Al departamento de computacin se le deben fijar objetivos claros y mensurable s en cuanto a calidad, capacidad, velocidad y economa. - Una de las tareas del auditor computacional es lograr que se pase de una funcin computari zada abstracta, como muchas veces ocurre en la actualidad, a otra en que los criterios fundamentales que se le exijan sean los asociados a la rentablidad, asumiendo la calidad como uno de ellos. Existen reas de actuacin de importancia para el auditor computacional, que se derivan de las carar:;tersticas deseables de la funcin computacional y de las cuales el auditor deber verifi car su existencia, entre ellas, la seguridad fsica y la prevencin, as como la deteccin y correccin de errores y fraudes.
La informacin
La informacin se ha convertido en un factor de suma importancia para el xito de cualquier negocio. sta puede provenir del exterior de la empresa (clientela, gobierno, sociedad, competencia), o bien gestarse internamente. Por otra parte, existen flujos de informacin formalizados, a travs de normas o procedimientos propios del negocio, y flujos de informacin no formalizados. El sistema computarizado es un subconjunto del flujo formalizado, que se muestra en diferen te grado segn el nivel de estructura de la empresa de la que se trate. As pues, en el aspecto operacional es normal encontrar un alto grado de computarizacin en las empresas, mientras que en cuanto a tcticas y, sobre todo, a estrategias, el grado es bastante menor.
1. El nivel gerencial (estratgico) es el encargado de determinar los objetivos, polticas y misiones. Emplea informacin ms elaborada como pueden ser las tendencias de la empresa, mrgenes, rentabilidad por productos o departamentos. En general, maneja modelos o funciones de los' datos y se caracteriza por trabajar con pequeos volmenes de informacin, pocos datos muy elaborados, realizar tratamientos de clculos muy complejos y procesos imprevisibles, llevar a cabo pocas consultas, operaciones y actualizaciones, que suponen, a veces, la realizacin de un gran nmero de tratamientos de la informacin. El tiempo de respuesta en muchos casos es tan slo de horas o minutos. 2. El nivel ejecutivo (tctico) traduce en tcticas los objetivos, polticas y misiones que le han sido fijados por el nivel gerencial; es decir, dispone adecuadamente de los recursos para alcanzar los objetivos, y cumple las misiones que corresponden a las polticas fijadas. Emplea infor
1186
macin elaborada; normalmente no le interesa el saldo de una cuenta, sino el saldo medio de las cuentas de un colectivo determinado. 3. El nivel operacional ejecuta las rdenes que le ha entregado el nivel ejecutivo. Maneja informacin elemental, no integrada, como puede ser el saldo de una cuenta para comprobar si puede aceptarse el pago de un cheque. Se caracteriza, en general, por manejar un elevado volumen de datos elementales, por realizar tratamientos de procesos simples, previsibles y rutinarios, llevar a cabo un elevado nmero de consultas y actualizaciones en un tiempo rpido de respuesta, y contar con extensos archivos.
El sistema de informacin general de la empresa debe estar configurado de forma tal que proporcione a cada nivel (gerencial, ejecutivo y operacional), informacin oportuna y exacta, a tiempo, fiable, necesaria y suficiente.
La organizacin
Existe una estrecha relacin entre organizacin y computacin que conviene aclarar, ya que en muchos casos da lugar a confusiones. Tal vez se deban en parte a la similitud de objetivos de ambas funciones, que slo se diferencian en el campo de aplicacin y en las distintas tcnicas y mtodos utilizados, de ah que no sea siempre fcil delimitar el campo de accin y responsabilidades de cada una de ellas en una empresa, lo que puede ocasionar problemas de solapamiento e interferencia, as como de reas sin cubrir. El objetivo de la organizacin es la proposicin, valoracin e implantacin de los recursos, su organizacin y estructuracin, as como el diseo de normas y procedimientos para optimizar su rendimiento. El objetivo de la computacin es similar, pero trata de recursos computarizados. Desde este punto de vista la computacin vendra a formar parte de la organizacin a modo de subconjunto. Cualquier sistema computarizado es dirigido, utilizado y aprovechado por personas estructuradas en rganos de la empresa, trabajando segn normas y procedimientos administrativos. Un proyecto de implantacin de un sistema computarizado como soporte de un conjunto de operaciones empresariales tendr una pequea probabilidad de xito si no se usan en sus fases de dise o y desarrollo a los tcnicos y profesionales en racionalizacin y organizacin administrativa. Son muchos los casos de sistemas computarizados correctos en principio, pero que han fracasado por no haber participado en su desarrollo los tcnicos en organizacin. Esta carencia ha comportado la imposibilidad de su aplicacin prctica en la realidad, o su escasa rentabilidad, ya que aspectos como el diseo en planta, la definicin de puestos de trabajo o la racionalizacin de circuitos administrativos son puntos que a menudo infravalora u olvida el tcnico en computacin. Para lograr un trabajo de calidad y obviar los inconvenientes recin sealados se debe optar por un trabajo coordinado de ambas clases de especialistas. En la actualidad an es habitual encontrar que la funcin de auditora computacional en la empresa se dedique a asegurar la existencia y verificar la adecuacin y cumplimiento de medidas y procedimientos que garanticen la cobertura contra riesgos, olvidando aspectos tan importantes de gestin empresarial como la propia consecucin de beneficios.
1187
Esta definicin puede ser aplicada al concepto de auditora computacional, en la cual el campo examinado se referir a productos, procesos y organizaciones computarizados. Ahondando un poco ms en la definicin se pueden examinar los trminos siguientes: 1. Metdico: esto quiere decir que el examen se ha de realizar en forma ordenada y planificada. 2. Calidad: conjunto de caractersticas de un elemento (producto, servicio, etc.) encaminadas a lograr que sea capaz de satisfacer unas necesidades dadas. (ANSI2/ASQC3 A3-1978). 3. Cooperacin con los interesados: el resultado de la auditora se entregar al interesado, y habr que recabar su ayuda para obtener acceso a la informacin precisa para realizar el anlisis. 4. Concordancia de la realidad con lo preestablecido: se entiende que cualquier producto, pro ceso y organizacin, ha de comportarse de acuerdo a unas normas o planes previos. Uno de los objetivos de la auditora es comprobar que realmente se acta de acuerdo a lo dispuesto. 5. Adecuacin al objetivo buscado: adems de comprobar el cumplimiento de planes y normas, ha de juzgarse sobre lo acertado de esos planes y normas, y en caso de haber discrepancia con el comportamiento real, averiguar sobre lo acertado de ste.
La definicin antes citada pue~e ser complementada con las siguientes: Actividad para determinar, por medio de la investigacin, la adecuacin de los procedi mientos establecidos, instrucciones, especificaciones, codificaciones, estndares, y otros requisitos, la adhesin a los mismos, as como la eficacia de su instrumentacin (ANSI N45.2.10.1973). Conjunto de tcnicas y actividades destinadas a analizar, evaluar, verificar y recomendar sobre el control, la planificacin, la adecuacin, eficacia y seguridad de la funcin computacional en la empresa. Examen discontinuo de un sistema computacional, o del servicio computacional, a peticin de su direccin, para mejorar la rentabilidad, la seguridad y la eficacia (P. Van der GHINST -CEGOS).
Justificacin
La auditora computacional surge como una necesidad ante la creciente utilizacin de computadores y paquetes de aplicacin en las empresas, a travs de las cuales se canaliza la mayor parte de la informacin de inters sobre las mismas. La aparicin del computador supuso un trastorno inicial en el trabajo de los auditores. La dificultad estribaba en que era un elemento desconocido hasta entonces, gobernado por programas realizados con complicados lenguajes, de documentacin escasa o inexistente, que se impona como un componente ms a estudiar en un flujo de trabajo o de informacin. Una primera aproximacin tendente a salvar este obstculo consiste en considerar el computador, su entorno y los programas de aplicacin, analizando sus entradas y salidas para verificar su concordancia con lo establecido. El restringido mbito de aplicacin inicial de la computacin en las empresas permita este comportamiento, ya que el riesgo asumido era soportable, y el esfuerzo que exiga la capacitacin precisa para examinar los procesos y entornas computarizados era ms costoso (o as lo pareca) que ese riesgo. La idea de que el riesgo era menor que el existente en la realidad, vena propiciado por la idea de infalibilidad del computador, sin considerar que la mquina ejecuta programas segn las estrictas instrucciones proporcionadas por los programadores y que es controlada por operadores, tratndose en ambos casos de personas en absoluto infalibles.
1. AFNOR: Asociacin francesa de normalizacin. 2. ANSI: Asociacin estadounidense de normalizacin. 3. ASQC: Asociacin estadounidense de control de calidad.
1188
A medida que va transcurriendo el tiempo, la importancia de la computacin se hace cada vez ms notoria en las empresas. Muchas de ellas sufrieron desastres importantes en sus centros de proceso de datos, con prdidas tanto de equipos como de soportes de informacin, llegando incluso en algunos casos a disolverse ante la incapacidad de afrontar los problemas creados por esta situacin. A raz de la gran cantidad de problemas surgidos, aparece una postura nueva que consiste en minimizar el riesgo de esos desastres, en hacerlos menos probables y en disminuir su impacto sobre la empresa en caso de que se produzcan. Se comienza a tener conciencia de que la vulnerabilidad de un centro de proceso de datos es tanto o mayor que la de cualquier otro departamento en la empresa. Se hace patente la posibilidad de que ste pueda sufrir algn percance, dado que con frecuencia es posible hallar una fuerte cantidad de dinero invertido en computadores y, el valor que se puede otorgar a la informacin contenida dentro puede ser comparable o incluso superior. Gracias a este reconocimiento, se crean centros dotados de fuertes medidas de seguridad, ubicados en lugares estratgicos, en vez de ubicarse en lugares cntricos y ser mostrados a todos los visitantes, como vena ocurriendo hasta ahora. El hecho de que la simple informacin almacenada en'un disco magntico, por ejemplo, puede contener los datos sobre el estado de las cuentas corrientes de clientes, hace posible que alguien con los conocimientos adecuados pueda modificar fraudulentamente esa informacin, genere transacciones falsas, se incremente el saldo de su cuenta, o su salario, ordene transferencias falsas de fondos, venda el fichero de clientes a una empresa competidora, o lo que es ms comn, que un pequeo error no intencionado, produzca efectos desastrosos, dada la gran cantidad de elementos que pueden ser afectados por ese error antes de ser detectado y corregido. Se estima que la incidencia de fraudes de este tipo es elevadsima, estimndose que slo se detectan un 10% de ellos y que muy pocos casos salen a la luz pblica por el temQr de las empresas a perder prestigio y confianza. Ante esta situacin, se entiende y establece que la 'funcin de auditora debe prestar especial atencin a lo que ocurre en el desarrollo y explotacin de sistemas computarizados, aplicando en algunos casos tcnicas tan clsicas como la de verificar la adecuada separacin de funciones y responsabilidades, as como la adecuada implantacin de controles que permitan detectar rpidamente un fraude o error y tomar las medidas apropiadas para subsanarlo. Por otra parte se considera el estudio de la adecuacin y eficacia de los sistemas computarizados. En general, en la actualidad se considera al departamento de computacin como un servicio ms, sometido a los mismos controles de eficacia y rentabilidad que los restantes de la empresa. En resumen, la auditora computacional surge como respuesta a una serie de riesgos planteados por el uso de la computacin en las empresas, a saber: fsicos, econmicos, de descontrol, incapacidad, ineficacia, costes y, por otra parte, a la importancia que asume la informacin dentro de la empresa.
La EDP Auditors Foundation realiz, en 1980, una encuesta para obtener una lista de las funciones realizadas por los auditores computacionales, con indicacin del porcentaje de esfuerzo dedicado a cada una de ellas. Como resultado, obtuvo una lista de 77 tareas, que agrup en los 11 conjuntos que se muestran:
1. Revisin de controles en los sistemas de aplicacin (Verificar que el sistema proporciona informacin oportuna, exacta, necesaria y suficiente: 9%). 2. Revisin de medidas de seguridad (Revisar mtodos, procedimientos y medidas para asegu rar la adecuada proteccin de informacin, software, equipos e instalaciones: 14%). 3. Revisin de la integridad de la informacin (Verificar que la informacin es completa, cohe rente y correcta: 13%). 4. Revisin de los procedimientos de operacin (Verificar que las aplicaciones se procesen en forma y entorno adecuado y controlado: 12%). 5. Revisin del desarrollo de sistemas (Verificar la existencia, adecuacin e integridad de pla nes y controles: 9%). 6. Gestin y planificacin de la auditora computacional (Planificar, organizar y controlar la funcin de auditora computacional; 9%). 7. Revisin de los procesos de mantenimiento de software (Revisar normas y procedimientos para realizar modificaciones en el software: 6%). 8. Revisin del proceso de desarrollo de sistemas (Verificar que se emplea una metodologa adecuada para el desarrollo: 5%). 9. Revisin del software bsico (Revisar controles sobre el mismo, existencia y cumplimiento de normas sobre su uso: 5%). 10. Revisin de planes y gestin (RevisaT planes, polticas, reglas de gestin, procedimientos administrativos del departamento, para verificar la adecuacin a los fines de la empresa: 5%). 11. Revisin de contratos (Verificar que la compra o alquiler de hardware, software o servicios se hace en forma legal, econmica y provechosa para la empresa: 3%).
Se hace notar que las cifras no indican la importancia relativa de las tareas, sino los consumos de esfuerzos que implican. Es importante dejar sentado que la auditora de un sistema computaTizado debe abordar el an' lisis y revisin, no slo en el mbito estricto del departamento, sino que ha de estudiar los sistemas desde que se originan los datos de entrada, en los departamentos usuarios, hasta que usuarios reciben la informacin de salida. La auditora que revisa slo los aspectos puramente computarizados no tendr una visin real; dl sistema. En efecto, en muchas ocasiones, un irreprochable proceso computarizado no es til porque no hay una adecuada distribucin de los informes de salida, o porque no hay manuales' actualizados de usuario; otras veces, un gasto importante en asegurar la confidencialidad de los datos es desperdiciado por la inexistencia de normas y disciplina de proteccin de la confiden"'" cialidad en los departamentos usuarios. Por ello, el auditor computacional debe realizar parte de sus tareas sobre procesos y circuitos fuera del departamento de computacin.
'
"
A modo de ejemplo, el ltimo punto citado implica conocimientos importantes sobre legislaf cin mercantil, mientras que otros tales como el referido a revisin del software bsico exige Calla cimientos sobre sistemas operativos as como la auditora sobre la adecuacin del parque compu tacional a las necesidades de la empresa, o la configuracin y uso de recursos hardware, aspecto!
1190
que normalmente exigen la utilizacin de un asesor en temas tcnicos: gestin de bases de datos, gestin de teleproceso, gestin de configuracin, hardware, etc. Estudio Por ello,inicial en teora el auditor computacional debe tener un conocimiento general de todos los puntos objeto de examen o revisin, con lo que podr determinar qu y cuantos colaboradores, con qu perfiles, precisa para que le A partir de latrabajo. definicin anterior de objetivos y mbito, deber realizarse un estudio global que permita conocer ayuden en su volmenes y complejidad de acceder las tareas a realizar. Los profesionales pueden desde dos vas a la auditora computacional: el auditor financiero u El trabajo se realiza a partir de entrevistas, cuestionarios y, posiblemente, muestreos para obte ner una idea de organizativo, que adquiere la formacin y experiencia en computacin, y la contraria, el tcnico.en computacin la dimensin y complejidad del mbito de estudio, lo que permitir estimar esfuerzos. Como elementos que se capacita en los principios y tcnicas de la auditora. fundamentales a considerar, pueden citarse la estructura y volumen de los elementos a estudiar:
A partir de esos parmetros, se ha de obtener una definicin de la envergadura del trabajo. .. El informe Ha de obtenerse un acuerdo formal sobre objetivos y mbito de trabajo, plasmado en un documen to en esta etapa ha de presentarse a validacin por los tcnicos y enlaces eo de obtenido especificaciones iniciales, firmado y validado. En cuanto a los objetivos, pueden consistir en: auditora para determinar si es correcto. Ha de obtene;se, finalmente, un informe validado sobr los parmetros observados respecto a dimensiones del trabajo y el esfuerzo a realizar.
Determinacin de perfiles
1. Mejorar costes, plazos o calidad. 2. Aumentar la seguridad o la fiabilidad. 3. Evaluar el funcionamiento de un rgano.
Estos objetivos posibles afectan a: A partir de la definicin del punto anterior se podr obtener una lista de los perfiles tcnicos pr cisos de las personas que habrn de colaborar en la realizacin de laplaneacin, auditora. Fundamenta menteyse tratar de: 1. Funciones administrativas: organizacin y personal, anlisis de costes contabili dad, desarrollo de procedimientos administrativos, asuntos legales. 2. Funcin de desarrollo de sistemas: desarrollo en s, mantenimiento. 3. Funcin de operacin: operacin en s, control de entrada y salida, teleproceso, 1. Expertos en comunicacin. 2. soporte tcnico, Expertos en bases de datos. etctera. 4. Servicios exteriores: servicios suministrados, servicios recibidos. 5. Soporte a la propia auditora: 3. Expertos en configuracin de hardware; adecuacin y medidas de eficacia y rendimiento. 4. Expertos en organizacin, planeacin, formacin. organizacin y racionalizacin del trabajo administrativo. 5. Tcnicos computacionales en general. 6. Psiclogos.
1191 1192
Del mismo modo se estimarn los recursos materiales necesarios en cuanto a: En el primer caso la realizacin de las actividades conlleva ms tiempo, pero se obtiene un tra bajo de ms calidad. Si se opta por escoger la segunda alternativa se ahorra tiempo, las actividades se pueden realizar ms 1. Software. rpidamente, pero se obtiene un trabajo de menos calidad. a) Paquetes de auditora. b) Compilad ores. c) Lenguajes. Elaboracin d) Monitores. del informe final e) Informes contables. En cada fase del trabajo se entregan borradores de los informes, a las personas implicadas, ya que puede haber 2. Hardware. existido algnde error de apreciacin, que en la crtica y validacin del borrador, debe ra detectarse. Tambin pueden a) Tiempo computador. b) ponerse de manifiesto aspectos oscuros, temas tratados incompleta o errneamente, o bien, asuntos no tratados. Es Equipos especficos. decir, a medida que se realizan los estudios de rganos, funciones o temas, se entregan borradores para su crtica y validacin. Con los informes validados se elabora el informe final, que se entrega al peticionario. O sea, que a partir de una sistematizacin de estos informes parciales, se obtiene el informe final cuyo contenido consistir en: Elaboracin de planes
Se aborda a continuacin la elaboracin de un plan, en que se indicarn: 1. Presentacin. 2. Listas Definicin de mbitos y objetivos. . 1. de actividades a realizar, estructuradas segn su secuencia lgica, as como perfiles de las per 3. Enumeracin de temas, rganos, aplicaciones, etc., considerados. 4. sonas para ejecutarlas, e inventario de medios necesarios. 2. Esfuerzos estimados para cada actividad por cada Anlisis. recurso preciso. 3. Se debe concretar en ellas la ayuda a recibir en la realizacin de la auditora en cuanto a:
a) Personal tcnico y administrativo. a) Software Situacin(equipos, prevista. tiempo de mquina). b) b) Presupuesto Situacin real. c) inicial. c) Contenido Tendencias. d) (aspectos) de los informes finales. d) Boceto. Puntos dbiles y amenazas que suponen. e) e) Puntos fuertes y oportunidades.
5. El Recomendaciones. plan se discute con los peticionarios de la auditora hasta obtener un acuerdo provisional, sobre todo de los cuatro ltimos apartados.
a) Descripcin. b) Plan de implantacin. c) Beneficios. de programas ElaboraciQn d) Plan de seguimiento y control.
Un plan se convierte en programa cuando las actividades pasan de estar asignadas a recursos tipo Ocasionalmente, se puede determinar que las personas u que han realizado la auditora intervendrn (perfiles) a ser asignadas a recursos concretos (personas rganos), con fechas de iniciacin y teren el futuro para seguir el realizacin. cumplimiento los planes deeste accin recomendados aspectos definidos minacin previstas para la Esde posible que de hecho se derive la en necesidad de realizar previamente. ajustes en presupuestos o calendario, debido a indisponibilidades o incompatibilidades de recursos. Hay que tener presente que en la elaboracin de planes no se pueden establecer calendarios, ya que se trabaja con recursos genricos y no concretos. Como resultado de esta etapa se obtendr: el programa, el calendario en firme y el presupuesto en firme. Reglas bsicas en la realizacin de una auditora Una vez ms hay que realizar una reunin con los peticionarios, o enviarles los tres puntos, para obtener un acuerdo escrito, o un contrato. Se indican en este apartado una serie de principios bsicos a tener en cuenta en la realizacin de una auditora de cara a lograr una mayor efectividad en el trabajo por parte del auditor computacional.
1. Fomentar la cooperacin de los elementos auditados. Normalmente se suele adoptar una actitud defensiva ante el auditor, que se piensa que ste busca culpables. Para evitar esa situa cin, o incluso que se llegue a un A partir de laya definicin en firme, se puede com'enzar la realizacin de la auditora, teniendo en cuenta boicot ms o menos abierto, es preciso convencer a todos los implicados de que el auditor slo busca mejoras y que puede abordarse: soluciones. 1. temas ejemplo, realizando enrealizar primerentrevistas lugar todos los trabajos 2. Por Contar con o elfunciones. apoyo de la Por direccin, ya que se debern y solicitar docu relacionados con seguridad; en segundo lugar, todos los relacionados con estructura, etc. mentacin y posiblemente trabajos de los elementos auditados. 2. Por rganos auditados. Por ejemplo, se hace el estudio completo de la seccin y luego deobtener la 3. Cuidar aspectos protocolarios; explicar al jefe de una unidad qu es loX que se desea en seccin Y, etc. una entrevista con un subordinado suyo; establecer una diferencia clara entre los jefes y los empleados.
1193 1194
4. Realizar una presentacin o entrevista inicial en que se explique el objetivo, su justificacin y se aclaren dudas. 5. Solicitar con la antelacin precisa la informacin inicial a obtener. Es decir, solicitar la infor macin precisa antes de comenzar los trabajos (manuales de normas, etc.). 6. No adelantar resultados parciales sobre un rea o funcin determinadas; las visiones o anli sis parciales pueden causar impresiones falsas y adems ser errneas. 7. Comentar con los interesados los resultados obtenidos antes de presentarlos a niveles supe riores.
Evidentemente, en caso de que se investiguen posibles fraudes o irregularidades maliciosas, la estrategia es distinta, debiendo cuidar que se realicen y preparen los trabajos pertinentes con el mayor sigilo posible. 1. No emitir juicios que no estn slidamente basados. 2. El auditor observa, juzga, recomienda. Al ser un personaje independiente de la funcin o ele mento auditado, no es responsable, ni realizador, ni usuario.
Simuladores
Dado que entre los elementos a observar figuran configuraciones hardware y software a veces hay que utilizar herramientas especiales para poder deducir el comportamiento del elemento en cuestin ante situaciones lmite, como pueden ser un corte de luz, un trfico muy elevado de informacin, etc. Se trata, en definitiva, de comprobar si poseen las caractersticas necesarias para hacer frente a estas situaciones. Hay simuladores basados en productos software y otros que usan una mezcla de hardware y software. Para ayudas en el diseo de redes de comunicaciones, por ejemplo, se pueden usar productos que simulan y predicen el comportamiento de una configuracin ante un suceso determinado, indicando capacidad de proceso, cuellos de botella, etc., o bien que rastrean el comportamiento de un elemento en una situacin real.
Paquetes de auditora
Son herramientas comnmente usadas por personas que realizan auditora por medio de la com putadora. Son programas o conjuntos de programas que permiten, con rdenes sencillas y de pequeo formato, generar programas que realizan funciones tpicas de muestreo al azar, muestrear segn otros criterios, seleccin de informacin que cumpla determinados requisitos, estudios estadsticos, edicin de informes, etc. Estos paquetes permiten un ahorro considerable de necesidad de formacin computacional por parte del auditor, as como una elevada velocidad de realizacin de los programas precisos.
1195
Monitores
Se trata de software, hardware, o combinacin de ambos, que miden el comportamiento de un sistema o componente del sistema, en una situacin e instante real. Se diferencian de los simuladores en que stos predicen o infieren el comportamiento de un elemento, mientras que los monitores slo miden, no provocan o simulan determinadas situaciones.
Matrices de riesgos
Las matrices de riesgo, tambin llamadas de amenazas, son las herramientas utilizadas para ana lizar riesgos y establecer medidas de cobertura. Se define la exposicin a un suceso como la pro babilidad de que se produzca ese suceso, mientras que el riesgo de un suceso viene determinado como el producto de la exposicin por el coste del suceso. El riesgo da una medida en dinero del coste probable que supone para una instalacin la existencia de una posible amenaza. Es importante calcular el riesgo de una instalacin o un sistema ante un suceso determinado, ya que del.anlisis del conjunto de los riesgos se deriva la definicin de prioridades y recursos que deben dedicarse a cubrirlos. Por ejemplo, un incendio total en un centro de proceso de datos puede ocasionar unos daos de 500 millones de unidades monetarias, con una probabilidad de que se produzca un incendio cada 200 aos. El riesgo que sufre la instalacin es, pues, de: 500.000.000 u.m. 200 aos
= 2.500.000 u.m./ao
El coste medio de recuperacin de un error en un proceso de facturacin puede ser de 30.000 unidades monetarias, y se producen 100 errores al ao. De ah se deduce que una exposicin elevada puede ocasionar riesgos elevados, aunque el coste unitario sea pequeo. Ha de tenerse en cuenta, cuando se habla de coste del suceso, que a veces es difcil de evaluar. Por ejemplo, en el caso de una empresa con tratamientos computarizados en lnea, el coste de una catstrofe, como podra ser un incendio del centro de proceso de datos ser igual al coste de reposicin de equipos + prdida de beneficios (no obtenidos) + prdida de clientela y negocio por disminucin o interrupcin de la capacidad de operacin. Como herramientas para anlisis de riesgos y medidas de cobertura, se usan las denominadas matrices de riesgos o amenazas, algunas de cuyas variantes son:
Elriesgo es de 30.000 u.m. x 100 = 3.000.000 u.m./ao.
1. Matriz 1 (probabilidad, amenaza, impacto) 2. Matriz 2 (amenaza, medida de cobertura, efecto) 3. Matriz 3 (amenaza, recurso, medida de cobertura)
1196
CAPTULO 52
Auditora de la planificacin
GERARDO GLVEZ MENESES Ingeniero comercial Universidad de Chile
mbito de actuacin de la auditora /52-1198 Auditora de la funcin de planificacin /52-1198 Conceptos relativos a la funcin de planificacin /52-1198 Problemas asociados a la funcin de planificacin / 52-1198 Niveles de planificacin /52-1199 El plan estratgico de sistemas /52-1200 Contenido del plan estratgico de sistemas /52-1200 Resumen del plan estratgico de sistemas / 52-1202 Planes tcticos / 52-1203 Planes operacionales /52-1203 Revisin de la planificacin por el auditor / 52-1203
1197
En un departamento de computacin los planes deben referirse a objetivos, actividades, pla zos, costes y recursos. Deben existir los mecanismos precisos (normas, procedimientos, rganos de planificacin, seguimiento y control), que aseguren la existencia, adecuacin y cumplimiento de planes, controles, administracin y medidas de gestin. La ausencia de algunos de ellos es un sntoma, sobre todo en grandes instalaciones, de posi bles deficiencias en cuanto a falta de coherencia, calidad o economa en las mismas.
li,
" '1
,~~
','
Informacin redundante, incoherente e inconexa. Como derivacin del problema antes citado, se puede '1 llegar a una situacin que se presenta actualmente en muchos bancos, en la que cada rea de negocio " ,,1 (cuentas personales, prstamos, valores, etc.) tiene ficheros propios de clientes, con formatos '1" incompatibles, por lo que se duplican en grado excesivo ciertos datos. Una persona que sea titular de !;,1~ varias cuentas corrientes y una cuenta de ahorro a plazo y varios depsitos de valores, puede tener sus datos personales repetidos, con distinto grado de actualizacin, tantas veces como cuentas tenga. "'" Corregir estos problemas, y sobre todo evitar que se vuelvan a producir en el futuro, es uno de los objetivos de la planificacin. Ha de considerarse que los productos computarizados deben adecuarse a " la estructura de la informacin empresarial. La misin de desarrollo de sistemas es lograr un sistema integrado por subsistemas o aplicaciones interconectadas con software comn y datos comunes, de redundancias controladas y coherentes. Este 1,1 sistema integrado no se logra sin los planes adecuados.
,'" ' k
1198
~\ .
"""" "
,WI,~
Auditora de la planificacin
Parque computarizado catico. La poltica de adquisicin (compra, alquiler, leasing) de equipos computarizados a veces no est definida y planeada, y las responsabilidades en este sentido se hallan dispersas. Con ello se logra tener en una misma instalacin elementos hardware o software incompatibles, e incluso en franca competencia.
Rumbo indeterminado del departamento. La inexistencia o incumplimiento de planes provoca la existencia de instalaciones donde se realizan muchos anteproyectos, se empiezan menos proyectos, se terminan menos y muy pocos se usan o sirven para algo. Desconexin del departamento con la realidad de la empresa. Evidentemente, los planes de mayor nivel del departamento han de ser aprobados y controlados por la direccin de la empresa. Ello produce un deseable contraste del mundo computarizado con la empresa, con adecuacin de aqul a las necesidades y objetivos de sta. Objetivos inexistentes, desconocidos o mal formulados. Los objetivos han de ser claros y medibles. Suelen encontrarse definiciones de objetivos que no son tal sino enumeraciones de medios. Por ejemplo, mecanizar un servicio no es un objetivo. Un objetivo podra ser bajar en un 20 % los costes de ese servicio.
Niveles de planificacin
Existen diversas terminologas para definir los niveles y clases de planes, en funcin de su contenido y alcance. Se adopta la siguiente clasificacin en tres niveles: Planificacin estratgica (alto nivel). El plan estratgico define misiones, objetivos y polticas. Se contempla a largo plazo (5 aos) y su mbito abarca el sistema de informacin (toda la empre sa). Como ejemplo de objetivos podran citarse:
a) Tiempo medio de servicio a un cliente inferior a un minuto. b) Tiempo de servicio a un cliente inferior a dos minutos en el 95% de los casos. c) Coste por operacin inferior a 25 unidades monetarias. d) Incrementar el margen de intermediacin un 15%. e) Aumentar el pasivo en un 25%.
Cuando los objetivos se alcanzan, las misiones se cumplen. Como ejemplo de polticas se podran citar las siguientes: a) Descentralizar los equipos y desarrollo de software. b) Promover el uso de mquinas de autoservicio. c) Frenar el incremento de la plantilla de personal.
Las polticas que restringen las variables de actuacin han de respetarse.
Planificacin tctica (medio nivel). El plan tctico dispone adecuadamente los recursos disponibles para cumplir las misiones y alcanzar los objetivos fijados dentro de las polticas determinadas: Tiene una duracin de 1 a 2 aos, se refiere.a proyectos (parte de la empresa). Dentro de las tcticas que pueden emplearse para lograr los objetivos, acordes con las polticas fijadas, se citan:
a) Menos clientes, ms rentables? b) Racionalizar diseo en plantas de oficinas?
1199
Planificacin operacional (bajo nivel). El plan operacional es un desglose a mayor nivel de detalle del plan tctico. Sus caractersticas son anlogas a las de ste en cuanto a la definicin de su contenido. Pero es un plan a corto plazo y est referido exclusivamente a sub proyectos o a fases de subproyectos. Como ejemplo de un plan operacional podran citarse: a) Realizar curso X para los puestos Y, Z de trabajo. b) Realizar el programa P: Programacin, Pruebas
1. Planes de la empresa. 2. Directrices que le han sido fijadas. 3. Informacin del entorno tcnico, del mercado y la competencia. 4. Informacin de gestin interna del departamento. 5. Informacin procedente de rganos usuarios. 6. Informacin procedente intercambios de experiencias con otros centrosde 'mii!! similares. Adems de revisarse y de aprobarse, debe ser publicado en los mbitos de difusin pertinentes .",,, ,w la empm,a, con objeto de qne ,ea conocido po< quiene, deban n,ado. Su ,ev;,;6n y coceecdn .., .:. ! (o confirmacin) se realiza cada 6 o a lo sumo 12 meses, o en cualquier momento en caso de pre- i; sentarse desviaciones de importancia de las hiptesis, previsiones o desarrollo del plan. Hil de ser usado como marco de referencia para todos los trabajos del departamento: desarro llo de sistemas, adquisicin de equipo o software bsico, comunicaciones, etc.
"'10.~ i,~
Auditora de la planificacin
1. Situacin actual. En esta etapa se analiza el punto de partida, definiendo no slo la situacin del departamento sino, sobre todo, teniendo en cuenta el alcance del plan, la de la empresa, y la de la competencia. La existencia de productos tecnolgicos (hardware, software, facilidades de comunicacin) determina tambin los posibles tiles en que se puede apoyar el sistema de informacin mecanizado. Por otra parte, ha de especificarse la situacin (puntos dbiles y fuertes) del propio departamento, para aprovechar en el futuro los puntos fuertes (oportunidades) y corregir los dbiles (amenazas). Aspectos como la carga de trabajo que se tiene en la actualidad, sobre todo la de mantenimiento de aplicaciones, la formacin y experiencia de las personas, la carga de equipos, etc., son importantes a la hora de definir la situadn actual. 2. Hiptesis. Se formulan unas previsiones sobre el comportamiento de la empresa en cuanto a capacidad, necesidades, oferta y demanda, la tecnologa, competencia, etc., para el perodo de tiempo en que se deber aplicar el plan. Se supone que se cumplirn esas previsiones, en cuyo caso se debern alcanzar los objetivos fijados. A lo largo de la vida del plan debern hacerse las revisiones precisas, sobre todo, si se detecta que alguna de las previsiones no se cumple, en cuyo caso habr que realizar las correcciones pertinentes al plan. 3. Polticas de empresa. Las impone la direccin de la misma, y consisten en restricciones a las posibles variables de actuacin para cumplir las misiones y alcanzar los objetivos. Se trata de decisiones de alto nivel, como descentralizacin o centralizacin del proceso de datos, descentralizacin del desarrollo de software, autonoma o conexin a grandes centros, lneas privadas o pblicas de comunicacin, modelo de centro usuario computacional, estructura, personal, equipo, etc. Esas decisiones, que han de respetarse durante largo tiempo, y usarse en todos los subsistemas a implantar, vienen fijadas por la direccin.
4. Objetivos del departamento. Constituyen' la parte fundamental del plan y consisten en definir los objetivos claros y mediblesque debe conseguir la funcin computacional en la empresa.
Pueden resumirse en:
.
a) Calidad y cantidad del servicio. b) Coste del servicio. Normalmente, no se suele hablar de costes de los planes de proyectos, ni de los de las aplicacio nes ni incluso, de los de la totalidad del departamento. Es misin del auditor, entre otras, lograr que el profesional de la computacin hable en trminos de coste y magnitudes medibles, en lugar de referirse a beneficios intangibles. Como ejemplo de posibles objetivos pueden citarse: a) Tiempos de respuesta a procesos en lnea. b) Capacidad de proceso de trabajos y transacciones; trficos. c) Tasas de errores e indisponibilidad. d) Coste de cada servicio. e) Servicios mecanizados a implantar y correspondiente justificacin econmica. f) Captacin de mercado por medio de servicios a clientes. Hasta ahora los puntos mencionados se articulan en la proposicin: Partiendo de 1 (situacin . actual), si se cumple 2 (hiptesis), lograremos 4 (objetivos del departamento) respetando 3 (polticas de empresa). Los siguientes aspectos definen cmo se van a lograr esos objetivos.
5. Arquitectura del subsistema de informacin mecanizada. Indica el diseo funcional global del subsistema a lograr. Es posible que a lo largo del plazo del plan no se prevea obtener la totalidad del subsistema. En cualquier caso, ha de indicarse la arquitectura total, aclarando quparte del mismo deber realizarse a lo largo del perodo planificado. Se deber indicar quaplicaciones se realizarn, su impacto sobre reas usuarias y la interrelacin entre ellas.
1201
6. Necesidades de seguridad, confidencialidad y control. La importancia de este punto radica en el hecho de que, actualmente, la posesin de informacin de calidad condiciona ms que nunca el xito de una empresa. Adems, la capacidad de procesar los elevados volmenes de informacin que guardan las computadoras, y la posibilidad de copiar esa informacin a un bajo coste, hace preciso considerar la informacin como un activo de la empresa, y equiparar la prdida de confidencialidad o la destruccin de informacin a prdida de dinero. El fraude por medio de la computacin, puesto de relieve en los medios de comunicacin, ha de preocupar lo bastante como para que se adopten adecuados sistemas de control de acceso a la informacin. 7. Arquitectura tcnica. Una vez definido el modelo funcional, se deber definir en qu elementos de hardware y software se implantar ese modelo. En cuanto al hardware habr que considerar:
a) Equipos centrales: clase, cantidad y configuracin. b) Equipos distribuidos: clase, cantidad y configuracin. c) Redes de comunicaciones: volumen, clase, tipologa. d) Mquinas para incremento de la calidad y productividad del propio departamento. y en lo que se refiere al software: a) Software bsico. b) Sistemas operativos. c) Gestores de bases de datos. d) Gestores de comunicaciones. e) Paquetes de aplicaciones. f) Software para incrementar la calidad y productividad del propio departamento. g) Aplicaciones propias. No se trata de definir marcas y modelos, sino caractersticas y requisitos que han de cumplir. La seleccin de los mismos podr hacerse a posteriori. 8. Necesidades de personal a) Cantidad de personas por cada perfil preciso. b) Planes de formacin. c) Planes de contratacin. d) Manera de contactar con personas e instantes en que se deber poder disponer de ellas.
9. Riesgos y contingencias. Dado que en el anlisis de la situacin actual se han detectado pun tos dbiles, que en el futuro podrn convertirse en amenazas, y que el plan se basa en el cum plimiento de unas previsiones, es posible, desde el momento en que se est elaborando el plan, definir una lista de posibles riesgos, con el impacto que tendran sobre el mismo, y las medidas correctoras a adoptar en caso de que se presentaran. En definitiva, se tratara en este punto de describir los posibles riesgos, explicar cules seran sus sntomas, qu elementos se veran afect?dos y cules seran las acciones a ejecutar si estos hechos se produjesen.
CAPTULO 53
Auditora de la planificacin
hardware y software 7 (arquitectura tcnica), para lo que se prevn unas necesidades de personal 8 (necesidades de personal). Existen los riesgos 9 (Riesgos y contingencias), que habr que vigilar adecuadamente. JAIME LINDEGAARD VEGA
Auditora de sistemas
Planes tcticos
Tcnico en Computacin Socio International Multimedia Design Representan el nivel intermedio, con un alcance de 1 o 2 aos. En realidad no hay un plan tctico sino un conjunto
de ellos, ya que existen planes independientes, relativos a proyectos identificados y definidos en el plan estratgico, que determina la estructura maestra a que todos deben acomodarse. Los planes tcticos los realiza la direccin del departamento, pero deben ser conocidos y aprobados en el mbito de la direccin de la empresa. Han de revisarse y confirmarse (o modificarse) trimestralmente y su seguimiento es responsabilidad del comit de computacin. El contenido de estos planes es un programa (plan con responsables concretos de cada actividad y fechas de ejecucin) de cada proyecto.
Auditora de la construccin de sistemas /53-1206 Problemas asociados a Son los que tienen mayor grado Puntos de detalle a corto la construccin de sistemas / 53-1206 clave y dealcance la construccin deplazo. La responsabilidad de su con feccin, / seguimiento y control, atae al jefe de proyecto, en el caso de referirse a construccin de sistemas 53-1207
Planes operacionales
puede indicarse que grado de de detalle que ha dePrincipios alcanzarse en este nivel debe llegar a definir Auditora del proceso de el construccin sistemas /53-1207 actividades de duracin semanal o quincenal. fundamentales de la gestin de proyectos / 53-1208 La planificacin en la construccin de sistemas /53-1208 Fases en el proceso de construccin de sistemas /53-1208 Puntos clave de la buena planificacin de un proyecto /531209 Revisin de la planificacin por el auditor Como sede ha dicho, de los deben existir, estar formalizados Auditora la calidad unplanes producto computarizado Principios /53-1211adecuadamente, ser razonables y coherentes con la planificacin global de la empresa, adems de mantenerse y utilizarse. El auditor ha clave /53-1211 Definicin depues: calidad /53-1211 de verificar Plan de garanta de calidad del software / 53-1211 Medidas de control del software / 53-1213 1. Queinterno existan documentos aprobados por los rganos competentes en que se reflejan los tres niveles de planificacin. 2. Que estn publicados y sean conocidos por las personas dentro de sus mbitos de difusin. 3. Que sean realistas y armnicos con los de la empresa. 4. Que existan las normas y procedimientos precisos para su confeccin, publicacin y manteni miento. . 5. Que esas normas y procedimientos sean adecuados y seguidas. 6. Que se revisen con la periodicidad adecuada, as como en caso de ocurrir algn suceso que lo exigiera. 7. Que se incorporen a los planes las modificaciones que se haya credo preciso indicando: a) Por qu (causa). b) Quin decide la modificacin. c) En qu consiste la modificacin. d) Beneficios u objetivos a conseguir con ella.
1203 1205
1. Construccin de sistemas inadecuados: sus caractersticas lo hacen intil para el fin que esta ba previsto. 2. Sistemas ineficaces: la ineficacia es uno de los apartados de la falta de adecuacin, relaciona da con la capacidad de proceso y la satisfaccin de las necesidades del usuario. Parmetros tpicos de eficacia son:
a) El nmero mximo de accesos que puede soportar. b) El tiempo de respuesta. c) El coste de acceso.
3. Sistema inseguro: presenta dos aspectos, facilidad de intrusin y realizacin d'e operaciones no permitidas, y admisin de datos incorrectos (o rechazo, como errneos, de datos correctos). 4. Sistema difcilmente mantenible: se supone que el mantenimiento engloba funciones de solu cin de fallos y defectos, ampliacin, modificacin a peticin de usuarios o del propio depar tamento de computacin 5. Sistema no fiable: presenta fallos (errores o averas) con frecuencia. Esas amenazas se refieren al producto de la actividad de construccin de sistemas. Hay otras amenazas que afectan no al producto sino al mtodo de trabajo, a la propia actividad de construccin. Usando un smil en la industria, diramos que la posibilidad de obtener una pieza defectuosa es una amenaza sobre el producto, mientras que emplear tres horas en elaborar una pieza que razonablemente podra elaborarse en una hora, es una amenaza sobre la propia actividad de construccin. Las amenazas sobre la actividad de construccin son: a) Incapacidad para realizar el trabajo previsto: no son infrecuente s los casos en que, en un momento dado, se ha de desechar todo lo realizado hasta ese instante y recomenzar, o enco mendar el trabajo a otro equipo, incluso en el exterior del departamento. b) Incumplimiento de plazos: excesivo consumo de recursos c) Sistemas inacabados: en computacin suele ser frecuente encontrarse con sistemas que se encuentran prximos a su terminacin, y pasan largos perodos de tiempo en ese estado, sin que se produzca avance alguno.
1206
;1 '
Auditora de sistemas
. . . . . . . . . . . . . . .
Es el sistema interesante para la empresa? Es el sistema interesante y til para los departamentos usuarios? Su funcionamiento es el ms simplificado posible? Es fcil de mantener? Cuenta con buena documentacin? Es modular (capacidad de crecimiento y reutilizacin)? Tiene suficiente flexibilidad (capacidad de absorber las modificaciones que impongan las peti ciones y necesidades de los usuarios o la tecnologa)? Hace un uso adecuado de los recursos hardware y software? Tiene los mecanismos precisos de seguridad, confidencialidad y control? Estn definidos los objetivos del sistema? Estn definidos los participantes en la construccin de sistemas y sus responsabilidades? Se ha hecho el anlisis adecuado? . Estn previstos los procedimientos de planificacin, control y administracin del proyecto? Est previsto el plan de transicin del viejo al nuevo sistema? Est prevista la formacin y asistencia a usuarios? Intervienen todos los implicados (usuarios, tcnicos, representantes de explotacin, etctera)?
Es un vicio comn en la construccin de sistemas el no prestar la atencin precisa a las etapas iniciales del proyecto y pasar rpidamente a hacer el anlisis tcnico (orgnico). Ha de tenerse en cuenta que un error u omisin en las etapas anteriores (definicin de requi sitos o anlisis funcional) suele implicar la adopcin de un sistema intil, o bien el tener que rehacer todo lo que se haba realizado hasta la deteccin de ese error u omisin, por lo que el riesgo que se asume es muy elevado.
Evidentemente, la primera parte (tcnicas de planificacin), exige conocer la estructura bsica o modelo de realizacin del proyecto; fases, actividades, tcnicas, perfiles de los profesionales que intervienen, etc. Las dems tcnicas son comunes a la direccin de cualquier tipo de proyecto (marketing, ingeniera, etc.).
'. ,~ 1i!
"
jj 1
.
.,"I!:,,~
Auditora de sistemas
3. Estudio inicial: estudio breve de los elementos dimensionales del sistema computarizado a implantar; volmenes, tendencias, funciones, requisitos, cuyo objetivo es proporcionar una definicin global de la arquitectura del sistema; presentacin de posibles alternativas de solucin para que los rganos apropiados elijan la ms conveniente; estructuracin global. 4. Estudio detallado: una vez definido el modelo elegido, definicin de todas y cada una de las funciones a soportar por el sistema; definicin de las cadenas en que se resolver el sistema. Estimacin mucho ms firme. Escritura de los cuadernos de especificaciones de los programas a realizar. Planes de detalle para la transicin del sistema antiguo al nuevo. 5. Realizacin: programacin, prueba e integracin de programas, cadenas y aplicaciones. 6. Implantacin: inicializacin de ficheros, formacin y entrenamiento de usuarios; transicin paulatina, tal vez con fase en paralelo; medida y evaluacin de resultados esperados contra los previstos; correccin de fallos y defectos. 7. Explotacin: utilizacin rutinaria del sistema durante un perodo ms o menos largo de tiempo. En esta etapa hay actividades de mantenimiento (preventivo, correctivo y modificativo), ascomo de seguimiento y medida de resultados. 8. Baja del sistema: al cabo de cierto tiempo se sustituye el producto por otro debido a su obso lescencia tcnica; incapacidad de soporte tcnico; incapacidad de soportar los requisitos y necesidades de exactitud, tiempo de respuesta, volumen de uso, cantidad de usuarios; o a repetidos fallos o defectos que lo hacen poco fiable.
El conjunto de las ocho etapas citadas se conoce como ciclo de vida del software. A lo largo de esa vida, el auditor computacional ha de revisar la calidad o adecuacin del producto, o bien la calidad o adecuacin del mtodo de diseo, desarrollo, implantacin y control.
1209
sores. El jefe de una seccin dir si la visin global de la misma, si las deficiencias a solucionar o las necesidades detectadas son acertadas o no. 5. La estimacin de costes, plazos y esfuerzos ha de realizarse a partir de estndares de la instalacin; los de otras instalaciones no suelen servir. Como factores a tener en cuenta para estimar un proyecto, los ms importantes son: a) Complejidad: Servicios de la empresa afectados: cantidad, interrelaciones con otros, estructura, cantidad de puestos de trabajo diferentes, nmero de efectivos/clase de puesto. Aplicacin piloto en uso de un hardware o software bsico determinados. Inexperiencia en uso de hardware o software determinados de la instalacin. Usuarios que nunca han empleado servicios computarizados. Aplicaciones en tiempo real. . Trfico elevado. Experiencia y formacin de los recursos. Metodologa de trabajo. Herramientas de ayuda: diccionario de datos, editores, tiles para prueba y depuracin, generadores de programas, paquetes de control de proyectos. Lenguajes de programacin. Entorno de la instalacin: tecnolgico, metodolgico. b) Cantidad y complejidad de informes y destinatarios de los mismos. c) Cantidad y complejidad de transacciones de entrada. d) Controles y validaciones a realizar. e) Cantidad y complejidad de archivos y bases de datos. f) Necesidades de flexibilidad y crecimiento. 6. Ha de verificarse la adecuacin de personas a las actividades encomendadas: experiencia, conocimientos, caractersticas humanas: facilidad de comunicacin, trabajo en equipo, etc. 7. Ha de verificarse la existencia de mecanismos de comunicacin entre los distintos proyectos y entre las partes de cada uno de ellos. La incomunicacin se traduce en aplicaciones y ficheros inconexos, trabajos intiles o duplicados y diseos faltos de calidad. Uno de los principios para lograr una funcin computarizada de calidad es que se ha de lograr un sistema de informacin integrada, con redundancias controladas. Se debe lograr un modelo en el mbito estratgico, tctico y operacional con aplicaciones que compartan informacin e incluso software. 8. Existencia de un mecanismo d control de cambios: gran parte de los defectos de un sistema software se introducen en l debido a la incorrecta aplicacin de un cambio de especificacio nes. Normalmente, se suele hacer un esfuerzo inicial, al arrancar el proyecto, y al realizar cada fase de trabajo, en planificar, analizar, evaluar el impacto del trabajo sobre los elementos organizativos correspondientes, etc. Sin embargo, una vez terminada la fase x, cuando en una fase posterior surge una modificacin se realiza a toda prisa, con un anlisis superficial, realizado por pocas o una sola persona, con un riesgo elevado de producir efectos no deseables sobre otros elementos del sistema. El auditor debe verificar la existencia y adecuacin de un procedimiento que asegure:
. . . . . . . . . .
Criticidad.
b) Que se aprueben y validen por los rganos pertinentes. c) Que se analice su impacto, sobre planes y calendarios, y si es preciso, se reevalen stos. d) Que quede un registro adecuado del cambio: fecha, peticionario, validador, motivo, des cripcin, impacto y acciones realizadas.
El registro es muy til como herramienta para detectar problemas de diseo: un volumen elevado de cambios suele implicar diseos faltos de calidad.
1210
Auditora de sistemas
9. Existencia de reuniones repaso y coordinacin: se comunica el IEEE estado(Asociacin de las actividades que desarrollan unos El contenido del diseode preliminar del modelo propuesto por la de Ingenieros Elctricos y miembrosde del proyecto a los dems, se realizan revisiones cruzadas, se intercambian experiencias y se explican Electrnicos USA) consiste en: los problemas detectados, con lo que hay posibilidad de que los dems miembros ayuden a resolverlos. La de estas reuniones como resultado un el aumento la cohesin y sinergia de grupo 1. realizacin Propsito: justificacin de por tiene qu se decide implantar plan dede garanta de calidad del software. 2. y un fuerte aumento deala calidad. Documentos que se hace referencia: normalizados, lista de ellos. 3. Gestin del plan: organizacin del plan, tareas, responsabilidades. 4. Documentacin: documentacin (especificacin dedesarrollo requisitos, descripcin 10. Mecanismo depropsito, control de proyectos: en un centro de con cierto del nmero de personas (a diseo, plan de verificacin validacin, de verificacin y validacin, documentacin para los partir de 40-50) puede sery til emplearinforme una herramienta software, desarrollada en el propio centro o usuarios). un paquete estn dar. Sus ventajas son la estandarizacin, que obliga a formalizar la planificacin y 5. Otra documentacin: plan de desarrollo del software, planydeerrores, gestin de configuracin del simulaciones. El administracin por escrito, economiza tiempo permite realizar software, normas y procedimientos. inconveniente principal, aparte del precio del paquete o desarrollo, estriba en que es innecesario 6. Documentacin definicin de requisitos del usuario, especificaciones de relacio para pequeos adicional: proyectos. nes externas (ficheros, bases de datos, software). 7. Especificaciones de relaciones internas. 8. Manual de entrenamiento. 9. Manual de operacin. 10. Manual de instalacin. 11.auditor Manual de mantenimiento. El computacional debe realizar revisiones sobre la calidad de las aplicaciones desde fases muy tempranas 12. ciclo Plan de de vida entrenamiento. del software. Ha de considerarse que el coste de una aplicacin puede ser bastante elevado, por lo que 13. y convenios: propsito, (requisitos, diseo, implantacin, prue que el coste de un si seNormas, obtiene prcticas como producto algo intil, se ha contenido realizado un gasto que es muchas veces mayor, -ba, documentacin). posible fraude o error, para los cuales se prevn mecanismos adecuados de control. 14. Revisiones y auditoras: propsito, requisitos mnimos a revisar (requisitos del software, dise o preliminar, diseo crtico, plan de verificacin y validacin, auditora funcional, audito ra fsica). 15. Gestin de la configuracin software. Principios clave 16. Gestin de problemas. 17. Herramientas, tcnicas y metodologa. El coste de resolucin de un error u omisin, cometido en un punto dado de la vida de un producto software, 18. Control del software. aumenta exponencialmente con el tiempo transcurrido (o el esfuerzo realizado), hasta que se detecta y se adoptan 19. Control fsico: acceso no autorizado, dao, inadecuacin o degradacin. las medidas correctoras precisas. Esto supone que un diagnstico temprano puede ahorrar cantidades importantes 20. Control de proveedores de software. de esfuerzo, tiempo y dinero. 21. Registro, mantenimiento y retencin de la documentacin de garanta de calidad. Las funciones de auditora o de control interno han de intervenir desde las fases iniciales del proyecto, en aspectos determinados, o propios, fijados por hitos (principio o final de una fase, etc.), peridicamente (quincenal o merisualmente) o en aspectos elegidos alde azar (muestreos). Evidentemente, el auditor no puede revisar y asegurar Como se puede observar se trata un modelo ambicioso, que normalmente no puede implantarse la bondad del en producto en su totalidad, yaes que le exigira uq evolucin esfuerzo depaulatina, magnitud ya similar todo el inicialmente una empresa, sino que el ello resultado de una que al es de dif cil su proyecto, porpor lo que ha de de personas concentrarse puntos claves (seguridad, calidad de diseo, control) y verificar que los aceptacin parte no en habituadas a metodologas de trabajo y documentacin. trabajos sese realizan con mtodos no apropiados que aseguren una elevada probabilidad de xito. En l ven involucrados slo la funcin de auditora computacional sino tambin los rganos de
control interno o control de calidad de la funcin de desarrollo, as como los propios recursos de desarrollo, sobre todo los jefes de proyecto, que han de prever en su planificacin las tareas necesarias para garantizar la calidad. Definicin calidad de un modelo planificado de garanta de calidad del software en un centro de Lograr la de implantacin desarrollo supone una gran ayuda para lograr la estandarizacin de productos, y por tanto, su auditora. Como de varias se lgicamente pueden citar como deseables del software: la utilidad, la Comosntesis camino para su definiciones, implantacin, debencaractersticas seguirse las fases siguientes:
fiabilidad, la exactitud, la seguridad, la modularidad, la flexibilidad, la comodidad, el mante nimiento, la dimensin adecuada, la documentacin adecuada, la aceptacin por los usuarios, la existencia de mecanismos de medida de nivel de servicio los usuarios, la existencia de mecanismos de cOI1trol interno que proporcionen seguridad, a) Propuest. a de la direccin. privac~dad, controles de fechas, arqueos, cuadres, etc. b) Aceptacin por la direccin.
c) Presentacin al personal de desarrollo. d) Aceptacin del personal de desarrollo. e) Planificacin de la implantacin: identificacin de recursos precisos, planificacin en el tiem Plan de garanta de calidad del software po, evaluacin de riesgos. Es un plan dedel aplicacin f) Formacin personal.a uno, o a todos los productos software, de un modelo planificado y sis temtico de acciones necesarias para obtener un grado adecuado de confianza de que el producto en g) Distribucin del plan. cuestin cumple los requisitos, entre ellos el de calidad. h) Ejecucin del con plan.
1211 1212
1 '11, , ~
f,y
~~;,' " ,,',
CAPTULO 54
Auditora de sistel
y Debido a que el software de aplicacin constituye la plasmacin para un sistemay computariza de un administracin, entorno operativo procedimiento anteriormente realizado en forma manual, ha de dotrsele de las medie de control precisas: prevencin, deteccin correccin de errores, fallos y fraudes o sabotajes control de y gestin En principio las medidas citadas han de definirse funcionalmente, como si se fueran a impla tar
,;r.
I,
en sistemas administrativos comunes. Ejemplos de ello seran los cdigos autoverificados, GERARDO GLVEZ MENESES uso de sumarios de importes y fechas, doble pulsacin de datos muy importantes, verificacion de formato y verosimilitud, control de acceso a la informacin, custodia de documentos negad bles, etc. Ingeniero Comercial Esas medidas funcionales, complementadas con otras que son especficamente precisas por t Universidad de Chile peculiaridades del proceso computarizado (respaldos, etc.) se traducirn en especificaciones ql ha de cumplir el software. EUGENIA LINDEGAARD VEGA A continuacin se especifican familias de controles a implantar en el software:
Ingeniero Comercial Universidad de cuadres Chile de totales (importes, fechas, suma de cdigos), validacin de fo: 1. Controles en entrada: matas, control de verosimilitud, dgitos de autoverificacin, controles de acceso, custodia d documentos segn normas legales e internas 2. Controles en procesos: etiquetas (asegurar que se usan los archivos correctos), registro de con Auditora de la organizacin y administracin trol (arqueos, secuencia de /54-1216 fechas), tratamiento de errores (deteccin de transacciones inco rrectas fl '" con los archivos maestros existentes), procedimientos de recuperacin y re arranque registro para J, L Problema~. asociados a la organizacin y administracin /54-1216 auditora (debe poderse seguir la pista desde un suceso hasta su origen), contra les de integridad J,J:" (contadores de registros, etc.), histrico de cantidades (hoy = ayer + mov mientas de hoy), , Aspectos <I considerar /54-1216 seguridad lgica (control de acceso y de autorizacin) Estructura /54-1216 3. Controles en salida: etiquetas y ttulos (asegurar que se tratan los archivos o listados correctos), ~ Definicin de funciones y responsabilidades / 54-1216 Normas cuadres y conciliaciones, informes sobre cantidades y calidad de informes emitidos, con objeto de y.procedimientos internos / 54-1217 f asegurar que se enven todos y que son correctos, distribucin (instrucciones y controles Dotacin asignacin de recursos humanos y materiales Polticas /54-1217 pertinentes), custodia de documentos negociables, formularios numerados, instrucciones para 1, " de personal/ 54-1218 garantizar la confidencialidad. Relaciones con usuarios / 54-1218 4. Debido a las peculiaridades del proceso de datos, hay que prestar gran atencin a los controles de Relaciones con proveedores /54-1219 recuperacin y rearranque. En efecto, en cualquier momento puede estropearse un disco magntico, que contiene una gran cantidad de informacin (cientos de millones de caracteres), o un programa Auditora del entorno operativo /54-1219 que est actualizando un fichero puede acabar anormalmente, dejando el fichero que se est Seguridad /54-1220 actualizando en un estado extrao (parte actualizada y parte sin actualizar). Por otra parte, hay Planes de contingencia /54-1221 procesos de gran duracin (6, 7, 10 horas) que pueden terminar anormalmente, por ejemplo, despus Configuracin, adecuacin y uso del parque computacional / 54-1222 de ese tiempo. Hay que tener prevista Configuracin ydel uso90% del hardware /54-1222 Configuracin y uso de una solucin a todos esos problemas. Para controlar la amenaza de soporte destruido, se tienen respaldos (backups) o copias de los software bsico /54-1223 ficheros, de manera que se puede trabajar con esas copias. Red de comunicaciones /54-1224 En caso de que termine anormalmente un programa que est actualizando un fichero, se implantartlos denominados checkpoints, (puntos de chequeo), lugares en los que se puede comprobar Auditora del control de gestin /54-1225 Control que hasta ese momento el proceso realizado es correcto. Si el error se produjera en un instante de objetivos / 54-1225 posterior, slo se tendrde que relanzar el trabajo a partir de ese punto, sin necesidad de repetir el Control de rendimientos / 54-1226 Control trabajo anterior. Normalmente presupuestos /54-1226 Imputacin de costes /54- se suelen utilizar ckeckpoints cada cierto tiempo (10-15 minutos), o cada cierto nmero de registros procesados. 1227 Otro de los aspectos a prever es el de la retencin de ficheros durante cierto tiempo. Los sopor tes de informacin deben guardarse durante' el tiempo preciso para asegurarse de que si se detecta una incorreccin en un fichero posterior, ste se pueda regenerar adecuadamente. l
1215
1213
Aspectos a considerar
En una auditora de la funcin de organizacin y administracin se deben considerar los siguien tes aspectos: .
Estructura
La adecuacin o inadecuacin de la articulacin de rganos, sus flujos de trabajo, funciones, etc., debido a que pueden introducir puntos fuertes o dbiles.
.\; ~
I ;\\1 1
i
,1
,,:, ii'~
mi,I', .-
Una herramienta til para plasmar la distribucin de funciones es la matriz de responsabilidades en que se indica la responsabilidad del puesto en la funcin (realiza, asesora, colabora, aprueba, controla), prestando atencin adems de a los solapamientos posibles, a los aspectos sin cubrir.
Con una adecuada planificacin, que no implique la terminacin de todas las actividades en las mismas fechas para todos los proyectos, sino que se esparzan a lo largo del ao, se eliminan las sobrecargas totales del departamento. Otra forma de actuar consiste en la implantacin de circuitos y procedimientos de medida de actividad para determinar quienes estn sobrecargados y quines ociosos. Esta actuacin se complementa :con una disciplina de asignacin y liberacin de recursos.
1217
Polticas de personal
Este punto puede influir sobre el grado de satisfaccin o descontento de las personas. Puede tambin ahorrarse una importante cantidad de tiempo si estn escritas las polticas de seleccin, formacin, promocin, premios y sanciones, y terminacin de empleo. En cuanto a la seleccin debe estar claro desde el principio si las convocatorias para cubrir pla zas en el departamento han de ser presentadas primero al personal de otros departamentos de la empresa y realizarse exmenes restringidos, o si se podrn ofrecer al exterior de la empresa. Deber determinarse tambin la participacin de representantes de trabajadores en los procesos de seleccin. Cuando se pueda esperar la capacitacin correspondiente para los puestos de programador de aplicaciones e, incluso de analista de aplicaciones y analista funcional, puede ser rentable elegir gente con trayectoria interesante en la empresa y darle formacin computacional. Estas personas sienten afeccin por la empresa y conocen el negocio, circuitos y procedimientos administrativos, por lo que si bien tardarn ms tiempo en comenzar a rendir los primeros resultados, llevan adelantados unos conocimientos de la empresa que presentan un gran valor potencial. Al contrario, los puestos fuertemente tcnjcos, programadores y analistas de sistemas, tcnicos en software bsico, gestin de configuraciones, bases de datos y teleproceso, que exigen un largo tiempo de formacin y experiencia, han de cubrirse con personas del exterior de la empresa. La formacin es otro punto clave en el departamento. Gran parte del xito o fracaso de un sistema y, sobre todo, su eficacia y consumo de recursos est ocasionada por la experiencia y conocimientos de los profesionales implicados. En general, deben estar definidos tanto las carreras profesionales, conocimientos y capacidades precisas para cada puesto de trabajo y caminos de formacin para lograrlos, como los procedimientos de planificacin de la formacin de cada persona (definicin, calendario, registro de resultados y aprovechamiento, etc.), procedimientos de eleccin del catlogo de cursos de inters, a partir de la oferta externa e interna, las medidas del grado de utilidad y satisfaccin y los procedimientos administrativos (presupuesto, inscripciones, avisos a los alumnos, pagos, etc.). La definicin de los planes de formacin comienza con una definicin apropiada de puestos
.1
de trabajo.
/'
En cuanto a la promocin, suele existir una equivalencia fija entre puesto de trabajo (funcin realizada) y escala retributiva (salario). Para evitar esto se puede establecer un 'sistema que permita variaciones de nivel salarial, sin necesidad de cambiar de puestos de trabajo. Deben estar previstos los procedimientos (y respetarse), de evaluacin del personal, criterios de promocin, control de calidad del trabajo, etc., de forma que nadie pueda cuestionar razonablemente un premio o sancin. Igualmente, en caso de existir retribuciones variables, debe estar definido sobre la base de qu, por quin y en qu cuanta se concedern. Han de estar definidos claramente qu conductas sern merecedoras de sancin y qu clase de sancin.
"''~ I ]
I ,~
tacin hace que el usuario no sepa a quin consultar. La solucin a estos problemas estriba en la creacin de una funcin, con la dotacin de recur sos que precise, de atencin al usuario, de forma que centre y distribuya todas las consultas rela
'
1'~
1218
tivas a explotacin. Adems, deben determinarse interlocutores nicos y estables, a nivel rea de negocio, e implantarse mecanismos adecuados de control de cambios y problemas de desarrollo.
a) Plazos de entrega, instalacin y entrada del objeto en cuestin a pleno funcionamiento, b) Penalizaciones en caso de incumplimiento de plazos. c) Compromisos mensurables de calidad y capacidad. Penalizaciones si hay incumplimientos. Capacidad: almacenamiento real para usuario, proceso, configuracin (variabilidad), cre cimiento y cambio. d) Compatibilidad: protocolos y estndares que soporta y cumple. e) Coste: alquiler, mantenimiento y compra. En el caso de compra de software figurarn, adems: a) Formatos que se entregan: fuentes o ejecutables. b) Documentacin que se entrega. c) Mquinas y sistemas operativos que lo soportan.
. .
o Fiabilidad:
1. Siniestro o catstrofe natural (fuego, inundacin, derrumbe). 2. Atentado. 3. Sabotaje. 4. Falta de capacidad: no poder satisfacer la cantidad de servicios demandados. 5. Falta de disponibilidad: frecuentes averas, que impiden el uso a lo largo del tiempo que se espera del sistema. 6. Errores: salidas no correspondientes a las entradas recibidas. 7. Robos: de equipos, de informacin, de tiempo de mquina (robo de uso), de consumibles, de documentos. a. Fraude: uso de sistemas computacionales para realizarlos. 9. Prdida de confidencialidad: difusin de informacin reservada. 10. Falta de adecuacin: costes excesivos, plazos excesivos, falta de calidad.
Todos los factores mencionados pueden incidir sobre aspectos relacionados con la seguridad (fsi ca y lgica), planes de contingencias, configuracin y uso de hardware y software bsico, y red de comunicaciones.
Seguridad
Se refiere a las medidas orientadas a minimizar los riesgos de prdida de capacidad de proceso, prdidas materiales debidas a siniestros, catstrofes, atentado, sabotaje, y prdidas de confidencialidad, fraude y robo. Estas medidas deben proteger a las personas, los soportes de informacin, las instalaciones y los equipos, en ese orden de prioridad. Para lograr un adecuado nivel de cobertura de riesgo hay que tener en cuenta que: 1. Las medidas de seguridad tienen un coste. La adopcin de lmites adecuados, ms o menos prximos al 100% para la cobertura de riesgos, ha de hacerse en funcin de la naturaleza del negocio y del coste que implican las medidas adoptadas. 2. Una adecuada disciplina organizativa es el soporte preciso para la implantacin de medidas de seguridad. Si sta se consigue, se obtienen importantes disminuciones de determinados riesgos. 3. La existencia de dispositivos duplicados, caminos alternativos de acceso a la informacin y copias de los soportes es indispensable. 4. Los planes de contingencia son vitales. Hay ciertas medidas claves a tener en cuenta en este sentido, tales como: a) Discrecin, evitando visitas multitudinarias, no convertir a los centros en escaparates, no efectuar publicidad, etc. b) Direccin consciente de las amenazas y de las medidas de seguridad. Puede ser indispensa ble adoptar medidas impopulares o costosas que han de contar con el apoyo de la direccin. c) Realizacin de simulacros y revisiones de la utilizacin y activacin de los planes y medi das de seguridad. En muchos centros los dispositivos de extincin estn desconectados o el personal no sabe qu hacer si suena la seal de incendio. d) Atencin a los problemas de descontento del personal. e) Adecuada definicin de funciones y responsabilidades, con separacin de las funciones de ejecucin de las de control. f) Adecuada proteccin contra intrusos, o accesos no autorizados a una parte del personal, reas restringidas, barreras fsicas y vigilantes. g) Direccin de explotacin (o alguien en concreto) que sea responsable de la direccin y coor dinacin del programa de seguridad.
1220
Planes de contingencia
El propsito de estos planes es proporcionar directrices definidas que permitan a la direccin, tcnicos y usuarios afrontar la degradacin de sistemas, hardware, comunicaciones y servicios, as como los fallos y situaciones adversas ocasionadas por circunstancias accidentales o deliberadas. Contienen un anlisis de los sntomas, situaciones adversas, efectos que originarn y acciones y actores que puedan intervenir para controlar estas situaciones. Deben permitir la deteccin, diagnstico y actuacin, y con ellos se pretende:
1. Minimizar el impacto de las amenazas sobre la empresa. 2. Limitar la extensin del conflicto, los daos causados y prevenir su propagacin. 3. Proporcionar modos alternativos de funcionamiento. 4. Proporcionar una degradacin controlada. 5. Adiestrar y familiarizar al personal con los procedimientos de emergencia. 6. Proporcionar una rpida y controlada restauracin del servicio.
Posibles situaciones a tratar en planes de contingencia son: incendio, averas fsicas, error o fallo de aplicacin, destruccin de un fichero o disco, etc. Realizar y poner en marcha un plan completo de este tipo puede ser complicado, ha de plani ficarse y realizarse en un tiempo de uno a dos aos y ser constantemente actualizado implantando nuevos elementos susceptibles de fallos y aportando nuevas experiencias y mayores conocimientos. El mtodo de trabajo para realizarlo consiste en:
1. Realizar un anlisis de la criticidad de los servicios computarizados proporcionados, clasificndolos en vitales, importantes y anexos, adems tener en cuenta si no admiten demora, o si se pueden atrasar 24, 48 o ms de 48 horas. 2. Realizar un estudio considerando las prioridades antes asignadas de riesgos sobre los srvicios, impacto sobre la empresa y definicin de posibles medidas de control para afrontar y minimizar los riesgos. 3. Elegir de entre las posibles medidas, a la vista de sus costes y efecto sobre el riesgo, cul o cua les se implantarn. 4. Plasmar los resultados en planes. 5. Difundir los planes y formar al personal. 6. Revisar peridicamente los planes y realizar simulacros para probar su eficacia yel grado de entrenamiento de las personas implicadas en su ejecucin.
Cada plan deber contener: 1. Listas de acciones a ejecutar, con las personas que intervienen en las mismas, y sus responsa
bilidades en la ejecucin.
2. Listas de personas o entidades a quien se debe avisar (servicios pblicos(polica, hospitales, etc.), direccin del departamento o de la empresa, tcnicos, proveedores). 3. Lista de lugares en que se hallan los respaldos a conseguir (confidencial). 4. Lista de maquinaria a reemplazar. 5..Lista de procesos a realizar en los respaldos. 6. Lugar en que se proporcionarn servicios de apoyo o proceso de informacin.
Debe quedar perfectamente claro quin tiene la responsabilidad de desencadenar la ejecucin de un plan de contingencia, ante qu situacin y cundo se considerar terminada la contingencia, lo que ocasiona la terminacin de la ejecucin del plan y la vuelta a la situacin normal. El auditor computacional debe verificar la existencia de medidas y planes reales, completos, conocidos y con personas entrenadas en su ejecucin.
1221
La actuacin no ha de limitarse a realizar un estudio sobre una muestra, sino que debe verifi car la cobertura razonable de los riesgos posibles. As mismo, debe probar la eficacia de los mismos por medio de simulacros, arqueos y verificaciones, asegurndose de que los respaldos previstos existen realmente. Una medida interesante consiste en presentarse un da inesperadamente para retirar los ficheros existentes de un proceso determinado y hacer que ese proceso se ejecute ese da segn los procedimientos previstos en los planes de contingencias. Suele ocurrir que faltan ficheros o que fallan los procedimientos de trabajo. De igual modo, se puede simular el mal funcionamiento o avera de un elemento fsico determinado (canal, unidad de control, etc.), con objeto de comprobar si las medidas de funcionamiento de degradado son eficaces. Una de las formas de conseguir respaldos de equipos consiste en lograr contratos de asistencia mutua con una instalacin similar. Por ese contrato cada uno de los centros se compromete a que, en caso de necesidad del otro, se le permitir el uso de determinados recursos en una cantidad y forma 'pactada.
5. Hay un control del consumo y uso de recursos, se conocen sus tendencias y se tienen previs tas las necesidades de crecimiento.
Dado que cualquier elemento del hardware puede averiarse, hay que prever que se pueda utilizar un dispositivo similar no averiado para acceder a los datos o dispositivos dependientes del averiado.
1. Si la configuracin es adecuada. 2. Si hay desequilibrios (elementos muy cargados y otros similares descargados). 3. Si estn previstos los caminos alternativos para casos de avera. 4. Si hay: correspondencia entre las caractersticas de los distintos elementos (capacidad de acce so, velocidad de acceso, velocidad de transferencia de datos, etc.). Luego se pueden examinar las medidas de carga de las mquinas y el dimensionamiento de los distintos elementos, en funcin del uso que se realiza de los recursos disponibles. Hay una serie de mdulos del sistema operativo (de contabilidad) que proporcionan informa cin detallada sobre el uso de recursos (carga de UCP, carga de canales, de discos, etc.). Esa informacin ha de vigilarse para tratar de predecir la carga futura, y prever ampliaciones y configuraciones nuevas, con la antelacin suficiente, y teniendo en cuenta que:
1222
1. El dimensionamiento ha de hacerse de forma que se puedan cubrir las demandas en horas y das de mximo sobrecargo. 2. El dimensionamiento debe hacerse previendo unas holguras, una vez previstas las variaciones en el futuro, como cobertura de posibles riesgos en la tendencia. 3. Los plazos de entrega, instalacin y puesta en marcha de determinados equipos pueden ser lar gos.
1. Realizar peridicamente comparaciones entre copias fidedignas del software y las copias que se estn ejecutando para detectar cualquier variacin entre ellas. 2. Restringir fuertemente el uso de determinados programas de utilidad, ya que estos, maneja dos por tcnicos experimentados, pueden modificar el contenido de bibliotecas, saltndose incluso medidas de proteccin. 3. Imponer un procedimiento nico y controlado de altas y modificaciones sobre las bibliote cas de programas reales. 4. . Imponer la norma de que los trabajos sobre' archivos reales slo se ejecuten desde las biblio tecas reales, que estn protegidas de modificaciones no autorizadas. 5. Revisar, por medio de programas de seleccin, los logs (historiales) del sistema para ver si se han producido situaciones irregulares o intentos de violacin de medidas de proteccin de acceso. 6. Analizar los fallos producidos, que pueden indicar errores o intentos de fraude o sabotaje 7. Perseguir los intentos de acceso no autori~ado a datos o procesos. 8. Usar asesores externos para estudiar la adecuacin de la definicin, configuracin y uso del software bsico.
1223
9. Implantar estrictas medidas de control administrativo sobre proteccin de confidencialidad y acceso o modificacin de archivos reales. 10. Cifrar la informacin crtica para que no pueda ser comprensible ni an en el caso de que se obtenga acceso o copia fraudulenta. 11. Control del personal de mantenimiento de software bsico que no pertenezca a la empresa. 12. Control estricto de los programas que entran en modo autorizado. 13. Verificar el comportamiento del sistema ante sobrecargas de trabajo. La sobrecarga puede ocasionar que se realicen procesos que no entran en funcionamiento normalmente, y que, por tanto, estn insuficientemente piobados.
, Red de comunicaciones
El impacto de la factura anual del concepto transmisin de datos en una empresa con teleproceso y un nmero importante de terminales puede ser elevado. Se pueden tener varias posibilidades a la hora de configurar una red, logrndose para cada tipo de configuracin costes dispersos. En funcin de las caractersticas concretas de cada problema a solucionar, puede haber casos en que las redes privadas, o una combinacin de red privada y pblica, puede ser ms barata.
-
1. Topologa y dimensionamiento de la red. 2. Uso de red pblica y de red privada. 3. Estudio de cargas y posibles saturaciones. 4. Seguridad y confidencialidad de la informacin y de la red. En cuanto a la topologa, la forma fsica de la red y las interconexiones entre sus elementos pueden afectar en gran manera su coste, eficacia y capacidad de elegir caminos alternativos en caso de avera de lneas o de elementos inteligentes (controladores, concentradores, etc.). Actualmente, los terminales tienen cierta capacidad de funcionamiento autnomo, de forma que aunque haya un corte en la lnea, pueden continuar realizando algunas de ~us tareas. De igual modo, los controladores inteligentes (tienen capacidad de proceso y memoria) realizan funciones de concentracin de datos, de forma que la lnea que los conecta al ordenador central tiene una alta velocidad, y las lneas que unen el controlador con los terminales, inferior. En cuanto al dimensionamiento, cargas y saturaciones, la capacidad de transmisin de datos se mide en baudios (bits/segundo). La carga de trfico de datos afecta al tiempo de respuesta, que tiene comportamiento exponencial, por lo que han de estudiarse los posibles cuellos de botella (controladores, concentradores, lneas, etc.) y dotarlos de la capacidad necesaria para afrontar el trfico actual y el previsible en el plazo de tiempo que se contemple. En una red con cientos de lneas y controladores, de los que penden millares de terminales, abundan las averas, sobre todo en los dispositivos con parte mecnica (impresora). Deben estar previstos y ser utilizados los mecanismos de control de estado de la red, como deteccin, diagnstico y reparacin de averas,. controlando el trabajo de los tcnicos propios, de las casas de mantenimiento y de la telefnica. Dada la complejidad del problema, existen minicomputadoras con software especialmente diseados para realizar estas tareas. En el caso de lneas telefnicas pblicas, los datos circulan y se almacenan temporalmente en computadores y controladores de la compaa, por lo que la vulnerabilidad aumenta. Como norma, toda transmisin de informacin confidencial o que implique movimientos o disposicin de dinero, ha de hacerse en modo cifrado. El problema de prevencin, deteccin y correccin de errores introducidos por los compo nentes de la red (mdem, lneas, etc.) est usualmente tratado por los protocolos estndar de
1224
comunicacin de datos que prevn la transmisin de informacin redundante, de forma que cualquier variacin, por error, en el contenido de los mensajes, sea detectada, y en algunos casos, corregida.
1. Costes excesivos o desequilibrados. 2. Plazos excesivos. 3. Incapacidad de cumplir objetivos. 4. Utilizacin poco eficaz de los recursos. Para ello el control de gestin debe estar plasmado en normas y procedimientos que permitan un control de objetivos, tanto de nivel de servicio en explotacin, como de calidad y cantidad de proyectos de desarrollo realizados. Estas normas y procedimientos deben permitir adems un control de presupuestos, de proyectos, de pedidos pendientes, de rendimientos y la imputacin de costes a usuarios. La informacin de todos estos puntos debe estar integrada y tratada por el sistema interno de informacin de gestin, permitiendo a la direccin del departamento conocer en cada momento el estado del mismo y sus niveles de eficacia.
Control de objetivos
Los mecanismos de control de objetivos pueden consistir en procedimientos adminIstrativos basados en trabajos manuales sobre los indicadores de cumplimiento (tiempos, coste, productividad, tasa de errores, etc.) y con revisin peridica de los mismos, o en sistemas mecanizados, basados en paquetes o desarrollos propios de control de proyectos. En el caso .de explotacin, los objetivos de disponibilidad se suelen fijar en el mbito de equi pos centrales, con lo cual los datos se pueden obtener a partir de los informes de los mdulos de contabilidad del sistema operativo, que guardan informacin de los fallos habidos. Hay paquetes que permiten tener esa informacin con una elaboracin mnima. Si se quieren obtener informes reales sobre los tiempos de respuesta a transacciones, esos tiempos han de tomarse en los terminales, manualmente, por muestreo, o en caso de terminales inteligentes, grabando registros de tiempos en el momento de empezar a sacar la respuesta por el terminal de salida, y procesando luego todos esos registros para calcular los tiempos de respuesta. En el caso de trabajos en tiempo diferido, la implantacin de las llamadas hojas de trabajo, fsi camente o como registros en un soporte mecanizado (sobre los que se va anotando los instantes de creacin en el usuario final, entrada en produccin, entrada en operacin, entrada en distribucin y recepcin por el usuario final) permite el anlisis de cumplimiento de plazos. Respecto a los objetivos de cantidad de servicio proporcionado, las ya citadas rutinas de contabUidad del sistema operativo proporcionan informacin sobre cantidad de trabajos o transacciones procesados, as como sobre unidades de imputacin de consumo de recursos empleadas en cada uno de ellos. Para el caso de desarrollo, los objetivos se deben expresar en trminos de calidad (tasa de erro res, tasa de fallos), plazos de entrega y cantidad de proyectos realizados. Se pueden tener medidas orientativas sobre la calidad del diseo y realizacin del software a partir del nmero de fallos y errores producidos, del nivel de satisfaccin del usuario y, sobre todo, del tiempo y esfuerzos dedicados a mantenimiento correctivo.
1225
Un sistema de control de proyectos en el que se introduzcan los pedidos recibidos y en el que se pueda registrar informacin de tipo histrico sobre los problemas detectados, recursos consumidos, plazos tericos y reales de entrega, etc., es la base del anlisis de cumplimiento de objetivos de desarrollo. Los sntomas preocupantes, desde el punto de vista del auditor, relativos a control de objetivos son: 1. Ausencia de objetivos formales. 2. Objetivos virtuales, se imponen pero no se controla su cumplimiento. 3. Inexistencia de mecanismos de evaluacin y estimacin de plazos, esfuerzos y consumos 4. Falta de mecanismos definidos de control de cumplimientos. 5. Falta de mecanismos de autorregulacin, medida de desviaciones de la situacin real con la prevista y actuacin correctora.
Control de rendimientos
Deben existir unos estndares aceptados de.productividad media de personas y equipos. En forma continua, muestral o ante determinadas circunstancias, deben existir mecanismos de medida de la actividad realizada, comparacin con los estndares, anlisis de desviaciones y acciones correctivas (que pueden consistir en revisar los estndares). La forma de implantar los estndares debe ser: 1. Determinacin de las magnitudes a controlar. 2. Fijacin de unos estndares iniciales, a partir de muestreos o de datos obtenidos de negocios similares. 3. Definicin de circuitos y procedimientos de informe de la actividad realizada. 4. Arranque inicial del sistema (rodaje en que se determina si hay grandes discrepancias entre los estndares iniciales y la realidad; se analizan las discrepancias yse acta en consecuencia modificando los estndares o modificando los mtodos de trabajo). 5. Publicacin de los estndaresal terminar la fase de rodaje. 6. Puesta en marcha del sistema. 7. Explotacin del sistema, previendo su mantenimiento y ajuste. Para personas de desarrollo como medidas de rendimiento pueden definirse las siguientes: 1. Lneas de codificacin desarrolladas. 2. Cuadernos de especificaciones desarrollados. 3. Diseos de archivos realizados.
Control de presupuestos
Las tasas de incremento del presupuesto de la funcin computacional suelen ser preocupantes. No resulta extrao encontrarse presupuestos que se han triplicado en 4 aos, a veces sin un aumento ostensible de la utilidad de la funcin para la empresa. La evolucin de la tecnologa, de los nuevos productos y de los servicios de teleproceso hacen fluctuar la distribucin porcentual de los costes entre los distintos apartados. Se presentan ciertas tendencias:
1. Los costes de equipos por unidad de servicio que proporcionan, disminuyen en forma acele rada, mientras que los salarios aumentan. 2. La velocidad y capacidad de los equipos aumenta en forma acelerada. 3. La productividad del personal computacional aumenta slo ligeramente.
1226 ",...
Estas tendencias hacen que se deba prestar atencin a comunicaciones, paquetes y personal, debiendo existir polticas para: 1. Aumentar la productividad del personal. 2. Sustituir tareas manuales por tareas mecanizadas, con menos consumo de recursos humanos. 3. Atender al diseo de redes. El auditor debe analizar la composicin de las partidas que integran el coste computacional, determinar su equilibrio, las tendencias (coherentes con las existentes en el mbito nacional y mundial) y, sobre todo, la evolucin en el tiempo (incremento anual) y el coste computacional expresado en porcentaje del volumen de ingresos de la empresa.
Imputacin de costes
El primer principio a establecer para la implantacin de un sistema de imputacin de costes es el de si se factura en base de poltica de costing (el departamento no tendr ni beneficios ni prdidas) o de pricing (puede haber beneficio o prdida). De igual modo habrn de sentarse polticas de promocin (favorecer con tarifas reducidas) o de penalizacin (tarifas altas para horas de sobrecarga) de determinados servicios. Definidos los principios se har un estudio de los costes y de su distribucin por productos o servicios. El primer paso consiste en definir esos costes. A efectos de clasificacin, se pueden agrupar en: 1. Costes de explotacin. 2. Costes de desarrollo. 3. Gastos generales. Cada usuario tendr en uso, ms o menos exclusivo, dispositivos que habr que cargarle a l: terminales, microcomputadoras, lneas telefnicas, concentradores u otras mquinas. Los gastos generales del departamento son del tipo: amortizacin y mantenimiento de edifi cios,energa'elctrica, agua, telfono, seguros, impuestos, material de oficina y vigilancia. Los costes de personal directivo y de staff de todo el departamento se considerarn costes de estructura, igual que los gastos generales, a prorratear entre los servicios de desarrollo y explotacin, segn criterios a determinar (por ejemplo, proporcional al volumen total de cada servicio). Los costes de explotacin son: amortizacin, alquiler y mantenimiento de hardware y software, consumibles (papel, tner, cintas magnticas, disk packs), personal y parte proporcional de los gastos generales del departamento (por ejemplo, energa elctrica especfica de la sala de operaciones), asesoras, servicios contratados (para toma de datos, distribucin de listados, etc.) Los costes de desarrollo son: amortizacin, alquiler y mantenimiento de hardware y software especfico de desarrollo, personal, asesores, servicios contratados (programacin y anlisis, entrada de datos), recursos consumidos de explotacin que sta le factura (consumo de tiempo de mquina, impresin, almacenamiento) y parte proporcional de los gastos generales del departamento. El tercer paso consiste en definir las unidades de medicin de consumos para realizar la impu tacih (facturacin). En explotacin, las rutinas de contabilidad dentro del sistema operativo proporcionan:
1. Consumo de tiempo de UCP 2. Actividad de acceso a ficheros 3. Lneas o pginas impresas 4. Cantidad de caracteres en dispositivos de acceso directo y tiempo que han permanecido en lnea.
1227
Con estos valores se pueden definir las unidades para la utilizacin de recursos:
. . .
.
Uso de mquina
segundo CPU EXCP (consumo de actividad E/S) Kilocarcter almacenado por horas en lnea Lnea impresa o pgina impresa
Actividad de acceso
Almacenamiento Impresin
Para el caso de servicios de teleproceso, se imputar a ste el coste de las unidades y software bsico que le corresponde especficamente (controladores de comunicacin, mdem, equipo auxiliar de comunicaciones, herramientas de rastreo y optimizacin de comunicaciones). En cuanto al desarrollo, la unidad de facturacin ser el da hombre de analista y da hombre de programador. Respecto al coste que le factura explotacin por uso de recursos mquina, dado que las rutinas de contabilidad del sistema operativo permiten imputarlo al proyecto dentro del cual se usan esos recursos de explotacin, se puede cargar directamente al coste de desarrollo. Una vez definidos los costes y su estructuracin con vistas a la imputacin y a las unidades de facturacin, queda por aplicar la poltica de costing o pricing. No hay que olvidar que las normas y procedimientos de control de gestin deben permitir, adems, el control de proyectos, tema desarrollado en otro apartado de esta misma seccin, y el control de pedidos pendientes.