Auditoria Computacional o Informatizada

CAPTULO 51
La auditora computacional O
informatizada
GERARDO GLVEZ MENESES Ingeniero comercial Universidad de Chile
Introduccin /51-1186 Conceptos previos / 51-1186 L informacin / 51-1186 La organizacin / 51-1187 La auditora computarizada /51- 1187 Definicin / 51-1187 Justificacin /51-1188 Funciones de la auditora computarizada /51-1189 Perfil del auditor computarizado /51-1190 Metodologa de la auditora computarizada /51-1191 Definicin de mbitos y objetivos / 51-1191 Estudio inicial / 51-1192 Determinacin de perfiles / 51-1192 Elaboracin de planes / 51-1193 Elaboracin de programas /511193 Realizacin de las actividades /51-1193 Elaboracin del informe final / 51-1194
Reglas bsicas en la realizacin de una auditora /51-1194 Tcnicas y herramientas usadas en auditora computarizada Simuladores /51-1195 Paquetes de auditora / 51-1195 Monitores /51-1196 Matrices de riesgos / 51-1196 /51-1195
1185
Auditora computacional o informatizada
Introduccin
Conceptos previos
La computacin aparece inicialmente en la empresa como solucin a problemas especficos de tipo operacional (gestin de stocks, facturacin, etc.), permitiendo el tratamiento repetitivo de grandes masas de datos. A medida que se generaliza su uso debido, sobre todo, a la bajada en los costes de los computadores, su uso se extiende a toda la empresa. Paralelamente se produce un aumento de los costes de personal. Dentro de una empresa dada, un departamento de computacin posee, en principio, dos funciones claramente definidas: desarrollo de sistemas computarizados y explotacin de sistemas computarizados. Las actividades llevadas a cabo por la funcin de desarrollo se refieren fundamentalmente a estudios de viabilidad, diseo y realizacin de sistemas computarizados, as como a su implantacin en forma de software para unas mquinas determinadas. Las de explotacin, por su parte, tienen que ver con la ejecucin de los trabajos precisos para obtener la informacin que se proporciona:.; a los usuarios, a partir de los sistemas desarrollados, adems de la custodia de informacin, equipos e instalaciones. Al departamento de computacin se le deben fijar objetivos claros y mensurable s en cuanto a calidad, capacidad, velocidad y economa. - Una de las tareas del auditor computacional es lograr que se pase de una funcin computari zada abstracta, como muchas veces ocurre en la actualidad, a otra en que los criterios fundamentales que se le exijan sean los asociados a la rentablidad, asumiendo la calidad como uno de ellos. Existen reas de actuacin de importancia para el auditor computacional, que se derivan de las carar:;tersticas deseables de la funcin computacional y de las cuales el auditor deber verifi car su existencia, entre ellas, la seguridad fsica y la prevencin, as como la deteccin y correccin de errores y fraudes.
La informacin
La informacin se ha convertido en un factor de suma importancia para el xito de cualquier negocio. sta puede provenir del exterior de la empresa (clientela, gobierno, sociedad, competencia), o bien gestarse internamente. Por otra parte, existen flujos de informacin formalizados, a travs de normas o procedimientos propios del negocio, y flujos de informacin no formalizados. El sistema computarizado es un subconjunto del flujo formalizado, que se muestra en diferen te grado segn el nivel de estructura de la empresa de la que se trate. As pues, en el aspecto operacional es normal encontrar un alto grado de computarizacin en las empresas, mientras que en cuanto a tcticas y, sobre todo, a estrategias, el grado es bastante menor.
1. El nivel gerencial (estratgico) es el encargado de determinar los objetivos, polticas y misiones. Emplea informacin ms elaborada como pueden ser las tendencias de la empresa, mrgenes, rentabilidad por productos o departamentos. En general, maneja modelos o funciones de los' datos y se caracteriza por trabajar con pequeos volmenes de informacin, pocos datos muy elaborados, realizar tratamientos de clculos muy complejos y procesos imprevisibles, llevar a cabo pocas consultas, operaciones y actualizaciones, que suponen, a veces, la realizacin de un gran nmero de tratamientos de la informacin. El tiempo de respuesta en muchos casos es tan slo de horas o minutos. 2. El nivel ejecutivo (tctico) traduce en tcticas los objetivos, polticas y misiones que le han sido fijados por el nivel gerencial; es decir, dispone adecuadamente de los recursos para alcanzar los objetivos, y cumple las misiones que corresponden a las polticas fijadas. Emplea infor
1186
La auditora computacional o informatizada
macin elaborada; normalmente no le interesa el saldo de una cuenta, sino el saldo medio de las cuentas de un colectivo determinado. 3. El nivel operacional ejecuta las rdenes que le ha entregado el nivel ejecutivo. Maneja informacin elemental, no integrada, como puede ser el saldo de una cuenta para comprobar si puede aceptarse el pago de un cheque. Se caracteriza, en general, por manejar un elevado volumen de datos elementales, por realizar tratamientos de procesos simples, previsibles y rutinarios, llevar a cabo un elevado nmero de consultas y actualizaciones en un tiempo rpido de respuesta, y contar con extensos archivos.
El sistema de informacin general de la empresa debe estar configurado de forma tal que proporcione a cada nivel (gerencial, ejecutivo y operacional), informacin oportuna y exacta, a tiempo, fiable, necesaria y suficiente.
La organizacin
Existe una estrecha relacin entre organizacin y computacin que conviene aclarar, ya que en muchos casos da lugar a confusiones. Tal vez se deban en parte a la similitud de objetivos de ambas funciones, que slo se diferencian en el campo de aplicacin y en las distintas tcnicas y mtodos utilizados, de ah que no sea siempre fcil delimitar el campo de accin y responsabilidades de cada una de ellas en una empresa, lo que puede ocasionar problemas de solapamiento e interferencia, as como de reas sin cubrir. El objetivo de la organizacin es la proposicin, valoracin e implantacin de los recursos, su organizacin y estructuracin, as como el diseo de normas y procedimientos para optimizar su rendimiento. El objetivo de la computacin es similar, pero trata de recursos computarizados. Desde este punto de vista la computacin vendra a formar parte de la organizacin a modo de subconjunto. Cualquier sistema computarizado es dirigido, utilizado y aprovechado por personas estructuradas en rganos de la empresa, trabajando segn normas y procedimientos administrativos. Un proyecto de implantacin de un sistema computarizado como soporte de un conjunto de operaciones empresariales tendr una pequea probabilidad de xito si no se usan en sus fases de dise o y desarrollo a los tcnicos y profesionales en racionalizacin y organizacin administrativa. Son muchos los casos de sistemas computarizados correctos en principio, pero que han fracasado por no haber participado en su desarrollo los tcnicos en organizacin. Esta carencia ha comportado la imposibilidad de su aplicacin prctica en la realidad, o su escasa rentabilidad, ya que aspectos como el diseo en planta, la definicin de puestos de trabajo o la racionalizacin de circuitos administrativos son puntos que a menudo infravalora u olvida el tcnico en computacin. Para lograr un trabajo de calidad y obviar los inconvenientes recin sealados se debe optar por un trabajo coordinado de ambas clases de especialistas. En la actualidad an es habitual encontrar que la funcin de auditora computacional en la empresa se dedique a asegurar la existencia y verificar la adecuacin y cumplimiento de medidas y procedimientos que garanticen la cobertura contra riesgos, olvidando aspectos tan importantes de gestin empresarial como la propia consecucin de beneficios.
La. auditora computacional

Definicin
La norma AFNORl X50-109 define auditora como: Examen metdico de una situacin relativa a un producto, proceso u organizacin, en materia de calidad, realizado en cooperacin con los interesados, a fin de verificar la concordancia de la realidad con lo preestablecido, y la adecuacin al objetivo buscado.
1187
Esta definicin puede ser aplicada al concepto de auditora computacional, en la cual el campo examinado se referir a productos, procesos y organizaciones computarizados. Ahondando un poco ms en la definicin se pueden examinar los trminos siguientes: 1. Metdico: esto quiere decir que el examen se ha de realizar en forma ordenada y planificada. 2. Calidad: conjunto de caractersticas de un elemento (producto, servicio, etc.) encaminadas a lograr que sea capaz de satisfacer unas necesidades dadas. (ANSI2/ASQC3 A3-1978). 3. Cooperacin con los interesados: el resultado de la auditora se entregar al interesado, y habr que recabar su ayuda para obtener acceso a la informacin precisa para realizar el anlisis. 4. Concordancia de la realidad con lo preestablecido: se entiende que cualquier producto, pro ceso y organizacin, ha de comportarse de acuerdo a unas normas o planes previos. Uno de los objetivos de la auditora es comprobar que realmente se acta de acuerdo a lo dispuesto. 5. Adecuacin al objetivo buscado: adems de comprobar el cumplimiento de planes y normas, ha de juzgarse sobre lo acertado de esos planes y normas, y en caso de haber discrepancia con el comportamiento real, averiguar sobre lo acertado de ste.
La definicin antes citada pue~e ser complementada con las siguientes: Actividad para determinar, por medio de la investigacin, la adecuacin de los procedi mientos establecidos, instrucciones, especificaciones, codificaciones, estndares, y otros requisitos, la adhesin a los mismos, as como la eficacia de su instrumentacin (ANSI N45.2.10.1973). Conjunto de tcnicas y actividades destinadas a analizar, evaluar, verificar y recomendar sobre el control, la planificacin, la adecuacin, eficacia y seguridad de la funcin computacional en la empresa. Examen discontinuo de un sistema computacional, o del servicio computacional, a peticin de su direccin, para mejorar la rentabilidad, la seguridad y la eficacia (P. Van der GHINST -CEGOS).
Justificacin
La auditora computacional surge como una necesidad ante la creciente utilizacin de computadores y paquetes de aplicacin en las empresas, a travs de las cuales se canaliza la mayor parte de la informacin de inters sobre las mismas. La aparicin del computador supuso un trastorno inicial en el trabajo de los auditores. La dificultad estribaba en que era un elemento desconocido hasta entonces, gobernado por programas realizados con complicados lenguajes, de documentacin escasa o inexistente, que se impona como un componente ms a estudiar en un flujo de trabajo o de informacin. Una primera aproximacin tendente a salvar este obstculo consiste en considerar el computador, su entorno y los programas de aplicacin, analizando sus entradas y salidas para verificar su concordancia con lo establecido. El restringido mbito de aplicacin inicial de la computacin en las empresas permita este comportamiento, ya que el riesgo asumido era soportable, y el esfuerzo que exiga la capacitacin precisa para examinar los procesos y entornas computarizados era ms costoso (o as lo pareca) que ese riesgo. La idea de que el riesgo era menor que el existente en la realidad, vena propiciado por la idea de infalibilidad del computador, sin considerar que la mquina ejecuta programas segn las estrictas instrucciones proporcionadas por los programadores y que es controlada por operadores, tratndose en ambos casos de personas en absoluto infalibles.
1. AFNOR: Asociacin francesa de normalizacin. 2. ANSI: Asociacin estadounidense de normalizacin. 3. ASQC: Asociacin estadounidense de control de calidad.
1188
A medida que va transcurriendo el tiempo, la importancia de la computacin se hace cada vez ms notoria en las empresas. Muchas de ellas sufrieron desastres importantes en sus centros de proceso de datos, con prdidas tanto de equipos como de soportes de informacin, llegando incluso en algunos casos a disolverse ante la incapacidad de afrontar los problemas creados por esta situacin. A raz de la gran cantidad de problemas surgidos, aparece una postura nueva que consiste en minimizar el riesgo de esos desastres, en hacerlos menos probables y en disminuir su impacto sobre la empresa en caso de que se produzcan. Se comienza a tener conciencia de que la vulnerabilidad de un centro de proceso de datos es tanto o mayor que la de cualquier otro departamento en la empresa. Se hace patente la posibilidad de que ste pueda sufrir algn percance, dado que con frecuencia es posible hallar una fuerte cantidad de dinero invertido en computadores y, el valor que se puede otorgar a la informacin contenida dentro puede ser comparable o incluso superior. Gracias a este reconocimiento, se crean centros dotados de fuertes medidas de seguridad, ubicados en lugares estratgicos, en vez de ubicarse en lugares cntricos y ser mostrados a todos los visitantes, como vena ocurriendo hasta ahora. El hecho de que la simple informacin almacenada en'un disco magntico, por ejemplo, puede contener los datos sobre el estado de las cuentas corrientes de clientes, hace posible que alguien con los conocimientos adecuados pueda modificar fraudulentamente esa informacin, genere transacciones falsas, se incremente el saldo de su cuenta, o su salario, ordene transferencias falsas de fondos, venda el fichero de clientes a una empresa competidora, o lo que es ms comn, que un pequeo error no intencionado, produzca efectos desastrosos, dada la gran cantidad de elementos que pueden ser afectados por ese error antes de ser detectado y corregido. Se estima que la incidencia de fraudes de este tipo es elevadsima, estimndose que slo se detectan un 10% de ellos y que muy pocos casos salen a la luz pblica por el temQr de las empresas a perder prestigio y confianza. Ante esta situacin, se entiende y establece que la 'funcin de auditora debe prestar especial atencin a lo que ocurre en el desarrollo y explotacin de sistemas computarizados, aplicando en algunos casos tcnicas tan clsicas como la de verificar la adecuada separacin de funciones y responsabilidades, as como la adecuada implantacin de controles que permitan detectar rpidamente un fraude o error y tomar las medidas apropiadas para subsanarlo. Por otra parte se considera el estudio de la adecuacin y eficacia de los sistemas computarizados. En general, en la actualidad se considera al departamento de computacin como un servicio ms, sometido a los mismos controles de eficacia y rentabilidad que los restantes de la empresa. En resumen, la auditora computacional surge como respuesta a una serie de riesgos planteados por el uso de la computacin en las empresas, a saber: fsicos, econmicos, de descontrol, incapacidad, ineficacia, costes y, por otra parte, a la importancia que asume la informacin dentro de la empresa.
Funciones de la auditora computacional

En una primera aproximacin se pueden establecer tres grupos de funciones a realizar por el auditor computacional: 1. Participar en las revisiones durante y despus del di1:!eo, realizacin, implantacin y explotacin de aplicaciones computacionales, as como en las fases anlogas de realizacin de cambios importantes. 2. Revisar y juzgar los controles implantados en los sistemas computacionales para verificar su adecuacin a las rdenes e instrucciones de la direccin, requisitos legales, proteccin de confidencialidad y cobertura ante errores y fraudes. 3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de equipos e informacin.
1189
La EDP Auditors Foundation realiz, en 1980, una encuesta para obtener una lista de las funciones realizadas por los auditores computacionales, con indicacin del porcentaje de esfuerzo dedicado a cada una de ellas. Como resultado, obtuvo una lista de 77 tareas, que agrup en los 11 conjuntos que se muestran:
1. Revisin de controles en los sistemas de aplicacin (Verificar que el sistema proporciona informacin oportuna, exacta, necesaria y suficiente: 9%). 2. Revisin de medidas de seguridad (Revisar mtodos, procedimientos y medidas para asegu rar la adecuada proteccin de informacin, software, equipos e instalaciones: 14%). 3. Revisin de la integridad de la informacin (Verificar que la informacin es completa, cohe rente y correcta: 13%). 4. Revisin de los procedimientos de operacin (Verificar que las aplicaciones se procesen en forma y entorno adecuado y controlado: 12%). 5. Revisin del desarrollo de sistemas (Verificar la existencia, adecuacin e integridad de pla nes y controles: 9%). 6. Gestin y planificacin de la auditora computacional (Planificar, organizar y controlar la funcin de auditora computacional; 9%). 7. Revisin de los procesos de mantenimiento de software (Revisar normas y procedimientos para realizar modificaciones en el software: 6%). 8. Revisin del proceso de desarrollo de sistemas (Verificar que se emplea una metodologa adecuada para el desarrollo: 5%). 9. Revisin del software bsico (Revisar controles sobre el mismo, existencia y cumplimiento de normas sobre su uso: 5%). 10. Revisin de planes y gestin (RevisaT planes, polticas, reglas de gestin, procedimientos administrativos del departamento, para verificar la adecuacin a los fines de la empresa: 5%). 11. Revisin de contratos (Verificar que la compra o alquiler de hardware, software o servicios se hace en forma legal, econmica y provechosa para la empresa: 3%).
Se hace notar que las cifras no indican la importancia relativa de las tareas, sino los consumos de esfuerzos que implican. Es importante dejar sentado que la auditora de un sistema computaTizado debe abordar el an' lisis y revisin, no slo en el mbito estricto del departamento, sino que ha de estudiar los sistemas desde que se originan los datos de entrada, en los departamentos usuarios, hasta que usuarios reciben la informacin de salida. La auditora que revisa slo los aspectos puramente computarizados no tendr una visin real; dl sistema. En efecto, en muchas ocasiones, un irreprochable proceso computarizado no es til porque no hay una adecuada distribucin de los informes de salida, o porque no hay manuales' actualizados de usuario; otras veces, un gasto importante en asegurar la confidencialidad de los datos es desperdiciado por la inexistencia de normas y disciplina de proteccin de la confiden"'" cialidad en los departamentos usuarios. Por ello, el auditor computacional debe realizar parte de sus tareas sobre procesos y circuitos fuera del departamento de computacin.
'
Perfil del auditor computacional

El perfil de conocimientos y experiencias deseable en un auditor computacional puede obtenerse a partir de los grupos de funciones recin citadas en el apartado anterior. Cabe hacer notar la dificultad de que una sola persona posea todos esos conocimientos y experiencias, dada la disparidad
entre los puntos mencionados.
"
A modo de ejemplo, el ltimo punto citado implica conocimientos importantes sobre legislaf cin mercantil, mientras que otros tales como el referido a revisin del software bsico exige Calla cimientos sobre sistemas operativos as como la auditora sobre la adecuacin del parque compu tacional a las necesidades de la empresa, o la configuracin y uso de recursos hardware, aspecto!
1190
La auditora computacional o informatizada Auditora computacional o informatizada
que normalmente exigen la utilizacin de un asesor en temas tcnicos: gestin de bases de datos, gestin de teleproceso, gestin de configuracin, hardware, etc. Estudio Por ello,inicial en teora el auditor computacional debe tener un conocimiento general de todos los puntos objeto de examen o revisin, con lo que podr determinar qu y cuantos colaboradores, con qu perfiles, precisa para que le A partir de latrabajo. definicin anterior de objetivos y mbito, deber realizarse un estudio global que permita conocer ayuden en su volmenes y complejidad de acceder las tareas a realizar. Los profesionales pueden desde dos vas a la auditora computacional: el auditor financiero u El trabajo se realiza a partir de entrevistas, cuestionarios y, posiblemente, muestreos para obte ner una idea de organizativo, que adquiere la formacin y experiencia en computacin, y la contraria, el tcnico.en computacin la dimensin y complejidad del mbito de estudio, lo que permitir estimar esfuerzos. Como elementos que se capacita en los principios y tcnicas de la auditora. fundamentales a considerar, pueden citarse la estructura y volumen de los elementos a estudiar:
Metodologa de la auditora computacional 1. Organizacin.

rganos. El a) mtodo que se expondr es comn a la implantacin de un rgano de auditora computacional, o b) Nmero deen clases de trabajo. c) una Cantidad control interno unadiferentes empresa,de y puestos a la realizacin de auditora puntual de la totalidad o parte de un de personas por cada clase de puesto. departamento de computacin. d) Relaciones entre rganos (jerrquicas y funcionales). e) Flujos de informacin.
Definicin mbito y objetivos 2. Aplicacionesde computacionales. .

a) Cantidad, tamao y complejidad de los programas. Este primer paso consiste en una serie de reuniones o entrevistas con el peticionario de la auditora o, si se trata de b) Antigedad. . implantar la funcin de auditora computacional, con la persona u rgano a quien compete ese elemento c) Documentacin. estructural. d) Cantidad y complejidad de archivos. Como resultado de esas entrevistas se ha de conseguir un documento inicial de exposicin de e) Mtodo de diseo. objetivos. Puede ocurrir que la persona entrevistada (el peticionario) indique que se le haga una propuesta de posibles 3. Entorno mbitos de operativo. trabajo, en cuyo caso se le preparar un documento en el que figurarn las alternativas siguientes: a) Configuracin de hardware y software bsico. b) Nmero de centros. c) Redes de comunicaciones. 1. Desarrollo de la totalidad de la funcin de auditora en la empresa, revisando incluso la utili d) Distribucin (de datos, aplicaciones, y desarrollo). dad para los usuarios finales, por mediodiseo de muestreos, entrevistas o anlisis exhaustivo. 2. Auditora exclusiva del interior del departamento de computacin. 3. Auditora de algn subsistema o aplicacin, como pudiera ser del 4. Metodologa de trabajo. parque de computadoras, su a) Normas yutilizacin, procedimientos. adecuacin, eficacia, etc.
. b) Documentacin (manuales). 4. Auditora de alguna funcin en particular como, por ejemplo, de las medidas de seguridad y c) Estndares. privacidad. d) Planificacin, control y administracin. 5. Auditora de la metodologa de anlisis y desarrollo de sistemas computarizados.
A partir de esos parmetros, se ha de obtener una definicin de la envergadura del trabajo. .. El informe Ha de obtenerse un acuerdo formal sobre objetivos y mbito de trabajo, plasmado en un documen to en esta etapa ha de presentarse a validacin por los tcnicos y enlaces eo de obtenido especificaciones iniciales, firmado y validado. En cuanto a los objetivos, pueden consistir en: auditora para determinar si es correcto. Ha de obtene;se, finalmente, un informe validado sobr los parmetros observados respecto a dimensiones del trabajo y el esfuerzo a realizar.
Determinacin de perfiles
1. Mejorar costes, plazos o calidad. 2. Aumentar la seguridad o la fiabilidad. 3. Evaluar el funcionamiento de un rgano.
Estos objetivos posibles afectan a: A partir de la definicin del punto anterior se podr obtener una lista de los perfiles tcnicos pr cisos de las personas que habrn de colaborar en la realizacin de laplaneacin, auditora. Fundamenta menteyse tratar de: 1. Funciones administrativas: organizacin y personal, anlisis de costes contabili dad, desarrollo de procedimientos administrativos, asuntos legales. 2. Funcin de desarrollo de sistemas: desarrollo en s, mantenimiento. 3. Funcin de operacin: operacin en s, control de entrada y salida, teleproceso, 1. Expertos en comunicacin. 2. soporte tcnico, Expertos en bases de datos. etctera. 4. Servicios exteriores: servicios suministrados, servicios recibidos. 5. Soporte a la propia auditora: 3. Expertos en configuracin de hardware; adecuacin y medidas de eficacia y rendimiento. 4. Expertos en organizacin, planeacin, formacin. organizacin y racionalizacin del trabajo administrativo. 5. Tcnicos computacionales en general. 6. Psiclogos.
1191 1192
Del mismo modo se estimarn los recursos materiales necesarios en cuanto a: En el primer caso la realizacin de las actividades conlleva ms tiempo, pero se obtiene un tra bajo de ms calidad. Si se opta por escoger la segunda alternativa se ahorra tiempo, las actividades se pueden realizar ms 1. Software. rpidamente, pero se obtiene un trabajo de menos calidad. a) Paquetes de auditora. b) Compilad ores. c) Lenguajes. Elaboracin d) Monitores. del informe final e) Informes contables. En cada fase del trabajo se entregan borradores de los informes, a las personas implicadas, ya que puede haber 2. Hardware. existido algnde error de apreciacin, que en la crtica y validacin del borrador, debe ra detectarse. Tambin pueden a) Tiempo computador. b) ponerse de manifiesto aspectos oscuros, temas tratados incompleta o errneamente, o bien, asuntos no tratados. Es Equipos especficos. decir, a medida que se realizan los estudios de rganos, funciones o temas, se entregan borradores para su crtica y validacin. Con los informes validados se elabora el informe final, que se entrega al peticionario. O sea, que a partir de una sistematizacin de estos informes parciales, se obtiene el informe final cuyo contenido consistir en: Elaboracin de planes
Se aborda a continuacin la elaboracin de un plan, en que se indicarn: 1. Presentacin. 2. Listas Definicin de mbitos y objetivos. . 1. de actividades a realizar, estructuradas segn su secuencia lgica, as como perfiles de las per 3. Enumeracin de temas, rganos, aplicaciones, etc., considerados. 4. sonas para ejecutarlas, e inventario de medios necesarios. 2. Esfuerzos estimados para cada actividad por cada Anlisis. recurso preciso. 3. Se debe concretar en ellas la ayuda a recibir en la realizacin de la auditora en cuanto a:
a) Personal tcnico y administrativo. a) Software Situacin(equipos, prevista. tiempo de mquina). b) b) Presupuesto Situacin real. c) inicial. c) Contenido Tendencias. d) (aspectos) de los informes finales. d) Boceto. Puntos dbiles y amenazas que suponen. e) e) Puntos fuertes y oportunidades.
5. El Recomendaciones. plan se discute con los peticionarios de la auditora hasta obtener un acuerdo provisional, sobre todo de los cuatro ltimos apartados.
a) Descripcin. b) Plan de implantacin. c) Beneficios. de programas ElaboraciQn d) Plan de seguimiento y control.
Un plan se convierte en programa cuando las actividades pasan de estar asignadas a recursos tipo Ocasionalmente, se puede determinar que las personas u que han realizado la auditora intervendrn (perfiles) a ser asignadas a recursos concretos (personas rganos), con fechas de iniciacin y teren el futuro para seguir el realizacin. cumplimiento los planes deeste accin recomendados aspectos definidos minacin previstas para la Esde posible que de hecho se derive la en necesidad de realizar previamente. ajustes en presupuestos o calendario, debido a indisponibilidades o incompatibilidades de recursos. Hay que tener presente que en la elaboracin de planes no se pueden establecer calendarios, ya que se trabaja con recursos genricos y no concretos. Como resultado de esta etapa se obtendr: el programa, el calendario en firme y el presupuesto en firme. Reglas bsicas en la realizacin de una auditora Una vez ms hay que realizar una reunin con los peticionarios, o enviarles los tres puntos, para obtener un acuerdo escrito, o un contrato. Se indican en este apartado una serie de principios bsicos a tener en cuenta en la realizacin de una auditora de cara a lograr una mayor efectividad en el trabajo por parte del auditor computacional.
1. Fomentar la cooperacin de los elementos auditados. Normalmente se suele adoptar una actitud defensiva ante el auditor, que se piensa que ste busca culpables. Para evitar esa situa cin, o incluso que se llegue a un A partir de laya definicin en firme, se puede com'enzar la realizacin de la auditora, teniendo en cuenta boicot ms o menos abierto, es preciso convencer a todos los implicados de que el auditor slo busca mejoras y que puede abordarse: soluciones. 1. temas ejemplo, realizando enrealizar primerentrevistas lugar todos los trabajos 2. Por Contar con o elfunciones. apoyo de la Por direccin, ya que se debern y solicitar docu relacionados con seguridad; en segundo lugar, todos los relacionados con estructura, etc. mentacin y posiblemente trabajos de los elementos auditados. 2. Por rganos auditados. Por ejemplo, se hace el estudio completo de la seccin y luego deobtener la 3. Cuidar aspectos protocolarios; explicar al jefe de una unidad qu es loX que se desea en seccin Y, etc. una entrevista con un subordinado suyo; establecer una diferencia clara entre los jefes y los empleados.
1193 1194
Realizacin de las actividades
4. Realizar una presentacin o entrevista inicial en que se explique el objetivo, su justificacin y se aclaren dudas. 5. Solicitar con la antelacin precisa la informacin inicial a obtener. Es decir, solicitar la infor macin precisa antes de comenzar los trabajos (manuales de normas, etc.). 6. No adelantar resultados parciales sobre un rea o funcin determinadas; las visiones o anli sis parciales pueden causar impresiones falsas y adems ser errneas. 7. Comentar con los interesados los resultados obtenidos antes de presentarlos a niveles supe riores.
Evidentemente, en caso de que se investiguen posibles fraudes o irregularidades maliciosas, la estrategia es distinta, debiendo cuidar que se realicen y preparen los trabajos pertinentes con el mayor sigilo posible. 1. No emitir juicios que no estn slidamente basados. 2. El auditor observa, juzga, recomienda. Al ser un personaje independiente de la funcin o ele mento auditado, no es responsable, ni realizador, ni usuario.
Tcnicas y herramientas utilizadas en la auditora computacional

Las tcnicas utilizadas son las habituales de la auditora; muestreo, revisin, entrevista, prueba y simulacin. Todas ellas han sido ampliamente desarrolladas en las primeras secciones de esta enciclopedia en las que se estudia la auditora clsica. En cuanto a las herramientas utilizadas se pueden mencionar: cuestionarios, estndares, simuladores, paquetes de auditora, matrices de riesgo y monitores. Las dos primeras fueron tambin desarrolladas en las secciones destinadas a la auditora tradicional; las siguientes se explican a continuacin. .
Simuladores
Dado que entre los elementos a observar figuran configuraciones hardware y software a veces hay que utilizar herramientas especiales para poder deducir el comportamiento del elemento en cuestin ante situaciones lmite, como pueden ser un corte de luz, un trfico muy elevado de informacin, etc. Se trata, en definitiva, de comprobar si poseen las caractersticas necesarias para hacer frente a estas situaciones. Hay simuladores basados en productos software y otros que usan una mezcla de hardware y software. Para ayudas en el diseo de redes de comunicaciones, por ejemplo, se pueden usar productos que simulan y predicen el comportamiento de una configuracin ante un suceso determinado, indicando capacidad de proceso, cuellos de botella, etc., o bien que rastrean el comportamiento de un elemento en una situacin real.
Paquetes de auditora
Son herramientas comnmente usadas por personas que realizan auditora por medio de la com putadora. Son programas o conjuntos de programas que permiten, con rdenes sencillas y de pequeo formato, generar programas que realizan funciones tpicas de muestreo al azar, muestrear segn otros criterios, seleccin de informacin que cumpla determinados requisitos, estudios estadsticos, edicin de informes, etc. Estos paquetes permiten un ahorro considerable de necesidad de formacin computacional por parte del auditor, as como una elevada velocidad de realizacin de los programas precisos.
1195
Monitores
Se trata de software, hardware, o combinacin de ambos, que miden el comportamiento de un sistema o componente del sistema, en una situacin e instante real. Se diferencian de los simuladores en que stos predicen o infieren el comportamiento de un elemento, mientras que los monitores slo miden, no provocan o simulan determinadas situaciones.
Matrices de riesgos
Las matrices de riesgo, tambin llamadas de amenazas, son las herramientas utilizadas para ana lizar riesgos y establecer medidas de cobertura. Se define la exposicin a un suceso como la pro babilidad de que se produzca ese suceso, mientras que el riesgo de un suceso viene determinado como el producto de la exposicin por el coste del suceso. El riesgo da una medida en dinero del coste probable que supone para una instalacin la existencia de una posible amenaza. Es importante calcular el riesgo de una instalacin o un sistema ante un suceso determinado, ya que del.anlisis del conjunto de los riesgos se deriva la definicin de prioridades y recursos que deben dedicarse a cubrirlos. Por ejemplo, un incendio total en un centro de proceso de datos puede ocasionar unos daos de 500 millones de unidades monetarias, con una probabilidad de que se produzca un incendio cada 200 aos. El riesgo que sufre la instalacin es, pues, de: 500.000.000 u.m. 200 aos
= 2.500.000 u.m./ao
El coste medio de recuperacin de un error en un proceso de facturacin puede ser de 30.000 unidades monetarias, y se producen 100 errores al ao. De ah se deduce que una exposicin elevada puede ocasionar riesgos elevados, aunque el coste unitario sea pequeo. Ha de tenerse en cuenta, cuando se habla de coste del suceso, que a veces es difcil de evaluar. Por ejemplo, en el caso de una empresa con tratamientos computarizados en lnea, el coste de una catstrofe, como podra ser un incendio del centro de proceso de datos ser igual al coste de reposicin de equipos + prdida de beneficios (no obtenidos) + prdida de clientela y negocio por disminucin o interrupcin de la capacidad de operacin. Como herramientas para anlisis de riesgos y medidas de cobertura, se usan las denominadas matrices de riesgos o amenazas, algunas de cuyas variantes son:
Elriesgo es de 30.000 u.m. x 100 = 3.000.000 u.m./ao.
1. Matriz 1 (probabilidad, amenaza, impacto) 2. Matriz 2 (amenaza, medida de cobertura, efecto) 3. Matriz 3 (amenaza, recurso, medida de cobertura)
1196
CAPTULO 52
Auditora de la planificacin
GERARDO GLVEZ MENESES Ingeniero comercial Universidad de Chile
mbito de actuacin de la auditora /52-1198 Auditora de la funcin de planificacin /52-1198 Conceptos relativos a la funcin de planificacin /52-1198 Problemas asociados a la funcin de planificacin / 52-1198 Niveles de planificacin /52-1199 El plan estratgico de sistemas /52-1200 Contenido del plan estratgico de sistemas /52-1200 Resumen del plan estratgico de sistemas / 52-1202 Planes tcticos / 52-1203 Planes operacionales /52-1203 Revisin de la planificacin por el auditor / 52-1203
1197
mbito de actuacin de la auditora

El mbito de actuacin de la auditora es bastante amplio. Puede actuar sobre: 1. La funcin de planificacin. 2. La construccin o desarrollo de sistemas. 3. La organizacin y la administracin. 4. El entorno operativo. 5. La explotacin. 6. La gestin. En este captulo se tratar la actuacin de la auditora sobre la funcin de planificacin. En los siguientes captulos se tratarn otros mbitos de actuacin de la auditora.
Auditora de la funcin de planificacin

Conceptos relativos a la funcin de planificacin
Bajo el trmino planificacin se engloban dos actividades relacionadas aunque diferentes: la actividad de disear planes y la de ejecutar las tareas segn los planes previstos.
.
En un departamento de computacin los planes deben referirse a objetivos, actividades, pla zos, costes y recursos. Deben existir los mecanismos precisos (normas, procedimientos, rganos de planificacin, seguimiento y control), que aseguren la existencia, adecuacin y cumplimiento de planes, controles, administracin y medidas de gestin. La ausencia de algunos de ellos es un sntoma, sobre todo en grandes instalaciones, de posi bles deficiencias en cuanto a falta de coherencia, calidad o economa en las mismas.
Problemas asociados a la funcin de planificacin

Aplicaciones inconexas. La implantacin de la computacin en la empresa se produce normalmente para solucionar un problema muy concreto y local, que consiste en aglutinar en un slo departamento la gestin de stock, el proceso de capitalizacin y el control de cuentas de clientes. A medida que se va verificando la utilidad de la computacin, se ampla su uso a otros depar tamentos, pero en cada caso se contemplan soluciones concretas con desarrollo de software espe cfico para cada problema operacional.
li,
" '1
,~~
','
Informacin redundante, incoherente e inconexa. Como derivacin del problema antes citado, se puede '1 llegar a una situacin que se presenta actualmente en muchos bancos, en la que cada rea de negocio " ,,1 (cuentas personales, prstamos, valores, etc.) tiene ficheros propios de clientes, con formatos '1" incompatibles, por lo que se duplican en grado excesivo ciertos datos. Una persona que sea titular de !;,1~ varias cuentas corrientes y una cuenta de ahorro a plazo y varios depsitos de valores, puede tener sus datos personales repetidos, con distinto grado de actualizacin, tantas veces como cuentas tenga. "'" Corregir estos problemas, y sobre todo evitar que se vuelvan a producir en el futuro, es uno de los objetivos de la planificacin. Ha de considerarse que los productos computarizados deben adecuarse a " la estructura de la informacin empresarial. La misin de desarrollo de sistemas es lograr un sistema integrado por subsistemas o aplicaciones interconectadas con software comn y datos comunes, de redundancias controladas y coherentes. Este 1,1 sistema integrado no se logra sin los planes adecuados.
,'" ' k
1198
~\ .
"""" "
,WI,~
Parque computarizado catico. La poltica de adquisicin (compra, alquiler, leasing) de equipos computarizados a veces no est definida y planeada, y las responsabilidades en este sentido se hallan dispersas. Con ello se logra tener en una misma instalacin elementos hardware o software incompatibles, e incluso en franca competencia.
Rumbo indeterminado del departamento. La inexistencia o incumplimiento de planes provoca la existencia de instalaciones donde se realizan muchos anteproyectos, se empiezan menos proyectos, se terminan menos y muy pocos se usan o sirven para algo. Desconexin del departamento con la realidad de la empresa. Evidentemente, los planes de mayor nivel del departamento han de ser aprobados y controlados por la direccin de la empresa. Ello produce un deseable contraste del mundo computarizado con la empresa, con adecuacin de aqul a las necesidades y objetivos de sta. Objetivos inexistentes, desconocidos o mal formulados. Los objetivos han de ser claros y medibles. Suelen encontrarse definiciones de objetivos que no son tal sino enumeraciones de medios. Por ejemplo, mecanizar un servicio no es un objetivo. Un objetivo podra ser bajar en un 20 % los costes de ese servicio.
Niveles de planificacin
Existen diversas terminologas para definir los niveles y clases de planes, en funcin de su contenido y alcance. Se adopta la siguiente clasificacin en tres niveles: Planificacin estratgica (alto nivel). El plan estratgico define misiones, objetivos y polticas. Se contempla a largo plazo (5 aos) y su mbito abarca el sistema de informacin (toda la empre sa). Como ejemplo de objetivos podran citarse:
a) Tiempo medio de servicio a un cliente inferior a un minuto. b) Tiempo de servicio a un cliente inferior a dos minutos en el 95% de los casos. c) Coste por operacin inferior a 25 unidades monetarias. d) Incrementar el margen de intermediacin un 15%. e) Aumentar el pasivo en un 25%.
Cuando los objetivos se alcanzan, las misiones se cumplen. Como ejemplo de polticas se podran citar las siguientes: a) Descentralizar los equipos y desarrollo de software. b) Promover el uso de mquinas de autoservicio. c) Frenar el incremento de la plantilla de personal.
Las polticas que restringen las variables de actuacin han de respetarse.
Planificacin tctica (medio nivel). El plan tctico dispone adecuadamente los recursos disponibles para cumplir las misiones y alcanzar los objetivos fijados dentro de las polticas determinadas: Tiene una duracin de 1 a 2 aos, se refiere.a proyectos (parte de la empresa). Dentro de las tcticas que pueden emplearse para lograr los objetivos, acordes con las polticas fijadas, se citan:
a) Menos clientes, ms rentables? b) Racionalizar diseo en plantas de oficinas?
1199
c) Ms oficinas? d) Ms clientes? e) Mecanizar operaciones A, B, C? f) Teleproceso?
Planificacin operacional (bajo nivel). El plan operacional es un desglose a mayor nivel de detalle del plan tctico. Sus caractersticas son anlogas a las de ste en cuanto a la definicin de su contenido. Pero es un plan a corto plazo y est referido exclusivamente a sub proyectos o a fases de subproyectos. Como ejemplo de un plan operacional podran citarse: a) Realizar curso X para los puestos Y, Z de trabajo. b) Realizar el programa P: Programacin, Pruebas
El plan estratgico de sistemas

En diversas metodologas y bibliografa sobre el tema, el plan estratgico de sistemas se conoce tambin con los nombres de plan computacional, plan de sistemas o plan a largo plazo. Sus caractersticas son las siguientes: "~ La duracin suele cubrir un plazo de 4 a 5 aos, ya que dada la evolucin del mercado y la tec nologa computarizada, es poco prctico y realista hacer planes a ms largo plazo. As, la dura- I cin de la aplicacin del plan nunca puede ser superior a 4 o 5 aos porque la tecnologa com- '1 putacional tiene una tasa de innovacin tal que hace imposible predecir la oferta tecnolgica a !,d~ mayor plazo. ! La realizacin y responsabilidad del plan corresponde a la direccin del departamento, J
emplendose para ello los asesores internos o externos que se precisen. Debe estar enmarcado \1''( en los planes de la empresa y ser coherente con ellos. Adems requiere ser revisado y aproba- 'i~ do por las reas de negocio y la direccin de la empresa. La informacin de que se nutre est .\11 formada por:
1. Planes de la empresa. 2. Directrices que le han sido fijadas. 3. Informacin del entorno tcnico, del mercado y la competencia. 4. Informacin de gestin interna del departamento. 5. Informacin procedente de rganos usuarios. 6. Informacin procedente intercambios de experiencias con otros centrosde 'mii!! similares. Adems de revisarse y de aprobarse, debe ser publicado en los mbitos de difusin pertinentes .",,, ,w la empm,a, con objeto de qne ,ea conocido po< quiene, deban n,ado. Su ,ev;,;6n y coceecdn .., .:. ! (o confirmacin) se realiza cada 6 o a lo sumo 12 meses, o en cualquier momento en caso de pre- i; sentarse desviaciones de importancia de las hiptesis, previsiones o desarrollo del plan. Hil de ser usado como marco de referencia para todos los trabajos del departamento: desarro llo de sistemas, adquisicin de equipo o software bsico, comunicaciones, etc.
"'10.~ i,~
Contenido del plan estratgico de sistemas

El plan ha de formularse de acuerdo a una serie de premisas, puntos de partida y previsiones (hiptesis), sobre el cumplimiento en las cuales se basa. Un modelo de contenido podra ser el siguiente:
1200
1. Situacin actual. En esta etapa se analiza el punto de partida, definiendo no slo la situacin del departamento sino, sobre todo, teniendo en cuenta el alcance del plan, la de la empresa, y la de la competencia. La existencia de productos tecnolgicos (hardware, software, facilidades de comunicacin) determina tambin los posibles tiles en que se puede apoyar el sistema de informacin mecanizado. Por otra parte, ha de especificarse la situacin (puntos dbiles y fuertes) del propio departamento, para aprovechar en el futuro los puntos fuertes (oportunidades) y corregir los dbiles (amenazas). Aspectos como la carga de trabajo que se tiene en la actualidad, sobre todo la de mantenimiento de aplicaciones, la formacin y experiencia de las personas, la carga de equipos, etc., son importantes a la hora de definir la situadn actual. 2. Hiptesis. Se formulan unas previsiones sobre el comportamiento de la empresa en cuanto a capacidad, necesidades, oferta y demanda, la tecnologa, competencia, etc., para el perodo de tiempo en que se deber aplicar el plan. Se supone que se cumplirn esas previsiones, en cuyo caso se debern alcanzar los objetivos fijados. A lo largo de la vida del plan debern hacerse las revisiones precisas, sobre todo, si se detecta que alguna de las previsiones no se cumple, en cuyo caso habr que realizar las correcciones pertinentes al plan. 3. Polticas de empresa. Las impone la direccin de la misma, y consisten en restricciones a las posibles variables de actuacin para cumplir las misiones y alcanzar los objetivos. Se trata de decisiones de alto nivel, como descentralizacin o centralizacin del proceso de datos, descentralizacin del desarrollo de software, autonoma o conexin a grandes centros, lneas privadas o pblicas de comunicacin, modelo de centro usuario computacional, estructura, personal, equipo, etc. Esas decisiones, que han de respetarse durante largo tiempo, y usarse en todos los subsistemas a implantar, vienen fijadas por la direccin.
4. Objetivos del departamento. Constituyen' la parte fundamental del plan y consisten en definir los objetivos claros y mediblesque debe conseguir la funcin computacional en la empresa.
Pueden resumirse en:
.
a) Calidad y cantidad del servicio. b) Coste del servicio. Normalmente, no se suele hablar de costes de los planes de proyectos, ni de los de las aplicacio nes ni incluso, de los de la totalidad del departamento. Es misin del auditor, entre otras, lograr que el profesional de la computacin hable en trminos de coste y magnitudes medibles, en lugar de referirse a beneficios intangibles. Como ejemplo de posibles objetivos pueden citarse: a) Tiempos de respuesta a procesos en lnea. b) Capacidad de proceso de trabajos y transacciones; trficos. c) Tasas de errores e indisponibilidad. d) Coste de cada servicio. e) Servicios mecanizados a implantar y correspondiente justificacin econmica. f) Captacin de mercado por medio de servicios a clientes. Hasta ahora los puntos mencionados se articulan en la proposicin: Partiendo de 1 (situacin . actual), si se cumple 2 (hiptesis), lograremos 4 (objetivos del departamento) respetando 3 (polticas de empresa). Los siguientes aspectos definen cmo se van a lograr esos objetivos.
5. Arquitectura del subsistema de informacin mecanizada. Indica el diseo funcional global del subsistema a lograr. Es posible que a lo largo del plazo del plan no se prevea obtener la totalidad del subsistema. En cualquier caso, ha de indicarse la arquitectura total, aclarando quparte del mismo deber realizarse a lo largo del perodo planificado. Se deber indicar quaplicaciones se realizarn, su impacto sobre reas usuarias y la interrelacin entre ellas.
1201
6. Necesidades de seguridad, confidencialidad y control. La importancia de este punto radica en el hecho de que, actualmente, la posesin de informacin de calidad condiciona ms que nunca el xito de una empresa. Adems, la capacidad de procesar los elevados volmenes de informacin que guardan las computadoras, y la posibilidad de copiar esa informacin a un bajo coste, hace preciso considerar la informacin como un activo de la empresa, y equiparar la prdida de confidencialidad o la destruccin de informacin a prdida de dinero. El fraude por medio de la computacin, puesto de relieve en los medios de comunicacin, ha de preocupar lo bastante como para que se adopten adecuados sistemas de control de acceso a la informacin. 7. Arquitectura tcnica. Una vez definido el modelo funcional, se deber definir en qu elementos de hardware y software se implantar ese modelo. En cuanto al hardware habr que considerar:
a) Equipos centrales: clase, cantidad y configuracin. b) Equipos distribuidos: clase, cantidad y configuracin. c) Redes de comunicaciones: volumen, clase, tipologa. d) Mquinas para incremento de la calidad y productividad del propio departamento. y en lo que se refiere al software: a) Software bsico. b) Sistemas operativos. c) Gestores de bases de datos. d) Gestores de comunicaciones. e) Paquetes de aplicaciones. f) Software para incrementar la calidad y productividad del propio departamento. g) Aplicaciones propias. No se trata de definir marcas y modelos, sino caractersticas y requisitos que han de cumplir. La seleccin de los mismos podr hacerse a posteriori. 8. Necesidades de personal a) Cantidad de personas por cada perfil preciso. b) Planes de formacin. c) Planes de contratacin. d) Manera de contactar con personas e instantes en que se deber poder disponer de ellas.
9. Riesgos y contingencias. Dado que en el anlisis de la situacin actual se han detectado pun tos dbiles, que en el futuro podrn convertirse en amenazas, y que el plan se basa en el cum plimiento de unas previsiones, es posible, desde el momento en que se est elaborando el plan, definir una lista de posibles riesgos, con el impacto que tendran sobre el mismo, y las medidas correctoras a adoptar en caso de que se presentaran. En definitiva, se tratara en este punto de describir los posibles riesgos, explicar cules seran sus sntomas, qu elementos se veran afect?dos y cules seran las acciones a ejecutar si estos hechos se produjesen.
Resumen del plan estratgico de sistemas

La totalidad del plan tiene el siguiente significado. A partir de 1 (situacion actual), y suponiendo 2 (hiptesis), de acuerdo a 3 (polticas de empresa), lograremos 4 (objetivos del departamento) implantando un sistema que har 5 (arquitectura del subsistema de informacin mecanizada), con los requisitos 6 (necesidades de seguridad, confidencialidad y control), sobre un conjunto de
1202
CAPTULO 53
hardware y software 7 (arquitectura tcnica), para lo que se prevn unas necesidades de personal 8 (necesidades de personal). Existen los riesgos 9 (Riesgos y contingencias), que habr que vigilar adecuadamente. JAIME LINDEGAARD VEGA
Auditora de sistemas
Planes tcticos
Tcnico en Computacin Socio International Multimedia Design Representan el nivel intermedio, con un alcance de 1 o 2 aos. En realidad no hay un plan tctico sino un conjunto
de ellos, ya que existen planes independientes, relativos a proyectos identificados y definidos en el plan estratgico, que determina la estructura maestra a que todos deben acomodarse. Los planes tcticos los realiza la direccin del departamento, pero deben ser conocidos y aprobados en el mbito de la direccin de la empresa. Han de revisarse y confirmarse (o modificarse) trimestralmente y su seguimiento es responsabilidad del comit de computacin. El contenido de estos planes es un programa (plan con responsables concretos de cada actividad y fechas de ejecucin) de cada proyecto.
Auditora de la construccin de sistemas /53-1206 Problemas asociados a Son los que tienen mayor grado Puntos de detalle a corto la construccin de sistemas / 53-1206 clave y dealcance la construccin deplazo. La responsabilidad de su con feccin, / seguimiento y control, atae al jefe de proyecto, en el caso de referirse a construccin de sistemas 53-1207
Planes operacionales
puede indicarse que grado de de detalle que ha dePrincipios alcanzarse en este nivel debe llegar a definir Auditora del proceso de el construccin sistemas /53-1207 actividades de duracin semanal o quincenal. fundamentales de la gestin de proyectos / 53-1208 La planificacin en la construccin de sistemas /53-1208 Fases en el proceso de construccin de sistemas /53-1208 Puntos clave de la buena planificacin de un proyecto /531209 Revisin de la planificacin por el auditor Como sede ha dicho, de los deben existir, estar formalizados Auditora la calidad unplanes producto computarizado Principios /53-1211adecuadamente, ser razonables y coherentes con la planificacin global de la empresa, adems de mantenerse y utilizarse. El auditor ha clave /53-1211 Definicin depues: calidad /53-1211 de verificar Plan de garanta de calidad del software / 53-1211 Medidas de control del software / 53-1213 1. Queinterno existan documentos aprobados por los rganos competentes en que se reflejan los tres niveles de planificacin. 2. Que estn publicados y sean conocidos por las personas dentro de sus mbitos de difusin. 3. Que sean realistas y armnicos con los de la empresa. 4. Que existan las normas y procedimientos precisos para su confeccin, publicacin y manteni miento. . 5. Que esas normas y procedimientos sean adecuados y seguidas. 6. Que se revisen con la periodicidad adecuada, as como en caso de ocurrir algn suceso que lo exigiera. 7. Que se incorporen a los planes las modificaciones que se haya credo preciso indicando: a) Por qu (causa). b) Quin decide la modificacin. c) En qu consiste la modificacin. d) Beneficios u objetivos a conseguir con ella.
sistemas, y al jefe de la unidad orgnica correspondiente, en el caso de explotacin. Como norma,
1203 1205
Auditora de la construccin de sistemas

Con este nombre se engloba la actividad de definir, disear, realizar, implantar y, a veces, de mantener un subsistema computarizado o aplicacin computarizada. Ello implica no slo desarrollo de software, sino tambin la realizacin de manuales de usuario, documentacin, formacin de usuarios, definicin e implantacin o racionalizacin de circuitos administrativos, etc. El origen del trabajo de construccin de un subsistema puede ser una peticin de un rgano usuario, uria orden de la direccin de la empresa, el resultado de un estudio organizativo, o una propuesta del propio departamento de computacin. La actividad de construccin de sistemas es de vital importancia, ya que en ella se disean las caractersticas funcionales y tcnicas, por lo que evidentemente, una actividad de mala calidad puede proporcionar productos no utilizables. El consumo de recursos, sobre todo de personal, de esta actividad, suele suponer el 40% del total de la funcin computacional, lo que hace de gran importancia su estudio y diagnstico por parte del auditor computacional.
Problemas asociados a la construccin de sistemas

Los problemas derivados de la construccin de sistemas pueden resumirse en los siguientes cinco apartados:
1. Construccin de sistemas inadecuados: sus caractersticas lo hacen intil para el fin que esta ba previsto. 2. Sistemas ineficaces: la ineficacia es uno de los apartados de la falta de adecuacin, relaciona da con la capacidad de proceso y la satisfaccin de las necesidades del usuario. Parmetros tpicos de eficacia son:
a) El nmero mximo de accesos que puede soportar. b) El tiempo de respuesta. c) El coste de acceso.
3. Sistema inseguro: presenta dos aspectos, facilidad de intrusin y realizacin d'e operaciones no permitidas, y admisin de datos incorrectos (o rechazo, como errneos, de datos correctos). 4. Sistema difcilmente mantenible: se supone que el mantenimiento engloba funciones de solu cin de fallos y defectos, ampliacin, modificacin a peticin de usuarios o del propio depar tamento de computacin 5. Sistema no fiable: presenta fallos (errores o averas) con frecuencia. Esas amenazas se refieren al producto de la actividad de construccin de sistemas. Hay otras amenazas que afectan no al producto sino al mtodo de trabajo, a la propia actividad de construccin. Usando un smil en la industria, diramos que la posibilidad de obtener una pieza defectuosa es una amenaza sobre el producto, mientras que emplear tres horas en elaborar una pieza que razonablemente podra elaborarse en una hora, es una amenaza sobre la propia actividad de construccin. Las amenazas sobre la actividad de construccin son: a) Incapacidad para realizar el trabajo previsto: no son infrecuente s los casos en que, en un momento dado, se ha de desechar todo lo realizado hasta ese instante y recomenzar, o enco mendar el trabajo a otro equipo, incluso en el exterior del departamento. b) Incumplimiento de plazos: excesivo consumo de recursos c) Sistemas inacabados: en computacin suele ser frecuente encontrarse con sistemas que se encuentran prximos a su terminacin, y pasan largos perodos de tiempo en ese estado, sin que se produzca avance alguno.
1206
;1 '
Puntos clave de la construccin de sistemas

El auditor ha de vigilar dos elementos:
1. El producto obtenido (el sistema) 2. La actividad de construccin (el mtodo) Para el primero ha de asegurar su calidad. En cuanto a la actividad debe vigilar que el trabajo se haga en forma planificada, controlada y administrada. Su objetivo, respecto al producto (sistema), es verificar y asegurar que posee un elevado grado de calidad. Respecto a la actividad de construccin, ha de velar para que se realice en forma planeada y controlada, con plazos y costes razonables. Como ejemplo de preguntas a realizar sobre la actividad de construccin de sistemas y los sis temas obtenidos como producto, pueden citarse:
. . . . . . . . . . . . . . .
Es el sistema interesante para la empresa? Es el sistema interesante y til para los departamentos usuarios? Su funcionamiento es el ms simplificado posible? Es fcil de mantener? Cuenta con buena documentacin? Es modular (capacidad de crecimiento y reutilizacin)? Tiene suficiente flexibilidad (capacidad de absorber las modificaciones que impongan las peti ciones y necesidades de los usuarios o la tecnologa)? Hace un uso adecuado de los recursos hardware y software? Tiene los mecanismos precisos de seguridad, confidencialidad y control? Estn definidos los objetivos del sistema? Estn definidos los participantes en la construccin de sistemas y sus responsabilidades? Se ha hecho el anlisis adecuado? . Estn previstos los procedimientos de planificacin, control y administracin del proyecto? Est previsto el plan de transicin del viejo al nuevo sistema? Est prevista la formacin y asistencia a usuarios? Intervienen todos los implicados (usuarios, tcnicos, representantes de explotacin, etctera)?
Es un vicio comn en la construccin de sistemas el no prestar la atencin precisa a las etapas iniciales del proyecto y pasar rpidamente a hacer el anlisis tcnico (orgnico). Ha de tenerse en cuenta que un error u omisin en las etapas anteriores (definicin de requi sitos o anlisis funcional) suele implicar la adopcin de un sistema intil, o bien el tener que rehacer todo lo que se haba realizado hasta la deteccin de ese error u omisin, por lo que el riesgo que se asume es muy elevado.
Auditora del proceso de construccin de sistemas

El auditor ha de analizar y asegurarse de la existencia, adecuacin y cumplimiento de las funciones de planificacin, control y administracin de recursos y actividades. Estas funciones son responsabilidad del jefe <;le proyecto. Ha de tenerse en cuenta que esas funciones consumen tiempo, por lo que debern estar previstas en el clculo de cargas de trabajo. Una persona puede dirigir, controlar y supervisar el trabajo de cinco a ocho colaboradores, y esta ocupacin normalmente consumir todo su tiempo til. La direccin de un proyecto puede estar encomendada a usuarios, tcnicos en organizacin y tcnicos en computacin. En rigor, en cuanto a su funcin propia, el jefe de proyecto precisa solamente conocimientos de tcnicas de planificacin, tcnicas de administracin y direccin de recursos, as como tcnicas de control de avance de proyectos.
1207
Evidentemente, la primera parte (tcnicas de planificacin), exige conocer la estructura bsica o modelo de realizacin del proyecto; fases, actividades, tcnicas, perfiles de los profesionales que intervienen, etc. Las dems tcnicas son comunes a la direccin de cualquier tipo de proyecto (marketing, ingeniera, etc.).
Principios fundamentales de la gestin de proyectos

En la gestin de proyectos hay que tener en cuenta los siguientes principios fundamentales: 1. El proyecto ha de descomponerse, por medio de un proceso analtico, en partes cada vez ms elementales, hasta llegar a tener unidades controlables y medibles; se debe saber cundo empie zan, cundo terminan, y en qu grado de realizacin (porcentaje) se est en un instante dado. 2. Las unidades han de estructurarse en el tiempo teniendo en cuenta precedencias y prioridades. 3. Se estiman coste, plazos y esfuerzos para cada unidad de trabajo y para el conjunto de ellos. Han de tenerse en cuenta las esperas motivadas por precedencias, y el consumo de tiempo y esfuerzos que implican las entrevistas, reuniones, trabajo de coordinacin, etc. 4. Asignacin de unidades de trabajo a recursos concretos. Como consecuencia de este punto puede ser preciso reestructurar las actividades. . 5. Definicin de calendarios, con fechas estimadas para los sucesos ms importantes. Normalmente se suelen establecer varios (optimistas, ms probable y pesimista), en funcin de las estimaciones realizadas. 6. Definicin, implantacin y uso de mecanismos de control, medida y correccin de desviaciones. Para este punto deben sentarse normas y procedimientos de informe de actividad, informe de avances, control y evaluacin de cambios, evaluaciones de la realidad frente a lo planificado, ajustes y correcciones, e implantacin y seguimiento de normas y estndares, sobre todo tendentes a garantizar la calidad del producto: documentacin, modo y tcnicas de trabajo, repaso y verificacin de las pruebas y validaciones, caractersticas del producto (modularidad, flexibilidad, reutilidad, etc.).
'. ,~ 1i!
"
jj 1
La planificacin en la construccin de sistemas

El plan estratgico o computacional identifica y define las lneas maestras de todos y cada uno de los proyectos a realizar, as como los contactos y relaciones entre ellos. Cada proyecto, por separado, ha de tener un plan a nivel tctico y operacional (medio y corto plazo), y debe ser posible, estar formalizado, y ser correcto. Normalmente la descomposicin de un proyecto, se suele hacer en tres o cuatro niveles, que son: proyecto, fase, actividad, tarea o paso. No hay un acuerdo sobre las fases tpicas de un proyecto computarizado, cada metodologa tiene las suyas, aunque s hay ciertas similitudes entre ellas.
.
.,"I!:,,~
Fases en el proceso de construccin de sistemas

Como norma general, cualquier metodologa ha de prever y sistematizar (o dar como realizada por rganos aparte) las tareas siguientes: 1. Estudio de mercado: para el producto que ha de soportarse por medio del sistema computari zado. 2. Estudio de viabilidad o rentabilidad: determinar que es posible y rentable utilizar la funcin computacional como soporte del producto en cuestin, y en qu grado y forma.
1208
3. Estudio inicial: estudio breve de los elementos dimensionales del sistema computarizado a implantar; volmenes, tendencias, funciones, requisitos, cuyo objetivo es proporcionar una definicin global de la arquitectura del sistema; presentacin de posibles alternativas de solucin para que los rganos apropiados elijan la ms conveniente; estructuracin global. 4. Estudio detallado: una vez definido el modelo elegido, definicin de todas y cada una de las funciones a soportar por el sistema; definicin de las cadenas en que se resolver el sistema. Estimacin mucho ms firme. Escritura de los cuadernos de especificaciones de los programas a realizar. Planes de detalle para la transicin del sistema antiguo al nuevo. 5. Realizacin: programacin, prueba e integracin de programas, cadenas y aplicaciones. 6. Implantacin: inicializacin de ficheros, formacin y entrenamiento de usuarios; transicin paulatina, tal vez con fase en paralelo; medida y evaluacin de resultados esperados contra los previstos; correccin de fallos y defectos. 7. Explotacin: utilizacin rutinaria del sistema durante un perodo ms o menos largo de tiempo. En esta etapa hay actividades de mantenimiento (preventivo, correctivo y modificativo), ascomo de seguimiento y medida de resultados. 8. Baja del sistema: al cabo de cierto tiempo se sustituye el producto por otro debido a su obso lescencia tcnica; incapacidad de soporte tcnico; incapacidad de soportar los requisitos y necesidades de exactitud, tiempo de respuesta, volumen de uso, cantidad de usuarios; o a repetidos fallos o defectos que lo hacen poco fiable.
El conjunto de las ocho etapas citadas se conoce como ciclo de vida del software. A lo largo de esa vida, el auditor computacional ha de revisar la calidad o adecuacin del producto, o bien la calidad o adecuacin del mtodo de diseo, desarrollo, implantacin y control.
Puntos clave de la buena planificacin de un proyecto

Para tener una buena planificacin hay que tener muy presente los diez puntos siguientes: 1. La planificacin y estructuracin ha de realizarse previendo esperas, aprobaciones, reuniones, validaciones, etc. 2. Los representantes de los usuarios han de considerarse como miembros participantes del pro yecto, con tareas y responsabilidades asignadas, as como con planificacin de los momentos en que han de participar y con qu esfuerzo. Este uso de recursos de usuarios debe ser, lgica mente, conocido y aprobado por los jefes de los mismos. 3. A lo largo del proyecto aparecen instantes en que se pueden tomar dos o ms caminos diferentes: a) Centralizar o descentralizar? b) Dispositivos de una clase o de otra? c) Desarrollo propio o contratacin de un paquete? d) Modificacin de estructura del servicio usuario? Algunos de estos caminos pueden ser decididos por el equipo de proyecto: otros estarn fija dos por las polticas de la empresa, pero otros exigirn la decisin de un nivel superior, de igual forma que si surge una diferencia grave de estimacin o apreciacin entre miembros del proyecto. . El rgano con capacidad de resolver o de obtener la resolucin de esas alternativas debe estar especificado claramente en la definicin del proyecto. 4. Como resultado de los trabajos, aparecern visiones de sntesis de situaciones reales, aprecia ciones, etc., que podrn ser ms o menos acertadas, teniendo en cuenta que el estudio de departamentos usuarios, o el conocimiento de tcnicas complejas, como diseo de sistemas on line, no es todo lo profundo que debiera por parte de los miembros del proyecto como para poder asumir con certeza la totalidad de las visiones. En esos casos harn falta valuadores y ase
1209
sores. El jefe de una seccin dir si la visin global de la misma, si las deficiencias a solucionar o las necesidades detectadas son acertadas o no. 5. La estimacin de costes, plazos y esfuerzos ha de realizarse a partir de estndares de la instalacin; los de otras instalaciones no suelen servir. Como factores a tener en cuenta para estimar un proyecto, los ms importantes son: a) Complejidad: Servicios de la empresa afectados: cantidad, interrelaciones con otros, estructura, cantidad de puestos de trabajo diferentes, nmero de efectivos/clase de puesto. Aplicacin piloto en uso de un hardware o software bsico determinados. Inexperiencia en uso de hardware o software determinados de la instalacin. Usuarios que nunca han empleado servicios computarizados. Aplicaciones en tiempo real. . Trfico elevado. Experiencia y formacin de los recursos. Metodologa de trabajo. Herramientas de ayuda: diccionario de datos, editores, tiles para prueba y depuracin, generadores de programas, paquetes de control de proyectos. Lenguajes de programacin. Entorno de la instalacin: tecnolgico, metodolgico. b) Cantidad y complejidad de informes y destinatarios de los mismos. c) Cantidad y complejidad de transacciones de entrada. d) Controles y validaciones a realizar. e) Cantidad y complejidad de archivos y bases de datos. f) Necesidades de flexibilidad y crecimiento. 6. Ha de verificarse la adecuacin de personas a las actividades encomendadas: experiencia, conocimientos, caractersticas humanas: facilidad de comunicacin, trabajo en equipo, etc. 7. Ha de verificarse la existencia de mecanismos de comunicacin entre los distintos proyectos y entre las partes de cada uno de ellos. La incomunicacin se traduce en aplicaciones y ficheros inconexos, trabajos intiles o duplicados y diseos faltos de calidad. Uno de los principios para lograr una funcin computarizada de calidad es que se ha de lograr un sistema de informacin integrada, con redundancias controladas. Se debe lograr un modelo en el mbito estratgico, tctico y operacional con aplicaciones que compartan informacin e incluso software. 8. Existencia de un mecanismo d control de cambios: gran parte de los defectos de un sistema software se introducen en l debido a la incorrecta aplicacin de un cambio de especificacio nes. Normalmente, se suele hacer un esfuerzo inicial, al arrancar el proyecto, y al realizar cada fase de trabajo, en planificar, analizar, evaluar el impacto del trabajo sobre los elementos organizativos correspondientes, etc. Sin embargo, una vez terminada la fase x, cuando en una fase posterior surge una modificacin se realiza a toda prisa, con un anlisis superficial, realizado por pocas o una sola persona, con un riesgo elevado de producir efectos no deseables sobre otros elementos del sistema. El auditor debe verificar la existencia y adecuacin de un procedimiento que asegure:
. . . . . . . . . .
Criticidad.
. a) Que los cambios lleguen a conocimiento de todos los afectados.
b) Que se aprueben y validen por los rganos pertinentes. c) Que se analice su impacto, sobre planes y calendarios, y si es preciso, se reevalen stos. d) Que quede un registro adecuado del cambio: fecha, peticionario, validador, motivo, des cripcin, impacto y acciones realizadas.
El registro es muy til como herramienta para detectar problemas de diseo: un volumen elevado de cambios suele implicar diseos faltos de calidad.
1210
9. Existencia de reuniones repaso y coordinacin: se comunica el IEEE estado(Asociacin de las actividades que desarrollan unos El contenido del diseode preliminar del modelo propuesto por la de Ingenieros Elctricos y miembrosde del proyecto a los dems, se realizan revisiones cruzadas, se intercambian experiencias y se explican Electrnicos USA) consiste en: los problemas detectados, con lo que hay posibilidad de que los dems miembros ayuden a resolverlos. La de estas reuniones como resultado un el aumento la cohesin y sinergia de grupo 1. realizacin Propsito: justificacin de por tiene qu se decide implantar plan dede garanta de calidad del software. 2. y un fuerte aumento deala calidad. Documentos que se hace referencia: normalizados, lista de ellos. 3. Gestin del plan: organizacin del plan, tareas, responsabilidades. 4. Documentacin: documentacin (especificacin dedesarrollo requisitos, descripcin 10. Mecanismo depropsito, control de proyectos: en un centro de con cierto del nmero de personas (a diseo, plan de verificacin validacin, de verificacin y validacin, documentacin para los partir de 40-50) puede sery til emplearinforme una herramienta software, desarrollada en el propio centro o usuarios). un paquete estn dar. Sus ventajas son la estandarizacin, que obliga a formalizar la planificacin y 5. Otra documentacin: plan de desarrollo del software, planydeerrores, gestin de configuracin del simulaciones. El administracin por escrito, economiza tiempo permite realizar software, normas y procedimientos. inconveniente principal, aparte del precio del paquete o desarrollo, estriba en que es innecesario 6. Documentacin definicin de requisitos del usuario, especificaciones de relacio para pequeos adicional: proyectos. nes externas (ficheros, bases de datos, software). 7. Especificaciones de relaciones internas. 8. Manual de entrenamiento. 9. Manual de operacin. 10. Manual de instalacin. 11.auditor Manual de mantenimiento. El computacional debe realizar revisiones sobre la calidad de las aplicaciones desde fases muy tempranas 12. ciclo Plan de de vida entrenamiento. del software. Ha de considerarse que el coste de una aplicacin puede ser bastante elevado, por lo que 13. y convenios: propsito, (requisitos, diseo, implantacin, prue que el coste de un si seNormas, obtiene prcticas como producto algo intil, se ha contenido realizado un gasto que es muchas veces mayor, -ba, documentacin). posible fraude o error, para los cuales se prevn mecanismos adecuados de control. 14. Revisiones y auditoras: propsito, requisitos mnimos a revisar (requisitos del software, dise o preliminar, diseo crtico, plan de verificacin y validacin, auditora funcional, audito ra fsica). 15. Gestin de la configuracin software. Principios clave 16. Gestin de problemas. 17. Herramientas, tcnicas y metodologa. El coste de resolucin de un error u omisin, cometido en un punto dado de la vida de un producto software, 18. Control del software. aumenta exponencialmente con el tiempo transcurrido (o el esfuerzo realizado), hasta que se detecta y se adoptan 19. Control fsico: acceso no autorizado, dao, inadecuacin o degradacin. las medidas correctoras precisas. Esto supone que un diagnstico temprano puede ahorrar cantidades importantes 20. Control de proveedores de software. de esfuerzo, tiempo y dinero. 21. Registro, mantenimiento y retencin de la documentacin de garanta de calidad. Las funciones de auditora o de control interno han de intervenir desde las fases iniciales del proyecto, en aspectos determinados, o propios, fijados por hitos (principio o final de una fase, etc.), peridicamente (quincenal o merisualmente) o en aspectos elegidos alde azar (muestreos). Evidentemente, el auditor no puede revisar y asegurar Como se puede observar se trata un modelo ambicioso, que normalmente no puede implantarse la bondad del en producto en su totalidad, yaes que le exigira uq evolucin esfuerzo depaulatina, magnitud ya similar todo el inicialmente una empresa, sino que el ello resultado de una que al es de dif cil su proyecto, porpor lo que ha de de personas concentrarse puntos claves (seguridad, calidad de diseo, control) y verificar que los aceptacin parte no en habituadas a metodologas de trabajo y documentacin. trabajos sese realizan con mtodos no apropiados que aseguren una elevada probabilidad de xito. En l ven involucrados slo la funcin de auditora computacional sino tambin los rganos de
Auditora de la calidad de un producto computarizado
control interno o control de calidad de la funcin de desarrollo, as como los propios recursos de desarrollo, sobre todo los jefes de proyecto, que han de prever en su planificacin las tareas necesarias para garantizar la calidad. Definicin calidad de un modelo planificado de garanta de calidad del software en un centro de Lograr la de implantacin desarrollo supone una gran ayuda para lograr la estandarizacin de productos, y por tanto, su auditora. Como de varias se lgicamente pueden citar como deseables del software: la utilidad, la Comosntesis camino para su definiciones, implantacin, debencaractersticas seguirse las fases siguientes:
fiabilidad, la exactitud, la seguridad, la modularidad, la flexibilidad, la comodidad, el mante nimiento, la dimensin adecuada, la documentacin adecuada, la aceptacin por los usuarios, la existencia de mecanismos de medida de nivel de servicio los usuarios, la existencia de mecanismos de cOI1trol interno que proporcionen seguridad, a) Propuest. a de la direccin. privac~dad, controles de fechas, arqueos, cuadres, etc. b) Aceptacin por la direccin.
c) Presentacin al personal de desarrollo. d) Aceptacin del personal de desarrollo. e) Planificacin de la implantacin: identificacin de recursos precisos, planificacin en el tiem Plan de garanta de calidad del software po, evaluacin de riesgos. Es un plan dedel aplicacin f) Formacin personal.a uno, o a todos los productos software, de un modelo planificado y sis temtico de acciones necesarias para obtener un grado adecuado de confianza de que el producto en g) Distribucin del plan. cuestin cumple los requisitos, entre ellos el de calidad. h) Ejecucin del con plan.
1211 1212
1 '11, , ~
f,y
~~;,' " ,,',
CAPTULO 54
Auditora de sistel
dedel la organizacin MedidasAuditora de control interno software
y Debido a que el software de aplicacin constituye la plasmacin para un sistemay computariza de un administracin, entorno operativo procedimiento anteriormente realizado en forma manual, ha de dotrsele de las medie de control precisas: prevencin, deteccin correccin de errores, fallos y fraudes o sabotajes control de y gestin En principio las medidas citadas han de definirse funcionalmente, como si se fueran a impla tar
,;r.
I,
en sistemas administrativos comunes. Ejemplos de ello seran los cdigos autoverificados, GERARDO GLVEZ MENESES uso de sumarios de importes y fechas, doble pulsacin de datos muy importantes, verificacion de formato y verosimilitud, control de acceso a la informacin, custodia de documentos negad bles, etc. Ingeniero Comercial Esas medidas funcionales, complementadas con otras que son especficamente precisas por t Universidad de Chile peculiaridades del proceso computarizado (respaldos, etc.) se traducirn en especificaciones ql ha de cumplir el software. EUGENIA LINDEGAARD VEGA A continuacin se especifican familias de controles a implantar en el software:
Ingeniero Comercial Universidad de cuadres Chile de totales (importes, fechas, suma de cdigos), validacin de fo: 1. Controles en entrada: matas, control de verosimilitud, dgitos de autoverificacin, controles de acceso, custodia d documentos segn normas legales e internas 2. Controles en procesos: etiquetas (asegurar que se usan los archivos correctos), registro de con Auditora de la organizacin y administracin trol (arqueos, secuencia de /54-1216 fechas), tratamiento de errores (deteccin de transacciones inco rrectas fl '" con los archivos maestros existentes), procedimientos de recuperacin y re arranque registro para J, L Problema~. asociados a la organizacin y administracin /54-1216 auditora (debe poderse seguir la pista desde un suceso hasta su origen), contra les de integridad J,J:" (contadores de registros, etc.), histrico de cantidades (hoy = ayer + mov mientas de hoy), , Aspectos <I considerar /54-1216 seguridad lgica (control de acceso y de autorizacin) Estructura /54-1216 3. Controles en salida: etiquetas y ttulos (asegurar que se tratan los archivos o listados correctos), ~ Definicin de funciones y responsabilidades / 54-1216 Normas cuadres y conciliaciones, informes sobre cantidades y calidad de informes emitidos, con objeto de y.procedimientos internos / 54-1217 f asegurar que se enven todos y que son correctos, distribucin (instrucciones y controles Dotacin asignacin de recursos humanos y materiales Polticas /54-1217 pertinentes), custodia de documentos negociables, formularios numerados, instrucciones para 1, " de personal/ 54-1218 garantizar la confidencialidad. Relaciones con usuarios / 54-1218 4. Debido a las peculiaridades del proceso de datos, hay que prestar gran atencin a los controles de Relaciones con proveedores /54-1219 recuperacin y rearranque. En efecto, en cualquier momento puede estropearse un disco magntico, que contiene una gran cantidad de informacin (cientos de millones de caracteres), o un programa Auditora del entorno operativo /54-1219 que est actualizando un fichero puede acabar anormalmente, dejando el fichero que se est Seguridad /54-1220 actualizando en un estado extrao (parte actualizada y parte sin actualizar). Por otra parte, hay Planes de contingencia /54-1221 procesos de gran duracin (6, 7, 10 horas) que pueden terminar anormalmente, por ejemplo, despus Configuracin, adecuacin y uso del parque computacional / 54-1222 de ese tiempo. Hay que tener prevista Configuracin ydel uso90% del hardware /54-1222 Configuracin y uso de una solucin a todos esos problemas. Para controlar la amenaza de soporte destruido, se tienen respaldos (backups) o copias de los software bsico /54-1223 ficheros, de manera que se puede trabajar con esas copias. Red de comunicaciones /54-1224 En caso de que termine anormalmente un programa que est actualizando un fichero, se implantartlos denominados checkpoints, (puntos de chequeo), lugares en los que se puede comprobar Auditora del control de gestin /54-1225 Control que hasta ese momento el proceso realizado es correcto. Si el error se produjera en un instante de objetivos / 54-1225 posterior, slo se tendrde que relanzar el trabajo a partir de ese punto, sin necesidad de repetir el Control de rendimientos / 54-1226 Control trabajo anterior. Normalmente presupuestos /54-1226 Imputacin de costes /54- se suelen utilizar ckeckpoints cada cierto tiempo (10-15 minutos), o cada cierto nmero de registros procesados. 1227 Otro de los aspectos a prever es el de la retencin de ficheros durante cierto tiempo. Los sopor tes de informacin deben guardarse durante' el tiempo preciso para asegurarse de que si se detecta una incorreccin en un fichero posterior, ste se pueda regenerar adecuadamente. l
1215
1213
Auditora de la organizacin y administracin

Una definicin de la misin de la organizacin es la de garantizar la adecuada disposicin y uso de los recursos factoriales en orden a lograr el mximo nivel de eficacia, segn los objetivos y polticas fijadas. La administracin, por su parte, se encarga o trata de las relaciones econmicas con clientes y proveedores, as como con los propios miembros del departamento.
Problemas asociados a la organizacin y administracin

1. Ineficacia: se define la ineficacia como la incapacidad de cumplir objetivos razonables a coste razonable. La ineficacia se puede traducir en costes no razonables, plazos no razonables, calidad insuficiente e incapacidad de afrontar el volumen de trabajo o servicio demandado 2. Personal desmotivado o descontento: hay que tener en cuenta que un centro de proceso de datos es uno de los puntos importantes de la empresa. Est dotado de equipos costosos y maneja volmenes grandes y crticos de informacin. Ante las posibilidades de los equipos, se ha encargado al centro de proceso de datos de cubrir servicios vitales, como el soporte de atencin y gestin de cuentas, clientes, etc. El personal computacional est pues, en una posicin privilegiada para ocasionar trastornos importantes a la empresa, por medio del sabotaje, sin realizar acciones violentas ni a veces detectables. 3. Fraude: Es preciso tenerlo en cuenta, puesto que los estados de contratos econmicos (cuentas, etc.) estn implantados como informacin sobre soportes computarizados, a veces accesibles con facilidad por personas con ligeros o medios conocimientos tcnicos. Tambin es posible que se realice por medio de pagos supuestos o no procedentes a proveedores.
Aspectos a considerar
En una auditora de la funcin de organizacin y administracin se deben considerar los siguien tes aspectos: .
Estructura
La adecuacin o inadecuacin de la articulacin de rganos, sus flujos de trabajo, funciones, etc., debido a que pueden introducir puntos fuertes o dbiles.
.\; ~
Definicin de funciones y responsabilidades

Una adecuada definicin de funciones y responsabilidades tiene dos efectos fundamentales: la disminucin del riesgo de fraude, que se logra separando las funciones de ejecucin y control, y el aumento de la eficacia y motivacin que se produce cuando el personal tiene claros sus mbitos de actuacin y sabe qu puede y debe hacer. Adems es importante en cuanto a criterios de eficacia. para evitar solapamientos y reas sin cubrir. El manual de funciones debe estar aprobado, adems conocido y utilizado en caso de conflictos y para la determinacin de categoras y puestos de trabajo. Respecto a su contenido, ha de ser completo. es decir, debe tener previstas todas las funciones precisas. sin solapamientos, ser claro y definir qu tipo de accin ejecuta cada puesto implicado. Desde el punto de vista del auditor, ha de prestarse especial atencin a la separacin de las fun ciones de control y de ejecucin.
1216
I ;\\1 1
i
,1
,,:, ii'~
mi,I', .-
Auditora de la organizacin y administracin, entorno operativo y control de gestin
Una herramienta til para plasmar la distribucin de funciones es la matriz de responsabilidades en que se indica la responsabilidad del puesto en la funcin (realiza, asesora, colabora, aprueba, controla), prestando atencin adems de a los solapamientos posibles, a los aspectos sin cubrir.
Normas y procedimientos internos

Su existencia, la adecuacin y el cumplimiento son decisivos para asegurar una gestin eficaz, una estandarizacin, el flujo de informacin ascendente, descendente y horizontal. Definen y fijan requ:isitos de calidad, mtodo de trabajo, circuitos de informacin y tratamientos, etc. Son vitales para lograr un funcionamiento coordinado de los elementos del departamento, niveles de calidad aceptables, as como para garantizar la capacidad de mantener los sistemas. Deben determinar tambin las normas administrativas, de forma que una persona recin ingresada puede encontrar informacin suficiente sobre los fines, medios y costumbres del departamento. Como contenido tpico de un manual figuran al menos los siguientes apartados: 1. Descripcin del manual: ndice, justificacin, actualizacin (procedimiento de recogida de sugerencias), distribucin. 2. Procedimientos generales del departamento: estrategias, poltica y estructuras. 3. Procedimientos y normas relativas a administracin. 4. Procedimientos y normas relativas a explotacin: documentacin, controles y verificaciones, configuracin hardware, entrada de datos, ejecucin, salida de informacin, biblioteca de soportes. 5. Normas y directrices para'uso de los recursos hardware y software. 6. Biblioteca de software. 7. Nomenclatura de elementos computarizados (sistemas, aplicaciones, cadenas, pasos, progra mas, <etc.). 8. Uso de recursos de tiempo compartido. 9. Procedimientos relativos a construccin de sistemas: direccin de proyectos, descomposi cin de proyectos, metodologa de desarrollo y realizacin, documentacin de desarrollo. 10. Procedimientos administrativos generales relativos a gestin de personal, aprovisionamien to, seguridad y coordinacin y comunicacin.
Dotacin y asignacin de recursos humanos y materiales

Puede haber varios mtodos de reclutar personas y de asignarlas a actividades concretas del departamento. El resultado puede ser el de tener personas infrautilizadas mientras otras estn sobrecargadas de trabajo. Una de las causas que originan mayor grado de ineficacia suele ser la falta o inadecuacin de los procedimientos de control de la carga de las personas, encontrndose repartido el trabajo de forma tal que durante unos meses hay una presin enorme seguida por etapas de ocio casi total. Hay cargas de trabajo generalizados a fin de semestre y, sobre todo, a fin de ao, ya que se sue
len fijar en esas fechas las entregas de trabajos. .
Con una adecuada planificacin, que no implique la terminacin de todas las actividades en las mismas fechas para todos los proyectos, sino que se esparzan a lo largo del ao, se eliminan las sobrecargas totales del departamento. Otra forma de actuar consiste en la implantacin de circuitos y procedimientos de medida de actividad para determinar quienes estn sobrecargados y quines ociosos. Esta actuacin se complementa :con una disciplina de asignacin y liberacin de recursos.
1217
Polticas de personal
Este punto puede influir sobre el grado de satisfaccin o descontento de las personas. Puede tambin ahorrarse una importante cantidad de tiempo si estn escritas las polticas de seleccin, formacin, promocin, premios y sanciones, y terminacin de empleo. En cuanto a la seleccin debe estar claro desde el principio si las convocatorias para cubrir pla zas en el departamento han de ser presentadas primero al personal de otros departamentos de la empresa y realizarse exmenes restringidos, o si se podrn ofrecer al exterior de la empresa. Deber determinarse tambin la participacin de representantes de trabajadores en los procesos de seleccin. Cuando se pueda esperar la capacitacin correspondiente para los puestos de programador de aplicaciones e, incluso de analista de aplicaciones y analista funcional, puede ser rentable elegir gente con trayectoria interesante en la empresa y darle formacin computacional. Estas personas sienten afeccin por la empresa y conocen el negocio, circuitos y procedimientos administrativos, por lo que si bien tardarn ms tiempo en comenzar a rendir los primeros resultados, llevan adelantados unos conocimientos de la empresa que presentan un gran valor potencial. Al contrario, los puestos fuertemente tcnjcos, programadores y analistas de sistemas, tcnicos en software bsico, gestin de configuraciones, bases de datos y teleproceso, que exigen un largo tiempo de formacin y experiencia, han de cubrirse con personas del exterior de la empresa. La formacin es otro punto clave en el departamento. Gran parte del xito o fracaso de un sistema y, sobre todo, su eficacia y consumo de recursos est ocasionada por la experiencia y conocimientos de los profesionales implicados. En general, deben estar definidos tanto las carreras profesionales, conocimientos y capacidades precisas para cada puesto de trabajo y caminos de formacin para lograrlos, como los procedimientos de planificacin de la formacin de cada persona (definicin, calendario, registro de resultados y aprovechamiento, etc.), procedimientos de eleccin del catlogo de cursos de inters, a partir de la oferta externa e interna, las medidas del grado de utilidad y satisfaccin y los procedimientos administrativos (presupuesto, inscripciones, avisos a los alumnos, pagos, etc.). La definicin de los planes de formacin comienza con una definicin apropiada de puestos
.1
de trabajo.
/'
En cuanto a la promocin, suele existir una equivalencia fija entre puesto de trabajo (funcin realizada) y escala retributiva (salario). Para evitar esto se puede establecer un 'sistema que permita variaciones de nivel salarial, sin necesidad de cambiar de puestos de trabajo. Deben estar previstos los procedimientos (y respetarse), de evaluacin del personal, criterios de promocin, control de calidad del trabajo, etc., de forma que nadie pueda cuestionar razonablemente un premio o sancin. Igualmente, en caso de existir retribuciones variables, debe estar definido sobre la base de qu, por quin y en qu cuanta se concedern. Han de estar definidos claramente qu conductas sern merecedoras de sancin y qu clase de sancin.
"''~ I ]
I ,~
Relaciones con usuarios

La imagen que el usuario tiene de la calidad y nivel de servicio que le proporciona la funcin computacional viene determinada principalmente por dos factores: funcionamiento, para el exterior de explotacin, y trato que recibe en sus relaciones personales con el departamento (consultas, peticiones no rutinarias, modificaciones pequeas, participacin en el desarrollo de aplicaciones, etc.). La indefinicin de un interlocutor nico, en los niveles de rea de negocio, desarrollo y explo
it"
tacin hace que el usuario no sepa a quin consultar. La solucin a estos problemas estriba en la creacin de una funcin, con la dotacin de recur sos que precise, de atencin al usuario, de forma que centre y distribuya todas las consultas rela
'
1'~
1218
tivas a explotacin. Adems, deben determinarse interlocutores nicos y estables, a nivel rea de negocio, e implantarse mecanismos adecuados de control de cambios y problemas de desarrollo.
Relaciones con proveedores

Las relaciones han de ser de tipo contractual, de compra, alquiler o prestacin de servicios. En ellas ha de determinarse: 1. Cmo, quin y sobre la base de qu contrata. Esto define los circuitos y procedimientos a seguir para contratar algo con un proveedor. Normalmente se destina un presupuesto anual para contratos de este tipo, que se entrega al departamento para que disponga de l en determinadas condiciones, como suelen ser no sobrepasar el presupuesto o pedir conformidad si se sobrepasa un tope fijado. Debe indicarse cmo se elaborarn los pliegos de condiciones a presentar a proveedores, cmo y quin evaluar las ofertas recibidas y qu trmites (asesora jurdica, etc.) han de seguirse antes de su aceptacin. Como norma, no se suelen admitir contratos sin haber evaluado varias alternativas, y en el caso de software, sinhaberlo probado durante cierto tiempo. Deben quedar registros de las pruebas efectuadas, de los r,esultados obtenidos, de los estudios de rentabilidad, etc., indicando quin se responsabiliza de ellos. El auditor ha de prestar atencin a estos procesos. Es importante, dada la criticidad de la Lmcin computacional, que nunca se hagan contratos con un solo suministrador. Han de diversificarse los proveedores para minimizar la probabilidad de desasistencia, falta de servicio por huelga, sobrecarga del proveedor, etc. Todo ello debe hacerse incluso cuando se trata de alta tecnologa puesto que existen en el mercado mquinas compatibles. 2. Cmo han de ser los contratos. El auditor ha de hacer presin para que se encuentren contempladas no slo las tpicas clusulao, legales, sino las que confieran al contrato la capacidad de que su cumplimiento sea mensurable. En un contrato tpico figurarn las siguientes clusulas:
a) Plazos de entrega, instalacin y entrada del objeto en cuestin a pleno funcionamiento, b) Penalizaciones en caso de incumplimiento de plazos. c) Compromisos mensurables de calidad y capacidad. Penalizaciones si hay incumplimientos. Capacidad: almacenamiento real para usuario, proceso, configuracin (variabilidad), cre cimiento y cambio. d) Compatibilidad: protocolos y estndares que soporta y cumple. e) Coste: alquiler, mantenimiento y compra. En el caso de compra de software figurarn, adems: a) Formatos que se entregan: fuentes o ejecutables. b) Documentacin que se entrega. c) Mquinas y sistemas operativos que lo soportan.
. .
o Fiabilidad:
tiempo medio entre fallos (MTBF), tiempo medio de reparacin (MTTR).
Auditora del entorno operativo

Se entienden por entorno operativo los elementos fsicos, o sea, mquinas, redes de comunica cin, edificios, soportes fsicos de informacin y hasta las personas precisas para la ejecucin y funcionamiento de los sistemas computacionales en rgimen de produccin, La misin del auditor computacional consiste en velar para que el entorno sea seguro, fiable, eficaz y adecuado a las necesidades de la empresa.
1219
El entorno operativo puede verse afectado por:
1. Siniestro o catstrofe natural (fuego, inundacin, derrumbe). 2. Atentado. 3. Sabotaje. 4. Falta de capacidad: no poder satisfacer la cantidad de servicios demandados. 5. Falta de disponibilidad: frecuentes averas, que impiden el uso a lo largo del tiempo que se espera del sistema. 6. Errores: salidas no correspondientes a las entradas recibidas. 7. Robos: de equipos, de informacin, de tiempo de mquina (robo de uso), de consumibles, de documentos. a. Fraude: uso de sistemas computacionales para realizarlos. 9. Prdida de confidencialidad: difusin de informacin reservada. 10. Falta de adecuacin: costes excesivos, plazos excesivos, falta de calidad.
Todos los factores mencionados pueden incidir sobre aspectos relacionados con la seguridad (fsi ca y lgica), planes de contingencias, configuracin y uso de hardware y software bsico, y red de comunicaciones.
Seguridad
Se refiere a las medidas orientadas a minimizar los riesgos de prdida de capacidad de proceso, prdidas materiales debidas a siniestros, catstrofes, atentado, sabotaje, y prdidas de confidencialidad, fraude y robo. Estas medidas deben proteger a las personas, los soportes de informacin, las instalaciones y los equipos, en ese orden de prioridad. Para lograr un adecuado nivel de cobertura de riesgo hay que tener en cuenta que: 1. Las medidas de seguridad tienen un coste. La adopcin de lmites adecuados, ms o menos prximos al 100% para la cobertura de riesgos, ha de hacerse en funcin de la naturaleza del negocio y del coste que implican las medidas adoptadas. 2. Una adecuada disciplina organizativa es el soporte preciso para la implantacin de medidas de seguridad. Si sta se consigue, se obtienen importantes disminuciones de determinados riesgos. 3. La existencia de dispositivos duplicados, caminos alternativos de acceso a la informacin y copias de los soportes es indispensable. 4. Los planes de contingencia son vitales. Hay ciertas medidas claves a tener en cuenta en este sentido, tales como: a) Discrecin, evitando visitas multitudinarias, no convertir a los centros en escaparates, no efectuar publicidad, etc. b) Direccin consciente de las amenazas y de las medidas de seguridad. Puede ser indispensa ble adoptar medidas impopulares o costosas que han de contar con el apoyo de la direccin. c) Realizacin de simulacros y revisiones de la utilizacin y activacin de los planes y medi das de seguridad. En muchos centros los dispositivos de extincin estn desconectados o el personal no sabe qu hacer si suena la seal de incendio. d) Atencin a los problemas de descontento del personal. e) Adecuada definicin de funciones y responsabilidades, con separacin de las funciones de ejecucin de las de control. f) Adecuada proteccin contra intrusos, o accesos no autorizados a una parte del personal, reas restringidas, barreras fsicas y vigilantes. g) Direccin de explotacin (o alguien en concreto) que sea responsable de la direccin y coor dinacin del programa de seguridad.
1220
Planes de contingencia
El propsito de estos planes es proporcionar directrices definidas que permitan a la direccin, tcnicos y usuarios afrontar la degradacin de sistemas, hardware, comunicaciones y servicios, as como los fallos y situaciones adversas ocasionadas por circunstancias accidentales o deliberadas. Contienen un anlisis de los sntomas, situaciones adversas, efectos que originarn y acciones y actores que puedan intervenir para controlar estas situaciones. Deben permitir la deteccin, diagnstico y actuacin, y con ellos se pretende:
1. Minimizar el impacto de las amenazas sobre la empresa. 2. Limitar la extensin del conflicto, los daos causados y prevenir su propagacin. 3. Proporcionar modos alternativos de funcionamiento. 4. Proporcionar una degradacin controlada. 5. Adiestrar y familiarizar al personal con los procedimientos de emergencia. 6. Proporcionar una rpida y controlada restauracin del servicio.
Posibles situaciones a tratar en planes de contingencia son: incendio, averas fsicas, error o fallo de aplicacin, destruccin de un fichero o disco, etc. Realizar y poner en marcha un plan completo de este tipo puede ser complicado, ha de plani ficarse y realizarse en un tiempo de uno a dos aos y ser constantemente actualizado implantando nuevos elementos susceptibles de fallos y aportando nuevas experiencias y mayores conocimientos. El mtodo de trabajo para realizarlo consiste en:
1. Realizar un anlisis de la criticidad de los servicios computarizados proporcionados, clasificndolos en vitales, importantes y anexos, adems tener en cuenta si no admiten demora, o si se pueden atrasar 24, 48 o ms de 48 horas. 2. Realizar un estudio considerando las prioridades antes asignadas de riesgos sobre los srvicios, impacto sobre la empresa y definicin de posibles medidas de control para afrontar y minimizar los riesgos. 3. Elegir de entre las posibles medidas, a la vista de sus costes y efecto sobre el riesgo, cul o cua les se implantarn. 4. Plasmar los resultados en planes. 5. Difundir los planes y formar al personal. 6. Revisar peridicamente los planes y realizar simulacros para probar su eficacia yel grado de entrenamiento de las personas implicadas en su ejecucin.
Cada plan deber contener: 1. Listas de acciones a ejecutar, con las personas que intervienen en las mismas, y sus responsa
bilidades en la ejecucin.
2. Listas de personas o entidades a quien se debe avisar (servicios pblicos(polica, hospitales, etc.), direccin del departamento o de la empresa, tcnicos, proveedores). 3. Lista de lugares en que se hallan los respaldos a conseguir (confidencial). 4. Lista de maquinaria a reemplazar. 5..Lista de procesos a realizar en los respaldos. 6. Lugar en que se proporcionarn servicios de apoyo o proceso de informacin.
Debe quedar perfectamente claro quin tiene la responsabilidad de desencadenar la ejecucin de un plan de contingencia, ante qu situacin y cundo se considerar terminada la contingencia, lo que ocasiona la terminacin de la ejecucin del plan y la vuelta a la situacin normal. El auditor computacional debe verificar la existencia de medidas y planes reales, completos, conocidos y con personas entrenadas en su ejecucin.
1221
Auditora cornputacional o nforrnatizada
La actuacin no ha de limitarse a realizar un estudio sobre una muestra, sino que debe verifi car la cobertura razonable de los riesgos posibles. As mismo, debe probar la eficacia de los mismos por medio de simulacros, arqueos y verificaciones, asegurndose de que los respaldos previstos existen realmente. Una medida interesante consiste en presentarse un da inesperadamente para retirar los ficheros existentes de un proceso determinado y hacer que ese proceso se ejecute ese da segn los procedimientos previstos en los planes de contingencias. Suele ocurrir que faltan ficheros o que fallan los procedimientos de trabajo. De igual modo, se puede simular el mal funcionamiento o avera de un elemento fsico determinado (canal, unidad de control, etc.), con objeto de comprobar si las medidas de funcionamiento de degradado son eficaces. Una de las formas de conseguir respaldos de equipos consiste en lograr contratos de asistencia mutua con una instalacin similar. Por ese contrato cada uno de los centros se compromete a que, en caso de necesidad del otro, se le permitir el uso de determinados recursos en una cantidad y forma 'pactada.
Configuracin, adecuacin y uso 'del parque computacional

El auditor debe verificar que:
1. La configuracin deLhardware sea adecuada y equilibrada. 2. Se hace un uso adecuado de los recursos existentes. 3. Existe un control riguroso sobre el parque en cuanto a su ubicacin (dnde estn las mquinas, sobre todo las distribuidas) y a su estado (operativas, averiadas, pedidos pendientes de instalacin). 4. La configuracin contempla la existencia de caminos alternativos y dispositivos alternativos,
para el caso de averas.
5. Hay un control del consumo y uso de recursos, se conocen sus tendencias y se tienen previs tas las necesidades de crecimiento.
Dado que cualquier elemento del hardware puede averiarse, hay que prever que se pueda utilizar un dispositivo similar no averiado para acceder a los datos o dispositivos dependientes del averiado.
Configuracin y uso del hardware

Lo normal es que el auditor computacional solicite la asistencia de un tcnico en configuracin y software bsico, a los que consultar:
1. Si la configuracin es adecuada. 2. Si hay desequilibrios (elementos muy cargados y otros similares descargados). 3. Si estn previstos los caminos alternativos para casos de avera. 4. Si hay: correspondencia entre las caractersticas de los distintos elementos (capacidad de acce so, velocidad de acceso, velocidad de transferencia de datos, etc.). Luego se pueden examinar las medidas de carga de las mquinas y el dimensionamiento de los distintos elementos, en funcin del uso que se realiza de los recursos disponibles. Hay una serie de mdulos del sistema operativo (de contabilidad) que proporcionan informa cin detallada sobre el uso de recursos (carga de UCP, carga de canales, de discos, etc.). Esa informacin ha de vigilarse para tratar de predecir la carga futura, y prever ampliaciones y configuraciones nuevas, con la antelacin suficiente, y teniendo en cuenta que:
1222
1. El dimensionamiento ha de hacerse de forma que se puedan cubrir las demandas en horas y das de mximo sobrecargo. 2. El dimensionamiento debe hacerse previendo unas holguras, una vez previstas las variaciones en el futuro, como cobertura de posibles riesgos en la tendencia. 3. Los plazos de entrega, instalacin y puesta en marcha de determinados equipos pueden ser lar gos.
Configuracin y uso de software bsico

El software bsico comprende los sistemas operativos, sistemas de gestin de bases de datos y de comunicaciones. Su incidencia sobre el rendimiento del parque computarizado es crtica, ya que se configuran por medio de gran nmero de parmetros a los que los tcnicos dan valor. La eleccin de un valor incorrecto para alguno de esos parmetros puede ocasionar una cada exagerada de la capacidad de proceso o un incremento desmesurado de los tiempos de respuesta. Los parmetros que se definen son, por ejemplo, gestin de prioridades, distribucin de capa cidad entre los programas ejecutndose concurrentemente, preferencia a tiempo real o a tiempo diferido, gestin de colas, etc. Al gobernar los sistemas operativos todos los programas que se ejecutan dentro de los computadores, y al realizar la misma funcin respecto a la gestin de mensajes y transacciones, los gestores de comunicaciones, o peticiones de acceso o actualizacin a bases de datos, cualquier pequea alteracin introducida en alguno de ellos puede provocar graves efectos sobre los programas gobernados, La gran complejidad de las interacciones entre los componentes del hardware bsico, y entre stos y los programas y transacciones o mensajes gobernados, hace que pueda ser difcil el diagnstico de la causa de los posibles errores, y, a partir del diagnstico, su correccin. Un tcnico con suficiente experiencia y conocimientos puede introducir alteraciones con com portamiento errtico, de forma que sea ms difcil todava su deteccin. Del mismo modo, se pueden introducir modificaciones en el software bsic(j" con fines fraudulentos, tales como introduccin de transacciones falsas, borrado de registros para pistas de auditora, salto de las protecciones software para prevencin de acceso a datos sensibles, o introduccin de transacciones restringidas, modificacin de asientos, saldos de cuentas o cantidades, etctera. La posibilidad de realizar una alteracin incorrecta, de forma no intencionada, o sea, de intro ducir un error, puede producir graves efectos, que pueden llegar, incluso, a la paralizacin del sistema. Como medidas de control para afrontar estas amenazas pueden citarse:
1. Realizar peridicamente comparaciones entre copias fidedignas del software y las copias que se estn ejecutando para detectar cualquier variacin entre ellas. 2. Restringir fuertemente el uso de determinados programas de utilidad, ya que estos, maneja dos por tcnicos experimentados, pueden modificar el contenido de bibliotecas, saltndose incluso medidas de proteccin. 3. Imponer un procedimiento nico y controlado de altas y modificaciones sobre las bibliote cas de programas reales. 4. . Imponer la norma de que los trabajos sobre' archivos reales slo se ejecuten desde las biblio tecas reales, que estn protegidas de modificaciones no autorizadas. 5. Revisar, por medio de programas de seleccin, los logs (historiales) del sistema para ver si se han producido situaciones irregulares o intentos de violacin de medidas de proteccin de acceso. 6. Analizar los fallos producidos, que pueden indicar errores o intentos de fraude o sabotaje 7. Perseguir los intentos de acceso no autori~ado a datos o procesos. 8. Usar asesores externos para estudiar la adecuacin de la definicin, configuracin y uso del software bsico.
1223
Auditora computacional o informatzada
9. Implantar estrictas medidas de control administrativo sobre proteccin de confidencialidad y acceso o modificacin de archivos reales. 10. Cifrar la informacin crtica para que no pueda ser comprensible ni an en el caso de que se obtenga acceso o copia fraudulenta. 11. Control del personal de mantenimiento de software bsico que no pertenezca a la empresa. 12. Control estricto de los programas que entran en modo autorizado. 13. Verificar el comportamiento del sistema ante sobrecargas de trabajo. La sobrecarga puede ocasionar que se realicen procesos que no entran en funcionamiento normalmente, y que, por tanto, estn insuficientemente piobados.
, Red de comunicaciones
El impacto de la factura anual del concepto transmisin de datos en una empresa con teleproceso y un nmero importante de terminales puede ser elevado. Se pueden tener varias posibilidades a la hora de configurar una red, logrndose para cada tipo de configuracin costes dispersos. En funcin de las caractersticas concretas de cada problema a solucionar, puede haber casos en que las redes privadas, o una combinacin de red privada y pblica, puede ser ms barata.
-
El auditor debe preocuparse de aspectos como:
1. Topologa y dimensionamiento de la red. 2. Uso de red pblica y de red privada. 3. Estudio de cargas y posibles saturaciones. 4. Seguridad y confidencialidad de la informacin y de la red. En cuanto a la topologa, la forma fsica de la red y las interconexiones entre sus elementos pueden afectar en gran manera su coste, eficacia y capacidad de elegir caminos alternativos en caso de avera de lneas o de elementos inteligentes (controladores, concentradores, etc.). Actualmente, los terminales tienen cierta capacidad de funcionamiento autnomo, de forma que aunque haya un corte en la lnea, pueden continuar realizando algunas de ~us tareas. De igual modo, los controladores inteligentes (tienen capacidad de proceso y memoria) realizan funciones de concentracin de datos, de forma que la lnea que los conecta al ordenador central tiene una alta velocidad, y las lneas que unen el controlador con los terminales, inferior. En cuanto al dimensionamiento, cargas y saturaciones, la capacidad de transmisin de datos se mide en baudios (bits/segundo). La carga de trfico de datos afecta al tiempo de respuesta, que tiene comportamiento exponencial, por lo que han de estudiarse los posibles cuellos de botella (controladores, concentradores, lneas, etc.) y dotarlos de la capacidad necesaria para afrontar el trfico actual y el previsible en el plazo de tiempo que se contemple. En una red con cientos de lneas y controladores, de los que penden millares de terminales, abundan las averas, sobre todo en los dispositivos con parte mecnica (impresora). Deben estar previstos y ser utilizados los mecanismos de control de estado de la red, como deteccin, diagnstico y reparacin de averas,. controlando el trabajo de los tcnicos propios, de las casas de mantenimiento y de la telefnica. Dada la complejidad del problema, existen minicomputadoras con software especialmente diseados para realizar estas tareas. En el caso de lneas telefnicas pblicas, los datos circulan y se almacenan temporalmente en computadores y controladores de la compaa, por lo que la vulnerabilidad aumenta. Como norma, toda transmisin de informacin confidencial o que implique movimientos o disposicin de dinero, ha de hacerse en modo cifrado. El problema de prevencin, deteccin y correccin de errores introducidos por los compo nentes de la red (mdem, lneas, etc.) est usualmente tratado por los protocolos estndar de
1224
comunicacin de datos que prevn la transmisin de informacin redundante, de forma que cualquier variacin, por error, en el contenido de los mensajes, sea detectada, y en algunos casos, corregida.
Auditora del control de gestin

La implantacin de adecuados mecanismos de control de gestin permite manejar los problemas asociados a esta funcin, como son:
1. Costes excesivos o desequilibrados. 2. Plazos excesivos. 3. Incapacidad de cumplir objetivos. 4. Utilizacin poco eficaz de los recursos. Para ello el control de gestin debe estar plasmado en normas y procedimientos que permitan un control de objetivos, tanto de nivel de servicio en explotacin, como de calidad y cantidad de proyectos de desarrollo realizados. Estas normas y procedimientos deben permitir adems un control de presupuestos, de proyectos, de pedidos pendientes, de rendimientos y la imputacin de costes a usuarios. La informacin de todos estos puntos debe estar integrada y tratada por el sistema interno de informacin de gestin, permitiendo a la direccin del departamento conocer en cada momento el estado del mismo y sus niveles de eficacia.
Control de objetivos
Los mecanismos de control de objetivos pueden consistir en procedimientos adminIstrativos basados en trabajos manuales sobre los indicadores de cumplimiento (tiempos, coste, productividad, tasa de errores, etc.) y con revisin peridica de los mismos, o en sistemas mecanizados, basados en paquetes o desarrollos propios de control de proyectos. En el caso .de explotacin, los objetivos de disponibilidad se suelen fijar en el mbito de equi pos centrales, con lo cual los datos se pueden obtener a partir de los informes de los mdulos de contabilidad del sistema operativo, que guardan informacin de los fallos habidos. Hay paquetes que permiten tener esa informacin con una elaboracin mnima. Si se quieren obtener informes reales sobre los tiempos de respuesta a transacciones, esos tiempos han de tomarse en los terminales, manualmente, por muestreo, o en caso de terminales inteligentes, grabando registros de tiempos en el momento de empezar a sacar la respuesta por el terminal de salida, y procesando luego todos esos registros para calcular los tiempos de respuesta. En el caso de trabajos en tiempo diferido, la implantacin de las llamadas hojas de trabajo, fsi camente o como registros en un soporte mecanizado (sobre los que se va anotando los instantes de creacin en el usuario final, entrada en produccin, entrada en operacin, entrada en distribucin y recepcin por el usuario final) permite el anlisis de cumplimiento de plazos. Respecto a los objetivos de cantidad de servicio proporcionado, las ya citadas rutinas de contabUidad del sistema operativo proporcionan informacin sobre cantidad de trabajos o transacciones procesados, as como sobre unidades de imputacin de consumo de recursos empleadas en cada uno de ellos. Para el caso de desarrollo, los objetivos se deben expresar en trminos de calidad (tasa de erro res, tasa de fallos), plazos de entrega y cantidad de proyectos realizados. Se pueden tener medidas orientativas sobre la calidad del diseo y realizacin del software a partir del nmero de fallos y errores producidos, del nivel de satisfaccin del usuario y, sobre todo, del tiempo y esfuerzos dedicados a mantenimiento correctivo.
1225
Un sistema de control de proyectos en el que se introduzcan los pedidos recibidos y en el que se pueda registrar informacin de tipo histrico sobre los problemas detectados, recursos consumidos, plazos tericos y reales de entrega, etc., es la base del anlisis de cumplimiento de objetivos de desarrollo. Los sntomas preocupantes, desde el punto de vista del auditor, relativos a control de objetivos son: 1. Ausencia de objetivos formales. 2. Objetivos virtuales, se imponen pero no se controla su cumplimiento. 3. Inexistencia de mecanismos de evaluacin y estimacin de plazos, esfuerzos y consumos 4. Falta de mecanismos definidos de control de cumplimientos. 5. Falta de mecanismos de autorregulacin, medida de desviaciones de la situacin real con la prevista y actuacin correctora.
Control de rendimientos
Deben existir unos estndares aceptados de.productividad media de personas y equipos. En forma continua, muestral o ante determinadas circunstancias, deben existir mecanismos de medida de la actividad realizada, comparacin con los estndares, anlisis de desviaciones y acciones correctivas (que pueden consistir en revisar los estndares). La forma de implantar los estndares debe ser: 1. Determinacin de las magnitudes a controlar. 2. Fijacin de unos estndares iniciales, a partir de muestreos o de datos obtenidos de negocios similares. 3. Definicin de circuitos y procedimientos de informe de la actividad realizada. 4. Arranque inicial del sistema (rodaje en que se determina si hay grandes discrepancias entre los estndares iniciales y la realidad; se analizan las discrepancias yse acta en consecuencia modificando los estndares o modificando los mtodos de trabajo). 5. Publicacin de los estndaresal terminar la fase de rodaje. 6. Puesta en marcha del sistema. 7. Explotacin del sistema, previendo su mantenimiento y ajuste. Para personas de desarrollo como medidas de rendimiento pueden definirse las siguientes: 1. Lneas de codificacin desarrolladas. 2. Cuadernos de especificaciones desarrollados. 3. Diseos de archivos realizados.
Control de presupuestos
Las tasas de incremento del presupuesto de la funcin computacional suelen ser preocupantes. No resulta extrao encontrarse presupuestos que se han triplicado en 4 aos, a veces sin un aumento ostensible de la utilidad de la funcin para la empresa. La evolucin de la tecnologa, de los nuevos productos y de los servicios de teleproceso hacen fluctuar la distribucin porcentual de los costes entre los distintos apartados. Se presentan ciertas tendencias:
1. Los costes de equipos por unidad de servicio que proporcionan, disminuyen en forma acele rada, mientras que los salarios aumentan. 2. La velocidad y capacidad de los equipos aumenta en forma acelerada. 3. La productividad del personal computacional aumenta slo ligeramente.
1226 ",...
Estas tendencias hacen que se deba prestar atencin a comunicaciones, paquetes y personal, debiendo existir polticas para: 1. Aumentar la productividad del personal. 2. Sustituir tareas manuales por tareas mecanizadas, con menos consumo de recursos humanos. 3. Atender al diseo de redes. El auditor debe analizar la composicin de las partidas que integran el coste computacional, determinar su equilibrio, las tendencias (coherentes con las existentes en el mbito nacional y mundial) y, sobre todo, la evolucin en el tiempo (incremento anual) y el coste computacional expresado en porcentaje del volumen de ingresos de la empresa.
Imputacin de costes
El primer principio a establecer para la implantacin de un sistema de imputacin de costes es el de si se factura en base de poltica de costing (el departamento no tendr ni beneficios ni prdidas) o de pricing (puede haber beneficio o prdida). De igual modo habrn de sentarse polticas de promocin (favorecer con tarifas reducidas) o de penalizacin (tarifas altas para horas de sobrecarga) de determinados servicios. Definidos los principios se har un estudio de los costes y de su distribucin por productos o servicios. El primer paso consiste en definir esos costes. A efectos de clasificacin, se pueden agrupar en: 1. Costes de explotacin. 2. Costes de desarrollo. 3. Gastos generales. Cada usuario tendr en uso, ms o menos exclusivo, dispositivos que habr que cargarle a l: terminales, microcomputadoras, lneas telefnicas, concentradores u otras mquinas. Los gastos generales del departamento son del tipo: amortizacin y mantenimiento de edifi cios,energa'elctrica, agua, telfono, seguros, impuestos, material de oficina y vigilancia. Los costes de personal directivo y de staff de todo el departamento se considerarn costes de estructura, igual que los gastos generales, a prorratear entre los servicios de desarrollo y explotacin, segn criterios a determinar (por ejemplo, proporcional al volumen total de cada servicio). Los costes de explotacin son: amortizacin, alquiler y mantenimiento de hardware y software, consumibles (papel, tner, cintas magnticas, disk packs), personal y parte proporcional de los gastos generales del departamento (por ejemplo, energa elctrica especfica de la sala de operaciones), asesoras, servicios contratados (para toma de datos, distribucin de listados, etc.) Los costes de desarrollo son: amortizacin, alquiler y mantenimiento de hardware y software especfico de desarrollo, personal, asesores, servicios contratados (programacin y anlisis, entrada de datos), recursos consumidos de explotacin que sta le factura (consumo de tiempo de mquina, impresin, almacenamiento) y parte proporcional de los gastos generales del departamento. El tercer paso consiste en definir las unidades de medicin de consumos para realizar la impu tacih (facturacin). En explotacin, las rutinas de contabilidad dentro del sistema operativo proporcionan:
1. Consumo de tiempo de UCP 2. Actividad de acceso a ficheros 3. Lneas o pginas impresas 4. Cantidad de caracteres en dispositivos de acceso directo y tiempo que han permanecido en lnea.
1227
Con estos valores se pueden definir las unidades para la utilizacin de recursos:
. . .
.
Uso de mquina
segundo CPU EXCP (consumo de actividad E/S) Kilocarcter almacenado por horas en lnea Lnea impresa o pgina impresa
Actividad de acceso
Almacenamiento Impresin
Para el caso de servicios de teleproceso, se imputar a ste el coste de las unidades y software bsico que le corresponde especficamente (controladores de comunicacin, mdem, equipo auxiliar de comunicaciones, herramientas de rastreo y optimizacin de comunicaciones). En cuanto al desarrollo, la unidad de facturacin ser el da hombre de analista y da hombre de programador. Respecto al coste que le factura explotacin por uso de recursos mquina, dado que las rutinas de contabilidad del sistema operativo permiten imputarlo al proyecto dentro del cual se usan esos recursos de explotacin, se puede cargar directamente al coste de desarrollo. Una vez definidos los costes y su estructuracin con vistas a la imputacin y a las unidades de facturacin, queda por aplicar la poltica de costing o pricing. No hay que olvidar que las normas y procedimientos de control de gestin deben permitir, adems, el control de proyectos, tema desarrollado en otro apartado de esta misma seccin, y el control de pedidos pendientes.

Auditoria Computacional o Informatizada

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auditoria Computacional o Informatizada

Încărcat de

Drepturi de autor:

Formate disponibile

CAPTULO 51

Auditora computacional o informatizada

La auditora computacional o informatizada

La. auditora computacional

Auditora computacional o informatizada

La auditora computacional o informatizada

Funciones de la auditora computacional

Auditora computacional o informatizada

Perfil del auditor computacional

entre los puntos mencionados.

La auditora computacional o informatizada Auditora computacional o informatizada

Metodologa de la auditora computacional 1. Organizacin.

Definicin mbito y objetivos 2. Aplicacionesde computacionales. .

Auditora computacional o informatizada

La auditora computacional o informatizada

Realizacin de las actividades

La auditora computacional o informatizada

Tcnicas y herramientas utilizadas en la auditora computacional

Auditora computacional o informatizada

Auditora computacional o informatizada

mbito de actuacin de la auditora

Auditora de la funcin de planificacin

Problemas asociados a la funcin de planificacin

Auditora computacional o informatizada

c) Ms oficinas? d) Ms clientes? e) Mecanizar operaciones A, B, C? f) Teleproceso?

El plan estratgico de sistemas

Contenido del plan estratgico de sistemas

Auditora computacional o informatizada

Resumen del plan estratgico de sistemas

sistemas, y al jefe de la unidad orgnica correspondiente, en el caso de explotacin. Como norma,

Auditora computacional o informatizada

Auditora de la construccin de sistemas

Problemas asociados a la construccin de sistemas

Puntos clave de la construccin de sistemas

Auditora del proceso de construccin de sistemas

Auditora computacional o informatizada

Principios fundamentales de la gestin de proyectos

La planificacin en la construccin de sistemas

Fases en el proceso de construccin de sistemas

Puntos clave de la buena planificacin de un proyecto

Auditora computacional o informatizada

. a) Que los cambios lleguen a conocimiento de todos los afectados.

Auditora computacional o informatizada

Auditora de la calidad de un producto computarizado

dedel la organizacin MedidasAuditora de control interno software

Auditora computacional o informatizada

Auditora de la organizacin y administracin

Problemas asociados a la organizacin y administracin

Definicin de funciones y responsabilidades

Auditora de la organizacin y administracin, entorno operativo y control de gestin

Normas y procedimientos internos

Dotacin y asignacin de recursos humanos y materiales

len fijar en esas fechas las entregas de trabajos. .

Auditora computacional o informatizada

Relaciones con usuarios

Auditora de la organizacin y administracin, entorno operativo y control de gestin

Relaciones con proveedores

tiempo medio entre fallos (MTBF), tiempo medio de reparacin (MTTR).

Auditora del entorno operativo

Auditora computacional o informatizada

El entorno operativo puede verse afectado por:

Auditora de la organizacin y administracin, entorno operativo y control de gestin

Auditora cornputacional o nforrnatizada

Configuracin, adecuacin y uso 'del parque computacional