Auditora de Sistemas

Semestre 9
Fascculo No. 7

Tabla de contenido
Contenido
Anlisis de riesgos
Matriz de riesgo
Controles en Informtica
Controles primarios de tecnologa informtica
Controles de implementacin
Administracin del desarrollo del sistema
Diseo del sistema y preparacin de programas
Catalogacin
Administracin de los cambios a sistemas
Prueba de programas
Catalogacin
Controles sobre la operacin del computador
Planificacin de la carga
Preparacin y ejecucin de trabajos
Uso correcto de los archivos de datos
Monitoreo de actividades
Procedimientos de respaldo y recuperacin
Controles sobre la seguridad de los programas
Controles sobre el acceso fsico
Segregacin de funciones
Controles sobre la seguridad de archivos de datos
Software de controles de acceso

Acceso por los usuarios

Acceso a datos en lnea
Acceso por los programas de produccin
Archivos fuera de lnea
Controles sobre el software de sistemas
Instrumentos de control
La documentacin de las subetapas del desarrollo e implantacin
del sistema

Evaluacin de controles
Resumen
Bibliografa recomendada
Prrafo nexo
Autoevaluacin formativa

Anlisis de riesgos

En el presente fascculo, nos ocuparemos del anlisis de riesgos, estudiando

temticas como: matriz de riesgo, controles en Informtica y evaluacin de
controles.

Indicadores de logro

Al terminar el estudio del presente fascculo, el estudiante:

Identifica los riesgos que se pueden presentar dentro de una organizacin y

que estn directamente relacionados con el rea de informtica.

Determina los controles que deben existir y aplicar en cada caso, para reducir,
minimizar o eliminar los riesgos.

Realiza el anlisis de riesgos para cada amenaza y/o escenario de riesgo y la

evaluacin de los controles existentes en la empresa.

Matriz de riesgo

La siguiente tarea del auditor en informtica es elaborar la matriz de riesgo, cuyo

objetivo principal es detectar las reas de mayor riesgo en relacin con informtica
y que requieren una revisin formal y oportuna.

El procedimiento de anlisis y elaboracin de la matriz de riesgos es un proceso

que resulta del diagnstico obtenido despus de realizar las pruebas pertinentes
en cada una de las reas de trabajo o escenarios de riesgos en el rea de
informtica. Existen varias formas de representar las matrices; algunas de ellas se
limitan a exponer las reas de riesgo, las amenazas o debilidades obtenidas, el

nivel de efectividad de los controles y, con base en estos datos, se determina el

grado de exposicin en que se encuentra la empresa, con el fin de adoptar los
correctivos necesarios.

Para facilitar esta comprensin vamos a trabajar con la matriz que se compone de
las reas auditadas, los aspectos por evaluar, los riesgos y la probabilidad de
ocurrencia de estos riesgos y las debilidades encontradas, as:

1. Es importante identificar el nivel de riesgo de cada uno de los elementos que

integran la funcin de informtica en la empresa, obtenido en el diagnstico de
la situacin actual.

2. Las reas que se analizarn varan segn el tamao y estructura de la

empresa, lo que implica que el auditor tenga que evaluar productos y servicios
de informtica con un enfoque integral.

3. Algunos de los siguientes servicios de informtica se mencionan de manera

ilustrativa de tal forma que pueden incluirse otros que consideren hacen parte
de la gestin del rea de informtica, as:

Planeacin de informtica

Administracin de la red

Sistemas en desarrollo

Sistemas en produccin o explotacin

Administracin del hardware y software

Soporte a usuarios

Investigacin y desarrollo tecnolgico

4. El auditor debe utilizar los parmetros de medicin y evaluacin necesarios y

que estn alienados con la visin del negocio y del rea de informtica, para

evitar prdidas innecesarias de tiempo en aspectos poco relevantes para la

empresa.

reas
susceptibles de

Aspecto o componentes por Riesgo Clasifi

evaluar del rea

auditar

cacin
del
riesgo

Administracin 1.Misin y objetivos

de informtica 2. Organizacin
3. Servicios

Alto,
medio
o bajo

4. Parmetros de medicin
Direccin y
niveles
ejecutivos

1.Seguimiento a la funcin

Alto,

de informacin por la

medio

direccin

o bajo

2. Comunicacin e
integracin
3. Apoyo a toma de
decisiones
Usuarios de

1. Comunicacin e

informtica

integracin

medio

2. Proyectos conjuntos

o bajo

Alto,

3. Admn. de recursos
4. Grado de satisfaccin
Control interno 1. Polticas y procedimientos

Alto,
medio
o bajo

Ciclo de
desarrollo e

1. Metodologa
2. Tcnicas

implantacin de 3. Herramientas
sistemas

4. Capacitacin/
actualizacin

Tabla 7.1 Matriz de riesgos.

Alto,
medio
o bajo

Debilidad

La primera columna describe el rea auditada que se obtiene del plan de

auditora o plan de trabajo.

La segunda columna o aspecto a evaluar determina el escenario de trabajo del

auditor para cada rea a auditar.

El riesgo se obtiene a partir de las debilidades que el auditor identific durante

el proceso de anlisis. Es importante determinar la probabilidad de ocurrencia
del riesgo con el fin de establecer los potenciales efectos que este pueda tener
cuando ocurra.

La columna de Clasificacin del riesgo determina el nivel de dao o impacto

causado por el riesgo, que en algunos casos se expresa en una notacin de
alta, media o baja criticidad o impacto del riesgo.

Los siguientes aspectos deben tenerse en cuenta para elaborar el diagnstico de

la situacin actual y que ayudar a la elaboracin de la matriz de riesgo:

Consideraciones para elaborar la matriz de riesgos

Es un tarea relevante y necesaria para el auditor en informtica.

Los parmetros para medir el nivel de riesgos pueden variar de acuerdo con
factores como la experiencia y conocimiento en la auditora, as como en las
reas de informtica.

Algunos hechos pueden indicar la existencia de riesgos relevantes.

Revisar la matriz de riesgos con el responsable de la auditora general.

Asegurarse de contar con el soporte acerca de las debilidades o anomalas

detectadas.

Actividad 7.1

Elabore la matriz de riegos de una empresa y determine las reas de mayor

impacto o criticidad para la misma. Justifique su respuesta.

Controles en informtica

Los controles de Tecnologa Informtica (TI) son los procedimientos dentro del
departamento de Sistemas, que aseguran que los programas y recursos operan
apropiadamente y que se impidan cambios no autorizados. Incluyen controles
sobre el diseo, implementacin, seguridad, y uso de programas y archivos del
computador. Estos controles consisten en una combinacin de procedimientos
manuales y programados.

Los controles de TI son similares a los controles de Aplicacin, aunque debera

notarse las siguientes diferencias:

Los controles de TI son controles sobre el medio ambiente de Procesamiento

de Datos (PD) en su totalidad. Los controles de Aplicacin son controles sobre
aplicaciones especficas; los controles de TI cubren todas las aplicaciones.

Los controles de Aplicacin estn compuestos de procedimientos manuales y

procedimientos programados.

Los controles de TI regulan el medio ambiente de PD para asegurar que los

procedimientos programados continen funcionando apropiadamente.

Si existen debilidades en los controles de TI, no hay seguridad de que los

procedimientos programados continen trabajando apropiadamente, an
cuando no hayan sido cambiados.

Un ambiente de PD controlado en forma inapropiada, puede ocasionar la

interrupcin de las operaciones de la organizacin por la va de:

Mltiples reejecuciones de las aplicaciones para corregir errores, causando

retrasos.

Afectar la informacin usada por la Administracin para operar el negocio.

Permitir la ocurrencia de fraudes, tal como la alteracin no autorizada de los

registros electrnicos.

Permitir la divulgacin de secretos comerciales.

Controles primarios de tecnologa informtica

Los controles de TI pueden ser divididos en las siguientes siete reas:

Ladillo
Siete reas: siete controles primarios de tecnologa informtica.

Controles de implementacin,

diseados para asegurar que los

procedimientos programados son apropiados y correctamente implantados en

los programas computacionales.

Controles sobre el mantenimiento, diseados para asegurar que los

cambios a los procedimientos programados son diseados, probados,
aprobados e implementados apropiadamente.

Controles sobre operacin del computador, diseados para asegurar que

los procedimientos programados son aplicados consistentemente durante
todo el procesamiento de la informacin y que se utilizan las versiones
correctas de los archivos.

Controles sobre la seguridad de programas, diseados para asegurar que

cambios

no

autorizados

no

pueden

ser

hechos

procedimientos

programados.

Controles sobre la seguridad de archivos, diseados para asegurar que

cambios no autorizados no pueden ser efectuados a archivos de datos.

Controles sobre el software de sistemas, diseados para asegurar que el

software de sistemas es implantado correctamente y protegido contra
cambios no autorizados.

Controles sobre la conversin de archivos, diseados para asegurar que

los datos, son convertidos en forma total y exacta desde un sistema antiguo a
uno nuevo.

Controles de implementacin

Los controles de implementacin ayudan a evitar los errores en aplicaciones

nuevas.

Incluyen

controles

sobre

el

diseo

de

nuevas

aplicaciones

computacionales, la prueba de los programas de aplicacin, y los procedimientos

para traspasar los programas aprobados a produccin. Estos controles se aplican

tanto a sistemas desarrollados internamente como a aquellos adquiridos a
proveedores externos.

El trabajo realizado por una organizacin, entre el momento en que completa el

estudio de factibilidad para un sistema de aplicacin propuesto y el momento en
que ese sistema se implanta exitosamente, es muy significativo. La traduccin de
los requerimientos de los usuarios partiendo de ideas generales, para arribar a
una serie de programas de produccin detallados e instrucciones especficas,
tanto para el computador como para los departamentos usuarios, puede significar
una cantidad de tiempo considerable.

Los procedimientos relacionados con el desarrollo de nuevos sistemas son los

siguientes:

Administracin del desarrollo del sistema.

Diseo de sistema y preparacin de programas.

Prueba de programas y sistemas.

Catalogacin.

Administracin del desarrollo del sistema

Generalmente, los requerimientos para nuevas aplicaciones son desarrollados en

el Departamento de PD por los dueos de las aplicaciones. Los informes de
estudio de factibilidad, diseo general del sistema, plan de pruebas y resultados,
son revisados y aprobados, usualmente, por los usuarios y por las funciones de
PD que se vern afectadas por la nueva aplicacin (por ejemplo: los
administradores de la Base de Datos y de la Red de Comunicaciones), por el
grupo de soporte tcnico (en relacin con la compatibilidad con el Software de

Sistemas existente), y la jefatura de programacin (para dar conformidad a los

programas respecto de las especificaciones, y de la compatibilidad con las otras
aplicaciones). A menudo, las funciones de control de calidad y/o Auditora interna
estn involucradas en este proceso.

Tambin es necesario controlar la planificacin de la implementacin de los

nuevos sistemas a travs del uso de cartas de administracin de proyectos u otro
mtodo que registre el estado de avance del proyecto. Normalmente, se efecta
el control del avance del proyecto en relacin con grupos de programas o
mdulos.

Diseo del sistema y preparacin de programas

Tpicamente, los requerimientos de nuevas aplicaciones son iniciados por los

usuarios, basados en necesidades, cambios en la legislacin o por el deseo de
incrementar la eficiencia del procesamiento.

Los usuarios y personal de PD efectan el estudio de factibilidad, incluyendo

anlisis de costo-beneficio, anlisis tcnico para determinar los efectos sobre el
hardware y software existente y anlisis operacional para medir el impacto de la
aplicacin sobre las operaciones de la organizacin.

Se documenta el diseo general, incluyendo los procedimientos manuales y

programados. Se definen los puntos de control y las interfases con otros sistemas
y con el software de sistemas. Los prototipos pueden ayudar a los usuarios a
refinar sus especificaciones para la nueva aplicacin. La administracin de cada
unidad involucrada en el flujo de datos revisa el plan para asegurar que entienden
y estn de acuerdo con l antes de que contine el desarrollo.

Se realiza la aprobacin del estudio de factibilidad, el diseo general del sistema y

las especificaciones detalladas. Tpicamente, las especificaciones detalladas para
las nuevas aplicaciones incluyen narrativas y/o flujogramas de actividades,
diagramas de flujo de la recopilacin de datos, procesos de ingreso y emisin de
informes para conciliacin y fechas esperadas de trmino e implementacin.

Prueba de programas y sistemas

Normalmente, las polticas de PD requieren el desarrollo de planes de prueba para

todas las aplicaciones nuevas. Esas polticas especifican el nivel de detalle de la
documentacin del plan, partes a ser involucrados en el proceso de desarrollo del
plan, y las aprobaciones que deben obtenerse.

La documentacin del plan incluye la descripcin de las pruebas, los datos que
van a ser utilizados o la metodologa para generar estos datos, y los resultados
esperados de las pruebas. Generalmente, el plan de pruebas es un esfuerzo
conjunto entre los usuarios y la administracin de PD.

La prueba de programas y sistemas se hace normalmente en tres etapas

diferentes: (1) prueba de programa, (2) prueba de sistema, y (3) prueba paralela.

1.

La prueba de programa consiste en verificar la lgica de programas

individuales. Los mtodos principales utilizados son la prueba de escritorio y
datos de prueba. La prueba de escritorio consiste en analizar la lgica de un
programa y confirmar que el cdigo del programa rene las especificaciones
de dicho programa. Cuando fuera posible, la prueba de escritorio debera
ser realizada por un programador diferente al que dise y escribi el
programa. Es probable que el programador original piense que su lgica es
correcta y trate de probar que lo es, antes que realmente verificar que as

sea. La prueba de escritorio se realiza normalmente en conjuncin con la

utilizacin de datos de prueba.

Los datos de prueba son datos ficticios,

preparados de acuerdo con las especificaciones del sistema para ser

procesados por el mismo y deben ser diseados para cubrir todas las
alternativas de proceso o condiciones de error.

Se deben establecer

procedimientos formales para identificar y corregir cualquier error descubierto

durante la prueba. Todos los resultados obtenidos con los datos de prueba
debern ser documentados y retenidos como evidencia de que dichas
pruebas fueron realizadas. Los mismos datos pueden tambin ser utilizados
para probar cambios futuros al sistema.

2.

La prueba de sistema consiste en verificar que la lgica de varios

programas individuales es consistente y que pueden encadenarse para
formar un sistema completo que rena los requerimientos de las
especificaciones detalladas del sistema. La tcnica principal utilizada es la de
datos de prueba. Los resultados de la prueba deben ser cuidadosamente
revisados. Los datos de prueba deben ser reprocesados y rediseados, si
fuera necesario, hasta que todos los errores de lgica sean detectados. En
adicin a situaciones comunes que el sistema est diseado para manejar,
las pruebas deberan tambin tratar el efecto de circunstancias inusuales en
el sistema.

Cuando fuera posible, la prueba del sistema debera ser

realizada o verificada por personal diferente de aqul que fue responsable de

hacer la programacin detallada.

3.

La prueba paralela significa operar el nuevo sistema al mismo tiempo, o en

paralelo con el sistema existente. Los resultados obtenidos de este proceso
dual, pueden ser verificados para identificar e investigar cualquier diferencia.
Corridas en paralelo o piloto es una manera de probar la operacin de un
sistema completo, incluyendo todos los procedimientos de los usuarios. A
diferencia de la prueba de sistema, el propsito de la prueba en paralelo o

piloto es probar la habilidad del sistema para manejar datos reales, no de

prueba, y procesar grandes volmenes de informacin, en vez de
transacciones individuales. El nuevo sistema no debera ser aceptado en su
totalidad por el departamento usuario correspondiente, ni tampoco debera
ser abandonado hasta que, en la medida que sea prctico, el ciclo completo
de proceso, haya sido exitosamente ejecutado en el nuevo sistema.

En

adicin a ello, los procedimientos de recuperacin la habilidad del sistema

para recuperarse de una terminacin anormal - deberan ser probados y
documentados. Los resultados deberan ser revisados, si esto fuera posible,
por personal diferente al responsable de la programacin detallada.

Catalogacin

La catalogacin es el conjunto de procedimientos necesarios para transferir a

produccin aquellos programas ya probados. Los procedimientos ms importantes
son aquellos que aseguran que la prueba y la documentacin han sido
satisfactoriamente completados antes que los programas entren en produccin, y
que los procedimientos manuales para el sistema nuevo, o el sistema que est
siendo cambiado, estn funcionando, tanto en el departamento usuario como en el
departamento de PD. Esto incluye la preparacin de instrucciones escritas de
operacin y de usuarios, revisadas y aprobadas por personal responsable de los
departamentos involucrados. Debera haber un procedimiento para transferir a
produccin programas nuevos o cambiados, segn sea el caso, incluyendo
instrucciones al personal sobre los nuevos procedimientos.

Cuando estos

programas estn en lnea, la transferencia de programas aprobados que residen

en bibliotecas de prueba a bibliotecas de produccin u operacionales, es un
procedimiento del sistema operativo.

Los procedimientos de catalogacin debern incluir puntos de control para

asegurar que todos los cambios requeridos, y solamente ellos, han sido hechos a
los programas.

Naturalmente, la versin ejecutable de un programa es la probada y utilizada para

produccin. La versin fuente tambin debe ser guardada, puesto que cualquier
cambio autorizado posteriormente se hace sobre esta versin. Con todas estas
versiones disponibles, es importante verificar que el programa fuente retenido
coincide con la versin ejecutable residente en la biblioteca de produccin.
Existen paquetes de manejo de bibliotecas que pueden ayudar a controlar las
versiones y los cambios realizados.

Otra buena prctica es recompilar programas antes de la prueba final de

aceptacin. Esto es esencial si se desea confiar en la comparacin de versiones
fuente descrita anteriormente; existen programas disponibles para verificar que un
programa recompilado es idntico a la versin ejecutable del mismo programa.

Controles sobre el mantenimiento

Los controles sobre el mantenimiento, estn diseados para asegurar que las
modificaciones

los

procedimientos

programados

estn

diseadas

implementadas en forma efectiva. Cubren las mismas reas que los controles de
implementacin, pero se relacionan con los cambios de programas ms que con
nuevas aplicaciones.

Estos controles deberan asegurar que los cambios son

diseados, probados, aprobados, incorporados y actualizados apropiadamente, y

que los requerimientos de cambio son manejados apropiadamente.
procedimientos relacionados con el mantenimiento de sistemas son:

Administracin de los cambios a sistemas

Los

Prueba de programas

Catalogacin.

Administracin de los cambios a sistemas

Los usuarios y la administracin de PD siguen procedimientos especficos para

requerir cambios.

Por ejemplo, un individuo en cada departamento puede

preparar requerimientos o reunirse con los propietarios de la aplicacin y con

personal de PD para discutir la necesidad de los cambios y los mtodos mediante
los cuales deberan ser efectuados.

Un control de cambios manual o

automatizado, asegura que todos los requerimientos son atendidos y que se lleva
un registro del estado de avance de ellos.

Los cambios a los programas deberan ser documentados tan acabadamente

como los sistemas nuevos. La documentacin del sistema, de los programas, de
operacin y de los usuarios debera ser actualizada para reflejar todos los
cambios. Una documentacin inadecuada puede resultar en errores de sistema,
tiempo excesivo de mantenimiento y una dependencia desmedida en personal
tcnico.

Para

asegurar

que

la

documentacin

ha

sido

actualizada

satisfactoriamente, esta es revisada y aprobada por la funcin de control de

calidad o por los usuarios responsables de la aplicacin y por la administracin de
PD.

Prueba de programas

Una organizacin bien controlada, tiene polticas que requieren el desarrollo de un

plan de pruebas para cada programa sometido a cambios, y que especifica el nivel
de detalle, la aprobacin necesaria del plan, y quienes deberan efectuar dichas
pruebas. La documentacin del plan de pruebas debera incluir las pruebas a ser

ejecutadas, los resultados esperados, y cmo desarrollar los datos de prueba.

Normalmente, el plan de pruebas es revisado y aprobado por los usuarios y por la
administracin de PD.

Dependiendo de la complejidad de los cambios y su impacto sobre el sistema de

aplicacin, el usuario en conjunto con la administracin de PD deberan determinar
la tcnica de prueba apropiada: de programa, de sistema y/o paralela.

Observacin
La mayora de los cambios requieren de la prueba de programas y la prueba de
sistemas. Generalmente, la transferencia de programas probados es la misma
para la implementacin de sistemas nuevos como para las subsecuentes
mantenciones.

Controles sobre la operacin del computador

Los controles sobre la operacin del computador estn diseados para asegurar
que los sistemas continen funcionando consistentemente, de acuerdo con lo
planeado. Incluyen controles sobre el uso de los datos apropiados, programas y
otros recursos, y la ejecucin apropiada de esta funcin por parte de los
operadores, particularmente cuando ocurre un problema.

Usualmente, el departamento de operaciones del computador controla el

funcionamiento

del

hardware

software

en

el

da-a-da.

En

muchas

organizaciones, esto es asistido por un departamento de control de la produccin.

Operaciones del computador es responsable por la ejecucin fsica de las
aplicaciones (montar cintas, imprimir los informes y tomar decisiones acerca del
hardware, tales como discontinuar el uso de un dispositivo cuando presenta una

falla). Control de produccin es responsable por la preparacin de trabajos y la

planificacin de la carga. Los controles sobre la operacin del computador estn
descritos a continuacin.

Planificacin

La planificacin vincula los trabajos a ser ejecutados con los archivos de datos a
ser utilizados. En muchas instalaciones, se utiliza software de planificacin para
implementar los procesos sobre una base predeterminada (por ejemplo: todos los
das a las tres de la tarde, o los das 15 y ltimo de cada mes).

Otras

instalaciones usan un esquema de planificacin manual. En cualquiera de estos

casos, la planificacin de los procesos es aprobada por los usuarios y por la
jefatura de operaciones, cuando se implementa un sistema.

Normalmente, control de la produccin o la jefatura de operaciones requiere de

aprobaciones escritas de los usuarios para ejecutar trabajos en una secuencia
distinta a la planificada. Los usuarios deben entregar requerimientos escritos para
la planificacin de trabajos que no estn considerados en la planificacin normal,
tales como actualizaciones peridicas a ciertos archivos, o procedimientos de fin
de ao.

La administracin de PD utiliza bitcoras (manuales o automticas) para

monitorear la adherencia de los operadores a la planificacin aprobada. Esas
bitcoras informan los trabajos ejecutados, los tiempos de inicio y fin del trabajo y
cualquier condicin anormal ocurrida durante la ejecucin del trabajo. Cuando
ocurre una condicin anormal, el operador prepara un formulario de descripcin de
problemas para la posterior investigacin y la autorizacin de la reejecucin.

Si las aplicaciones en operacin son en lnea, la planificacin slo es relevante

para aquellos procesos de tipo batch, tales como los procesos de fin de da, de
respaldo y de inicio de actividades del da. Las consideraciones de control se
asocian a si los trabajos se ejecutan en el punto, tiempo y secuencia apropiada.

Preparacin de trabajos

Preparacin de trabajos es el nombre normalmente dado a la preparacin de una

aplicacin para su proceso. Se deben definir y cargar los programas y archivos de
datos del sistema, se debe especificar la secuencia de eventos, y los dispositivos
deben ser asignados.

Observacin
La preparacin de trabajos es importante para los controles sobre operacin del
computador, debido a que ayuda a asegurar que el lenguaje de control de trabajos
y sus parmetros estn apropiadamente preparados y que los archivos correctos
sean utilizados.

La manera ms comn de asegurar que el lenguaje de control de trabajos y los

parmetros que estn siendo utilizados son los apropiados, es mantener
instrucciones escritas previamente aprobadas. Existe tambin la necesidad de
verificar que los comandos y los parmetros utilizados se corresponden con dichas
instrucciones. Esto debera ser revisado y aprobado por personal responsable.
Las instrucciones de preparacin de trabajos deberan cubrir todas las
aplicaciones y el sistema operativo. Ellos deberan incluir, donde fuera apropiado,
el flujo del proceso, informacin relacionada con la preparacin de equipos

perifricos y archivos, lenguaje de control de trabajos (JCL) y parmetros de

ejecucin.

En muchos casos, los controles de actualizacin y mantenimiento, descritos como

controles de aplicacin, aseguran que los archivos correctos estn siendo
utilizados.

Sin embargo, an son necesarios controles especficos sobre la

utilizacin de los archivos correctos. Esto es particularmente verdadero, para

aquellos archivos que contienen tablas que son utilizadas durante un proceso (por
ejemplo, la lista de nmeros cuando se utilizan chequeos de secuencia).

Puede haber controles manuales sobre los archivos de datos, desde el momento
en que son retirados de la biblioteca fsica hasta la preparacin del trabajo. El
sistema operativo puede tambin asegurar que los archivos correctos estn siendo
utilizados.

Cuando el sistema operativo, est utilizado como una tcnica de

control, cada archivo asignado a un dispositivo incluye un registro, cabecera

conteniendo informacin tal como el nombre del archivo y el nmero de la versin
del mismo. Cuando el archivo es preparado para el proceso, los detalles de dicho
registro son verificados. Cualquier intervencin por parte del operador sobre estos
controles debera ser revisada y aprobada.

Uso correcto de los archivos de datos

En muchos casos, los controles sobre la actualizacin y sobre el mantenimiento,

descritos como controles de aplicacin, aseguran que se utilizan los archivos de
datos correctos. Sin embargo, an son necesarios controles especficos sobre el
uso de datos correctos. Esto es particularmente cierto en archivos que contienen
tablas que son requeridas en el procesamiento (por ejemplo: la lista de nmeros
cuando se utiliza chequeo de la secuencia numrica).

Tpicamente, los controles sobre los archivos de datos requieren que stos tengan
un rtulo (label) interno nico, que es ledo por el software de sistemas y
chequeado por el computador contra la informacin contenida en un sistema de
control de cintas.

Los correspondientes rtulos externos son puestos a los

dispositivos de almacenamiento removibles, para que sean ledos por los

cintotecarios y operadores en el momento de asignar dichos archivos al
procesamiento.

Monitoreo de actividades

El funcionamiento del computador y sus operaciones est, normalmente,

controlado por procedimientos manuales y programados. Las funciones manuales
estn, generalmente, restringidas a las acciones requeridas o solicitadas por
dichos programas especiales. La consideracin principal de control en este caso
es que el sistema operativo utilizado es confiable y que los procedimientos
manuales no lo son, puesto que por error o por otras razones, se puede interferir o
afectar el proceso normal del computador.

Procedimientos de recuperacin y respaldo

Deberan existir procedimientos de respaldo. En el evento de una falla del

computador, el proceso de recuperacin de programas de produccin, sistema
operativo o archivos, no debera introducir ningn cambio errneo dentro del
sistema. Algunas de las principales tcnicas que pueden ser utilizadas son:
La facilidad para recomenzar en un estado intermedio del proceso. Esto es
aplicable a los programas cancelados antes de su trmino normal y evita la
necesidad de reprocesar todo el trabajo.

 Un sistema para copiar y almacenar independientemente archivos maestros y

las transacciones respectivas. Esto hace posible recuperar cualquier archivo
perdido o daado durante la interrupcin del trabajo.
Procedimientos similares al anterior, para asegurar que las copias de las
instrucciones de operacin, ejecucin, y otros documentos claves estn
disponibles en caso que los originales se pierdan.
Instrucciones formales escritas para la recuperacin del proceso o su
transferencia a otra instalacin.

Controles sobre la seguridad de los programas

Los controles sobre seguridad de programas estn diseados para asegurar que
cambios no autorizados no pueden ser hechos a programas de produccin. Dichos
controles aseguran que los nicos cambios son aquellos hechos a travs de los
procedimientos normales de cambios de programas. La seguridad de programas
es preocupacin especial para el auditor cuando un cambio no autorizado en un
programa particular podra beneficiar a la persona que realiza el cambio (por
ejemplo, un cambio hecho en un sistema que procesa salarios y pagos en efectivo
podra resultar en que se realicen pagos no autorizados).

A continuacin se

detallan los procedimientos relacionados con la seguridad sobre los programas.

Software de control de acceso

Una organizacin puede usar software de sistemas (por ejemplo: opciones del
sistema operativo, paquetes de seguridad, paquetes de administracin de
bibliotecas de programas, software de comunicaciones) para restringir el acceso a

las bibliotecas de programas o a programas especficos en bibliotecas de

produccin. Generalmente, las tcnicas de control usadas incluyen:

Cdigos de identificacin de usuarios y passwords.

Opciones de men restringidos.

Niveles de acceso restringido a los usuarios (acceso slo de lectura).

Capacidades de los medios de input/output restringidas.

En los sistemas computacionales de hoy en da, los programas pueden ser

accedidos y alterados en una gran variedad de formas.

La mayora de las

organizaciones usan software de control de acceso para restringir, tanto el acceso

a procesos en lnea, como a los procesos en batch.

El acceso no slo es

restringido a programas especficos o bibliotecas, sino tambin a:

Bibliotecas de procedimientos.

Archivos del software de control de acceso.

Bibliotecas del software de sistemas.

Archivos de bitcoras.

Una seguridad de acceso completa, requiere que todos los usuarios estn
registrados por el sistema y que sean monitoreados por la funcin de
administracin de la seguridad, de modo independiente.

Los problemas (por

ejemplo: desactivacin de usuarios o denegar el acceso) son identificados y se

efecta un seguimiento oportuno.

Las acciones privilegiadas (por ejemplo:

definicin de nuevos usuarios, cambios a los privilegios de los usuarios, cambios

en la definicin de los recursos y a las reglas de acceso y sobrepasar la
seguridad) tambin son registradas e investigadas en forma oportuna por el
administrador de la seguridad. Son preferibles las revisiones diarias o semanales
de los registros, pero las revisiones mensuales pueden ser adecuadas para un

volumen bajo de actividades. Tpicamente, las funciones del administrador de la

seguridad son:

Mantener controles apropiados sobre el diseo y mantenimiento de las

identificaciones de los usuarios (user ID) y sus passwords, y asegurar que las
user ID's y passwords no pueden ser obtenidas por personal no autorizado.

Mantener y definir las reglas de acceso de los usuarios autorizados.

Controlar, distribuir y corregir las tablas de password.

Revocar inmediatamente las user ID's y passwords de los usuarios que dejan
de pertenecer a la organizacin o que han sido trasladados.

Todos los controles de acceso necesitan usuarios con privilegios especiales para
la administracin y otras tareas importantes, tales como:

Establecer y cambiar las user ID's.

Resetear los passwords u otros cdigos secretos.

Sobrepasar los controles de acceso (atributos de acceso irrestricto).

Cambiar el estado del sistema de seguridad y las opciones del software de

control de acceso.

Controles sobre el acceso fsico

El control fsico, junto con el software de control de acceso, proveen control

extenso sobre los programas. Los procedimientos de control de inters incluyen:

Restriccin de acceso fsico a los terminales o el acceso privilegiado a

terminales y usuarios especficos. Por ejemplo, en una bodega, restringiendo
el acceso al terminal para registrar el stock fsico y reforzar la limitacin de
tiempo para el uso de la terminal.

Restriccin de acceso a la sala del computador (va tarjetas magnticas o

claves de nmeros en la puerta).

Restriccin al acceso de los listados de los programas.

Control y restriccin al acceso de los respaldos de los programas y su

documentacin.

Segregacin de funciones

Con la suficiente capacidad tcnica y el conocimiento detallado de su contenido,

los usuarios podran sobrepasar la seguridad y hacer cambios a programas en
produccin. La proteccin contra esta posibilidad, normalmente se increment con
una apropiada segregacin de funciones. Cuando las funciones son separadas,
los usuarios no pueden obtener un conocimiento detallado de los programas; por
otro lado, aquellos responsables del desarrollo y mantenimiento de los programas,
no pueden tener acceso irrestricto a los programas de produccin. Es importante
mantener esta segregacin de funciones en todo momento, an fuera de las horas
normales de trabajo.

Controles sobre la seguridad de archivos de datos

Los controles sobre la seguridad de archivos aseguran que no se pueden efectuar

cambios no autorizados sobre los archivos de datos. La necesidad de controles
de seguridad sobre archivos de datos es normalmente mayor para archivos
maestros que para archivos de transacciones. Esto es as, porque no todos los
campos de datos crticos de los archivos maestros estn sujetos a los
procedimientos regulares de verificacin y reconciliacin. Cualquier verificacin
cclica de archivos de datos podra no ser hecha lo suficientemente a menudo para
proveer la oportuna identificacin de cambios no autorizados.

Los controles sobre archivos de datos son tambin importantes desde un punto de
vista operativo. Consideraciones operativas incluyen proteger los datos de ser
borrados o destruidos, ya sea accidental o intencionalmente, y contra robos y uso
no autorizado.

Software de controles de acceso

Una amenaza particular para los datos es el acceso irrestricto, que permite que los
datos sean cambiados sin autorizacin previa. En sistemas en lote, donde los
archivos de datos han sido cargados para la ejecucin de un programa especfico,
el problema est limitado a controlar la accin de los operadores durante esa
ejecucin en particular.

Los sistemas en lnea y tiempo real requieren: una

combinacin de tcnicas de control, incluyendo la restriccin a los caminos de

acceso del sistema y al rango de actividades permitidas a los usuarios.

Los

sistemas de conexin telefnica requieren altos niveles de seguridad debido a los

peligros de acceso por personal no autorizado. El nivel apropiado de los controles
de acceso est determinado por la sensibilidad de los datos, la divisin de
funciones de los usuarios, y los recursos disponibles.

Acceso por los usuarios

Los procedimientos de control diseados para proteger archivos de datos contra

accesos no autorizados por parte de usuarios del sistema, son similares a aquellos
ya descritos para programas. Estos procedimientos, que normalmente pueden ser
llevados a cabo al mismo tiempo que aquellos para los programas, incluyen
funciones del Sistema operativo tales como paquetes de control de bibliotecas,
programas de seguridad delsistema operativo, palabras claves, programas de
comunicaciones y sistemas de manejo de base de datos.

Acceso a datos en lnea

En situaciones donde los datos son capturados a travs de un terminal, como es el

caso de sistemas en lnea y tiempo real, es esencial proteger contra la captura de
informacin no autorizada, que se utilizar posteriormente en el proceso de
actualizacin. La captura de datos invlidos puede ser hecha para archivos de
transacciones o archivos maestros. Normalmente transacciones con datos
invlidos son introducidas al sistema para alterar el efecto de una transaccin que
ya se encuentra en el archivo. Por ejemplo, una nota de crdito ficticia que est
apareada a una factura dentro del archivo, alterara el estado de dicha factura.
Datos invlidos dentro de un archivo maestro pueden consistir de un registro
completo, tal como la cuenta de un proveedor ficticio, o un campo de datos, tal
como la tasa de pago o la tasa de inters.

Cuando los archivos de datos estn en lnea, debera haber una combinacin
apropiada de opciones del sistema operativo, que permita restringir terminales a
ciertos programas, transacciones, o archivos.

Solamente personal autorizado

debera tener acceso a archivos, ya sea para obtener informacin o introducir

cambios.

Acceso por los programas en produccin

En adicin a los controles de acceso de usuarios y de terminales, deberan

establecerse procedimientos para restringir el acceso a los datos por diversos
programas. El acceso a los datos puede ser restringido por medio de paquetes de
seguridad, a travs de los cuales se puede definir qu datos pueden ser
procesados y con qu opciones, ya sea de lectura o actualizacin. Es posible
producir informes, generados por dichos paquetes, de todos los accesos
permitidos a los diferentes programas. Dichos informes deberan ser revisados e
investigados si fuera necesario.

Archivos fuera de lnea

Los archivos residentes fuera de lnea estn protegidos contra cambios mientras
no estn cargados en el computador, pero pueden ser removidos, posiblemente
con propsitos no autorizados. Esto puede ocurrir cuando los archivos no estn
fsicamente protegidos y/o su manejo no est apropiadamente controlado. Las
caractersticas de control deberan proteger contra el traslado no autorizado o
destruccin de archivos, incluyendo aquellos almacenados en sitios remotos para
utilizacin en caso de desastre.

Seguridad fsica

Para proteger archivos fuera de lnea contra accesos no autorizados, debera

existir un rea de almacenamiento bajo llave. Debera estar alejada de donde
reside el computador y, preferiblemente, supervisado por un bibliotecario
responsable de la entrega, recepcin y seguridad de todos los archivos.

Los

accesos de dicha biblioteca deberan ser restringidos solamente a personal

autorizado para retirar o devolver archivos.

Es necesario que existan procedimientos para asegurar que los archivos sean
utilizados solamente para procesos autorizados. Esto significa que se deberan
preparar calendarios de proceso que especifiquen en detalle los archivos que son
requeridos para el proceso. Dichos calendarios deberan prepararse para todas
las aplicaciones y ser aprobados por personal responsable. Debera requerirse
autorizacin especfica para remover archivos a sitios remotos o a otro
computador.

Controles sobre el software de sistemas

Los controles sobre el software de sistemas asegura que el software de sistemas

es implementado, mantenido y protegido de cambios no autorizados en forma
apropiada. Los programas del sistema operativo son importantes para el auditor
puesto que ayudan a controlar, tanto los programas que procesan informacin,
como los archivos de datos. Muchos de los controles de TI, tales como la
seguridad de archivos de datos y programas, dependen del software de sistemas.

El software de sistemas que puede ser relevante para controlar incluye programas
relacionados con:
Catalogacin
Informe de trabajos procesados
Manejo de archivos
Comunicaciones de datos
Informe de operaciones
Preparacin de archivos
Seguridad de acceso
Registro de bibliotecas
Base de datos
A continuacin se detallan los controles sobre el software de sistemas.

Implementacin

Los controles requeridos para la implantacin exitosa del software de sistemas

son, esencialmente, similares a aquellos requeridos para la implantacin de
programas de aplicacin, excepto que este trabajo es efectuado por personal de
soporte tcnico y por los programadores de aplicacin.

Todo software de sistemas provisto por un proveedor debera estar sujeto a la

revisin y aprobacin por una persona con el conocimiento suficiente para
determinar el impacto de dichos programas en los sistemas existentes y los
procedimientos en operacin. Dicha persona debera ser capaz de determinar si
dichos programas satisfacen las necesidades y objetivos de la compaa. Esta
revisin debera abarcar, tanto el sistema operativo bsico, como las diferentes
opciones disponibles.

Cuando el nuevo software de sistemas tiene una interfase directa con programas
de aplicacin es imperativo que los nuevos programas sean probados con
programas de aplicacin ya estables. As, si ocurren anomalas, ellas pueden ser
identificadas como resultantes del nuevo software de sistemas.

Las instrucciones y otra documentacin del software de sistemas y las distintas

opciones provistas deberan ser revisadas por personal tcnicamente competente.
Dicho

personal

apropiadamente

debera
los

asegurarse

procedimientos

que

la

necesarios

documentacin
para

utilizar

describe
y

operar

correctamente el software de sistemas.

El uso de programas del software de sistemas debera ser restringido a usuarios

autorizados. Por ejemplo, el grupo de soporte tcnico puede necesitar algunos

programas de servicio que no deberan estar disponibles a operadores o a

usuarios.

Mantenimiento

El software de sistemas es modificado peridicamente por el vendedor quien

introduce nuevos programas o mejoras a los programas existentes. Estas mejoras
o nuevos programas deben ser probados para asegurar que ste opera de
acuerdo con el ambiente de la organizacin.

En muchas organizaciones, no hay experiencia tcnica ni herramientas para

efectuar correcciones al software de sistemas. En esas circunstancias, el riesgo
de modificaciones no autorizadas es mnimo.

En el caso de que exista

experiencia tcnica y herramientas, la organizacin debera establecer controles

similares a aquellos sobre los programas de aplicacin.

Normalmente, las

organizaciones aplican segregacin de funciones, para prevenir que personal de

soporte tcnico obtenga un entendimiento detallado de las aplicaciones
procesadas y de los controles sobre los archivos claves y sobre las transacciones
de aquellas aplicaciones. Finalmente, el trabajo del personal de soporte tcnico
debera ser supervisado en forma muy cercana por la jefatura de soporte tcnico.

Controles sobre la conversin de archivos

Los controles sobre la conversin de archivos apuntan a la conversin de los

archivos existentes a los nuevos archivos de datos de una aplicacin nueva. Ellos
estn diseados para asegurar que el proceso de conversin no caus errores en
los archivos de datos.

Instrumentos de control

Los elementos e instrumentos de control a utilizar en forma individual o en

forma conjunta son:

- Documentacin de las etapas del desarrollo e Implantacin de sistemas.

- Reuniones de revisin tcnica.
- Benchmarking o pruebas del sistema.
- Formularios de control.

La

documentacin de las subetapas del desarrollo e implantacin del

sistema

La primera informacin que debe servir de base para efectuar un anlisis sobre el
control del sistema lo constituye la documentacin generada en las diferentes
fases de desarrollo e implantacin del sistema.

La documentacin debe leerse detenidamente con la finalidad de:

Comprender la concepcin del sistema.

Planificar el contenido de las reuniones de revisin tcnica.

Determinar los vacos o carencias de informacin.

Elaborar los cuestionarios de consultas.

Efectuar el control del Sistema, con un conocimiento slido del mismo.

Observacin
El tcnico que efecte el control del sistema debe tomar conocimiento completo de
la documentacin escrita existente, de tal forma que se reduzca el tiempo del
proceso de Auditora del sistema y se brinden resultados en corto plazo.

Reuniones de revisin tcnica

Un aspecto fundamental para efectuar un buen control del sistema son las
Entrevistas de Revisin Tcnica, ya que la documentacin, en la mayora de los
casos, es muy escasa y deficiente y, generalmente, cubre slo una parte de la
informacin y las entrevistas permiten complementar la informacin tcnica y
recabar opiniones sobre deficiencias del sistema.

Las reuniones de Revisin Tcnica, deben estar debidamente planificadas y

contar con formularios de los temas y consultas a tratar, para evitar olvidar
cualquier aspecto fundamental para el anlisis y la investigacin. Las reuniones
de Revisin Tcnica deben efectuarse con todas las personas que participaron
en el desarrollo e implantacin del sistema, as como los que operan y utilizan el
sistema.

Deben efectuarse reuniones de Revisin Tcnica con cada participante en forma

separada para lograr informacin y opiniones libres e independientes de cada
uno

de

ellos; despus de las reuniones individuales puede efectuarse una

reunin global para determinar las conclusiones de consenso.

Ladillo
En las entrevistas de revisin tcnica deben consultarse los factores que
limitaron el desarrollo, implantacin, operacin y uso del sistema, as
como las deficiencias, aspectos de confiabilidad y seguridad, en funcin de
cada persona.

Las Entrevistas de Revisin Tcnica deben efectuarse con la o las siguientes

personas que llevaron o llevan a cabo las siguientes funciones: el Analista de

Sistemas, el Programador, el Implementador, los Operadores del Sistema, los

Usuarios Operativos que utilizan el Sistema, los Usuarios que utilizan la
informacin para la toma de decisiones.

Benchmark o pruebas del sistema

Instrumento vital para evaluar la confiabilidad del Sistema, es lo que se denomina

Benchmark o Pruebas del Sistema. No basta con evaluar el sistema tomando
conocimiento de su documentacin y sosteniendo reuniones de revisin tcnica
con el personal involucrado; lo

fundamental, que demuestra la buena

funcionalidad y confiabilidad del sistema es efectuar procesos de prueba

simulando situaciones extremas de tal forma que se pueda determinar si el
sistema responde a lo especificado y es confiable produciendo resultados
correctos en los tiempos esperados.

Es por eso que se debe realizar Benchmark o procesos de prueba especiales tales
como: prueba de carga mxima, prueba de almacenamiento, prueba de tiempo de
ejecucin, prueba de recuperacin.

Formularios de control

Para efectos de registrar y controlar preventivamente el desarrollo e implantacin

del Sistema o evaluarlo posteriormente, es necesario utilizar formularios
denominados de control, cuya explicacin se indica a continuacin.

Control de cronograma del proyecto

Para efectos de controlar o evaluar el cumplimiento de los plazos y la duracin de

las etapas del sistema y por razones de sencillez se recomienda utilizar el

diagrama de GANTT, debiendo en el mismo cuadro registrar lo planeado y lo

ejecutado

con dos smbolos diferentes.

herramientas

computarizadas

Se

de formulacin

recomienda
y

que

se

utilicen

control de proyectos que

permiten utilizar el PERT-PCM.

Control de documentacin de sistemas

Este formulario permite verificar la aplicacin de la metodologa de desarrollo e

implantacin de sistemas, mediante el registro de la documentacin que se debe
haber generado para cada etapa. Deber contarse con la firma de conformidad
del usuario de la documentacin que ste deba aprobar.

Control tcnico del anlisis

Para verificar que el control del anlisis se haya efectuado adecuadamente,

se debe utilizar el Formulario de Registro de Tcnicas Utilizadas y se deben
realizar estudios de gabinete de la documentacin generada, as como efectuar
reuniones de revisin tcnica, conjuntamente con el personal de analistas del
proyecto. En caso de verificarse la falta de aplicacin de las tcnicas o errores en
el trabajo de anlisis, stas se registrarn en un acta, para que sean superadas.

Es mejor efectuar el control, en forma permanente, apenas se finaliza una

etapa y antes de proceder a la prxima, pues hacerlo en forma posterior, es
ms costoso y requiere de mayor tiempo, teniendo mayores implicaciones.

Las tcnicas que se deben haber utilizado son:

- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D).
- Modelacin de Datos.

- Diagrama de Estructura de Datos (D.E.D).

- Historia de Vida de la Entidad (H.E.V).
- Anlisis de Costo/Beneficio (A.C.B).
- Prototipeo.

Control tcnico del diseo

Para verificar que el Control Tcnico del Diseo se ha efectuado adecuadamente,

se debe utilizar el Formulario de Registro de Tcnicas Diseo y se deben
realizar estudios de gabinete de la documentacin generada, as como efectuar
reuniones de revisin tcnica, conjuntamente con el personal de analistas del
proyecto.

Como en el control anterior, en

caso

de

verificarse

la falta de

aplicacin de las tcnicas o errores en el trabajo de diseo, stas se registrarn en

un acta, para que sean superadas. Tambin es mejor efectuar el control en
forma permanente, apenas se finaliza una etapa y antes de proceder a la prxima.

Las tcnicas que se deben haber utilizado son:

- Diseo Estructurado.
- Diagrama de Estructura de Cuadros.
- Optimizacin del Diseo Fsico.
- Diseo de Pruebas.
- Prototipeo.

Actividad 7.2

Elabore un cuadro en el cual, para cada riesgo o amenaza exista el control

respectivo y el nivel de cobertura del control.

Evaluacin de controles

Definicin de la metodologa CRMR:

La traduccin ms adecuada para CRMR, es evaluacin de la gestin de recursos

informticos. En cualquier caso, esta terminologa quiere destacar la posibilidad de
realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del
management. Una revisin de esta naturaleza no tiene en s misma el grado de
profundidad de una Auditora informtica global, pero proporciona soluciones ms
rpidas a problemas concretos y notorios.

Ladillo
CRMR: sigla de computer resource management review.

Supuestos de aplicacin

En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable

ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico,
pero no cubre cualquier rea de un Centro de Procesos de Datos.

El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones

que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

Los resultados del Centro de Procesos de Datos no estn a disposicin de los

usuarios en el momento oportuno.

Se genera con alguna frecuencia informacin errnea por fallos de datos o

proceso.

Existen sobrecargas frecuentes de capacidad de proceso.

Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son stas y no otras las situaciones que el auditor informtico

encuentra con mayor frecuencia. Aunque pueden existir factores tcnicos que
causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos
de gestin.

reas de aplicacin

Las reas en las cuales puede ser aplicado el mtodo CRMR se corresponden con
las sujetas a las condiciones de aplicacin sealadas en punto anterior:

Gestin de datos.

Control de operaciones.

Control y utilizacin de recursos materiales y humanos.

Interfaces y relaciones con usuarios.

Planificacin.

Organizacin y administracin.

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin

de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos
crticos o las holguras de un Proyecto complejo.

Objetivos

CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia

de los procedimientos y mtodos de gestin que se observan en un Centro de

Proceso de Datos. Las recomendaciones que se emitan como resultado de la

aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan:

Identificar y fijas responsabilidades.

Mejorar la flexibilidad de realizacin de actividades.

Aumentar la productividad.

Disminuir costos.

Mejorar los mtodos y procedimientos de Direccin.

Alcance

Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo. Se

establecen tres clases:

Reducido. El resultado consiste en sealar las reas de actuacin con

potencialidad inmediata de obtencin de beneficios.

Medio. En este caso, el CRMR ya establece conclusiones y recomendaciones,

tal y como se hace en la Auditora informtica ordinaria.

Amplio. El CRMR incluye planes de accin, aportando tcnicas de

implementacin de las recomendaciones, a la par que desarrolla las
conclusiones.

Informacin necesaria para la evaluacin del CRMR

Se determinan, en este punto, los requisitos necesarios para que esta simbiosis de
Auditora y consultora pueda llevarse a cabo con xito.

El trabajo de campo del CRMR ha de realizarse completamente integrado

en la estructura del Centro de Proceso de Datos del cliente, y con los recursos
de ste. No debe olvidarse que se estn evaluando actividades desde el punto

de vista gerencial. El contacto permanente del auditor con el trabajo ordinario

del Centro de Proceso de Datos permite a aqul determinar el tipo de
esquema organizativo que se sigue.

Se deber cumplir un detallado programa de trabajo por tareas. Todo

trabajo habr de ser descompuesto en tareas. Cada una de ellas se someter
a los siguientes temas:

Identificacin de la tarea.

Descripcin de la tarea.

Descripcin de la funcin de direccin cuando la tarea se realiza

incorrectamente.

Descripcin de ventajas, sugerencias y beneficios que puede originar un

cambio o modificacin de tarea.

Test para la evaluacin de la prctica directiva en relacin con la tarea.

Posibilidades de agrupacin de tareas.

Ajustes en funcin de las peculiaridades de un departamento concreto.

Registro de resultados, conclusiones y recomendaciones.

El auditor-consultor recabar determinada informacin necesaria del

cliente. El cliente es el que facilita la informacin que el auditor contrastar
con su trabajo de campo.

Se exhibe a continuacin una Checklist completa de los datos necesarios para

confeccionar el CRMR:

Datos de mantenimiento preventivo de hardware.

Informes de anomalas de los sistemas.

Procedimientos estndar de actualizacin.

Procedimientos de emergencia.

Monitorizacin de los sistemas.

Informes del rendimiento de los sistemas.

Mantenimiento de las libreras de programas.

Gestin de espacio en disco.

Documentacin de entrega de aplicaciones a explotacin.

Documentacin de alta de cadenas en explotacin.

Utilizacin de CPU, canales y discos.

Datos de paginacin de los sistemas.

Volumen total y libre de almacenamiento.

Ocupacin media de disco.

Manuales de procedimientos de explotacin.

Observacin
Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el
seguimiento de las recomendaciones realizadas.

Actividad 7.3

Elabore una gua de trabajo para evaluar los controles aplicando la metodologa
CRMR en el rea de informtica de una empresa.

Resumen

El proceso de evaluacin de controles implica un anlisis detenido y cuidadoso de

todas las actividades que se desarrollan en el rea de Informtica o alrededor del
uso de la tecnologa informtica. La metodologa de CRMR o Evaluacin de la
gestin de recursos informticos responde a la necesidad de evaluar toda la

gestin de los recursos y tecnologa informtica utilizada en una organizacin, de

una manera estructurada y sistemtica, en las reas de Gestin de Datos, Control
de Operaciones, Control y utilizacin de recursos materiales y humanos, Interfaces
y relaciones con usuarios, Planificacin, Organizacin y administracin. El CRMR
permite evaluar el grado de trabajo o ineficiencia de los procedimientos y mtodos
de gestin que se observan en un Centro de cmputo o proceso de Datos.

Bibliografa recomendada

Hernndez Hernndez, Enrique.

Auditora en Informtica. Mxico: Editorial

CECSA, 2000.

Piettini, G., Emilio del Peso. Auditora Informtica, un enfoque prctico. Mxico:
Editorial Alfaomega, segunda edicin, 2001.

Nexo

En el prximo fascculo estudairemos un caso Prctico de Auditora de Seguridad

Informtica,Ciclo de Seguridad, para proporcionar una visin ms desarrollada y
amplia de la funcin auditora.

Autoevaluacin formativa

1.

Qu significa anlisis de riesgos para una empresa?

2.

Cules son los componentes de una matriz de anlisis de riesgos?

3.

Defina 10 controles de informtica y determine la importancia de cada uno de

estos para la empresa.

4.

Por qu los controles deben evaluarse frente al beneficio que se recibe en la

Empresa?

5.

Para qu se utiliza la metodologa de CRMR en Auditora?

6.

Describa las reas de aplicacin de la metodologa.

7.

Cules son los datos necesarios para el trabajo de CRMR?