Indice General Indice General.............................................................................................................I Introducción.................. Introducción........................... .................. .................. ................. ................. .................. ..................... ........................................II ............................II Objetivos...................................................................................................................III
Capítulo I Evaluación de los procesos de datos y de los equipos de cómputo 1.1. Controles................ Controles......................... ................. ................. .................. .................. .................. ................. ................. .................. ....................1 ...........1 1.1.1. Control de datos de fuente y manejo de cifras................................... cifras.........................................8 ......8 1.1.2. Control de operación................... operación........................... ................. .................. .................. .................. .........................12 ................12 1.1.3. Control de salida................ salida......................... .................. .................. ................. ........................ ..................................17 ..................17 1.1.3.1.Custodia de los formulario crticos o ne!ociables..........................18 1.1.3.2.Conciliación entre formularios salidos del inventario y a"uellos procesados..................................................................................................18 1.1.3.3.Conciliación de importes totales contenidos en las salidas...........18 1.1.3.#.Control de distribución y verificación de recepción........................1$ 1.1.3.%.&iempo 1.1.3.%.&iempo de retención de informes......... informes ................. ................. ..................................1$ .........................1$ 1.1.3.'.Información de salida para corrección de errores..........................1$ 1.1.#. Control de asi!nación de trabajo................ trabajo......................... .................. ...................................2( ..........................2( 1.1.%. Control de medios medios de almacenamiento............ almacenamiento..................... ......................................22 .............................22 1.1.'. Control de mantenimiento............... mantenimiento........................ .................. .................. ................. .............................23 .....................23 1.1.'.1.)valuación de mantenimiento................ mantenimiento......................................... ........................................2% ...............2% 1.2. Orden del centro de cómputo.... cómputo........ ........ ........ ........ ........ ........ ........ ........ ........ ........ ........ ........ .......... ............ ............ ........27 ..27 1.2.1. *edidas de se!uridad dentro de un centro de computo........................28 1.3. )valuación )valuación de la la confi!ura confi!uración ción del sistem sistema a de cómputo........ cómputo............. ........... ............ ...........3( .....3( 1.#. +roductividad................. +roductividad.......................... ................. ................. .................. .................. .................. ....................................31 ...........................31 1.#.1. +untos a evaluar en los e"uipos....................... e"uipos................................ ................. ............................3# ....................3#
Capítulo II Ejercicio Práctico Conclusiones.................. Conclusiones.......................... ................. .................. .................. .................. .................. .................................... ....................................#2 .........#2 ,ecomendaciones................... ,ecomendaciones............................ .................. ................. ................. .................. .................. ....................................#3 ...........................#3 -iteratura Citada y Consultada................... Consultada............................ .................. .................. ................. ..................................## ..........................## 1
Introducción -a naturalea especialiada de la auditoria de los sistemas de información y las /abilidades necesarias para llevar a cabo este tipo de auditoras0 re"uieren para su desarrollo la descripción de los dos principales objetivos de una auditoria de sistemas0 "ue son0 las evaluaciones de los procesos de datos y de los e"uipos de cómputo0 con controles0 tipos y se!uridad -a auditoria de los sistemas de información se define como cual"uier auditoria "ue abarca la revisión y evaluación de todos los aspectos o de cual"uier porción de ellos de los sistemas automticos automticos de procesamient procesamiento o de la información0 información0 incluidos incluidos los los proce procedi dimi mien ento toss no auto autom mtitico coss rela relaci cion onad ados os con con ello elloss y las las inte interf rfac aces es correspondientes. +ara "ue la auditorita informativa sea apropiada se debe comprender no sólo la evaluación de los e"uipos de cómputo0 de un sistema o procedimiento especfico0 sino "ue adems /abr de evaluar los sistemas sistemas de información información en !eneral desde sus entrada entradas0 s0 procedi procedimie miento ntos0 s0 control controles0 es0 arc/iv arc/ivos0 os0 se!uri se!uridad dad y obtenc obtención ión de información. +ara lo cual se describe detalladamente cada uno de los controles "ue se deben verificar en una evaluación de los procesos de datos y as mismo de su e"uipo.
2
Introducción -a naturalea especialiada de la auditoria de los sistemas de información y las /abilidades necesarias para llevar a cabo este tipo de auditoras0 re"uieren para su desarrollo la descripción de los dos principales objetivos de una auditoria de sistemas0 "ue son0 las evaluaciones de los procesos de datos y de los e"uipos de cómputo0 con controles0 tipos y se!uridad -a auditoria de los sistemas de información se define como cual"uier auditoria "ue abarca la revisión y evaluación de todos los aspectos o de cual"uier porción de ellos de los sistemas automticos automticos de procesamient procesamiento o de la información0 información0 incluidos incluidos los los proce procedi dimi mien ento toss no auto autom mtitico coss rela relaci cion onad ados os con con ello elloss y las las inte interf rfac aces es correspondientes. +ara "ue la auditorita informativa sea apropiada se debe comprender no sólo la evaluación de los e"uipos de cómputo0 de un sistema o procedimiento especfico0 sino "ue adems /abr de evaluar los sistemas sistemas de información información en !eneral desde sus entrada entradas0 s0 procedi procedimie miento ntos0 s0 control controles0 es0 arc/iv arc/ivos0 os0 se!uri se!uridad dad y obtenc obtención ión de información. +ara lo cual se describe detalladamente cada uno de los controles "ue se deben verificar en una evaluación de los procesos de datos y as mismo de su e"uipo.
2
Objetivos a Conc Concie ient nti iar ar la part partic icip ipac ació ión n acti activa va "ue "ue el audi audito torr debe debe tene tenerr en el apropiado manejo de los los datos y su operación por medio de los diferentes controles. b ,ealiar ,ealiar una distribuci distribución ón e"uitativa e"uitativa del e"uipo e"uipo de computaci computación ón y asi!narle asi!narle a cada usuario una lista de actividades a trabajar. c Obten btener er el conoc onociimien miento to comp compet eten entte a cerc cerca a de los los cont contro role less de almacenamientos masivos0 control de almacenamientos y evaluación en los sistemas. d )l objeti objetivo vo es evaluar evaluar la eficienc eficiencia ia con "ue opera opera el rea de captación captación y producción.
3
1
Capítulo I Evaluación de los procesos de datos y de los equipos de cómputo -a auditora de los sistemas de información se define como cual"uier auditora "ue abarca la revisión y evaluación evaluación de de todos los aspectos o de cual"uier porción de ellos de los sistemas automticos automticos de procesamient procesamiento o de la información0 información0 incluidos incluidos los procedimientos no auto autom mtitico coss rela relaci cion onad ados os con con ello elloss y las las inte interf rfac aces es correspondientes. +artiendo de este concepto la evaluación del procesamiento de datos as como los respectivos e"uipos y ma"uinaria "ue se ocupa para realiar esta actividad deben ser la principal fuente de atención de un auditor. +ara ello veremos los controles recomendables en este caso4
1.1. Controles )l control es el proceso de verificar el desempe5o de distintas reas o funciones de una or!aniación. -os datos son uno de los recursos ms valiosas de las or!aniación0 y aun"ue son intan!ibles0 necesitan ser controlados y auditados con el mismo cuidado "ue los dems inventarios de la or!aniación0 por lo cual se debe tener presente. 1 6
-a respons responsabi abililida dad d de los datos datos es compart compartid ida a conju conjunt ntam amen ente te por al!una al!una función determinada de la or!aniación y dirección de informtica.
6
n probl problema ema "ue "ue se debe debe consid considera erarr es el "ue "ue se ori!in ori!ina a por la la duplic duplicida idad d de los los datos datos00 el cual cual cons consis iste te en pode poderr dete determ rmin inar ar los los prop propie ieta tari rios os o usuarios posibles.
6
-os -os dato datoss debe deber rn n tene tenerr una una clas clasifific icac ació ión n est estnd ndar ar y un mecan mecanis ismo mo de identific identificación ación "ue permita permita detectar detectar duplicidad y redundancia redundancia dentro de una aplicación y de todas las aplicaciones en !eneral.
1 os9 :ntonio )c/eni"ue Garca0 :uditora en Informtica *9;ico4 *cGra<6=ill Interamericana )ditores0 >.:. de C.?.0 p!. 1%'61%7.
2
6
>e deben relacionar los elementos de los datos con las bases de datos donde estn almacenados0 as como los reportes y !rupos de procesos donde son !enerados.
&odo centro de informtica se debe contar con una serie de polticas "ue permitan la mejor operación de los sistemas. )ntre las polticas estn las 6
+olticas de respaldos
6
+olticas de revisión de bitcora soporte t9cnico
6
+olticas de se!uridad fsica de site
Políticas de respaldos los respaldos de la información deben realiarse mensual0 semanal o diario y se deben observar los si!uientes puntos4 6
Contar con polticas formales por escrito para efectuar los respaldos mensuales0 semanales y diarios de la información
6
&odos los medios ma!n9ticos de respaldo no deben estar almacenados en un mismo lu!ar0 aun"ue se ten!an los medios ma!n9ticos de operación en el site por lo "ue si /ubiera contin!encia !rave incendio0 inundación no se tendra el ries!o de perder parte o la totalidad de la información0 ya "ue se cuenta en otro lu!ar con los respaldos.
6
@ebe tenerse acceso restrin!idos al rea en donde se tienen almacenados los medios ma!n9ticos0 tanto de operación como de respaldo.
6
>e deben tener identificadas las cintas por fec/a0 concepto y consecutiva0 y es conveniente elaborar y actualiar una relación sobre las cintas0 el contenido de los datos de re!istro y los responsables de efectuarlos.
6
>e debe contar con una poltica "ue indi"ue los procedimientos a se!uir en cuanto al almacenamiento de las cintas de respaldo en un lu!ar diferente al
3
de la ubicación del site0 en donde se pueda tener acceso las 2# /oras del da y donde se desi!nen responsables de mantener actualiada la información vital de la or!aniación. )l /ec/o de no contar con estas polticas de respaldo "ue contemplen los puntos anteriores puede provocar "ue no se si!an los procedimientos adecuados para realiar los respaldo0 "ue /aya ries!o de p9rdida de información en caso de al!una contin!encia y no tener una disponibilidad inmediata de información de respaldo para recuperar la información y conse!uir una continuidad en la or!aniación. >e debe elaborar por escrito una serie de polticas y procedimientos para la elaboración de los respaldos0 contemplando los pasos a se!uir0 la información "ue debe de ser respaldada0 se!An el periodo correspondiente mensual0 semestral o anual as como el personal asi!nado a cada caso.
Políticas y procedimientos -as polticas e;istentes deben estar actualiadas en todas las actividades0 estar debidamente documentadas y ser del conocimiento personal. Bo contar con polticas y procedimientos actualiados "ue rijan la administración del rea de sistemas podra ocasionar. 6
:dministración inadecuada de la operación.
6
,elajamientos en el cumplimiento de las obli!aciones del personal
6
Inadecuada división de labores.
-as polticas y procedimientos deben incluir los si!uientes puntos4 6
>e!uridad de la información fsica y ló!ica
6
:d"uisión de /ard
6
Operación del centro de cómputo.
4
)s recomendable "ue se documenten todos los procedimientos de las diversas actividades. stos0 al i!ual "ue las normas y polticas se manifiestan por escrito en manuales de operación. :l!unas ventajas al proceder si!uiendo los pasos anteriores son4 6
>e tiene una base uniforme0 estable y formal para capacitación0 consulta y supervisión0 y se fomenta la eficiencia del personal en sus funciones.
6
:nte la rotación del personal0 se evita el desvirtuamiento de las normas y procedimientos ori!inales creados.
6
>e precisa la responsabilidad individual de los participantes en una operación0 en caso de errores y omisiones.
)stas polticas y procedimientos a desarrollar0 debern ser del conocimiento del personal "ue labora en el rea de sistemas de una empresa.
Políticas de revisión de bitácora !soporte t"cnico# @eben e;istir bitcoras de operación en las "ue se re!istren los procesos realiados0 los resultados de su ejecución0 la concurrencia de errores0 los procesos ejecutados en el e"uipo y la manera en "ue concluyeron. Bo contar con una poltica de revisión de las bitcoras de operación de los diferentes procesos puede ocasionar problemas como4 6
Carecer de bases para el rastreo de errores de procesamiento.
6
Dalta de parmetros de evaluación respecto al funcionamiento del e"uipo y del departamento de sistemas.
6
:usencia de controles en cuanto a re!istro de se!uimiento de problemas.
6
Dalta de parmetros para determinar las causas de una falla si!nificativa en el sistema y dar se!uimiento a su corrección.
5
6
@ependencia del personal para solución de errores.
6
-os errores pueden presentarse en forma recurrente y no ser detectados0 lo cual causa p9rdidas de tiempo en la corrección
6
+uede
presentarse
una
p9rdida
de
tiempo
al
no
pro!ramarse
adecuadamente las funciones0 lo "ue tiene como consecuencia una confusión en el rea respecto a los procesos "ue ya se /an realiado y los "ue se deban realiar. )s necesario establecer una poltica de revisión de las bitcoras de operación0 asi!nando responsables por proceso y función0 lo "ue traera como beneficio detectar y corre!ir a buen tiempo los errores recurrentes y poder tomar medidas preventivas para "ue 9stos ya no se presenten. +ara la ad"uisición y mantenimiento y desarrollo de sistemas se deben considerar4
Control de las licencias del so$t%are &odas las or!aniaciones deben tener un inventario de las licencias de soft
:ctualiar el inventario de /ard
6
)n caso de no contar con las licencias0 es necesario contactar al proveedor del soft
6
6
)laborar un plan verificador de soft
6
@esi!nar a una persona responsable de rea de informtica para !uardar u tener actualiadas las licencias.
6
+romover un plan de concientiación entre el personal con el fin de "ue no se instale pa"uetera pirata en la m"uinas propiedad de la empresa y aplicar sanciones al personal "ue no acate estas medidas.
Políticas de se&uridad $ísica de site las instalaciones de site deben ser adecuadas para ase!urar el buen funcionamiento y la continuidad necesaria en las operaciones. @eben e;istir polticas y procedimientos "ue describan los aspectos de se!uridad fsica mnimos "ue deben de re!ir dentro del departamento de sistemas. +ara ellos se deben observar los si!uientes puntos4 6
)l acceso al site debe estar restrin!ido por una puerta0 la cual contara con un c/apa adecuada de se!uridad0 o con dispositivo electrónico de control de acceso. >e deben tener dispositivos adecuados de detección de /umo0 as como aspersores de calor para la e;tinción de incendios0 adems de contras con e;tintores.
6
>e debe tener protección en los servidores para "ue no puedan ser desconectados accidental o intencionalmente y provocar as serios da5os al e"uipo.
6
@eben e;istir documentos o carteles "ue indi"uen las normas de se!uridad mnima "ue deben observarse al estar en el site.
6
)l personal operativo no debe permitir el acceso al personal ajeno al departamento.
6
Bo debe tenerse papel para impresión dentro del site0 el cual es un objeto potencial de al!An desastre.
7
6
-os e"uipos "ue se utilian para la limpiea dentro del site no deben de estar directamente conectados a la toma de corriente en la "ue est conectados los e"uipos de cómputo y los servicios.
6
-os e"uipos el9ctricos0 interruptores o de comunicación0 no deben estar al alcance de cual"uier persona.
>e debe elaborar polticas formales de se!uridad y dise5ar las caractersticas para el site0 por lo "ue se recomienda4 6
>e!uridad fsica del centro de cómputo. @ise5ar un lu!ar e;clusivo y adecuado para los e"uipos centrales. Implementar dispositivos adecuados para la prevención y e;tinción de incendios "ue !aranticen la salva!uarda del e"uipo e información "ue se encentre dentro del site.
6
:cceso al centro de cómputo. )l acceso al centro de cómputo debe estar restrin!ido por llaves electrónicas0 c/apas ma!n9ticas entre otras0 adems es necesario "ue se implemente al!An procedimiento de control de acceso para personal no autoriado a las instalaciones. :simismo0 se debe de realar una distribución correcta de las polticas y procedimientos de se!uridad fsica0 con el objetivo de "ue el personal conoca las responsabilidades y acciones "ue les corresponde0 y con el fin de promover el cumplimiento de los objetivos y metas.
6
+lan de contin!encias. @ebe e;istir un plan de contin!encias "ue permita "ue los sistemas si!an funcionando en caso de al!An siniestro o en caso de al!una /uel!a. @ebe verificarse "ue se cumplan con todas las caractersticas "ue un documento de esta importancia re"uiere. n plan de contin!encias puede ase!urar "ue se est preparado para enfrentar imprevistos y desastres de cual"uier ndole0 ase!urando una continuidad en la operación de los sistemas de cómputo. )jemplos de contin!encias pueden ser4 incendios0 tormentas0 inundaciones y actos vandlicos0 los cuales pueden ocasionar una disminución en el aprovec/amiento de la
8
computadora por un periodo considerable. Con la importancia y dependencia "ue se tiene de la computadora0 una p9rdida de información o imposibilidad potencial para procesarla ori!inada por una contin!encia puede ser si!nificativa. >e su!iere la revisión del plan de contin!encia para "ue conten!a los si!uiente controles4 6
@ele!ación de funciones y entrenamiento de personal.
6
,esumen de actividades a se!uir en caso de contin!encias. 6
)studio detallado de las "ue de acuerdo con la ona !eo!rfica0 tienen ms probabilidad de ocurrir y los impactos "ue cada una de 9stas ocasionara.
6
,ealiar un estudio de tiempo estimado de restablecimiento de operaciones de acuerdo a una determinada contin!encia0 as como un estudio de consecuencias potenciales "ue se desprenderan por la inoperatividad de los sistemas.
6
Identificar las aplicaciones y arc/ivos de datos crticos para la operación de los servicios computacionales0 as como determinar prioridades de restablecimientos 9stos. >e deben incluir especificaciones de /ard
6
+roveer los lineamientos necesarios para el restablecimiento de operaciones a partir de los respaldos de información.
6
@esarrollo de pruebas periódicas del plan de contin!encia0 as como el establecimiento de niveles de autoridad y responsabilidades para !arantiar el buen resultado de la prueba.
9
6
)stablecer procedimientos y responsabilidades para mantener el plan de contin!encia.
6
+rocedimientos o plenas para reconstrucción de los site despu9s de contin!encias.
6
)stablecimiento de procedimientos manuales de operación por parte de los usuarios para restablecer operaciones mientras se recupera los sistemas.
6
-ineamientos para !arantiar "ue dic/o plan sea aprobado y actualiado periódicamente.
)l plan de contin!encias0 revisado y aprobado0 deber ser distribuido a cada una de las reas de la división de informtica de la empresa y debe ser dado a conocer a todo el personal "ue laborar en el rea de informtica de la empresa.
1.1.1. Control de datos de $uente y manejo de ci$ras -a mayora de los delitos por computadoras son cometidos por modificaciones de datos fuentes al4
• • • •
>uprimir u omitir datos :dicionar datos :lterar datos @uplicar datos
)sto es de suma importancia en el caso de sistemas en lnea0 en los "ue los usuarios son los responsables de la captura y modificación de la información. +or ello0 se debe tener un adecuado control con se5alamiento de responsables de los datos uno de los usuarios debe ser el Anico responsable de determinado datos0 con claves de acceso de acuerdo a niveles.
10
)l primer nivel es en el "ue se pueden /acer Anicamente consultasE el se!undo nivel es a"uel en el "ue se puede /acer captura0 modificaciones y consultas0 y el tercer nivel es a"uel en el "ue se puede /acer todo lo anterior y adems se pueden realiar bajas. BO&:4 @ebido a "ue se denomina de diferentes formas la actividad de transcribir la información del dato fuente a la computadora0 su!erimos llamarla captura o captación0 por considerarla considerndola como sinónimo de di!italiar capturista0 di!italiadora0 anteriormente la responsabilidad de captura era del rea de informticaE en la actualidad es principalmente la responsabilidad del usuario0 pero esto no elimina la posibilidad de errores y consecuentemente la necesidad de auditar sus controles. :/ora e;isten diversas formas de captura de la información0 por ejemplo0 scanner0 pero debe e;istir una persona "ue sea responsable del control de esta información y ase!urarse "ue es confiable y oportuna.2 -o primero "ue debemos evaluar es la entrada de la información y "ue se ten!an las cifras de control necesarias para determinar la veracidad de 9sta para lo cual se puede utiliar el si!uiente cuestionario0 el cual est diri!ido a la captura en el rea de informtica0 independientemente de la captura "ue sea responsabilidad del usuario4 C'E()IO*+,IO -E -+)O( -E 'E*)E( / 0+*EO -E 'E*)E 1. );isten normas "ue definen el contenido de los instructivos de captación de datosF 2. Indi"ue el porcentaje de datos "ue se reciben en el rea de captación y verifi"ue si contiene su instructivo correspondiente. )n caso de "ue el usuario sea el responsable de la captura0 debe e ;istir un manual del usuario0 o bien ayuda /elp dentro del sistema.
2 Echenique García, Op. Cit., p.161.
11 3. Indi"ue el contenido de la orden de trabajo "ue se recibe en el rea de captación de datos del rea de informtica4 BAmero de folio Dec/a y /ora de entre!a de Dec/a y /ora de recepción documentos y re!istros Bombre del documento captados. ?olumen apro;imado de re!istros Clave del capturista Clave de car!o nAmero de cuenta BAmeros de formatos BAmero de re!istro Bombre0 departamento0 usuario. Bombre del responsable Dec/a estimada de entre!a
#. Indi"ue cules controles internos e;isten en el rea de captación de datos4 Dirmas de autoriación ?erificación de cifras de control de ,ecepción de trabajos entrada con las de salida. ,evisión del documento fuente Control de trabajos atrasados. le!ibilidad0 verificación de datos :vance de trabajos. ?erificación completos0 etc. )rrores por trabajo Corrección de errores +rioridades de captación )ntre!a de trabajos. +roducción de trabajo Costo mensual por trabajo %. Cuando la car!a de trabajo supera la capacidad instalada se re"uiere4 &iempo e;tra >e subcontrata '. Hui9n controla las entradas de documentos fuenteF 7. )n "u9 forma las controlaF 8. Hu9 cifras de control se obtienenF >istema Cifras "ue se obtienen
$.
Hu9 documentos de entrada se tienenF >istemas @ocumentos
Observaciones
@epto. "ue +eriodicidad Observaciones proporc iona el docum ento 1(. >e anota "u9 persona recibe la información y su volumenF >I BO 11. >e anota a "ue capturista se entre!a la información0 el volumen y la /oraF >I BO
12 12. >e verifica la calidad de la información recibida para su capturaF >I BO 13. >e revisan las cifras de control antes de enviarlas a capturaF >I BO 1#. +ara a"uellos procesos "ue no trai!an cifras de control se /an establecido criterios a fin de ase!urar "ue la información es completa y vlidaF >I BO 1%. );iste un procedimiento escrito "ue indi"ue cómo trabajar la información invlidaF >in firmar0 ile!ible0 no corresponden las cifras de control >I BO 1'. )n caso de res!uardo de información de entrada en sistemas0 >e custodian en un lu!ar se!uroF >I BO 17. (i se queda en el departamento de sistemas2 3Por cuánto tiempo se &uarda4 (I *O 18. );iste un re!istro de anomalas en la información debido a mala codificaciónF >I BO 1$. );iste una relación completa de distribución de listados0 en la cual se indi"uen "ue personas0 secuencia y sistemas a los "ue pertenecenF >I BO 2(. >e verifica "ue las cifras de las validaciones concuerden con los documentos de entradaF >I BO 21. >e /ace una relación de cundo y a "ui9n fueron distribuidos los listadosF >I BO 22. >e controlan separadamente los documentos confidencialesF >I BO 23. >e aprovec/a adecuadamente el papel de los listados inserviblesF >I BO 2#. );iste un re!istro de los documentos "ue entran a capturarF 2%. >e /ace un reporte diario0 semanal o mensual de capturaF >I BO 2'. >e /ace un reporte diario0 semanal o mensual de anomalas en la información de entradaF >I BO 27. >e lleva un control de la producción por personaF >I BO 28. Hui9n revisa este controlF 2$. );isten instrucciones escritas para capturar cada aplicación o0 en su defecto0 e;iste una relación de pro!ramasF >I BO
-os sistemas en lnea0 redes y comunicación son evaluados en la sección de sistemas0 y esta evaluación debe ser confirmada con el usuario.
13
Cada individuo "ue participa en el proceso y tiene al!An nivel de control sobre los datos o la manipulación "ue se ejecuta a estos datos tiene responsabilidad. >e puede afirmar "ue0 la responsabilidad de los datos es compartida entre el personal usuario y el personal informticoJ 30 puesto "ue este Altimo es el "ue dispone de los medios y conocimientos para administrar los recursos en "ue se mantienen almacenados los datosE es decir0 la operación de los computadores centrales es responsabilidad de personal ajeno al personal usuario0 "uien cuenta con conocimientos t9cnicos y capacidades profesionales "ue le facultan para ejecutar a otro0 almacenados y mantenidos en distintos medios. +or sus funciones0 los operadores tienen acceso a /erramientas con las "ue se podran afectar los datos almacenados0 produci9ndoles distorsione o da5os. )l auditor debe verificar "ue en el rea de operaciones e;ista suficiente conciencia del uso "ue les est permitido dar a los datos y de lo "ue est pro/ibido. :s0 se puede decir "ue el personal de operaciones de informtica tiene la responsabilidad fundamental de realiar una custodia apropiada de los datos.
1.1.5. Control de operación -a eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e inte!ridad de la documentación re"uerida para el proceso en la computadora. -os instructivos de operación proporcionan al operador información sobre los procedimientos "ue debe se!uir en situaciones normales y anormales del procesamiento0 y si la documentación es incompleta o inadecuada lo obli!a a improvisar o suspender los procesos mientras investi!a lo conducente0 !enerando probablemente errores0 reproceso0 desperdicio de tiempo de m"uinaE se incrementan pues0 los costos del procesamientos de datos. # @ebemos de considerar la operación de los sistemas en lnea0 los cuales deben de estar residentes en todo momento0 con su correspondiente sistema de 3 Xioara !e"#a$o %o&a', (u$itoría en )n*or+tica Co'ta %ica- E$itoria" ni/er'i$a$ E'tata" a !i'tancia, 1997, p.186. 4Echenique, Op. Cit., p. 164.
14
comunicación0 mientras "ue en cuanto a los sistemas en lote batc/ se debe planear y pro!ramar su operación. +ara lo!rar esto e;isten instalaciones "ue tienen e"uipos de computación y comunicación dedicados e;clusivamente a los sistemas en lnea0 y otros e"uipos dedicados Anicamente a proceso en lote batc/. )l objetivo del si!uiente ejemplo de cuestionario es se5alar los procedimientos e instructivos formales de operación de sistemas en lote batc/0 analiar su estandariación y evaluar el cumplimiento de los mismos %. C'E()IO*+,IO CO*),O6 -E OPE,+CI7* 1. );isten procedimientos formales para la operación del sistema de cómputoF >I BO 2. )sos procedimientos describen detalladamente tanto la or!aniación de la sala de m"uinas como la operación del sistema de cómputoF >I BO 3. )stn actualiados los procedimientosF >I BO #. Indi"ue la periodicidad de la actualiación de los procedimientos4 >emestral :nual Cada ve "ue /aya cambio de e"uipo %. Observe la forma en "ue est operando la m"uina0 Cómo se distribuyen los trabajos en lotesF Cul es el lmite de trabajos en lotes y si se tiene un adecuado orden y control en los procesos por lotesF >I BO '. Indi"ue el contenido de los instructivos de operación para cada aplicación4 Identificación del sistema +eriodicidad y duración de la corrida )specificación de formas especiales )ti"uetas de arc/ivos de salida0 nombre del arc/ivo ló!ico y fec/as de creación y e;piración Instructivo sobre materiales de entrada y salida :ltos pro!ramados y las acciones Instructivos especficos para los operadores en caso de falla del e"uipo +untos de reinicio0 procedimientos de recuperación para proceso de !ran duración o criterios Identificación de todos los dispositivos de la m"uina a ser usados )specificaciones de resultados cifras de control0 re!istros de salida por arc/ivo0 etc. Instructivos de plan de contin!encia Instructivos de procedimientos de recuperación
5Echenique, Op. Cit., p. 166.
15 7. );isten órdenes de proceso para cada corrida en computadora incluyendo pruebas0 compilaciones y producciónF >I BO 8. >on suficientemente claras para los operadores ests órdenesF >I BO $. );iste una estandariación de las órdenes de procesoF >I BO 1(. );iste un control "ue ase!ura la justificación de los procesos en el computadorFHu9 los procesos "ue se estn trabajando est9n autoriados y ten!an una raón de ser procesados. >I BO 11. Cómo pro!raman los operadores los trabajos dentro de la sala de m"uinasF +rimero "ue entra0 primero "ue sale >e respetan las prioridades. Otra especifi"ue 12. -os retrasos o incumplimiento del pro!rama de operación diaria0 se revisa y analiaF >I BO 13. Hui9n revisa este reporte en su casoF 1#. Cómo controla los operadores las versiones correctas y cómo se identifican las "ue son de pruebaF 1%. :nalice la eficiencia con "ue se ejecutan los trabajos dentro de la sala de m"uinas0 tomando en cuenta e"uipo y operador0 mediante una inspección visual y describa sus observaciones. 1'. );isten procedimientos escritos para la recuperación del sistema en caso de fallasF >I BO 17. Cómo se actAa en caso de erroresF 18. );isten instrucciones especficas para cada proceso0 con las indicaciones pertinentesF >I BO 1$. >e tienen procedimientos especficos "ue indi"uen al operador "u9 /acer cuando un pro!rama interrumpe su ejecución u otras dificultades en procesoF >I BO 2(. +uede el operador modificar los datos de entradaF >I BO 21. >e pro/be a analistas y otro personal ajeno al rea la operación de la m"uinaF >I BO 22. >e pro/be al operador modificar información de arc/ivos o bibliotecas de pro!ramasF >I BO 23. )l operador realia funciones de mantenimiento diario en dispositivos "ue as lo re"uieranF >I BO 2#. -as intervenciones de los operadores4 >on muy numerosasF >I BO >e limitan a los mensajes esencialesF >I BO OtrasF especifi"ue 2%. >e tiene un control adecuado sobre los sistemas "ue estn en operaciónF >I BO
16 2'. Cómo se controlan los trabajos dentro de la sala de m"uinasF 27. >e rota al personal del control de información con los operadores0 procurando un entrenamiento cruado y evitando la manipulación fraudulenta de datosF >I BO 28. Cuentan los operadores con una bitcora para mantener re!istrado de cual"uier evento y acción tomada por ellosF >i +or m"uina )scrita manualmente Bo 2$. ?erifican "ue e;ista un re!istro de funcionamiento "ue muestre el tiempo de paros y mantenimiento o instalaciones de softI BO 3(. );isten procedimientos para evitar las corridas de pro!ramas no autoriadosF >I BO 31. );iste un plan definido para el cambio de turno de operación "ue evite el descontrol y discontinuidad de la operaciónF >I BO 32. ?erifican "ue sea raonable el plan para coordinar el cambio de turnoF 33. >e /acen inspecciones periódicas de muestreoF >I BO 3#. )nuncie los procedimientos mencionados en el inciso anterior. 3%. >e controla estrictamente el acceso a la documentación de aplicaciones rutinariasF >I BO 3'. ?erifican "ue los privile!ios del operador se restrinjan a a"uellos "ue le son asi!nados a la clasificación de se!uridad de operadorF >I BO 37. );isten procedimientos formales "ue se deban observar antes de "ue se /ayan aceptado en operación0 sistemas nuevos o modificaciones a los mismosF >I BO 38. )stos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anterioresF >I BO 3$. @urante cunto tiempoF #(. Hu9 precauciones se toman durante el periodo de implantaciónF #1. Hui9n da la aprobación formal cuando las corridas de prueba de un sistema modificado o nuevo estn acordes con los instructivos de operaciónF #2. *encione "u9 instructivos se proporcionan a las personas "ue intervienen en la operación rutinaria de un sistema.
17 #3. Indi"ue "u9 tipo de controles se tienen sobre los arc/ivos ma!n9ticos de los arc/ivos de datos0 "ue ase!uren la utiliación de los datos preciosos en los procesos correspondientes. ##. );iste un lu!ar para arc/ivar las bitcoras del sistema del e"uipo de cómputoF #%. Indi"ue cómo est or!aniado este arc/ivo de bitcora. +or fec/a +or fec/a y /ora +or turno de operación Otros
#'. Cul es la utiliación sistemtica de las bitcorasF #7. :dems de las mencionadas anteriormente0 "u9 otras funciones o reas se encuentran en la sala de m"uinas actualmenteF #8. >e verifica "ue se lleve un re!istro de utiliación del e"uipo0 sistemas en lnea y batc/0 de tal manera "ue se puedan medir la eficiencia del uso del e"uipoF >I BO #$. >e tiene un inventario actualiado del total de los e"uipos0 de su localiaciónF >I BO %(. Cómo se controlan los procesos en lneaF >I BO %1. 3(e tienen se&uro sobre todos los equipos4 (I *O 3Con qu" compa8ía4 999999999999999999999999999999999 Cómo se controlan las llaves de acceso pass
>e debe verificar "ue el instructivo de operación conten!a los si!uientes datos4 • • • • • •
@ia!ramas. *ensajes y su e;plicación. +armetros y su e;plicación. Dórmulas de verificación Observaciones e instrucciones en caso de error. Calendario de procesos y de entre!a de resultados.
1.1.:. Control de salida
18
-os
controles
de
salida
se
instalan
para ase!urar
la
e;actitud0 inte!ridad0 oportunidad0 y distribución correcta de la salida0 ya sea "ue se d9 en pantalla0 en forma impresa o en medios ma!n9ticos. -os si!uientes procedimientos de control se refieren a la salida4 6
>e debe realiar un filtrado inicial para detectar errores obvios tambi9n
6
llamada :uditora de Kase de @atos. &odas las formas vitales debern estar pre numeradas y tener un
6
responsable. Cual"uier salida altamente delicada "ue no deba ser vista por el personal del centro de cómputo deber ser !enerada por un dispositivo de salida en
6
un lu!ar se!uro alejado de la sala de computación. Cuando se vayan a imprimir instrumentos ne!ociables0 deben realiarse convenios de custodia dual entre el departamento de sistemas y el del usuario para ase!urar "ue todos los instrumentos ten!an un responsable y
6
"ueden salva!uardados adecuadamente. : pesar de todas las precauciones tomadas0 se presentarn al!unos errores. )l punto de control principal para la detección de dic/os errores es0 por supuesto0 el usuario. +or lo tanto0 el auditor debe fijar los procedimientos para establecer un canal entre el usuario y el !rupo de control para el reporte sistemtico de la ocurrencia de errores o de incon!ruencias. '
: continuación se e;plicaran al!unos de los controles de salida ms /abituales.
1.1.:.1.
Custodia de los $ormulario críticos o ne&ociables -os formularios en blanco "ue sern destinados para ser impresos
por
computadora
deben
estar
prote!idos
adecuadamente contra robos o da5os. &ambi9n debern 6 :punte :dministración de servicios de cómputo del Instituto tecnoló!ico de la +a 2(13 &areas niversitarias. informatica./tml
,ecuperado
de4
/ttp4LLtareasuniversitarias.comLcontroles6de6salida6en6auditoria6
19
mantenerse adecuados re!istros sobre la e;istencia y uso de los mismos0 y cumplirse con planes de recuentos fsicos periódicos.
1.1.:.5.
Conciliación entre $ormularios salidos del inventario y aquellos procesados na persona ajena a "uien !enere la impresión deber conciliar y fundamentar las raones de las diferencias por errores de impresión0 mutilaciones0 etc.
1.1.:.:.
Conciliación de importes totales contenidos en las salidas )l encar!ado de *esa de Control o de la sección Control de @atos deber conciliar los importes totales de salida con los respectivos importes totales de datos de entrada. :l auditor de sistemas tendr "ue verificar si en el dise5o del sistema la e;istencia de pistas de auditora permitir el rastreo del procesamiento de las transacciones en caso de ausencia de balanceo.
1.1.:.;.
Control de distribución y veri$icación de recepción )l control de distribución obedece a la necesidad de mantener la confidencialidad de la información reservada. @ebido a "ue actualmente la mayora del procesamiento de información pasa por procesos computariados.
1.1.:.<.
)iempo de retención de in$ormes -a poltica de retención deber determinar los tiempos fijados desde el punto de vista le!al y desde la normativa interna de la empresa.
1.1.:.=.
In$ormación de salida para corrección de errores -os pro!ramas prev9n m9todos de detención de errores0 en estos casos0 los errores se imprimen en un listado o bien se muestran por pantalla pero lo realmente importante es verificar "ue los
20
mismos "ueden re!istrados en almacenamiento transitorio /asta tanto se verifi"ue su corrección y rein!reso al proceso. )l auditor revisara el procedimiento "ue utilia el usuario para corre!ir y retornar los datos al proceso.7 >e ofrece el si!uiente cuestionario en relación al control de salida4 C'E()IO*+,IO E* ,E6+CIO* +6 CO*),O6 -E (+6I-+ 1. >e tiene copias de los arc/ivos ma!n9ticos en otros localesF >I BO 2. @ónde se encuentran esos localesF 3. Hu9 se!uridad fsica tiene esos localesF #. Hu9 confidencialidad se tiene en esos localesF %. Hui9n entre!a los documentos de salida de los procesos en lotes batc/F '. )n "u9 forma se entre!anF 7. >e tiene un responsable usuario de la información de cada sistema en lnea y en lotes batc/F >I BO 8. Cómo se atienden las solicitudes de información a otros usuarios del mismo sistemaF $. >e destruye la información no utiliada0 o bien "ue se /ace con ellaF @estruye ?ende &ira Otro
1.1.;. Control de asi&nación de trabajo )sta parte se relaciona con la dirección de las operaciones de la computadora en t9rminos de la eficiencia y satisfacción del usuario. )sta sección debe ser comparada con la opinión del usuario. -a función clave del personal de car!as de m"uina est relacionada con el lo!ro eficiente y efectivo de varios aspectos4 6
>atisfacer las necesidades de tiempo del usuario.
7 ?anessa ,. 2((1. :uditoria de aplicativos en funcionamiento. ,ecuperado de4 /ttp4LLaudcontrol!rp#.
21
6
>er compatible con los pro!ramas de recepción y transcripción
6
de datos. +ermitir niveles efectivos de utiliación de los e"uipos y
6 6
sistemas de operación. ?olver la utiliación de los e"uipos en lnea. )ntre!ar a tiempo y correctamente los procesos en lotes batc/.
-a e;periencia muestra "ue los mejores resultados se lo!ran en or!aniaciones "ue utilian sistemas formales de pro!ramación de actividades0 los cuales intentaban balancear los factores y medir resultados. >e debern evaluar los procedimientos de pro!ramación de car!as de m"uina para determinar si se /a considerado atenuar los picos de los procesos !enerados por cierres mensuales0 o bien los picos de los sistemas en lnea0 y poder balancear las car!as de trabajo de lotes batc/ y lnea0 dando prioridades a los procesos en lnea0 o contar con e"uipos "ue permitan en forma independiente cumplir con las necesidades de procesos en lnea0 con su comunicación y con procesos en lote. >e deber procurar "ue la distribución fsica del e"uipo sea funcional0 "ue la pro!ramación de las car!as de la m"uina satisfa!a en forma efica al usuario. :simismo0 se tendr cuidado con los controles "ue se ten!an para la utiliación de e"uipo y "ue el mantenimiento satisfa!a las necesidades. )n relación con los pro!ramas de trabajo proponemos el si!uiente cuestionario4J 8 C'E()IO*+,IO E* ,E6+CI7* CO* 6O( P,OG,+0+( -E ),+>+O 1. Opera la sala de m"uinas sobre la base de pro!ramas de trabajoF >I BO 2. Indi"ue los periodos "ue abarcan los pro!ramas de trabajoF 8 )c/eni"ue Garca0 Op. Cit.0 p!. 1716172.
22
3. Indi"uie el puesto o departamento responsable de la elaboracion de los pro!ramas de trbajo.
#. >e cambian frecuentemente los pro!ramas de trabajos >I BO %. Cul es la causa principalF '. >e comunica oportunuamente a los usuarios las modificaciones a los usuarios de trabajosF >I BO Cómo se comunicanF 7. @entro del trabajo de pro!ramas de ma"uina se tienen previstasF @emandas inesperadas Dallas de m"uinas >oporte de los usuarios *antenimiento preventivo otrasF )spesifi"ue 8. Con "ue frecuencia se asi!na la computadora0 en su totalidad o en !ran porcentaje0 para una sola aplicación la mayor utiliacionF
$. )spesifi"ue los elementos "ue sirven como base para pro!ramar las car!as de las ma"uinas.
1.1.<. Control de medios de almacenamiento -os dispositivos de almacenamientos representan0 para cual"uier centro de cómputo0 arc/ivos e;tremadamente importantes0 cuya p9rdida parcial o total podra tener repercusiones muy serias0 no solo en la unidad de informtica0 sino en la dependencia en la cual se presta servicio. na dirección de informtica bien administrada debe tener perfectamente prote!idos estos dispositivos de almacenamientos0 adems de mantener re!istros sistemticos de la utiliación de estos arc/ivos0 de modo "ue sirvan de base a los pro!ramas de limpiea0 principalmente en el caso de cintas. :dems0 se deben tener perfectamente identificados fsicamente los arc/ivos par a reducir la posibilidad de utiliación errónea o destrucción de las informaciones.
23
n manejo adecuado para estos dispositivos depender una operación ms eficiente y se!ura mejorando adems los tiempos de proceso. )l si!uiente cuestionario puede ser e;tensivo a todo tipo de almacenamiento ma!n9tico0 como por ejemplo de formato para el anlisis de arc/ivos. $ C'E()IO*+,IO -E CO*),O6 -E 0E-IO -E +60+CE*+0IE*)O 0+(I?O( 1. -os locales asi!nados a almacenamientos ma!n9ticos tienenF 2. &ienen en almac9n de arc/ivo protección automtica contra el fue!oF >I Bo 3. #. %. '. 7. 8. $.
>e tienen identificados los arc/ivos con información confidencial y se cuenta con claves de accesoF >I BO >e certifica la destrucción o baja de los arc/ivos defectuososF >I BO >e tiene un responsable0 por turno0 de los arc/ivos ma!n9ticosF >I BO >e realian auditorias periódicas a los arc/ivos de almacenamientoF >I BO Hu9 medidas se aplican en el caso de e;travió de al!An dispositivo de almacenamientoF >I BO >e llevan un control sobre los arc/ivos prestados por la instalaciónF >I BO );iste un responsable en caso de fallaF >I BO
)l objetivo del cuestionario es evaluar la forma
como se administran los
dispositivos de almacenamientos bsicos de la dirección. :l se5alar arc/ivos ma!n9ticos nos referimos a cintas0 discos0 dis"uetes0 C@0 @?@ y cual"uier otro tipo de almacenamientos.
1.1.=. Control de mantenimiento );isten bsicamente tres tipos de contratos de mantenimiento. )l contrato de mantenimiento total0 "ue incluye el mantenimiento correctivo y preventivo0 el cual a su ve puede dividirse en a"uel "ue incluye refacciones las partes dentro del contrato y el "ue no las incluye. )l contrato "ue incluye refacciones es 9 )c/eni"ue Garca0 Op. Cit.0 p!. 173
24
propiamente como un se!uro0 ya "ue en caso de descompostura el proveedor debe proporcionar las partes sin costo al!uno. )ste tipo de contrato es normalmente el ms caro0 pero se deja al proveedor la responsabilidad total del mantenimiento a e;cepción de da5os por ne!li!encias en la utiliación de los e"uipos. )ste tipo de mantenimiento normalmente se emplea en e"uipos !randes. )l se!undo tipo de mantenimiento es por llamadaJ0 )n el cual se llama al proveedor en caso de descompostura y 9ste cobra de acuerdo a una tarifa y al tiempo "ue se re"uiera para componerla casi todos los proveedores incluyen en la cotiación de compostura el tiempo de traslado de su oficina a donde se encuentre el "uipo y viceversa. )ste tipo de mantenimiento no incluye refacciones. )l tercer tipo de mantenimiento es "ue se conoce como en bancoJ0 y es a"uel en el cual el cliente lleva a las oficinas del proveedor el e"uipo0 y 9ste /ace una cotiación de acuerdo con el tiempo necesario para su compostura0 ms las refacciones este tipo de mantenimiento puede ser el adecuado para computadoras personales. :l evaluar el mantenimiento debemos primero analiar cul de los tres tiempos es el "ue ms nos conviene0 y en el se!undo lu!ar pedir los contratos y revisar con detalle "ue las clusulas est9n perfectamente definidas0 "ue no e;istan subjetividad y "ue /aya penaliación en caso de incumplimiento0 para evitar contratos "ue sean parciales /acia el proveedor. +ara poder e;i!ir el cumplimiento del contrato se debe tener un estricto control sobre las fallas0 las frecuencias y el tiempo de reparación. +ara evaluar el control "ue se tiene sobre el mantenimiento y las fallas se pueden utiliar los si!uientes cuestionarios. 1( C'E()IO*+,IO P+,+ E?+6'+, E6 CO*),O6 10 )c/eni"ue Garca0 Op. Cit.0 p!. 17%
25 1.)specifi"ue el tipo de contrato de mantenimiento "ue se tiene solicitar copia del contrato. 5. 3E@iste un pro&rama de mantenimiento preventivo para cada dispositivo del
sistema de cómputo4 (I *O :. 3(e lleva a cabo el pro&rama4 (I *O ;. 3E@isten tiempos de respuestas y de compostura estipuladas en los contratos4 (I %.
*O >i los sistemas de operación son superiores a los estipulados en el contrato "u9
acciones correctivas se toma para ajustarlos a lo convenidoF '. >olicite el plan de mantenimiento preventivo0 "ue debe ser proporcionado autoriado por el proveedor. A. 3E@iste al&Bn tipo de mantenimiento preventivo que pueda dar el operador
autoriado por el proveedor4
(I
*O
3Cuál499999999999999999999999999999999999999999999999999999999999999 3Cómo se noti$ican las $allas499999999999999999999999999999999999999999999 3Cómo se les da se&uimiento499999999999999999999999999999999999999999999 C'E()IO*+,IO -E CO*),O6 -E +66+( 1. >e mantiene re!istros actualiados de las fallas de los dispositivos del sistema de cómputo y servicios au;iliares aire acondicionado0 sistemas ener!a interrumpidaF >I BO >olicitar los re!istros de los Altimos meses 2. )s posible identificar por medio de estos re!istros los problemas ms recurrentes o las fallas mayores "ue afectan en forma determinante el funcionamiento de la sala de m"uinasF >I Bo Cómo se identificanF 3. &iempo de respuesta promedio "ue se /a tenido con el contrato de mantenimiento tiempo de respuesta es el periodo entre la notificación o aviso de la e;istencia de un problema y la lle!ada del personal t9cnico "ue realio las reparaciones del e"uipo. #. Cules consideran "ue es la competencia t9cnica de los in!enieros de servicio "ue dan mantenimiento a sus e"uiposF +or "u9F %. Cul es el tiempo promedio "ue toma investi!ar y resolver el problemaF '. Cul es la disponibilidad de refacciones necesarias para dar mantenimiento a sus e"uiposF 7. Cul es la efectividad del proveedor para resolver sus problemas de mantenimientoF 8. Cules son las medidas de mantenimiento preventivo realiadas al dar servicio a su e"uipoF $. Cul es en !eneral la calidad de los servicios ofrecidos bajo su contrato de mantenimientoJF
1.1.=.1.
Evaluación de mantenimiento
Cuando se evalAa la capacidad de los e"uipos0 no se debe olvidar evaluar "ue la capacidad bruta disponible se deber disminuir por las actividades de
26
mantenimiento
preventivo0 fallas
internas y
e;ternas
no previstas0 y
mantenimientos e instalación de nuevos sistemas. )n enfo"ues de esta sección se orientan a evaluar0 mediante los controles "ue se ten!an en la dirección0 la utiliación del sistema de cómputo. n control adecuado permitir sustentar sólidamente cual"uier solicitud de e;pansión de la confi!uración presente. >e debe tener control de las fallas y del mantenimiento no sólo del e"uipo central0 sino del total de los e"uipos0 incluyendo computadoras personales0 impresoras0 e"uipos de comunicación y perif9ricos. )l si!uiente cuestionario sirve para evaluar el mantenimiento4
C'E()IO*+,IO P+,+ E?+6'+, E6 0+*)E*I0IE*)O 1. • • • • • • • • • • •
2.
Indi"ue los re"uisitos "ue se llevan de la utiliación del sistema de cómputo &iempo de prueba de pro!ramas &iempo dedicado a producción &iempo dedicado a mantenimiento correctivo del sistema operativo &iempo dedicado a mantenimiento preventivo &iempo de fallas de los dispositivos del sistema de cómputo &iempo de uso de cada unidad de cinta &iempo ocioso &iempo de uso de impresora &iempo de reproceso &iempo de la computadora utiliado en demostraciones &iempo de la falla por servicios au;iliares :note a los si!uientes datos4
• • •
&iempo promedio de operaciones por da MMMMMMMMMMMMM/rs &iempo promedio de respuestas para pro!ramas de +roducciónMMMMM/rs Bumero promedio al da "ue se consideran como / oras de producción.
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM •
BAmeros promedio de trabajos en coma de espera de ejecución de /oras
•
pico.MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM Bumero promedio de trabajo de ejecución en / oras pico.
27 3.
)valAe la relación de uso de impresoras respecto a la mecla de trabajos.
N
Incrementar el nAmero de impresoras
N
,estaurar las car!as de trabajo
N
tiliar otro tipo de salida
N
tiliar impresora de mayor velocidad
N
)s e;cesivo el volumen de impresiónF
> Bo
)n caso de contestar si0 se5ale las causas • • • •
,eportes muy lar!os. ,epostes no utiliados +rocesos en los "ue debe estar en lnea Otros especificar cules
#. )valu9 la utiliación del sistema de cómputo a trav9s de las si!uientes relaciones. •
>i el tiempo ocioso e;cede el 3% )l "uipo instalado puede estar sobrado d e capacidad para la car!a de trabajo actual.
•
>i el tiempo de mantenimiento al e"uipo sobrepasa el % >e le debe e;i!ir al proveedor "ue mejore la calidad de soporte de mantenimiento.
•
>i el tiempo de falta de sistemas de cómputo es mayor al % >e le deber e;i!ir la reparación y disminución de los tiempos de falla al final.
%.
Hu9 porcentaje del personal de pro!ramas se dedica a dar mantenimiento a los sistemas
e;istentesF '. )l responsable del rea de producción formula las estadsticas de la utiliación de e"uipos0 mostrando la frecuencia de las fallas de los mismos y las estadsticas de producción por aplicaciónF 7. )n "u9 porcentaje se cumplen los calendarios de producciónF 8. );istenMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
1.5.
Orden del centro de cómputo
n centro de cómputo representa un alto !rado de importancia en una or!aniación0 su objetivo es satisfacer las necesidades de información de la empresa0 de manera vera y oportuna. >u función se fundamenta en el apoyo primordial a la labor administrativa para /acerla ms se!ura0 fluida0 y as
28
simplificarla. )l centro de cómputo es responsable de centraliar0 custodiar y procesar la mayora de los datos con los "ue opera la compa5a. &odas las actividades realiadas en la empresa se basan en la información "ue les suministra dic/o centro. -a toma de decisiones depende en !ran medida de la capacidad de respuesta del proceso de datos. +or la importancia de este centro las empresas no se limitan a invertir para proveer el e"uipo t9cnico material y /umano necesario. 11
1.5.1. 0edidas de se&uridad dentro de un centro de computo -a se!uridad en un centro de cómputo no solo se refiere a la protección del /ard
Impartir instrucciones a los asociados o responsables de no suministrar
6 6 6 6 6
información. ,evisar los planes de se!uridad de la or!aniación. )stablecer simples y efectivos sistemas de se5ales. Contar con res!uardo de la información "ue se maneja. )stablecer contrase5as para prote!er información confidencial y privada. )vitar introducir alimentos0 tales como refrescos0 para impedir "ue puedan
6 6
derramarse sobre las ma"uinas. Bo fumar. Cada e"uipo de cómputo debe contar con un re!ulador de corriente para
6
evitar problemas o da5os en caso de falla el9ctrica. )scanear un dispositivo de almacenamiento >K antes de introducirlo a la computadora para as evitar infectarlas con al!An virus
na dirección de informtica bien administrada debe tener y observar re!las relativas al orden y cuidado de la sala de ma"uinas. -os dispositivos del sistema 11 %o'a"a C. 2010 ($ini'tracin $e Centro' $e Coputo. %ecupera$o $ehttp-.*cca.uich.$e'car#a'apunte'(ca$eia20$e 20)n*oratica($C33n20$e20Centro'20$e20Coputo 202020%.C.)!(!20).p$* 12 (na C. 2014 e$i$a' $e :e#uri$a$ !entro $e un Centro $e Coputo. %ecupera$o $e- http-tona""i90.#"oere$.cocate#oria.a'p;i$cat<21
29
de computo y los arc/ivos ma!n9ticos pueden ser da5ados si se manejan en forma inadecuada0 lo "ue puede traducirse en p9rdidas irreparables de información o en costos muy elevados en la reconstrucción de arc/ivos. +or ello se deben revisar las disposiciones y re!lamentos "ue contribuyan al mantenimiento del orden de la sala de ma"uinas.J 13 )l si!uiente cuestionario ejemplifica una de las formas de cómo evaluar el orden "ue e;iste en la sala de cómputo4 C'E()IO*+,IO P+,+ E?+6'+, E6 O,-E* -E6 CE*),O -E CO0P')O 1
);isten un lu!ar asi!nado a las cintas y discos ma!n9ticosF >e tiene asi!nado un lu!ar especfico para papelera y utensilios de
5
trabajoF );isten pro/ibiciones para fumar0 tomar alimentos y refrescos en la
:
sala de ma"uinasF >e cuenta con carteles en lu!ares visibles "ue recuerden dic/a
;
pro/ibiciónF >e tiene restrin!ida la operación del sistema de cómputo Anicamente
<
al personal especialiado de la dirección de informticaF
=
>on funcionales los muebles asi!nados para la cintoteca y discotecaF
(I
*O
(I
*O
(I
*O
(I
*O
(I
*O
(I
*O
(I
*O
>e tienen disposiciones para "ue se acomoden en su lu!ar
A
correspondiente0 despu9s de su uso0 las cintas0 los discos ma!n9ticos0
la papelera0 etc9teraF Indi"ue la periodicidad con "ue se /ace la limpiea de la sala de ma"uinas y de la
D a b c#
a b
1.:.
cmara de aire "ue se encuentra abajo del piso falso y los ductos de aire4 >emanalmente d# Huincenalmente *ensualmente e# Kimestralmente Bo /ay pro!rama $# Otro especifi"ue Indi"ue la periodicidad con "ue se limpian las unidades de cinta4 :l cambio de turno c# Cada semana Cada da d# Otra especificar
Evaluación de la con$i&uración del sistema de cómputo
13 )c/eni"ue Garca0 Op. Cit.0 p!. 182.
30
-os objetivos son evaluar la confi!uración actual0 tomando en consideración las aplicaciones y el nivel de uso del sistema0 evaluar el !rado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalación y revisar las Ppolticas se!uidas por la unidad de información en la conservación de su pro!ramoteca.J1# -a confi!uración del sistema de cómputo se refiere a la selección entre diferentes tipos de datos establecidos para obtener un sistema informtico personaliado y efectivo. )sta sección utilia las si!uientes orientaciones para ejecutar este tipo de evaluación4 6
)valuar posibles cambios en el /ard
computadora0
unidades perif9ricas0 redes0 sistemas de
comunicación con la car!a de trabajo actual0 o de comparar la capacidad 6
instalada con los planes de desarrollo a mediano y lar!o plaos. )valuar las posibilidades de modificar el e"uipo para reducir el costo o bien
6
el tiempo de proceso )valuar la utiliación de los diferentes dispositivos perif9ricos.
)l si!uiente cuestionario muestra cómo /acer este tipo de evaluaciones4 C'E()IO*+,IO P+,+ E?+6'+, 6+ CO*IG',+CIO* -E6 EF'IPO -E CO0P')O 1
)l sistema de cómputo tiene capacidad de redF
(I
*O
5
>e utilia la capacidad de redF
(I
*O
:
;
)specificar "u9 sistema de comunicación se tiene. MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM Cuntas terminales0 computadoras personales0 perif9ricas0 se tienen conectadas al sistema de cómputoF
14 )c/eni"ue Garca0 Op. Cit.0 p!. 183=184
31
CantidadMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM &ipoMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
<
= A
(I
*O
(I
*O
a# &ama5o m;imo de pro!ramas
(I
*O
b# Bumero de arc/ivos
(I
*O
c# &ama5o m;imo para cada arc/ivo
(I
*O
d# Bivel de acceso
(I
*O
>e /a investi!ado si el tiempo de respuesta satisface a los usuariosF
)l almacenamiento m;imo del sistema de cómputo es suficiente para atender el proceso por lotes y en lneaF Indi"ue si e;isten polticas para aplicaciones soportadas en red4
1.;.
Productividad
>e puede formular pre!untas para evaluar la eficiencia con "ue opera el rea de captación y producción como son4 se tiene una pro!ramación de mantenimiento previo0 se revisa el cumplimento de los pro!ramas de producción establecidas y si e;isten ndices de error aceptables para cada tipo de trabajo. )sta sección se encar!a de evaluar la eficiencia con "ue opera el rea de capacitación y operación. )l objetivo es evaluar la eficiencia con "ue opera el rea de captación y producción.
C'E()IO*+,IO P+,+ E?+6'+, 6+ EICIE*CI+ CO* F'E OPE,+ E6 +,E+ -E C+P)+CIO* / P,O-'CCIO* 1. ?erifi"ue "ue se cuente con una descripción completa de los trabajos "ue se corren y la
32 descripción de las caractersticas de car!a. 2. ?erifi"ue la e;istencia de un pronóstico de car!as o trabajos "ue se efectuarn durante el a5o0 con el objeto de "ue se prevean los picos en las car!as de trabajo y se puedan distribuir adecuadamente estas car!as. 3. >e tiene un pro!rama de trabajo diarioF >emanalF )n el a5oF >I BO #. )n caso de "ue no se ten!a la pro!ramación diaria0 cómo se realia la producciónF MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM %. ?erifi"ue "ue se contemplen dentro de los planes de producción periodos de mantenimiento preventivo. '. ?erifi"ue "ue se dispon!a de espacio y tiempo para re corridas especiales0 corridas de prueba de sistemas en desarrollo y corridas "ue deben repetirse. 7. ?erifi"ue "ue se ten!an definidos el espacio y tiempo para el respaldo de la información. D. 3(e tiene una pro&ramación del mantenimiento previo4 (I *O $. >e contempla dentro del plan tiempo para realiar corridas de pruebaF >I BO 1. 3(e tiene un plan de$inido de respaldo de la in$ormación4 (I *O 11 >e revisa el cumplimiento de los pro!ramas de producción establecidasF >I BO 120 ?erifi"ue "ue se ten!a conocimiento de los pró;imos sistemas "ue entrarn en producción0 con el objeto de "ue se les pro!rame su incorporación. >I BO 13. Hui9n revisa estos planesF MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM 1#. >e cumplen !eneralmente estos planesF si n o0 e;pli"ue por "u9 >I BO 1<. 3(e repiten con $recuencia corridas por anomalías4 (I *O 1'. Indi"ue los estndares de producción "ue se tienen en la dirección de informtica. • • •
+or tipo de e"uipo. +or formato de captación. +or formato y e"uipo de captación.
1A. 3E@isten índices de error aceptables para cada tipo de trabajo4 (I *O 1D. 3Cuándo $ue la Bltima revisión de esos estándares4 (I *O 1$. )l personal de captación conoce esos estndaresF >I BO
33 2(. Indi"ue los medios utiliados para medir la eficiencia de los operadores de captación4 • • • • •
)stadsticas mensuales de producción por trabajo y por operador. )stadsticas mensuales de error por trabajo y por operador. )stadsticas mensuales de producción por trabajo. )stadsticas mensuales de error por trabajo. )stadsticas de producción por trabajo y operador por /ora.
21. Indi"ue "u9 medidas se toman cuando el rendimiento para un trabajo est abajo del estndar4 • • • • •
>e analia el documento fuente con objeto de redise5arlo. >e revisan los instructivos de captación se imparten plticas. >e consulta a los operadores sobre los problemas observados con el trabajo. >e capacitan a los operadores sobre el manejo del e"uipo. >e imparten pollitas sobre el trabajo.
OtrosMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
55. 3(e tienen incentivos para el personal que ten&a un rendimiento superior al estándar4 (I *O 5:. 3Cada cuándo se imparten cursos de capacitación sobre la operación del equipo4 (I *O 5;. 3(e re&istran los tiempos de respuesta a las solicitudes4 (I
*O
2%. Cul es el tiempo de respuesta promedioF MMMMMMMMMMMM/rs.
1.;.1. Puntos a evaluar en los equipos )l e"uipo "ue se ad"uiere dentro de una or!aniación debe de cumplir con el es"uema de ad"uisición de toda la or!aniación. )n lo posible0 se deben tener e"uipos estndares dentro de la or!aniación0 a menos "ue por re"uerimientos especficos se necesite un e"uipo con caractersticas distintas. )sto no implica "ue los e"uipos ten!an "ue ser del mismo proveedor0 aun"ue si deben tener la misma filosofa. -as compras por impulso u oportunistas pueden provocar "ue se
34
ten!an diferentes e"uipos0 modelos estructuras y filosofas. )sto puede provocar problemas por falta de compatibilidad0 e;pansión y de confiana. >i no se tiene polticas y estndares de compra de e"uipo de cómputo0 cada departamento o empleado puede decidir el ad"uirir diferentes e"uipos. >e deber evaluar la ventaja de ad"uirir lio Altimo en tecnolo!a contra el costo "ue esto representa0 as como el tener e"uipos muy baratos pero con baja confiana en el proveedor.
,enta2 renta con opción a compra o compra )l soft
Hui9n participar en el comit9F Cómo se determinar el proveedor del e"uipoF
?entajas H ,enta 6 Compromiso a corto plao. 6 *enor ries!o de obsolencia. 6 Bo re"uiere de inversión inicial. H
,enta con opción de compra 6 *enor ries!o de obsolencia. 6 Bo re"uiere de inversión inicial. 6 >e puede ejercer la opción de compra. 6 -os pa!os normalmente incluyen servicios. 6 *enor costo "ue renta.
H Compra 6 >e puede tener valor de recuperación. 6 Bormalmente es menor su costo "ue el de compra a lar!o plao. -esventajas H
,enta 6 *s caro "ue compra o renta con opción a compra. 6 )l e"uipo puede ser usado. 6 :l!unos vendedores no lo rentan.
35
H
,enta con opción de compra 6 )s ms caro "ue compra. 6 Bo tiene valor de recuperación para el comprador.
H
Compra 6 ,e"uiere inversión inicial o de pr9stamo. 6 :marra al comprador a su decisión.
Centraliación vs descentraliación )l auditor deber evaluar a la or!aniación y la justificación "ue se tiene para "ue en una determinada or!aniación se ten!an e"uipos de formas centraliadas y descentraliadas.
Centraliación H
?entajas 6 )conoma de escala 6 Control de los !astos de informtica 6 acceso a !randes capacidades. 6 >e!uridad0 control y protección de datos. 6 :cceso mAltiple a datos comunes.
H -esventajas 6 Dalta de control de los usuarios sobre el desarrollo y operación de los sistemas. 6 -a responsabilidad del desarrollo de los proyectos est limitada a un selecto personal.
-escentraliación de procesamiento de datos H
?entajas 6 *ayor responsabilidad ante la necesidad de los usuarios. 6 :cceso inmediato a las bases de datos descentraliadas 6 ,educción de los costos de telecomunicación. 6 :utonoma local y control por parte de los usuarios.
H 6 6 6
-esventajas +osibilidad de incompatibilidad de datos0 e"uipos y soft
15 )c/eni"ue Garca0 Op. Cit.0 p!. 189
36
Capítulo II Ejercicio Práctico Planeamiento del caso sted /a sido contratado recientemente en una firma de auditora0 y se le /a solicitado continuar el trabajo de un compa5ero0 "ue de ur!encia tuvo "ue salir del pas. +ara tales efectos0 se le entre!an los papeles de trabajo en "ue se sustentan las anotaciones de las observaciones "ue su cole!a pudo /acer. )ntre los documentos0 usted encuentra una /oja "ue0 bajo el ttulo de /alla!os0 enumera las si!uientes situaciones4 a)n inspección fsica realiada se observo "ue un 27 de los e;tin!uidores de incendio no /aban sido revisados durante los Altimos dos a5os. b:l visitar la sala de cómputo0 se vio "ue personal no autoriado in!reso al rea del computador sin "ue se /iciera anotación al!una ni se tomara otra acción. c>obre el c/asis del computador central se observo un envase de refresco !aseoso con un poco de li"uido d@urante la /ora de almuero0 al!unos pro!ramadores0 toman sus alimentos junto a su estación de trabajo.
37
@ado "ue todas las observaciones estn suficientemente sustentadas en documentación0 se le solicita preparar un documento en el cual especifi"ue cuales son las normas "ue se violen se!An cada /alla!o y recomiende una solución para cada problema. &ambi9n en esta misma empresa se /a presentado un problema con el personal0 "ue reclama al!unos ajustes salariales0 ya "ue empleados "ue ocupan el mismo puesto en dic/a empresa se /an dado cuenta de "ue al!unos compa5eros tienen in!resos superiores a los suyos. -ue!o de investi!ar la fuente del problema0 se lo!ró determinar "ue uno de los empleados de la empresa reco!ió de un basurero un borrador de la planilla0 y al observar diferencias importantes de salario respecto a empleados del mismo puesto0 decidió reunir a todos los afectados e iniciar un movimiento de protesta. : usted0 en su condición de auditor0 se le solicita revisar el ambiente alrededor de la situación para establecer las acciones por tomar en el futuro para evitar "ue una situación similar se presente. @ebe analiar la causa del problema y plantear los procedimientos de control "ue limiten la posibilidad de "ue suceda al!o parecido con este o al!An otro sistema.
(olución 1 *ormas que se violan 6 6
)l personal debe respetar las areas de acceso restrin!ido Bo est permitido in!resar al rea de cómputo nin!An tipo de bebidas o
6
alimentos para evitar accidentes ries!osos. )l personal encar!ado de la se!uridad del centro0 debe realiar un c/e"ueo mensual de los objetos "ue sern necesarios en caso de incendios o cual"uier siniestro "ue pudiera ocurrir
38
alla&os a
)n inspección fsica realiada se observó "ue un 27 de los e;tin!uidores de incendio no /aban sido revisados durante los Altimos dos a5os. 6
:c se viola la re!la sobre el bienestar de cada persona0 debido a "ue si ocurriera un incendio no /ay se!uridad de "ue estos
6
e;tin!uidores por falta de revisión funcionen adecuadamente. >e recomienda "ue se /a!a una pro!ramación y se le asi!ne el trabajo de revisar los e;tin!uidores a una persona responsable y dedicada a su trabajo.
b
:l visitar la sala de cómputo0 se vio "ue personal no autoriado in!reso al rea del computador sin "ue se /iciera anotación al!una ni se tomara otra acción. 6
Bo se cumple con la re!la de solo darle acceso a la información a un pe"ue5o porcentaje del personal el cual
6
debe encontrarse autoriado por la !erencia. >e debe de /acer una reunión con todo el personal del rea de computo donde se estipule "uienes son las personas "ue tienen permitido el acceso y sancionar a las personas "ue no cumplan con esto0 adems de tener un control de las personas "ue entran y salen para evitar filtraciones de información.
c
>obre el c/asis del computador central se observó un envase de
d
refresco !aseoso con un poco de l"uido. @urante la /ora de almuero0 al!unos pro!ramadores0 toman sus alimentos junto a su estación de trabajo. 6
Bo se permite introducir alimentos0 tales como refrescos0 para
6
impedir "ue puedan derramarse sobre las ma"uinas. >e recomienda llamarle la atención a "uienes no cumplan con este re"uisito al momento de estar dentro del rea de trabajo.
39
Controles Implementar controles "ue permitan cumplir a las polticas y procedimientos asi!nados a cada rea0 se recomienda lo si!uiente4 6
-a empresa debe contar con un centro ms moderno0 el cual consiste "ue el personal pueda in!resar al centro donde su Anica llave para entrar ser su /uella di!ital. @e esta manera se evitara "ue personal no autoriado ten!a acceso a dic/o centro0 en la inversión se!uramente ser un poco elevado pero la información estar debidamente
6
res!uardada. Implementar cmaras de se!uridad en puntos claves para monitorear al personal0 y de esta manera poder sancionar a "uienes violen las normas
6
establecidas por la or!aniación. Capacitar al personal de encar!ado de la se!uridad mnimo dos veces al a5o para "ue obten!an conocimiento de cómo reaccionar ante un suceso0 "ue objetos se deben tener en acceso inmediato para cual"uier siniestro "ue pudiera ocurrir en la or!aniación y el mantenimiento "ue se les debe dar para "ue se encuentren en buenas condiciones.
(olución 5 Causa )l manejo de las cifras est siendo ejecutado por personal irresponsable y descuidado0 ya "ue esa información debe ser muy propia de la administración y el personal "ue ten!a acceso a ella debe estar autoriado y la debe manejar de una manera profesional y discreta.
Controles -os procedimientos de control a realiar para evitar "ue surjan este tipo de problemas son los si!uientes4
40
6
Obtener información fsica solamente cuando ya est9 lista para presentarla0
6
de lo contrario no /acerlo. -os documentos inservibles no pueden salir de la oficina a menos "ue ya vayan triturados0 de esta manera se evitara "ue información confidencial lle!ue a manos de las personas incorrectas.
Conclusiones
41
a )l auditor debe verificar "ue la empresa cuente con !uas adecuadas para la preparación de datos0 "ue indi"uen con claridad cules son las acciones "ue debe ejecutar un empleado con cada elemento de información. b >e obtendr un trabajo efica si la distribución fsica del e"uipo se /ace correctamente0 los usuarios podrn satisfacer sus necesidades para trabajar de la mejor manera posible y obtener buenos resultados. c +ara el control de almacenamientos0 una dirección de informtica bien administrada debe tener perfectamente prote!idos estos dispositivos de almacenamientos0 adems de mantener re!istros sistemticos de la utiliación de estos arc/ivos0 e;isten bsicamente tres tipos de contratos de mantenimiento. )l contrato de mantenimiento total0 por llamada y de banco0 al evaluar el mantenimiento debemos primero analiar cul de los tres tiempos es el "ue ms nos conviene. Cuando se evalAa la capacidad de los e"uipos0 no se debe olvidar evaluar "ue la capacidad bruta disponible se deber disminuir por las actividades de mantenimiento preventivo0 fallas internas y e;ternas no previstas0 y mantenimientos e instalación de nuevos sistemas. d &ener diferentes plataformas de pro!ramación0 sistemas operativos0 bases de datos0 e"uipos de comunicación y len!uajes propietarios0 provoca "ue se incremente los costos0 "ue se /a!a ms problemtico el mantenimiento0 "ue se re"uiera personal con diferente preparación t9cnica0 y "ue se necesiten diferentes pro!ramas de capacitación
,ecomendaciones
42
a -a auditora
en su función debe contemplar el manejo de los diferentes
elementos "ue componen fundamentalmente la información0 considerando todos los aspectos relacionados a su manejo0 desde la obtención /asta su uso y ms all durante el almacenamiento /istórico "ue se ejecute de los datos b# >e debern realiar mantenimiento a los e"uipos y /acer supervisiones a los trabajadores para as medir su rendimiento en el rea "ue cada uno se desempe5e. c# Hue el Contador +Ablico y :uditor ad"uiera las /erramientas competentes para poder llevar con objetividad la evaluación de almacenamientos y utiliar las /erramientas adecuadas para poder lo!rar una se!uridad raonable d# >e deben tener e"uipos estndares0 para "ue no e;ista diferente e"uipo "ue puedan provocar problemas por falta de compatibilidad y otros. -a tecnolo!a debera de ju!ar un papel fundamental en el esfuero necesario para aumentar la productividad en la or!aniación.
6iteratura Citada y Consultada