DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
Auditoria computacional
1. República Bolivariana de Venezuela
M. P. P. para la Educación Universitaria, Ciencia y Tecnología
Universidad “Rómulo Gallegos”
Área de Ciencias Económicas y Sociales
Participantes:
Br. Becerra Paola C.I. Nº 24.199.330
Br. Contreras Ana C.I. Nº 17.272.192
Br. Esaá Iris C.I. Nº 11.683.919
Br. Fernández María C.I. Nº 21.370.496
Br. Then Héctor C.I. Nº 21.254.756
Contaduría Pública
4to. Año / Sección: T1
Profesora: Maholi Campos
San Juan de los Morros, Octubre 2016
3. INTRODUCCIÓN
El objetivo del presente trabajo es dar a conocer un poco más sobre que trata la
auditoría y sus diversos enfoques, como se le suele llamar a esta herramienta.
Con la aparición de la computadora se inició un cambio en el trabajo de los auditores.
La dificultad se daba en que era un elemento desconocido hasta entonces, gobernado por
programas realizados con complicados lenguajes, y con poca documentación, que se
imponía como un componente más a estudiar en el trabajo o la información.
La idea de que el riesgo era menor que el existente venía de que la computadora era
confiable, sin considerar que la máquina ejecuta programas según las estrictas instrucciones
proporcionadas por los programadores y que es controlada por operadores, tratándose en
ambos casos de personas con absoluta confianza.
A raíz de la gran cantidad de problemas que surgían, aparece una nueva postura que
consiste en minimizar el riesgo de esos desastres, en hacerlos menos probables y en
disminuir su impacto sobre la empresa en caso de que se produzca.
La función de la auditoría debe ser prestar especial atención a lo que ocurre en el
desarrollo y explotación de sistemas computarizados, aplicando en algunos casos técnicas
tan clásicas como verificar la adecuada separación de funciones y responsabilidades así
como la adecuada implantación de controles que permitan detectar rápidamente un fraude o
error y tomar las medidas apropiadas para subsanarlo. En la actualidad se considera al
departamento de computación como un servicio más, sometido a los mismos controles de
eficacia y beneficios, que los restantes de la empresa.
La auditoría es una práctica que se lleva cabo desde hace muchos años, pero muy
poco se ha hablado de la misma. Recientemente el tema se ha dado a conocer en el
mercado, debido a que en nuestro país se ha implantado en el mundo de los negocios. Esta
modalidad se ha hecho cada vez más atractiva para los empresarios debido a que estos se
enfrentaban a un esquema laboral que mermaba las utilidades de sus empresas.
4. AUDITORÍA COMPUTACIONAL O INFORMATIZADA
Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas prácticas
dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y
disponibilidad de la información tratada y almacenada a través del computador y equipos
afines, así como de la eficiencia, eficacia y economía con que la administración de un ente
están manejando dicha información y todos los recursos físicos y humanos asociados para
su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento.
Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas
de auditoría de general aceptación y conocimiento técnico específico.
Funciones.-
Existen tres grupos de funciones a realizar por el auditor computacional:
1. Participar en las revisiones durante y después del diseño, realización, implantación
y explotación de aplicaciones computacionales, así como las fases análogas de realización
de cambios importantes.
2. Revisar y juzgar los controles implantados en los sistemas computacionales para
verificar que se adecuen a las órdenes e instrucciones de la dirección, requerimientos
legales, protección confidencial y cobertura ante errores y fraudes.
3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de equipos e
información.
Se hace notar que las cifras no indican la importancia relativa de las tareas, sino los
consumos de esfuerzos que implican. La auditoria de un sistema computarizado debe
abordar el análisis y revisión no solo en el ambiente del departamento sino que ha de
estudiar los sistemas desde que se originan los datos de entrada, en los departamentos
usuarios, hasta que se reciba la información de salida.
El auditor computacional debe realizar parte de sus tareas sobre procesos y circuitos
fuera del departamento de computación.
Objetivo.-
5. Esta es de vital importancia para el buen desempeño de los sistemas de información,
ya que proporciona los controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de
información, hardware y software.
Alcance.-
Ha de definir con precisión el entorno y los límites en que va a desarrollarse la
auditoria computarizada, se complementa con los objetivos de ésta.
El alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales
materias fronterizas han sido omitidas.
Ejemplo: ¿Se someterán los registros grabados a un control de integridad
exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y
suficientes?
La definición de los alcances de la auditoria compromete el éxito de la misma.
Metodología.-
Definición de ámbito y objetivos
Consiste en una serie de reuniones o entrevistas con el que solicita la realización la auditoria o
si se tratara de implantar la función de la auditoria computacional, con la persona o empresa a quien
le interesa y se le prepara un documento en que figuraran las alternativas siguientes:
1. Desarrollo de la totalidad de la función de auditoría en la empresa, revisando incluso la
utilidad para los usuarios finales, por medio de muestreos, entrevistas o análisis agotables.
2. Auditoria exclusiva por departamentos.
3. Auditoria de algún subsistema o aplicación, como pudiera ser del parque de computadoras,
su adecuación, utilización, eficacia, etc.
4 Auditoria de alguna función en particular como, por ejemplo, de las medidas de seguridad y
privacidad.
5. Auditoria de la metodología de análisis y desarrollo de sistemas computarizados.
6. Se ha de tener un acuerdo formal sobre objetivos y ámbitos de trabajo escritos en un
documento de especificaciones, firmado y validado.
En cuanto a los objetivos pueden consistir en:
1. Mejorar costos, plazos o calidad.
2. Aumentar la seguridad o la finalidad.
3. Evaluar el funcionamiento de una organización.
Estos objetivos posibles afectan a:
1. Funciones administrativas: organización y personal, planeación, análisis de costos y
confiabilidad, de desarrollo de procedimientos administrativos, asuntos legales.
2. Función de desarrollo de sistemas: desarrollo en sí y mantenimiento.
3. Función de operación: operación en sí, control de entrada y salida, soporte técnico, etc.
4. Servicios exteriores: servicios suministrados y servicios recibidos.
5. Soporte de la propia auditoria: organización, planeación y formación.
Estudio inicial
Deberá realizar un estudio global que permita conocer volúmenes y complejidad de las
tareas a realizar.
El trabajo se realiza a través de entrevistas, cuestionarios y, posiblemente, muestreos
para obtener una idea de la dimensión y complejidad del ámbito de estudio, lo que permitirá
estimar esfuerzos.
Determinación de perfiles
Perfiles técnicos precisos de las personas que habrán de colaborar en la realización
de la auditoria. Fundamentalmente se tratara de:
1. Expertos en comunicación.
2. Expertos en base de datos.
3. Expertos en configuración de hardware; adecuación y medidas de eficacia y
rendimiento.
4. Expertos en organización y realización del trabajo administrativo.
5. Técnicos computacionales en general.
7. Del mismo modo se estimarán los recursos materiales necesarios en cuanto a:
1. Software
a) Paquetes de auditoria
b) Compiladores
c) Lenguajes
d) Monitores
e) Informes contables
2. Hardware
a) Tiempo de computadora
b) Equipos específicos
Elaboración de planes
Se llevará a cabo la elaboración de un plan, en el que se indicará:
1. Listas de actividades a realizar, estructurada según su secuencia lógica, así como
perfiles de las personas para ejecutarlas e inventarios de medios necesarios.
2. Esfuerzos estimados para cada actividad por cada recurso preciso.
3. Se deben basar en lo siguiente para la realización de la auditoria:
a) Personal técnico y administrativo.
b) Software (equipo, tiempo de máquina)
c) Presupuesto inicial
d) Contenido (aspectos) de los informes finales
e) Boceto
El plan se discute con los que necesitan de la auditoria hasta obtener un acuerdo
provisional sobre todo de los cuatro últimos apartados.
Elaboración de programas
Un plan se convierte en programa cuando las actividades pasan de estar asignadas a
recurso tipo (perfiles) a ser asignadas a recursos concretos (personas u organizaciones), con
fechas de iniciación y terminación previstas para la realización.
Como resultado de esta etapa se obtendrá: el programa, el calendario y el
presupuesto.
8. Realización de las actividades
Se puede comenzar la realización de la auditoria, teniendo en cuenta que puede
abordarse:
1. Por temas o funciones. Por ejemplo, realizando en primer lugar todos los trabajos
relacionados con seguridad; en segundo lugar, todos los relacionados con estructura, etc.
2. Por organizaciones auditadas, por ejemplo, se hace el estudio completo de la
sección “x” y luego de la sección “y” etc.
En el primer caso la realización de las actividades se lleva más tiempo, pero se
obtiene un trabajo de más calidad. Si se opta por escoger la segunda alternativa se ahorra
tiempo, las actividades se pueden realizar más rápidamente, pero se obtiene un trabajo de
menos calidad.
Elaboración del informe final
En cada fase del trabajo se entregan borradores de los informes, a las personas
implicadas, ya que puede haber existido algún error de apreciación, que en la crítica y
validación del borrador, debería detectarse.
A partir de una sistematización de estos informes parciales, se obtiene el informe final
cuyo contenido consistirá en:
1. Presentación
2. Definición de ámbitos y objetivos.
3. Enumeración de temas, componentes, aplicaciones, etc., considerados.
4. Análisis
Situación prevista
Situación real
Tendencias
Puntos débiles y amenazas que suponen
Puntos fuertes y oportunidades
5. Recomendaciones
Descripción
Plan de implantación
Beneficios
Plan de seguimiento y control
9. Reglas básicas en la realización de una auditoria
1. Fomentar la cooperación de los elementos auditados. Normalmente se suele
adoptar una actitud defensiva ante el auditor, ya que se piensa que este busca culpables.
Para evitar esa situación, o incluso que se llegue a un rompimiento de relaciones del auditor
con la empresa, es preciso convencer a todos los implicados de que el auditor solo busca
mejoras y soluciones.
2. Contar con el apoyo de la dirección, ya que se deberán realizar entrevistas y
solicitar documentación y posiblemente trabajos de los elementos auditados.
3. Cuidar aspectos protocolarios; Explicar al jefe de una unidad que es lo que se
desea obtener en una entrevista con un subordinado suyo; establecer una diferencia clara
entre los jefes y los empleados.
4. Realizar una presentación o entrevista inicial en que se explique el objetivo, su
justificación y se aclaren dudas.
5. Solicitar con la antelación precisa la información inicial a obtener. Es decir, solicitar
la información precisa antes de comenzar los trabajos (manuales de normas, etc.)
6. No adelantar resultados parciales sobre un área o función determinadas; Las
visiones o análisis parciales pueden impresiones falsas y además ser erróneas.
7. Comentar con los interesados los resultados obtenidos antes de presentarlos a
niveles superiores.
Evidentemente, en caso de que se investiguen posibles fraudes o irregularidades, la
estrategia es distinta, debiendo cuidar que se realicen y preparen los trabajos pertinentes con
el mayor cuidado posible.
1. No emitir juicios que no estén sólidamente basado.
2. El auditor observa, juzga, recomienda. Al ser un personaje independiente de la
función o elemento auditado, no es responsable. Ni realizador, ni usuario.
Técnicas y herramientas
Las técnicas utilizadas son las habituales de la auditoria: muestreo, revisión,
entrevista, prueba y simulación.
10. Las herramientas utilizadas se pueden mencionar: cuestionarios, estándares,
simuladores, paquetes de auditoría, matrices de riesgo y monitores.
Simuladores: Para ayudas en el diseño de redes de comunicaciones, por
ejemplo, se pueden usar productos que simulan y predicen el comportamiento de una
configuración ante un suceso determinado, indicando capacidad de proceso, cuellos de
botella, etc. O bien que rastrean el comportamiento de un elemento de una situación real.
Paquetes de auditoría: Son herramientas comúnmente usadas por personas que
realizan auditoria por medio de la computadora. Son programas o conjuntos de programas
que permiten de forma sencilla y de pequeño formato, generar programas que realizan
funciones típicas de muestreo al azar, según otros criterios, selección de información que
cumplan determinados requisitos, estudios estadísticos, edición de información, etc.
Estos paquetes permiten un ahorro considerable de necesidad de información
computacional por parte del auditor, así como una elevada velocidad de realización de los
programas precisos.
Monitores: Se trata de software, hardware, o combinación de ambos, que miden
el comportamiento de un sistema o sus componentes, en una situación e instante real, se
diferencian de los simuladores en que estos predicen o infieren el comportamiento de un
elemento, mientras que los monitores sólo miden, no provocan o simulando determinadas
situaciones.
Matrices de riesgo: También llamadas de amenazas, son las herramientas
utilizadas para analizar riesgo y establecer medidas de cobertura. Se define la exposición a
un suceso como la probabilidad de que se produzca ese suceso, mientras que el riesgo de
un suceso viene determinando como el producto de la exposición por el costo del suceso.
Es importante calcular el riesgo de una instalación o un sistema ante un suceso
determinado ya que el análisis del conjunto de los riesgos se deriva de la definición de
prioridades y recursos que deben dedicarse a cubrirlos.
El auditor y su equipo de colaboradores deben actuar con responsabilidad,
idoneidad y corrección, reflejar las normas más elevadas de moralidad, honradez y dignidad;
ser disciplinados y mantener absoluta confidencialidad sobre los sistemas e información
11. examinada y los papeles de trabajo, más allá de las actuaciones que deriven del
cumplimiento de sus funciones y de la normativa vigente.
En todo momento, el auditor debe ejercer la función de asesoramiento a los
funcionarios y cuentadantes, a través del fiscal que tenga asignado el control del ente
respectivo, sin perjuicio de proponer que el tribunal de cuentas adopte las medidas
necesarias para prevenir corregir cualquier irregularidad.
El auditor es responsable de la elección cuidadosa de los procedimientos de
auditoría precisando su alcance y oportunidad, así como de la efectiva aplicación de lo
programado. En particular no debe omitir procedimiento alguno que le permita obtener
evidencias, teniendo presente los objetivos y metas fijados en cada caso.
En la ejecución de las auditorías deben priorizarse los aspectos de fondo,
relacionados con la integridad del patrimonio público y la eficiencia administrativa, teniendo
presente además que el principio de legalidad (cumplimiento de las normas vigentes) es
esencial en la administración pública.
En los casos que sean posibles, de acuerdo con la naturaleza del objeto del
examen, el auditor puede aplicar procedimientos sobre bases selectivas. Para ello debe
apoyarse en los resultados de la evaluación del control interno de los entes respectivos.
A través del desarrollo de la tarea, el auditor debe obtener elementos de juicio,
para la toma de decisiones oportuna.
AUDITORÍA DE LA PLANIFICACIÓN
Ámbito de actuación
El ámbito de actuación de la auditoria es bastante amplio. Puede actuar sobre:
1. La función la planificación.
2. La construcción o desarrollo de sistemas.
3. La organización y la administración.
4. El entorno operativo.
5. La explotación.
12. 6. La gestión.
Auditoria de la función de planificación
Bajo el término planificación se engloban dos actividades relacionadas aunque
diferentes: la actividad de diseñar planes y la de ejecutar las tareas según los planes
previstos.
En un departamento de computación los planes deben referirse a objetivos,
actividades, plazos, costos y recursos.
Deben existir los mecanismos precisos (normas, procedimientos, órganos de
planificación, seguimiento y control), que aseguren la existencia, adecuación y cumplimiento
de planes, controles, administración y medidas de gestión.
Problemas asociados a la función de planificación
Aplicaciones inconexas: La implantación de la computación en una empresa se
produce normalmente para solucionar un problema muy concreto y local, que consiste en
aglutinar en un solo departamento la gestión de stock, el proceso de capitalización y el
control de cuentas de clientes.
A medida que se va verificando la utilidad de la computación, se amplía su uso a otros
departamentos, pero en cada caso se contemplan soluciones concretas con un desarrollo de
software específico para cada problema operacional.
Información redundante, incoherente e inconexa: Hemos de considerar que los
productos computarizados deben adecuarse a la estructura de la información empresarial.
La misión de desarrollo de sistemas es lograr un sistema integrado por subsistemas o
aplicaciones interconectadas con software común y datos comunes, de redundancias
controladas y coherentes. Este sistema integrado no se puede lograr sin los planes
adecuados.
Parque computarizado problemático: La política de adquisición (compra, alquiler,
leasing) de equipos computarizados a veces no está definida y planeada, y las
responsabilidades en este sentido se hallan dispersas. Con ello se logra tener en una misma
instalación elementos hardware y software incompatibles, e incluso en franca competencia.
13. Rumbo indeterminado del departamento: La inexistencia o incumplimiento de
planes provoca la existencia de instalaciones donde se realizan muchos anteproyectos, se
empiezan menos proyectos, se determinan menos y muy pocos se usan o sirven para algo.
Desconexión del departamento con la realidad de la empresa: Evidentemente,
los planes de mayor nivel del departamento son aprobados y controlados por la dirección de
la empresa. Ello produce un deseable contraste del mundo computarizado con la empresa,
con adecuación de aquel a las necesidades y objetivos de esta.
Objetivos inexistentes, desconocidos o mal formulado: Los objetivos deben ser
claros y medibles. Suelen encontrarse definiciones de objetivos que no son tal sino
enumeraciones de medios. Por ejemplo, mecanizar un servicio no es un objetivo. Un objetivo
puede ser bajar en un 20% los costos de ese servicio.
Niveles de planificación
Existen diversas terminologías para definir los niveles y alcances de planes, en función
de su contenido y alcance. Se adopta la siguiente clasificación en tres niveles:
Planificación estratégica (alto nivel): El plan estratégico define las misiones,
objetivos y políticas, que se contempla a largo plazo (cinco años) y su ámbito abarca el
sistema de información (toda la empresa). Como ejemplo de objetivos pueden citarse:
a) Tiempo medio de servicio a un cliente inferior a un minuto.
b) Tiempo de servicio a un cliente inferior a dos minutos en el 95 % de los casos
c) Costo por operación inferior a 25 unidades monetarias.
d) Incrementar el margen de intermediación un 15%
e) Aumentar el pasivo en un 25%
Como ejemplos de políticas se pueden citar:
a) Descentralizar los equipos y desarrollo de software.
b) Promover el uso de máquinas de autoservicio.
c) Frenar el incremento de la plantilla de personal.
Planificación táctica (medio nivel). Dispone en forma adecuada los recursos
disponibles para cumplir las misiones y alcanzar los objetivos fijados dentro de las políticas
14. determinadas. Tiene una duración de uno a dos años, se refiere a proyectos que son parte
de la empresa.
a) ¿Menos clientes, más rentables?
b) ¿Racionalizar diseño en plantas de oficinas?
c) ¿Más oficinas?
d) ¿Más clientes?
e) ¿Mecanizar operaciones a, b, c?
f) ¿Teleproceso?
Planificación operacional (bajo nivel): Es un desglose de mayor nivel de detalle
del plan táctico. Sus características son análogas a las de este en cuanto a la definición de
su contenido. Este a corto plazo y se refiere a subproyectos o a fases de los mismos.
Como ejemplo del plan operacional:
a) Realizar curso "X” para los puestos “Y, Z” de trabajo.
b) Realizar el programa P: Programación, pruebas.
Plan estratégico de sistemas
El plan estratégico de sistemas se conoce también con los nombres de plan
computación, plan de sistemas o plan a largo plazo.
Sus características son:
Duración de 4 a 5 años, ya que dada la evolución del mercado es poco práctico y
realista hacer planes a más largo plazo.
Realización y responsabilidad del plan corresponde a la dirección del departamento,
empleándose para ello los asesores internos o externos que se precisen.
Debe estar enmarcado en los planes de la empresa y ser coherente con ellos.
Además requiere ser revisado y aprobado por las áreas del negocio y la dirección de la
empresa.
La información de que se nutre está formada por:
1. Planes de la empresa.
2. Directrices que le han sido fijadas.
3. Información del entorno técnico, del mercado y la competencia.
15. 4. Información procedente de órganos usuarios.
5. Información procedente de intercambio de experiencia con otros centros
similares.
Después de revisarse y aprobarse, debe ser publicado en los ámbitos de difusión
pertinentes de la empresa, con objeto de que sea conocido por quienes deban usarlo. Su
revisión y corrección (o confirmación) se realiza cada 6 o a lo sumo 12 meses, o en cualquier
momento en caso de presentarse desviaciones de importancia de las hipótesis, previsiones o
desarrollos de plan.
Podrá usarse como marco de referencia para todos los trabajos del departamento:
Desarrollo de sistemas, adquisición de equipo o software básico, comunicaciones, etc.
Contenido del plan estratégico de sistemas
El plan debe formularse de acuerdo a una serie de premisas, puntos de partida y
previsiones (hipótesis), sobre el cumplimiento en las cuales se basa. Un modelo de contenido
puede ser el siguiente:
1. Situación actual. En esta etapa se analiza el punto de partida, definiendo no solo la
situación del departamento sino, sobre todo, teniendo en cuenta el alcance del plan, la de la
empresa, y la de la competencia. La existencia de productos tecnológicos (hardware,
software, facilidades de comunicación) determina también los posibles útiles en que se
puede apoyar el sistema de información mecanizado. Por otra parte se especifica la situación
(puntos débiles y fuertes) del propio departamento, para aprovechar en el futuro los puntos
fuertes (oportunidades) y corregir los débiles (amenazas).
2. Hipótesis: Se formulan unas previsiones sobre el comportamiento de la empresa
en cuanto a capacidad, necesidades, oferta y demanda, la tecnología, competencia, etc.,
Para el periodo de tiempo en que se deberá aplicar el plan. Se supone que se cumplirán
esas previsiones, en cuyo caso se deberán alcanzar los objetivos fijados. A lo largo de la vida
del plan deberán hacerse las revisiones precisas, sobre todo, si se detecta que alguna de las
previsiones no se cumple, en cuyo caso habrá que realizar las correcciones pertinentes al
plan.
16. 3. Políticas de empresa: Las impone la dirección de la misma, y consiste en
restricciones a las posibles variables de actuación para cumplir las misiones y alcanzar los
objetivos. Se trata de decisiones de alto nivel, como de descentralización o centralización del
proceso de datos, descentralización del desarrollo de software, autonomía o conexión a
grandes centros, líneas privadas o públicas de comunicación, modelo de centro usuario
computacional, estructura, personal, equipo, etc. Todas estas decisiones, se respetaran
durante largo tiempo, y usarse en todos los subsistemas a implantar, vienen fijadas por la
dirección.
4. Objetivos del departamento: Constituyen la parte fundamental del plan y
consisten en definir los objetivos claros y medibles que deben conseguir la función
computacional en la empresa.
Pueden resumirse en:
a) Calidad y cantidad del servicio.
b) Costo del servicio.
Es misión del auditor, entre otras, lograr que el profesional de la computación hable en
términos de costo y magnitudes medibles, en lugar de referirse a beneficios intangibles.
Como ejemplo de posibles objetivos pueden citarse:
a) Tiempo de respuesta a procesos en líneas.
b) Capacidad de proceso de trabajo y transacciones; tráficos.
c) Tasas de errores e indisponibilidad.
d) Costo de cada servicio.
e) Servicios mecanizados a implantar y correspondiente justificación económica.
f) Captación de mercado por medio de servicios a clientes.
5. Arquitectura del subsistema de información mecanizada: Indica el diseño
funcional global del subsistema a lograr. Es posible que a lo largo del plazo del plan no se
prevea obtener la totalidad del subsistema. En cualquier caso, ha de indicarse la arquitectura
total, aclarando que parte del mismo deberá realizarse a lo largo del periodo planificado. Se
deberá indicar que aplicaciones se realizarán, su impacto sobre áreas usuarias y la
interrelación entre ellas.
17. 6. Necesidades de seguridad, confidencialidad y control: La importancia de este
punto radica en el hecho de que, actualmente, la posesión de información de calidad
condiciona más que nunca el éxito de una empresa. Además, la capacidad de procesar los
elevados volúmenes de información que guardan las computadoras, y la posibilidad de
copiar, esa información a un bajo costo, hace preciso considerar la información como un
activo de la empresa, y equiparar la pérdida de confidencialidad o la destrucción de
información a pérdida de dinero. El fraude por medio de la computación puesto de relieve en
los medios de computación ha de preocupar lo suficiente como para que se adopten
adecuados sistemas de control de acceso a la información.
7. Arquitectura técnica: Una vez definido el modelo funcional, se deberá definir en
qué elementos de hardware y software se implantará ese modelo. En cuanto a hardware
habrá que considerar:
a) Equipos centrales: clase, cantidad y configuración
b) Equipos distribuidos: clase, cantidad y configuración
c) Redes de comunicaciones: volumen, clase y tipología
d) Maquinas para el incremento de la calidad y la productividad del propio
departamento.
Y en lo que se refiere a software:
a) Software básico.
b) Sistemas operativos.
c) Gestores de base de datos.
d) Gestores de comunicaciones.
e) Paquetes de aplicaciones.
f) Software para incrementar la calidad y productividad del propio departamento
g) Aplicaciones propias.
No se trata de definir marcas y modelos sino características y requisitos que han de
cumplir.
La selección de los mismos podrá hacerse posterior.
8. Necesidades de personal:
a) Cantidad de personas por cada perfil preciso.
18. b) Planes de formación.
c) Planes de contratación.
d) Manera de contactar con personas e instantes en que se deberá poder disponer de
ellas.
9. Riesgos y contingencias: Dado que en el análisis de la situación actual han
detectado puntos débiles, que en el futuro podrán convertirse en amenazas, y que el plan se
basa en el cumplimiento de unas previsiones, es posible, que desde el momento en que sé
este elaborando el plan se definirá una lista de posibles riesgos con el impacto que tendrían
sobre el mismo, y las medidas correctoras a adoptar en caso de que se presentara. En
definitiva, se tratarían en este punto de describir los posibles riesgos explicar cuales serian
sus síntomas, que elementos se verían afectados y cuales serian las acciones a ejecutar si
estos hechos se produjesen.
Revisión de la planificación
El auditor debe verificar:
1. Que existan documentos aprobados por los órganos competentes en que se reflejan
los tres niveles de planificación.
2. Que estén publicados y que sean conocidos por las personas dentro de sus ámbitos
de difusión.
3. Que sean realistas y armónicos con lo de la empresa.
4. Que existan las normas y procedimientos precisos para su confección, publicación y
mantenimiento.
5. Que esas normas y procedimientos sean adecuados y seguidas.
6. Que se revisen con la periodicidad adecuada, así como en caso de ocurrir algún
suceso que lo exigiera.
7. Que se incorpore a los planes las modificaciones que se hayan creído preciso
indicando:
a) Por qué (causa).
b) Quién decide la modificación.
c) En qué consiste la modificación.
d) Beneficios u objetivos a conseguir con ella.
19. AUDITORÍA DE SISTEMAS
Auditoria del proceso de construcción de sistemas
El auditor ha de analizar y asegurarse de la existencia, adecuación y cumplimiento de
las funciones de planificación, control y administración de recursos y actividades.
Estas funciones son responsabilidad del jefe de proyecto. Ha de tenerse en cuenta
que esas funciones consumen tiempo, por lo que deberán estar previstas en el cálculo de
cargas de trabajo.
Una persona puede dirigir, controlar y supervisar el trabajo de cinco a ocho
colaboradores, y esta ocupación normalmente consumirá todo su tiempo útil. La dirección de
un proyecto puede estar encomendada a usuarios, técnicos en organización y técnicos en
computación.
En rigor, en cuanto a su función propia, el jefe de proyecto precisa solamente
conocimientos de técnicas de planificación, técnicas de administración y dirección de
recursos, así como técnicas de control de avance de proyectos.
Evidentemente, la primera parte (técnicas de planificación), exige conocer la estructura
básica o modelo de realización del proyecto; fases, actividades, técnicas, perfiles de los
profesionales que intervienen, etc.
Las demás técnicas son comunes a la dirección de cualquier tipo de proyecto (marketing,
ingeniería, etc.).
Principios fundamentales de la gestión de proyectos
En la gestión de proyectos hay que tener en cuenta los siguientes principios
fundamentales:
1.- El proyecto ha de descomponerse, por medio de un proceso analítico, en partes
cada vez más elementales, hasta llegar a tener unidades controlables y medibles; se debe
saber cuándo empiezan, cuando terminan, y en qué grado de realización (porcentaje) se está
en un momento dado.
2.- Las unidades han de estructurarse en el tiempo teniendo en cuenta precedencias y
prioridades.
3.- Se estiman coste, plazos y esfuerzos para cada unidad de trabajo y para el
conjunto de ellos. Han de tenerse en cuenta las esperas motivadas por precedencias, y el
20. consumo de tiempo y esfuerzos que implican las entrevistas, reuniones, trabajo de
coordinación, etc.
4.- Asignación de unidades de trabajo a recursos concretos. Como consecuencia de
este punto puede ser preciso reestructurar las actividades.
5.- Definición de calendarios, con fechas estimadas para los sucesos más importantes.
Normalmente se suelen establecer varios (optimista, más probable y pesimista), en función
de las estimaciones realizadas.
6.- Definición, implantación y uso de mecanismos de control, medida y corrección de
desviaciones. Para este punto deben sentarse normas y procedimientos de informe de
avances, control y evaluación de cambios, evaluaciones de la realidad frente a lo planificado,
ajustes y correcciones, e implantación y seguimiento de normas y estándares, sobre todo
tendentes a garantizar la calidad del producto: documentación, modo y técnicas de trabajo,
repaso y verificación de las pruebas y validaciones, características del producto
(modularidad, flexibilidad, reutilidad, etc.).
La planificación en la construcción de sistemas
El plan estratégico o computacional identifica y define las líneas maestras de todos y
cada uno de los proyectos a realizar, así como los contactos y relaciones entre ellos.
Cada proyecto, por separado, ha de tener un plan a nivel táctico y operacional (medio
y corto plazo), y debe ser posible, estar formalizado, y ser correcto.
Normalmente la descomposición de un proyecto, suele ser en tres o cuatro niveles,
que son: proyecto, fase, actividad, tarea o paso.
No hay un acuerdo sobre las fases típicas de un proyecto computarizado, cada
metodología tiene las suyas, aunque sí hay ciertas similitudes entre ellas.
Fases en el proceso de construcción de sistemas
Como norma general, cualquier metodología ha de prever y sistematizar (o dar como
realizada por órganos aparte) las tareas siguientes:
1.- Estudio de mercado: para el producto que ha de soportarse por medio del sistema
computarizado.
21. 2.- Estudio de viabilidad o rentabilidad: determinar que es posible y rentable utilizar la
función computacional como soporte del producto en cuestión, y en qué grado y forma.
3.- Estudio inicial: estudio breve de los elementos dimensionales del sistema
computarizado a implantar; volúmenes, tendencias, funciones, requisitos, cuyo objetivo es
proporcionar una definición global de la arquitectura del sistema; presentación de posibles
alternativas de solución para que los órganos apropiados elijan la más conveniente;
estructuración global.
4.- Estudio detallado: una vez definido el modelo elegido, definición de todas y cada
una de las funciones a soportar por el sistema; definición de las cadenas en que se resolverá
el sistema. Estimación mucho más firme. Escritura de los cuadernos de especificaciones de
los programas a realizar. Planes de detalle para la transición del sistema antiguo al nuevo.
5.- Realización: programación, prueba e integración de programas, cadenas y
aplicaciones.
6.- Implantación: inicialización de ficheros, formación y entrenamiento de usuarios;
transición paulatina, tal vez con fase en paralelo; medida y evaluación de resultados
esperados contra los previstos; corrección de fallos y defectos.
7.- Explotación: utilización rutinaria del sistema durante un periodo más o menos largo
de tiempo. En esta etapa hay actividades de mantenimiento (preventivo, correctivo y
modificativo) así como de seguimiento y medida de resultados.
8.- Baja del sistema: al cabo de cierto tiempo se sustituye el producto por otro debido a
su obsolescencia técnica; incapacidad de soporte técnico; incapacidad de soportar los
requisitos y necesidades de exactitud, tiempo de respuesta, volumen de uso, cantidad de
usuarios; o a repetidos fallos o defectos que lo hacen poco fiable.
El conjunto de las ocho etapas citadas se conoce como “ciclo de vida del software”. El
auditor computacional ha de revisar la calidad o adecuación del producto, o bien la calidad o
adecuación del método de diseño, desarrollo, implantación y control.
Puntos clave de la buena planificación de un proyecto
Para tener una buena planificación hay que tener muy presentes los diez puntos
siguientes:
22. 1.- La planificación y estructuración ha de realizarse previendo esperas, aprobaciones,
reuniones, validaciones, etc.
2.- Los representantes de los usuarios han de considerarse como miembros
participantes del proyecto, con tareas y responsabilidades asignadas, así como con
planificación de los momentos en que han de participar y con qué esfuerzo. Este uso de
recursos de usuarios debe ser, lógicamente, conocido y aprobado por los jefes de los
mismos.
3.- A lo largo del proyecto aparecen instantes en que se pueden tomar dos o más
caminos diferentes:
a) ¿centralizar o descentralizar?
b) ¿dispositivos de una clase o de otra?
c) ¿desarrollo propio o contratación de un paquete?
d) ¿modificación de estructura del servicio usuario?
Algunos de estos caminos pueden ser decididos por el equipo de proyecto: otros
estarán fijados por las políticas de la empresa, pero otros exigirán la decisión de in nivel
superior, de igual forma que si surge una diferencia grave de estimación o apreciación entre
miembros del proyecto.
El órgano con capacidad de resolver o de obtener la resolución de esas alternativas
debe estar especificado claramente en la definición del proyecto.
4.- Como resultado de los trabajos, aparecerán visiones de síntesis de situaciones
reales, apreciaciones, etc., que podrán ser más o menos acertadas, teniendo en cuenta que
el estudio de departamentos usuarios, o el conocimiento de técnicas complejas, como diseño
de sistemas online, no es todo lo profundo que debiera por parte de los miembros del
proyecto como para poder asumir con certeza la totalidad de las visiones. En esos casos
harán falta valuadores y asesores. El jefe de una sección dirá si la visión global de la misma,
si las deficiencias a solucionar o las necesidades detectadas son acertadas o no.
5.- La estimación de costos, plazos y esfuerzos ha de realizarse a partir de estándares
de la instalación; los de otras instalaciones no suelen servir. Como factores a tener en cuenta
para estimar un proyecto, los más importantes son:
a) Complejidad.
b) Cantidad y complejidad de informes y destinatarios de los mismos.
c) Cantidad y complejidad de transacciones de entrada.
d) Controles y validaciones a realizar.
23. e) Cantidad y complejidad de archivos y bases de datos.
f) Necesidades de flexibilidad y crecimiento.
6.- Ha de verificarse la adecuación de personas a las actividades encomendadas.
7.- Ha de verificarse la existencia de mecanismos de comunicación entre los distintos
proyectos y entre las partes de cada uno de ellos.
8.- Existencia de un mecanismo de control de cambios.
9.- Existencia de reuniones de repaso y coordinación.
10.- Mecanismo de control de proyectos.
Auditoria de la calidad de un producto computarizado
El auditor computacional debe realizar revisiones sobre la calidad de las aplicaciones
desde fases muy tempranas del ciclo de vida software. Ha de considerarse que el coste de
una aplicación puede ser bastante elevado, por lo que si se obtiene como producto algo
inútil, se ha realizado un gasto que es muchas veces mayor, que el coste de un posible
fraude o error, para los cuales se prevén mecanismos adecuados de control.
Principios clave
El costo de resolución de un error u omisión, cometido en un punto dado de la vida de
un producto software, aumenta exponencialmente con el tiempo transcurrido (o el esfuerzo
realizado), hasta que se detecta y se adoptan las medidas correctoras precisas. Esto supone
que un diagnóstico temprano puede ahorrar cantidades importantes de esfuerzo, tiempo y
dinero.
Las funciones de auditoría o de control interno intervenir desde las fases iniciales del
proyecto, en aspectos determinados o propios, fijados por hitos (principio o final de una fase,
etc.), periódicamente (quincenal o mensualmente) o en aspectos elegidos al azar
(muestreos). Evidentemente, el auditor no puede revisar y asegurar la bondad del producto
en su totalidad, ya que ello le exigiría un esfuerzo de magnitud similar al de todo proyecto,
por lo que ha de concentrarse en puntos clave (seguridad, calidad de diseño, control) y
verificar que los trabajos se realizan con métodos apropiados que aseguren una elevada
probabilidad de éxito.
24. Definición de calidad
Como síntesis de varias definiciones, se pueden citar como características deseables
del software: la utilidad, la fiabilidad, la exactitud, la seguridad, la modularidad, la flexibilidad,
la comodidad, el mantenimiento, la dimensión adecuada, la documentación adecuada, la
aceptación por los usuarios, la existencia de mecanismos de medida de nivel de servicio de
los usuarios, la existencia de mecanismos de control interno que proporcionen seguridad,
privacidad, controles de fechas, arqueos, cuadres, etc.
Plan de garantía de calidad del software
Es un plan de aplicación a uno o a todos los productos software, de un modelo
planificado y sistemático de acciones necesarias para obtener un grado adecuado de
confianza de que el producto en cuestión cumple con los requisitos, entre ellos el de calidad.
Medidas de control interno del software
Debido a que el software de aplicación constituye la plasmación para un sistema
computarizado de un procedimiento anteriormente realizado en forma manual, ha de
dotársele de las medidas de control precisas: prevención, detección y corrección de errores,
fallos y fraudes o sabotajes.
En principio las medidas citadas han de definirse funcionalmente, como si se fueran a
implantar en sistemas administrativos comunes. Ejemplos de ellos serían los códigos auto
verificados, el uso de sumarios de importes y fechas, doble pulsación de datos muy
importantes, verificaciones de formato y verosimilitud, control de acceso a la información,
custodia de documentos negociables, etc.
Esas medidas funcionales, complementadas con otras que son específicamente
precisas por las peculiaridades del proceso computarizado (respaldos, etc.) se traducirán en
especificaciones que ha de cumplir el software.
A continuación se especifican familias de controles a implantar en el software:
1.- Controles en entrada.
2.- Controles en procesos.
3.- Controles en salida.
4.- Controles de recuperación y arranque.
25. AUDITORÍA DE LA ORGANIZACIÓN Y ADMINISTRACIÓN, ENTORNO OPERATIVO Y
CONTROL DE GESTIÓN
Auditoria de la organización y administración
La misión de la organización es “garantizar la adecuada disposición y uso de los
recursos factoriales en orden de lograr el máximo nivel de eficacia, según los objetivos y
políticas fijadas”.
La administración se encarga de las relaciones económicas con clientes y
proveedores, así como con los propios miembros del departamento.
Problemas asociados a la organización y administración.
Ineficacia: se define la ineficacia como la incapacidad de cumplir objetivos a costos
razonables. La ineficacia se puede traducir en costos no razonables, plazos no razonables,
calidad insuficiente e incapacidad de afrontar el volumen de trabajo o servicio demandado.
Personal desmotivado o descontento: hay que tener en cuenta que un centro de
proceso de datos es uno de los puntos importantes de la empresa. Está dotado de equipos
costosos y maneja volúmenes grandes y críticos de información. Ante las posibilidades de los
equipos, se ha encargado al centro de proceso de datos de cubrir servicios vitales, como el
soporte de atención y gestión de cuentas, clientes, etc.
El personal computacional está en una posición privilegiada para ocasionar cambios
importantes a la empresa, por medio del sabotaje, sin realizar acciones violentas ni a veces
detectables.
Fraude: es importante, dado que los estados de contratos económicos (cuentas,
etc.) Están implantados como información sobre soportes computarizados, a veces
accesibles con facilidad por personas con ligeros o medios conocimientos técnicos. También
es posible que se realice por medio de pagos supuestos o no procedentes a proveedores.
Aspectos a considerar
En una auditoria de la función de organización y administración se debe considerar los
siguientes aspectos:
26. Estructura
La adecuada o inadecuación de la articulación de órganos, sus flujos de trabajo,
funciones, etc. Debido a que pueden introducir puntos fuertes o débiles.
Definición de funciones y responsabilidades
Las funciones y responsabilidades tienen dos efectos: la disminución del riesgo de
fraude, que se logra separando las funciones de ejecución y control, y el aumento de le
eficacia y motivación que se produce cuando el personal tiene claros sus ámbitos de
actuación y sabe que puede y debe hacer.
El manual de funciones debe estar aprobado, además conocido y utilizado en caso de
conflictos y para la determinación de categorías y puestos de trabajo.
El contenido, debe ser completo, debe tener previstas todas las funciones precisas, sin
solapamientos, ser claro y definir qué tipo de acción ejecuta cada puesto implicado.
El auditor, presentará especial atención a la separación de las funciones de control y
de ejecución.
Una herramienta útil para plasmar la distribución de funciones es la matriz de
responsabilidades en que se indica la responsabilidad del puesto en la función (realiza,
asesora, colabora, aprueba, controla), tomando en cuenta los aspectos sin cubrir y que
pueden ser solapados.
Normas y procedimientos internos
Como contenido típico de un manual figuran al menos los siguientes apartados:
Descripción del manual: índice, justificación, actualización (procedimiento de
sugerencias), distribución.
Procedimientos generales del departamento: estrategias, políticas y estructuras.
Procedimientos y normas relativas a la administración.
Procedimientos y normas relativas a explotación: documentación, controles y
verificaciones, configuración de hardware, entrada de datos, ejecución, salida de información,
biblioteca de soportes.
Normas y directrices para uso de los recursos hardware y software.
Biblioteca de software.
27. Nomenclatura de elementos computarizados (sistemas, aplicaciones, cadenas,
pasos, programas, etc.).
Uso de recursos de tiempo compartido.
Procedimientos relativos a construcción de sistemas: dirección de proyectos,
descomposición de proyectos, metodología de desarrollo y realización, documentación de
desarrollo.
Procedimientos administrativos generales relativos a la gestión de personal,
aprovisionamiento, seguridad y coordinación y comunicación.
Dotación y asignación de recursos humanos y materiales
Existir diversos métodos de reclutar personas y de asignarlas a actividades concretas
del departamento. El resultado puede ser: tener personas con poca actividad mientras otras
están sobrecargadas de trabajo.
Una de las causas de mayor ineficacia es la falta o inadecuación de los
procedimientos de control de carga de las personas, encontrándose repartido el trabajo
inadecuadamente.
Otra forma de actuar consiste en la implantación de circuitos y procedimientos de
medida de actividad para determinar quienes están sobrecargados y quienes ociosos. Esta
actuación se complementa con una disciplina de asignación y liberación de recursos.
Políticas de personal.
Este influye sobre el grado de satisfacción o descontento de las personas. Permite
ahorrar tiempo tienen las políticas de selección, formación, promoción, premios y sanciones y
terminación de empleo.
La selección debe realizar convocatorias para cubrir las plazas vacantes
presentándolas primero al personal de otros departamentos de la empresa y realizar
exámenes restringidos, y/o ofrecerlas fuera de la empresa, y contará también con la
participación de representantes de trabajadores en los procesos de selección.
La capacitación para los puestos de programador de aplicaciones, e incluso de
analista de aplicaciones y analista funcional, se recomienda elegir gente con gran trayectoria
en la empresa y darle formación computacional, ya que conocen el giro de la empresa.
28. Los puestos fuertemente técnicos, programadores y analistas de sistemas, técnicos en
software básico, gestión de configuraciones, bases de datos y teleproceso, exigen personas
con amplia experiencia que generalmente se cubre con gente externa de la empresa
Deben estar definidas las carreras profesionales, conocimientos y capacidades
precisas para cada puesto de trabajo y caminos de formación para lograrlos. La definición de
los planes de formación inicia con la definición de los puestos de trabajo.
En la promoción, existe una equivalencia fija entre puestos de trabajo (función
realizada) y escala retribuida (salario). Para evitar esto se puede establecer un sistema que
permita variaciones de nivel salaria, sin necesidad de cambiar de puestos de trabajo.
Relaciones con usuarios
La imagen que el usuario tiene de la calidad y nivel de servicio proporcionado por la
función computacional es determinada por dos factores: funcionamiento para el exterior de
explotación y trato que recibe en sus relaciones personales con el departamento (consultas,
peticiones no rutinarias, modificaciones pequeñas, participación en el desarrollo de
aplicaciones, etc.).
La solución a estos problemas está en la creación de una función, con la dotación de
recursos que precise, de atención al usuario, de forma que centre y distribuya todas las
consultas relativas a explotación.
Relaciones con proveedores
Las relaciones han de ser de tipo contractual, de compra, alquiler o prestación de
servicios. Que determinan:
Cómo, quién y sobre la base de que contrata: Esto define los circuitos y
procedimientos a seguir para contratar algo con un proveedor. Normalmente se destina un
presupuesto anual para estos.
Como han de ser los contratos: El auditor ha de hacer presión para que se
encuentren contempladas no solo las típicas cláusulas legales, sino las que confieran al
contrato la capacidad de que su cumplimiento sea mensurable. En un contrato típico figuran
las siguientes cláusulas:
29. a. Plazos de entrega, instalación y entrada del objeto en cuestión a pleno
funcionamiento.
b. Penalizaciones en caso de incumplimiento de plazos.
c. Compromisos mensurables de calidad y capacidad.
Fiabilidad: tiempo medio entre fallo, tiempo medio de reparación.
Penalizaciones si hay incumplimientos.
Capacidad: almacenamiento real para usuario, proceso y configuración
(variabilidad), crecimiento y cambio.
d. Compatibilidad: protocolos y estándares que soporta y cumple.
e. Costo: alquiler mantenimiento y compra.
En el caso de compra de software figurarán, además:
a) Formatos que se entregan: fuentes o ejecutables.
b) Documentación que se entrega.
c) Máquinas y sistemas operativos que lo soportan.