Upload
adolpho-riveron
View
218
Download
0
Embed Size (px)
Citation preview
Sistemas, Bases de Datos y archivos
Sistemas, Bases de Datos y archivos
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada
Volumen, antigüedad y complejidad de las Aplicaciones.El equipo de auditoría informática hallará un promedio de los conceptos epigrafiados. Se pondrá especial énfasis en la periodicidad de ejecuciones de la carga.
Metodología del diseño.Se calificará globalmente la existencia total o parcial de metodologías en el desarrollo de las Aplicaciones. Se pondrá de relieve el hecho de que se hayan desarrollado simultáneamente Aplicaciones con metodologías diferentes. Esta simulación comporta un evidente desaprovechamiento de recursos.
Cantidad y complejidad de Bases de Datos y Archivos.El Auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relacionales y jerárquicas. Hallará un promedio de número de accesos a ellas por horas o días. Esta operación se repetirá con los archivos, así como la frecuencia de actualizaciones de los mismos.Estos datos proporcionan una visión aceptable de las características de la carga informática.
Documentación.La existencia de una adecuada documentación de las Aplicaciones proporciona beneficios muy importantes.Una documentación correcta es aún más. La documentación de programas disminuye grandemente el mantenimiento de los mismos.La actividad de mantenimiento de Aplicaciones representa a veces hasta un 70% del total de los recursos de Desarrollo.
Plan: Recursos, prioridades, disponibilidades, estructura de tareas
Mediante los resultados del estudio inicial realizado, se procede a:
determinar los recursos humanos y
Recursos materiales que han de emplearse en la auditoría
Plan: Recursos, prioridades, disponibilidades, estructura de tareas
Recursos materiales
La mayoría de ellos son proporcionados por el cliente, sobre el cual gravita el aumento de carga y las
interferencias sobre el desarrollo normal de su trabajo
Las herramientas de software propias del equipo auditor van a utilizarse igualmente en el Sistema auditado,
por lo que han de convenirse en lo posible las fechas y horas de uso entre auditor y cliente.
Los recursos materiales del auditor son de dos tipos
Plan: Recursos, prioridades, disponibilidades, estructura de tareas
Recursos materiales SoftwareProgramas propios de la Auditoría. Se indicó en su momento que son muy potentes y flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificar los recorridos de aquellos.
Recursos materiales HardwareEstos son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en los computadores del auditado. Habrá de convenirse: tiempo de máquina y oportunidad de fecha, hora y duración de las sesiones de medida, cantidad de pantallas, espacio en disco, montajes de cintas, impresoras ocupadas y líneas de comunicaciones si van a utilizarse en forma exclusiva.El auditor deberá calcular con la mayor precisión posible los incrementos de carga por él generados.
Plan: Recursos, prioridades, disponibilidades, estructura de tareas
Recursos humanos
• La cantidad de recursos depende del volumen auditable. • Las características y perfiles del personal seleccionado dependen de
la materia auditable.• Suponiendo una auditoría general, es habitual la presencia de
personas no informáticas pero expertas en temas de organización y análisis de costos.
• Debe resaltarse que el equipo auditor no es solamente la agregación de expertos. Por el contrario, es necesaria la cohesión entre sus integrantes. Esta suele ser proporcionada por un informático generalista.
• Es igualmente reseñable que la Auditoría Informática y la Auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.
Plan: Recursos, prioridades, disponibilidades, estructura de tareas
PROFESIÓN ACTIVIDADES Y CONOCIMIENTOS DESEABLESInformático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se
haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de Proyectos. Experto Analista. Conocedor de las metodologías de Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos y Administración de las mismas
Con experiencia en mantenimiento de bases de datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de Explotación.
Experto en Software de Comunicaciones Alta especialización dentro de la Técnica de Sistemas. Conocimientos profundos de Redes. Muy experto en subsistemas de Teleproceso.
Experto en Explotación y Gestión de Centro de Proceso de Datos
Responsable de algún Centro de Cómputo. Amplia experiencia en Automatización de Trabajos. Experto en Relaciones Humanas. Buenos conocimientos de los Sistemas.
Técnico de Organización Experto organizador y coordinador. Especialista en el análisis de flujos de información.
Técnico de evaluación de Costos Economista con conocimientos de informática. Gestión de Costos.
Plan: Recursos, prioridades, disponibilidades, estructura de tareas
Una vez asignados los recursos
Responsable de la auditoría y sus colaboradores establece un
Plan de Trabajo
Decidido éste
Se procede a la Programación del mismo por parte del responsable de cada sector o de cada especialista
responsable de la auditoría, para la aprobación final.
Plan: Recursos, prioridades, disponibilidades, estructura de tareas
El Plan de Auditoría se elabora teniendo en cuenta, entre otros criterios, los siguientes
Si la Revisión ha de realizarse por áreas generales o áreas específicas.
En el primer caso, la elaboración final es más compleja y costosa, lo cual redunda en una superior calidad.
Si la Auditoría es global, de toda la informática, o parcial.
El volumen determina no solamente el número de auditores necesarios, si no las especialidades necesarias de personal.
En el Plan NO se consideran calendarios, porque se manejan recursos genéricos y no específicos.
En el Plan se establecen los Recursos y Esfuerzos globales que van a ser necesarios
El Plan establece las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.
Plan: Recursos, prioridades, disponibilidades, estructura de tareas
• El Plan establece la disponibilidad futura del personal y de los demás recursos mientras dure la Revisión.
• El Plan estructura las tareas a realizar por cada integrante del equipo.
• En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
• Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente flexible como para permitir modificaciones a lo largo del proyecto.
Programa de Trabajo
son las cuantificaciones del Plan
En ellos se asignan los recursos humanos y materiales concretos para cada sector del Plan
se establece el calendario real de actividades a realizar
La Auditoría informática necesita
de Planificación y Programación
detallada
Posee la naturaleza de una verdadero
Proyecto, y por ello le son aplicables las reglas
generales de los mismos.
Programa de Trabajo
Programas de trabajo: Cuantificación del Plan, Asignación de recursos, calendario real de actividades.
Hagamos un repaso de las acciones auditoras, las técnicas concretas que se utilizan y las herramientas de las que se ayudan
Auditoría por temas generales o por áreas específicas
Si se examina por grandes temas:Por ejemplo desde el punto de vista de la Seguridad, resulta evidente:• la mayor calidad, y • el empleo de más
tiempo total, y • mayores recursos.
Luego a la percepción de los usuarios finales respecto a la Explotación, el Desarrollo, etc., y finalmente al funcionamiento interno de la informática como centro de trabajo.
Revisada la Seguridad, pasaríamos luego a la identificación de la Dirección con el modelo informático de la empresa en todas sus áreas.
Programas de trabajo: Cuantificación del Plan, Asignación de recursos, calendario real de actividades.
Hagamos un repaso de las acciones auditoras, las técnicas concretas que se utilizan y las herramientas de las que se ayudan
Auditoría por temas generales o por áreas específicas
Por el contrario, cuando la auditoría se realiza por áreas específicas:
• se abarcan de una vez todas las peculiaridades que afectan a las mismas,
• de forma que el resultado se obtiene más rápidamente y con menor calidad.
Técnicas de Trabajo
Basta con enumerarlas, ya se ha hablado del tema en clases:• Análisis de la información recabada del
auditado• Análisis de la información propia• Cruzamiento de las informaciones anteriores• Entrevistas• Simulación• Muestreos
Herramientas
Procedamos igualmente a su enumeración:• Cuestionario general inicial• Cuestionario-Checklist• Simuladores (Generadores de Datos)• Paquetes de Auditoría (Generadores de Programas)• Matrices de Riesgo
Las matrices de riesgo tienen la doble particularidad de que deben ser incorporadas al Informe Final y de que pueden considerarse también como elementos decisorios para la realización de una Auditoría Informática de Seguridad.
Hecho encontrado
• Ha de ser relevante• Ha de ser exacto, y además convincente• No deben existir hechos repetidos. Debe
procurarse, evitar incluso las referencias y alusiones a otros hechos
Consecuencias
Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.
Repercusión del hecho
Se redactará, si existe, las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa auditada.
Conclusión del hecho
No debe redactarse conclusiones,
más que en los casos en la exposición haya sido muy extensa y compleja
• Siempre se explicitará la palabra “Recomendación”, y ninguna otra.• Deberá entenderse por sí sola, por su simple lectura• Deberá estar suficientemente soportada en el propio texto• Deberá ser concreta y exacta en el tiempo, para que pueda ser
seguida y verificada su implementación.• La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan implementarla.• Deberá evitarse las Recomendaciones demasiado generales. • No deberá redactarse expresiones como “…se den las órdenes
oportunas para que…”. • Se deberá decir “…se elabore un programa para que en 60 días…”
Recomendación del auditor informático
Unidad 3: AUDITORÍA DE LA FUNCIÓN
INFORMÁTICA
Una vez elaborada la planeación de la auditoría, la cual servirá como Plan Maestro de:
• los tiempos, • costos, y • prioridades, • y como medio de control de la auditoría,
se debe empezar la recolección de la información.
Se procederá a efectuar la revisión sistematizada del área a través de la observación y entrevistas de fondo en cuanto a:
• Estructura Organizacional• Bases jurídicas• Niveles jerárquicos• Departamentos• Puestos• Expectativas
Estructura Organizacional
Para lograr el objetivo de evaluación de la estructura orgánica se deberá solicitar el manual de organización de la dirección, el cual deberá comprender como mínimo:• Organigrama con jerarquías• Funciones• Objetivos y políticas• Análisis, descripción y evaluación de puestos• Manual de procedimientos• Instructivos de trabajo o guías de actividad• Manual de normasTambién se debe solicitar:• Objetivos de la dirección• Políticas y normas de la dirección
Estructura Organizacional
El director de informática y aquellas personas que tengan un cargo directivo deben llenar los cuestionarios sobre :
• estructura orgánica, • funciones, • Objetivos, y • políticas.
El departamento de informática básicamente puede estar dentro de alguno de estos tipos de dependencia:
Depende de alguna dirección o gerencia la cual, normalmente, es la dirección de finanzas.
Esto se debe a que inicialmente informática o departamento de procesamiento electrónico de datos, nombre con que se le conocía, procesaba principalmente sistemas de tipo contable, financiero o administrativo; por ejemplo, la contabilidad, las remuneraciones, ventas o facturación.
El que informática dependa del usuario principal normalmente se da en estructuras pequeñas o bien que inician en el área de informática y permite que el usuario principal tenga un mayor control sobre sus sistemas.
La desventaja principal es que los otros usuarios son considerados como secundarios y normalmente no se les da la importancia y prioridad requerida;
otra desventaja es que, como la información es poder, a veces hace que un área tenga un mayor poder.
También en ocasiones, sucede que el gerente o director del área usuaria del cual depende informática tiene muy poco conocimiento de informática; ello ocasiona que el jefe de informática cree una isla dentro de la gerencia y que acuerde directamente con otras gerencias usuarias, dando lugar a problemas con las líneas de autoridad.
La segunda posibilidad es que la dirección de informática dependa de la gerencia general; esto puede ser en línea o bien en forma de asesoría.
La ventaja de alguna de estas organizaciones es que el director de informática podrá tener un nivel adecuado dentro de la organización, lo cual le permitirá lograr una mejor comunicación con los otros departamentos usuarios y, por lo tanto, proporcionarles un mejor servicio y asignar las prioridades de acuerdo con los lineamientos dados por la gerencia general.
La desventaja es que aumentan los niveles de la organización, lo que elevará el costo de la utilización de los sistemas de cómputo.
La tercera posibilidad es para estructuras muy grandes en la que hay bases de datos, redes o bien equipos en diferentes lugares.
En esta estructura se considera la administración corporativa.
La dirección de informática depende de la gerencia general, o de departamentos de informática dentro de las demás gerencias, las cuales reciben todas las normas, políticas, procedimientos y estándares de la dirección de informática, aunque funcionalmente dependan de la gerencia a la cual están adscritas.
Son controladas en cuanto a sus funciones y equipo en forma centralizada por la dirección de informática.
La ventaja principal de esta organización consiste en que se puede tener centralizada la información (base de datos) y descentralizados los equipos;
Se debe tener una adecuada coordinación entre la dirección de informática y los departamentos de informática de las áreas usuarias para evitar duplicar esfuerzos o duplicidad de mando.
La cuarta forma de organización es la creación de una compañía independiente que dé servicio de informática a la organización.
Bases jurídicas (principalmente en el sector público)
Se utilizará el siguiente cuestionario, a fin de satisfacer los requerimientos de información:
Niveles jerárquicos
Es conveniente conocer los niveles jerárquicos para poder evaluar si son los necesarios y si están bien definidos.
Departamentos
Puestos
Se debe tener cuidado de que estén bien definidas las funciones de cada puesto, ya que desafortunadamente existe mucha confusión en los nombres que se dan a los puestos dentro del medio de la informática.
Expectativas
Dentro de las expectativas se pueden detectar, en algunas ocasiones, deficiencias y frustraciones de las personas.
GRAFICO 1LA DIRECCIÓN DE INFORMÁTICA ESTÁ DEPENDIENDO DE LA GERENCIA DE FINANZAS O DEL USUARIO PRINCIPAL
GERENTE GENERAL1er. NIVEL DE LA ORGANIZACIÓN
OTROS GERENTESGERENTE DE PRODUCCIÓNGERENTE DE VENTAS
GERENTE DE FINANZAS2do.Nivel de la organización
USUARIO PRINCIPAL DE INFORMÁTICA
DIRECCIÓN DE INFORMÁTICA
JEFE DE OPERACIÓNJEFE DE PROGRAMACIÓNJEFE DE ANÁLISISOTRAS JEFATURAS
DIRECTORDIRECTOR
DIRECTORDIRECTORDIRECTOR
DIRECTORDIRECTORDIRECTOR
DIRECTORDIRECTORDIRECTOR
GRAFICO 2LA DIRECCIÓN DE INFORMÁTICA ESTÁ DEPENDIENDO DE LA GERENCIA GENERAL –
EN LINEA
GERENTE GENERAL1er. NIVEL DE LA ORGANIZACIÓN
OTRAS GERENCIASGERENTE DE FINANZAS GERENTE DE PRODUCCIÓN
GERENTE DE INFORMÁTICA2do.Nivel de la organización
DIRECCIÓN DE INFORMÁTICA
DIRECTOR DE OPERACIÓNDIRECTOR DE PROGRAMACIÓNDIRECTOR DE ANÁLISISOTROS DIRECTORES
DIRECTORDIRECTORDIRECTOR
DIRECTORDIRECTORDIRECTOR
DIRECTORDIRECTORDIRECTOR
GRAFICO 3LA DIRECCIÓN DE INFORMÁTICA ESTÁ DEPENDIENDO DE LA GERENCIA GENERAL
COMO STAFF
GERENTE GENERAL1er. NIVEL DE LA ORGANIZACIÓN
OTRAS GERENCIASGERENTE DE FINANZAS GERENTE DE PRODUCCIÓN
DIRECTORDIRECTORDIRECTOR
DIRECTORDIRECTORDIRECTOR
DIRECTORDIRECTORDIRECTOR
GERENTE DE VENTAS
DIRECTORDIRECTORDIRECTOR
GERENTE DE INFORMÁTICANIVEL STAFF
GRAFICO 4
GERENTE GENERAL1er. Nivel de la Organización
GERENTE DE FINANZASGERENTE DE
INFORMÁTICA2do. Nivel de la org.
OTRAS GERENCIAS GERENTES FORANEOS
OTROS DIRECTORES
DIRECTOR
JEFE DE INFORMATICA
JEFES OTROS DEPARTAMENTOS
DIRECTOR DE OPERACIÓN
DIRECTOR DE PROGRAMACIÓN
DIRECTOR DE ANÁLISIS
COORDINADOR DE FORÁNEAS
OTRAS DIRECCIONES
OTROS DIRECTORES
DIRECTOR
JEFE DE INFORMATICA
JEFES OTROS DEPARTAMENTOS
OTROS DIRECTORES
DIRECTOR DE INFORMÁTICA
JEFE DE OPERACIÓN
JEFE DE PROGRAMACIÓN
JEFE DE SISTEMAS
OTRAS JEFATURAS
LA GERENCIA DE INFORMÁTICA SE ENCUENTRA DEPENDIENDO DE LA GERENCIA GENERAL Y SE TIENE UNA ORGANIZACIÓN CORPORATIVA