Sistemas, Bases de Datos y archivos El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos

Sistemas, Bases de Datos y archivos

Sistemas, Bases de Datos y archivos

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada

Volumen, antigüedad y complejidad de las Aplicaciones.El equipo de auditoría informática hallará un promedio de los conceptos epigrafiados. Se pondrá especial énfasis en la periodicidad de ejecuciones de la carga.

Metodología del diseño.Se calificará globalmente la existencia total o parcial de metodologías en el desarrollo de las Aplicaciones. Se pondrá de relieve el hecho de que se hayan desarrollado simultáneamente Aplicaciones con metodologías diferentes. Esta simulación comporta un evidente desaprovechamiento de recursos.

Cantidad y complejidad de Bases de Datos y Archivos.El Auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relacionales y jerárquicas. Hallará un promedio de número de accesos a ellas por horas o días. Esta operación se repetirá con los archivos, así como la frecuencia de actualizaciones de los mismos.Estos datos proporcionan una visión aceptable de las características de la carga informática.

Documentación.La existencia de una adecuada documentación de las Aplicaciones proporciona beneficios muy importantes.Una documentación correcta es aún más. La documentación de programas disminuye grandemente el mantenimiento de los mismos.La actividad de mantenimiento de Aplicaciones representa a veces hasta un 70% del total de los recursos de Desarrollo.

Plan: Recursos, prioridades, disponibilidades, estructura de tareas

Mediante los resultados del estudio inicial realizado, se procede a:

determinar los recursos humanos y

Recursos materiales que han de emplearse en la auditoría


Recursos materiales

La mayoría de ellos son proporcionados por el cliente, sobre el cual gravita el aumento de carga y las

interferencias sobre el desarrollo normal de su trabajo

Las herramientas de software propias del equipo auditor van a utilizarse igualmente en el Sistema auditado,

por lo que han de convenirse en lo posible las fechas y horas de uso entre auditor y cliente.

Los recursos materiales del auditor son de dos tipos


Recursos materiales SoftwareProgramas propios de la Auditoría. Se indicó en su momento que son muy potentes y flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificar los recorridos de aquellos.

Recursos materiales HardwareEstos son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en los computadores del auditado. Habrá de convenirse: tiempo de máquina y oportunidad de fecha, hora y duración de las sesiones de medida, cantidad de pantallas, espacio en disco, montajes de cintas, impresoras ocupadas y líneas de comunicaciones si van a utilizarse en forma exclusiva.El auditor deberá calcular con la mayor precisión posible los incrementos de carga por él generados.


Recursos humanos

• La cantidad de recursos depende del volumen auditable. • Las características y perfiles del personal seleccionado dependen de

la materia auditable.• Suponiendo una auditoría general, es habitual la presencia de

personas no informáticas pero expertas en temas de organización y análisis de costos.

• Debe resaltarse que el equipo auditor no es solamente la agregación de expertos. Por el contrario, es necesaria la cohesión entre sus integrantes. Esta suele ser proporcionada por un informático generalista.

• Es igualmente reseñable que la Auditoría Informática y la Auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.


PROFESIÓN ACTIVIDADES Y CONOCIMIENTOS DESEABLESInformático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se

haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.

Experto en Desarrollo de Proyectos Amplia experiencia como responsable de Proyectos. Experto Analista. Conocedor de las metodologías de Desarrollo más importantes.

Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.

Experto en Bases de Datos y Administración de las mismas

Con experiencia en mantenimiento de bases de datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de Explotación.

Experto en Software de Comunicaciones Alta especialización dentro de la Técnica de Sistemas. Conocimientos profundos de Redes. Muy experto en subsistemas de Teleproceso.

Experto en Explotación y Gestión de Centro de Proceso de Datos

Responsable de algún Centro de Cómputo. Amplia experiencia en Automatización de Trabajos. Experto en Relaciones Humanas. Buenos conocimientos de los Sistemas.

Técnico de Organización Experto organizador y coordinador. Especialista en el análisis de flujos de información.

Técnico de evaluación de Costos Economista con conocimientos de informática. Gestión de Costos.


Una vez asignados los recursos

Responsable de la auditoría y sus colaboradores establece un

Plan de Trabajo

Decidido éste

Se procede a la Programación del mismo por parte del responsable de cada sector o de cada especialista

responsable de la auditoría, para la aprobación final.


El Plan de Auditoría se elabora teniendo en cuenta, entre otros criterios, los siguientes

Si la Revisión ha de realizarse por áreas generales o áreas específicas.

En el primer caso, la elaboración final es más compleja y costosa, lo cual redunda en una superior calidad.

Si la Auditoría es global, de toda la informática, o parcial.

El volumen determina no solamente el número de auditores necesarios, si no las especialidades necesarias de personal.

En el Plan NO se consideran calendarios, porque se manejan recursos genéricos y no específicos.

En el Plan se establecen los Recursos y Esfuerzos globales que van a ser necesarios

El Plan establece las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.


• El Plan establece la disponibilidad futura del personal y de los demás recursos mientras dure la Revisión.

• El Plan estructura las tareas a realizar por cada integrante del equipo.

• En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

• Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente flexible como para permitir modificaciones a lo largo del proyecto.

Programa de Trabajo

son las cuantificaciones del Plan

En ellos se asignan los recursos humanos y materiales concretos para cada sector del Plan

se establece el calendario real de actividades a realizar

La Auditoría informática necesita

de Planificación y Programación

detallada

Posee la naturaleza de una verdadero

Proyecto, y por ello le son aplicables las reglas

generales de los mismos.

Programa de Trabajo

Programas de trabajo: Cuantificación del Plan, Asignación de recursos, calendario real de actividades.

Hagamos un repaso de las acciones auditoras, las técnicas concretas que se utilizan y las herramientas de las que se ayudan

Auditoría por temas generales o por áreas específicas

Si se examina por grandes temas:Por ejemplo desde el punto de vista de la Seguridad, resulta evidente:• la mayor calidad, y • el empleo de más

tiempo total, y • mayores recursos.

Luego a la percepción de los usuarios finales respecto a la Explotación, el Desarrollo, etc., y finalmente al funcionamiento interno de la informática como centro de trabajo.

Revisada la Seguridad, pasaríamos luego a la identificación de la Dirección con el modelo informático de la empresa en todas sus áreas.

Programas de trabajo: Cuantificación del Plan, Asignación de recursos, calendario real de actividades.

Hagamos un repaso de las acciones auditoras, las técnicas concretas que se utilizan y las herramientas de las que se ayudan

Auditoría por temas generales o por áreas específicas

Por el contrario, cuando la auditoría se realiza por áreas específicas:

• se abarcan de una vez todas las peculiaridades que afectan a las mismas,

• de forma que el resultado se obtiene más rápidamente y con menor calidad.

Técnicas de Trabajo

Basta con enumerarlas, ya se ha hablado del tema en clases:• Análisis de la información recabada del

auditado• Análisis de la información propia• Cruzamiento de las informaciones anteriores• Entrevistas• Simulación• Muestreos

Herramientas

Procedamos igualmente a su enumeración:• Cuestionario general inicial• Cuestionario-Checklist• Simuladores (Generadores de Datos)• Paquetes de Auditoría (Generadores de Programas)• Matrices de Riesgo

Las matrices de riesgo tienen la doble particularidad de que deben ser incorporadas al Informe Final y de que pueden considerarse también como elementos decisorios para la realización de una Auditoría Informática de Seguridad.

Hecho encontrado

• Ha de ser relevante• Ha de ser exacto, y además convincente• No deben existir hechos repetidos. Debe

procurarse, evitar incluso las referencias y alusiones a otros hechos

Consecuencias

Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.

Repercusión del hecho

Se redactará, si existe, las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa auditada.

Conclusión del hecho

No debe redactarse conclusiones,

más que en los casos en la exposición haya sido muy extensa y compleja

• Siempre se explicitará la palabra “Recomendación”, y ninguna otra.• Deberá entenderse por sí sola, por su simple lectura• Deberá estar suficientemente soportada en el propio texto• Deberá ser concreta y exacta en el tiempo, para que pueda ser

seguida y verificada su implementación.• La recomendación se redactará de forma que vaya dirigida

expresamente a la persona o personas que puedan implementarla.• Deberá evitarse las Recomendaciones demasiado generales. • No deberá redactarse expresiones como “…se den las órdenes

oportunas para que…”. • Se deberá decir “…se elabore un programa para que en 60 días…”

Recomendación del auditor informático

Unidad 3: AUDITORÍA DE LA FUNCIÓN

INFORMÁTICA

Una vez elaborada la planeación de la auditoría, la cual servirá como Plan Maestro de:

• los tiempos, • costos, y • prioridades, • y como medio de control de la auditoría,

se debe empezar la recolección de la información.

Se procederá a efectuar la revisión sistematizada del área a través de la observación y entrevistas de fondo en cuanto a:

• Estructura Organizacional• Bases jurídicas• Niveles jerárquicos• Departamentos• Puestos• Expectativas

Estructura Organizacional

Para lograr el objetivo de evaluación de la estructura orgánica se deberá solicitar el manual de organización de la dirección, el cual deberá comprender como mínimo:• Organigrama con jerarquías• Funciones• Objetivos y políticas• Análisis, descripción y evaluación de puestos• Manual de procedimientos• Instructivos de trabajo o guías de actividad• Manual de normasTambién se debe solicitar:• Objetivos de la dirección• Políticas y normas de la dirección

Estructura Organizacional

El director de informática y aquellas personas que tengan un cargo directivo deben llenar los cuestionarios sobre :

• estructura orgánica, • funciones, • Objetivos, y • políticas.

El departamento de informática básicamente puede estar dentro de alguno de estos tipos de dependencia:

Depende de alguna dirección o gerencia la cual, normalmente, es la dirección de finanzas.

Esto se debe a que inicialmente informática o departamento de procesamiento electrónico de datos, nombre con que se le conocía, procesaba principalmente sistemas de tipo contable, financiero o administrativo; por ejemplo, la contabilidad, las remuneraciones, ventas o facturación.

El que informática dependa del usuario principal normalmente se da en estructuras pequeñas o bien que inician en el área de informática y permite que el usuario principal tenga un mayor control sobre sus sistemas.

La desventaja principal es que los otros usuarios son considerados como secundarios y normalmente no se les da la importancia y prioridad requerida;

otra desventaja es que, como la información es poder, a veces hace que un área tenga un mayor poder.

También en ocasiones, sucede que el gerente o director del área usuaria del cual depende informática tiene muy poco conocimiento de informática; ello ocasiona que el jefe de informática cree una isla dentro de la gerencia y que acuerde directamente con otras gerencias usuarias, dando lugar a problemas con las líneas de autoridad.

La segunda posibilidad es que la dirección de informática dependa de la gerencia general; esto puede ser en línea o bien en forma de asesoría.

La ventaja de alguna de estas organizaciones es que el director de informática podrá tener un nivel adecuado dentro de la organización, lo cual le permitirá lograr una mejor comunicación con los otros departamentos usuarios y, por lo tanto, proporcionarles un mejor servicio y asignar las prioridades de acuerdo con los lineamientos dados por la gerencia general.

La desventaja es que aumentan los niveles de la organización, lo que elevará el costo de la utilización de los sistemas de cómputo.

La tercera posibilidad es para estructuras muy grandes en la que hay bases de datos, redes o bien equipos en diferentes lugares.

En esta estructura se considera la administración corporativa.

La dirección de informática depende de la gerencia general, o de departamentos de informática dentro de las demás gerencias, las cuales reciben todas las normas, políticas, procedimientos y estándares de la dirección de informática, aunque funcionalmente dependan de la gerencia a la cual están adscritas.

Son controladas en cuanto a sus funciones y equipo en forma centralizada por la dirección de informática.

La ventaja principal de esta organización consiste en que se puede tener centralizada la información (base de datos) y descentralizados los equipos;

Se debe tener una adecuada coordinación entre la dirección de informática y los departamentos de informática de las áreas usuarias para evitar duplicar esfuerzos o duplicidad de mando.

La cuarta forma de organización es la creación de una compañía independiente que dé servicio de informática a la organización.

Bases jurídicas (principalmente en el sector público)

Se utilizará el siguiente cuestionario, a fin de satisfacer los requerimientos de información:

Niveles jerárquicos

Es conveniente conocer los niveles jerárquicos para poder evaluar si son los necesarios y si están bien definidos.

Departamentos

Puestos

Se debe tener cuidado de que estén bien definidas las funciones de cada puesto, ya que desafortunadamente existe mucha confusión en los nombres que se dan a los puestos dentro del medio de la informática.

Expectativas

Dentro de las expectativas se pueden detectar, en algunas ocasiones, deficiencias y frustraciones de las personas.

GRAFICO 1LA DIRECCIÓN DE INFORMÁTICA ESTÁ DEPENDIENDO DE LA GERENCIA DE FINANZAS O DEL USUARIO PRINCIPAL

GERENTE GENERAL1er. NIVEL DE LA ORGANIZACIÓN

OTROS GERENTESGERENTE DE PRODUCCIÓNGERENTE DE VENTAS

GERENTE DE FINANZAS2do.Nivel de la organización

USUARIO PRINCIPAL DE INFORMÁTICA

DIRECCIÓN DE INFORMÁTICA

JEFE DE OPERACIÓNJEFE DE PROGRAMACIÓNJEFE DE ANÁLISISOTRAS JEFATURAS

DIRECTORDIRECTOR

DIRECTORDIRECTORDIRECTOR



GRAFICO 2LA DIRECCIÓN DE INFORMÁTICA ESTÁ DEPENDIENDO DE LA GERENCIA GENERAL –

EN LINEA


OTRAS GERENCIASGERENTE DE FINANZAS GERENTE DE PRODUCCIÓN

GERENTE DE INFORMÁTICA2do.Nivel de la organización

DIRECCIÓN DE INFORMÁTICA

DIRECTOR DE OPERACIÓNDIRECTOR DE PROGRAMACIÓNDIRECTOR DE ANÁLISISOTROS DIRECTORES




GRAFICO 3LA DIRECCIÓN DE INFORMÁTICA ESTÁ DEPENDIENDO DE LA GERENCIA GENERAL

COMO STAFF


OTRAS GERENCIASGERENTE DE FINANZAS GERENTE DE PRODUCCIÓN




GERENTE DE VENTAS


GERENTE DE INFORMÁTICANIVEL STAFF

GRAFICO 4

GERENTE GENERAL1er. Nivel de la Organización

GERENTE DE FINANZASGERENTE DE

INFORMÁTICA2do. Nivel de la org.

OTRAS GERENCIAS GERENTES FORANEOS

OTROS DIRECTORES

DIRECTOR

JEFE DE INFORMATICA

JEFES OTROS DEPARTAMENTOS

DIRECTOR DE OPERACIÓN

DIRECTOR DE PROGRAMACIÓN

DIRECTOR DE ANÁLISIS

COORDINADOR DE FORÁNEAS

OTRAS DIRECCIONES

OTROS DIRECTORES

DIRECTOR

JEFE DE INFORMATICA

JEFES OTROS DEPARTAMENTOS

OTROS DIRECTORES

DIRECTOR DE INFORMÁTICA

JEFE DE OPERACIÓN

JEFE DE PROGRAMACIÓN

JEFE DE SISTEMAS

OTRAS JEFATURAS

LA GERENCIA DE INFORMÁTICA SE ENCUENTRA DEPENDIENDO DE LA GERENCIA GENERAL Y SE TIENE UNA ORGANIZACIÓN CORPORATIVA

Documents

Sistemas, Bases de Datos y archivos El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos