CAPITULO IV DISEO DE UN MODELO DE AUDITORA TI, COMO HERRAMIENTA DE EVALUACION Y CONTROL PARA LA ADECUADA UTILIZACION DE LOS RECURSOS TECNOLOGICOS

EN LAS AREAS FUNCIONALES DE LOS CENTROS EDUCATIVOS BICULTURALES EN EL SALVADOR

A. Generalidades

El Modelo de Auditora TI es una propuesta que contribuir a brindar un servicio ms eficiente, mximo rendimiento del personal en sus actividades asignadas, mejor uso de los equipos informticos y mayor compromiso del personal con la Institucin.

Este Captulo contiene los objetivos, justificacin, esquema y desarrollo de las cuatro fases del Modelo de Auditora TI, mencionadas a continuacin:

Etapa I: Diagnstico de la situacin actual de los Centros Educativos Biculturales. Comprende el anlisis situacional de las reas funcionales, aplicacin de la Tcnica del FODA, herramientas utilizadas para la recoleccin de la informacin y anlisis de la situacin actual en cuanto a lo financiero, operativo y tcnico.

Etapa

II:

Planificacin

del

Modelo

de

Auditora

TI.

Se

describen

las

responsabilidades, funciones y perfil del Auditor Informtico. Etapa III: Desarrollo del Plan de Aplicacin del Modelo de Auditora TI. Se elabora el plan de Auditora, elaboracin de manuales tales como: Manual de Auditora de Hardware y Software, Manual de Seguridad, Manual de Mantenimiento de Hardware y Software, Plan de Contingencia y Manual de Polticas.

176

Etapa IV: Plan de

Implantacin

y Evaluacin del Modelo de Auditora TI.

Comprende aspectos tales como: presentacin, revisin, evaluacin y autorizacin de la propuesta, las condiciones necesarias para implantar el Modelo, el personal responsable, presupuesto para la ejecucin del Modelo y Cronograma de Actividades.

B. Objetivos del Modelo de Auditora TI

B.1 Objetivo General

Proporcionar a las reas funcionales de los Centros Educativos Biculturales en El Salvador un Modelo de Auditora TI, como herramienta de evaluacin y control para el adecuado uso de los recursos tecnolgicos que permita evaluar y prevenir fallas en los procesos de las reas administrativa e informtica.

B.2 Objetivos Especficos

a) Establecer lineamientos de aplicacin de manuales en las reas funcionales (Administracin e informtica) de la Institucin. b) Establecer el perfil que debe poseer la persona especializada en el rea de informtica. c) Presentar polticas de seguridad para el uso del hardware, software y comunicacin de informacin. d) Definir responsabilidades del Auditor Informtico para garantizar el buen funcionamiento de los equipos tecnolgicos. e) Elaborar el Plan de Implantacin del Modelo que definir paso a paso el proceso de su puesta en marcha.

177

C. Justificacin del Modelo de Auditora TI Desde que la informtica se enfoc hacia el apoyo de la sistematizacin en las reas de los negocios, se empezaron a implantar aplicaciones administrativas, como la contabilidad, el control interno y controles en los procesos de operacin, lo cual origina la Auditora de la tecnologa de informacin. Con el paso de los aos, la informtica y todos los elementos tecnolgicos que la rodean han ido creando necesidades en cada sector social y se han vuelto un requerimiento permanente para el logro de las soluciones. La sistematizacin de las reas administrativas e informticas de las Instituciones se conceptualiza en la disciplina y ordenamiento estructurado y lgico de las actividades necesarias con el propsito de obtener mayores beneficios aplicados a nuestra realidad.

La funcin del auditor en tecnologa de informacin, no es ser un capataz o polica de los procesos que supervisa. Este profesional se orienta a ser un punto de control y confianza para la Alta Direccin adems de ser un facilitador de soluciones. No hay que pensar que este proceso cambiar de la noche a la maana la cultura organizacional, los mtodos de trabajo, la mala calidad y la improductividad en las reas relacionadas con la informtica, es un elemento estratgico directo que apoya la eliminacin de cada una de las debilidades mencionadas se debe contar con el personal responsable y profesional, as como con directores y accionistas comprometidos con la productividad, calidad y otros factores recomendados para que la empresa sea de carcter confiable.

Por esta razn, la presente investigacin tiene como finalidad la revisin de los procesos, procedimientos, funciones y tareas que de alguna manera se utilicen para realizar Auditora TI; adems, es importante que este Estudio se efecte totalmente antes de iniciar cualquier proceso relacionado con el desarrollo del sistema y que las

176

recomendaciones, disposiciones y normativas que emanen de l se pongan a funcionar antes de iniciar el diseo de la aplicacin bajo estudio.

Las reas administrativas e informticas de los Centros Educativos Biculturales en El Salvador, requieren de la realizacin de una Auditora que les permita identificar y verificar cules son las debilidades, las fortalezas y las oportunidades que poseen y con ello aplicar herramientas que los lleven a disminuir significativamente las amenazas y prestar as un mejor servicio a los estudiantes.

Para lograr cumplir con lo anterior el Modelo de Auditora TI engloba los siguientes elementos:

a) La adopcin del Modelo de Auditora TI incluye el desempeo de una persona especializada en el rea de informtica. b) Establecer el perfil idneo para el puesto del Auditor Informtico. c) La elaboracin de un programa de capacitacin continuo con el objeto de lograr un incremento de conocimientos en los empleados de la Institucin en todas las reas. d) Creacin y divulgacin de normas y polticas que regulen el uso adecuado del hardware y el software. e) Diseo de manuales de Auditora y mantenimiento de hardware y software.

D. Beneficios de la Propuesta

Los beneficios de este Trabajo pueden ser mltiples. El simple hecho de crear un Modelo de Auditora TI, como herramienta de evaluacin y control para el buen uso de los recursos tecnolgicos y crear los diferentes manuales que ayuden al establecimiento de normas, polticas de acceso, seguridad e implantacin de

177

programas; ayudar, en gran medida, a las Instituciones para tomar decisiones y actuar ante los cambios que se generen en el mercado, y principalmente, poder adelantarse a los cambios, de tal manera que se puedan obtener ventajas competitivas, que potencien su desarrollo empresarial.

Entre los beneficios producto de la adquisicin e implantacin del Modelo de Auditora TI se encuentran:

a) Un mejor control y verificacin de las necesidades del personal en cuanto al uso de nuevas tecnologas.

b) Mayor control de los recursos y equipos informticos para que estos sean utilizados exclusivamente para realizar actividades laborales y no de ndole personal.

c) Eficiencia en la Administracin de los recursos y en el logro de los objetivos de los Centros Educativos Biculturales.

d) Posibilidad de contar con una persona especializada en el rea de informtica en la Institucin, que vele por la seguridad de la informacin y que brinde apoyo tcnico en cuanto al uso, revisin y mantenimiento del equipo informtico.

e) Mejorar la eficiencia del recurso humano. f) Lograr el cumplimiento de normas, polticas y procedimientos previamente establecidos para las diferentes reas funcionales de la Institucin con la finalidad de salvaguardar los equipos informticos e informacin almacenada en ellos.

178

E. rea de Aplicacin del Modelo El Modelo de Auditora TI, es un Modelo que puede ser implantado con toda facilidad en los veinte Centros Educativos Biculturales dentro de las reas administrativa e Informtica, ya que todos estos Centros poseen caractersticas similares entre las que se pueden mencionar: 1. Poseen y utilizan recursos tecnolgicos para la realizacin de sus actividades laborales.

2.

Cuentan con personal que posee conocimientos informticos.

3.

Estn regidos por las mismas entidades nacionales entre las que se pueden mencionar: Ministerio de Educacin, Ministerio de Hacienda, Alcaldas.

4.

Son auto-sostenibles debido a que los recursos que captan provienen de las matrculas y colegiaturas pagadas por el alumnado.

F. Diseo de un Modelo de Auditora TI El Modelo de Auditora TI, est conformado por cuatro etapas enlazadas, con el objetivo de proporcionar a los Centros Educativos Biculturales un conjunto de procedimientos y normas a seguir para garantizar la adecuada utilizacin de los recursos, tanto materiales como humanos que interrelacionados entre s conforman un elemento clave para el desarrollo de las Instituciones haciendo el uso adecuado de la tecnologa informtica. El esquema del Modelo planteado comprende tcnicas, herramientas y manuales que facilitan el desempeo o desarrollo de las actividades en los Centros Educativos Biculturales.

179

El modelo se ha diseado de tal manera que su estructura adems de ser lgica facilite la continuidad de cada uno de los procedimientos establecidos en cada una de las etapas.

A continuacin se presentan dos Esquemas del Modelo de Auditora TI,

con el

propsito de representar grficamente las etapas con las que cuenta el Modelo y lograr una mejor interpretacin mostrando una secuencia lgica de cada una de ellas.

En el primer Esquema se muestra el Modelo con sus cuatro etapas y en el segundo, se desglosa las actividades a desarrollar en cada una de ellas.

ETAPA I Diagnostico de la Situacin actual de los Centros Educativos Biculturales

ETAPA II Planificacin del Modelo de Auditoria TI

MODELO DE AUDITORIA TI

ETAPA IV Plan de Implantacin y Eavaluacin del Modelo de Auditoria TI

ETAPA III Desarrollo del Plan de Aplicacin del Modelo de Auditoria TI

180

ESQUEMA DEL MODELO DE AUDITORA TI

MODELO DE AUDITORIA TI

ETAPA I ETAPA I Diagnostico de la Situacin Actual de Diagnostico de la situaci n de los Centros Educativos Biculturales Actual de los Centros Educativos Biculturales

ETAPA II ETAPA II Planificacin del Modelo Planificaci n del modelo de Auditoria TI de Auditoria TI

ETAPA III Desarrollo del IIIplan de ETAPA Aplicacindel Plan de Desarrollo del Modelo de Auditoria n Aplicaci TI

ETAPA IV Plan de ETAPA IV implantacin y evaluacin del Modelo n de Plan de Implementaci del Auditoria TI Modelo de Auditoria TI

1. Objetivo de la Etapa

1. Objetivo de la Etapa 1. Objetivo de la Etapa

1. Objetivo de la Etapa

2. Presentacin de la Propuesta 3.Revisin y Autorizacin de la Propuesta

2. Utilizacin de la Tcnica del FODA

2. Descripcin de Procedimientos 2. Asignacin de Responsabilidades al Auditor informtico

MEJOR UTILIZACION DE LOS RECURSOS TECNOLOGICOS

3. Manual de Auditoria de Hardware y Software

4. Puesta en marcha del Modelo de Auditoria TI

3. Herramientas Utilizadas 3 . Perfil del Puesto

4. Manual de Seguridad 5. Manual de Mantenimiento

5.Presupuesto de Implementacin 6.Costo-Beneficio 7.Revisin y Evaluacin de la Propuesta

4. Informe de la Situacin actual de los Centros Educativos Biculturales

4. Ubicacin dentro de la Estructura Organizativa

6. Manual de Polticas
8.Seguimiento

7. Plan de Contingencia

8.Cronograma de Actividades

RETROALIMENTACION

183

Etapa I: Diagnstico de la Situacin Actual de los Centros Educativos Biculturales. 1.1 Objetivo de la Etapa Conocer cul es la situacin actual en la que se encuentran los Centros Educativos Biculturales haciendo uso de la tcnica del FODA, en donde se podrn analizar los diferentes factores que afectan Instituciones mencionadas. el buen funcionamiento de las

1.2 Utilizacin de la Tcnica del FODA

Previamente al desarrollo de las fases del Modelo de Auditora TI, los Centros Educativos Biculturales deben hacer un anlisis situacional de las reas administrativa e informtica, mediante el uso de la tcnica del FODA.

La tcnica del FODA es una herramienta que sirve para identificar las Fortalezas, Oportunidades, Debilidades y Amenazas que existen dentro de las Instituciones (para este caso de los Centros Educativos Biculturales). Estos factores pueden ser internos (fortalezas y debilidades) o externos (oportunidades y amenazas).

Las fortalezas son factores positivos que poseen las reas administrativa e informtica que constituyen recursos necesarios para alcanzar los objetivos.

Las debilidades son elementos negativos que las reas administrativa e informtica tienen y que constituyen fuertes barreras para el logro de los objetivos en dichas reas.

Las oportunidades son elementos externos a las reas administrativa e informtica; pero que pueden ser aprovechados o utilizados para el logro de los objetivos.

176

Las amenazas son elementos externos que influyen negativamente sobre las reas administrativa e informtica.

La forma de realizar el anlisis del FODA ser la siguiente:

a. Deber ser realizado por el encargado de cada rea con apoyo del personal bajo su cargo. b. El encargado de cada rea con apoyo del personal bajo su cargo realizar una lista identificando las fortalezas, oportunidades, debilidades y amenazas de las reas administrativa e informtica en donde los factores a considerar son: b.1) Factores internos: Administracin, organizacin, recursos humanos, infraestructura, calidad del servicio, finanzas, calidad de direccin, calidad de empleados. b.2) Factores externos: econmicos, sociales, financieros y tecnolgicos. c. Los factores identificados debern ser presentados segn cuadro muestra a continuacin. que se

Anlisis Situacional FODA de las reas Administrativa e Informtica Centros Educativos Biculturales en El Salvador Aspectos Internos Aspectos Externos Fortalezas Oportunidades

Debilidades

Amenazas

177

d. Se realizar un anlisis de los resultados resumidos en el cuadro y se debern buscar lineamientos que permitan: Convertir las debilidades en fortalezas. Lograr el aprovechamiento de las oportunidades. Minimizar las amenazas.

e. Se presentan los resultados a la Junta Directiva (autoridades superiores competentes) para que se tomen las medidas correctivas pertinentes.

1.3 Herramientas Utilizadas

La recoleccin de la informacin se realiz a travs de los siguientes medios:

a) Cuestionario: Se elabor una serie de preguntas relacionadas a la temtica en estudio para cada una de las reas con el fin de recopilar informacin que permitiera conocer la situacin actual de los Centros Educativos Biculturales para tomar referencia de lo que realmente necesitan para mejorar el desempeo y buen uso de los recursos.

b) Entrevista: Se entrevist al personal involucrado de las reas administrativa e informtica, para conocer sus expectativas, necesidades y sugerencias que permitan el desarrollo de las diferentes fases del Modelo de Auditora TI.

c) Observacin Directa:

Se realizaron visitas a los Centros Educativos

Biculturales a travs de las cuales se logr visualizar que en el rea administrativa existen deficiencias en cuanto al uso informtico y el mantenimiento del mismo; adecuado del equipo

lo cual confirma la necesidad

expresada por el personal a travs de las entrevistas de contar con una persona especializada en el rea de informtica que pueda brindar soluciones de manera inmediata a los inconvenientes e imprevistos presentados al momento de desarrollar sus actividades laborales.

178

1.4 Informe de la Situacin Actual de los Centros Educativos Biculturales

a) Financiero: A travs de las entrevistas realizadas se pudo conocer que los Centros Educativos Biculturales poseen solvencia econmica para implantar el Modelo de Auditora TI. Ya que son Instituciones auto sostenibles (su financiamiento est basado en el pago mensual de colegiaturas de los estudiantes).

b) Operativo: El proyecto es factible operacionalmente debido a que el personal involucrado posee conocimientos informticos que permiten la fcil aceptacin por parte de los usuarios y el acomodamiento tecnolgico. Por otra parte, el 83% del personal administrativo y el 91% del personal informtico no cuenta con herramientas de control y evaluacin para el adecuado uso de los recursos tecnolgicos, ndices que indican un significativo vaco sobre el cual trabajar. En la gua de entrevista se pudo observar que las altas autoridades de los Centros Educativos Biculturales se mostraron interesados en la implantacin del Modelo de Auditora TI dentro de la Institucin, para que contribuya de manera efectiva a solucionar los problemas encontrados.

c) Tcnico: De acuerdo a la investigacin de campo realizada a los Centros Educativos Biculturales se determin que dichas empresas cuentan con equipo computacional necesario para realizar las actividades laborales en las reas administrativa e informtica entre los que se pueden mencionar: computadoras, impresores, reguladores de voltaje, escner, cmara web, quemador, unidades de Zip Drive. Adems de poseer herramientas de comunicacin tales como Internet (44% rea administrativa y 22% para el rea informtica) e Intranet (11% para el rea administrativa y 15% para el rea informtica).

179

2. Etapa II: Planificacin del Modelo de Auditora TI 2.1 Objetivo de la Etapa

Establecer las responsabilidades, actitudes, habilidades, preparacin acadmica, desenvolvimiento profesional, funciones generales y especficas y ubicacin dentro de la estructura organizativa del Auditor Informtico.

2.2 Asignacin de Responsabilidades al Auditor Informtico

2.2.1 Funcin Principal El Auditor Informtico deber analizar objetivamente los escenarios de la organizacin a travs de evaluaciones de los procesos, procedimientos y controles adoptados por la Administracin; ya que sus principales funciones estn enfocadas a: un desempeo eficiente de su trabajo, la aplicacin de mtodos, tcnicas y herramientas comnmente aceptadas para la informtica. Deber ser acucioso y observador en cuanto a lo que se encuentre a la vista y tener la capacidad para la toma de decisiones, con el fin de que la veracidad, confidencialidad e integridad de la informacin sea razonable y de acuerdo a las polticas establecidas por la organizacin.

2.2.2 Funciones Especficas

a) Planear, dirigir y organizar la verificacin y evaluacin de los recursos informticos.

b) Servir de apoyo a la Administracin en el proceso de toma de decisiones con el fin de obtener los resultados esperados.

180

c) Planear y ejecutar proyectos informticos al cumplimiento formal y oportuno de las polticas, controles y procedimientos establecidos por la Alta Direccin, as como del seguimiento permanente de los mismos.

d) Verificar los procesos relacionados con el manejo de los recursos informticos de la Institucin y recomendar los correctivos que sean necesarios.

e) Asegurar que los recursos informticos objetivos y las estrategias de la Institucin.

sean orientados al logro de los

f) Mantener permanentemente informados a la Administracin acerca del estado del control interno dentro de la Institucin, dando cuenta de las debilidades detectadas y de las fallas en su cumplimiento.

g) Administrar la informacin obtenida del Administrador y Encargado de informtica para el desarrollo de pruebas de Auditora.

h) Evaluar las normas definidas para el diseo y desarrollo de sistemas.

i) Evaluar la seguridad fsica y lgica adoptadas por el Centro Educativo Bicultural.

j) Elaborar,

administrar y ejecutar, de manera eficiente, los proyectos

contemplados en el plan de Auditora en informtica.

k) Evaluacin,

verificacin

implantacin

oportuna

de

los

controles

y y

procedimientos que se requieren para el aseguramiento del buen uso aprovechamiento de los recursos informticos.

2.2.3 Personal a Supervisar Recurso humano perteneciente a las reas administrativa e informtica.
181

2.3 Perfil del Puesto

Los Centros Educativos Biculturales requieren de un profesional que evale y controle las funciones de todas las reas funcionales de la Institucin, participando en la verificacin del buen uso de las tecnologas informticas que se relacionen con cada departamento y para evaluar los controles existentes. Si es necesario, realizar recomendaciones para evitar riesgos e irregularidades. Tambin tiene que verificar que se cumplan las polticas de seguridad de Software y Hardware y procedimientos relacionados a la Auditora Informtica.

2.3.1 Habilidades

a) Habilidad para tomar decisiones. b) Interpretar el Control interno para dar recomendaciones. c) Ser preventivo para detectar fallas de los equipos y sistemas y analizar las causas que las originan. d) Capacidad de trabajo bajo presin. e) Capacidad para trabajar en equipo. f) Capacidad para motivar al personal.

2.3.2 Actitudes:

a) Responsabilidad. b) Preparacin contnua. c) tica profesional. d) Equitativo para la toma de decisiones. e) Facilidad de comunicacin. f) Cooperacin, disciplina y honradez. g) Imparcialidad en el desempeo de sus labores. h) Dinamismo. i) Discrecionalidad.

182

j) Excelentes relaciones personales. k) Organizacin. l) Creatividad e iniciativa.

2.3.3 Preparacin Acadmica

a) Graduado de Ingeniera en Sistemas o Licenciatura en Computacin. b) Manejo de mtodos, tcnicas y herramientas de evaluacin de sistemas. c) Conocimiento de normas, polticas y estndares de controles de Auditora. d) El Auditor Informtico deber tener conocimientos generales en cuanto a: d.1) Elementos tcnicos de informtica, sistemas operativos, bases de datos, programacin, redes, sistemas perifricos, seguridad,

mantenimiento y acceso a los sistemas. d.2) Aspectos administrativos de manera general en cuanto a: Administracin de personal, Auditora, implantacin de procesos y evaluacin de proyectos.

2.3.4 Desenvolvimiento Profesional a) Experiencia de tres aos como mnimo en puestos similares.

2.4 Ubicacin dentro la Estructura Organizativa

Debido a que la funcin de Auditora dentro de una Institucin es de carcter independiente al resto de actividades e involucra procesos de verificacin y

reportes de fallas de forma imparcial a las Altas Autoridades de los Centros Educativos Biculturales se propone que el Auditor Informtico, se encuentre

ubicado a nivel de Staff o consultora, ser contratado a nivel externo y depender

183

directamente de la Administracin, de acuerdo a estructura organizativa presentada. (Ver Anexo 4.1)

Lo que se pretende es que a corto plazo se efectu la Auditora Informtica e informe de todas las inconsistencias encontradas para su pronta correccin, para luego evaluar los procedimientos en los perodos acordados entre l y las Altas Autoridades de estos Centros.

3. Etapa III: Desarrollo del Plan de Aplicacin del Modelo de Auditora TI

3.1 Objetivo de la Etapa

Proporcionar al personal de los Centros Educativos Biculturales herramientas que les ayuden a dar solucin a las dificultades precisadas, haciendo uso de los recursos tecnolgicos necesarios.

3.2 Descripcin de Procedimientos

La etapa preliminar se desarrolla cuando se inicia un plan de Auditora en informtica y es donde se recopilan aspectos necesarios y generalizados para entender los puntos dbiles y fuertes de la funcin de informtica desde el punto de vista de los usuarios claves y la Alta Direccin, para lo cual se realiza:

a) Diagnstico de la Institucin b) Diagnstico de informtica c) Detectar rea de oportunidad

Esta fase es necesaria debido a que todo proceso de revisin de cierto componente de informtica deber ser analizado con anterioridad en base al entorno de la Institucin y la funcin de informtica y as poder empezar directamente a auditar aspectos relativos de informtica.

184

Cabe destacar que para el universo en estudio el rea ms afectada, que demanda procedimientos para el desarrollo de las actividades de una forma ms ordenada y eficiente es el rea administrativa; ya que es all, donde se han detectado debilidades, tales como: pocos conocimientos en la utilizacin del equipo informtico y desactualizacin de programas y manejo de paquetes utilitarios, se logr detectar el poco conocimiento de polticas y normas que sirven para regular el uso adecuado de los recursos.

La revisin o evaluacin de las reas o funciones relacionadas con las reas administrativa e informtica, deben justificarse ante la Alta Direccin como

tambin ante los involucrados, para lograr que el Plan General del Proyecto de Auditora en Informtica y, ms que eso, el implante del Modelo de Auditora TI, como medio de evaluacin y control para el adecuado uso de los recursos tecnolgicos, sea aprobado por todos: Alta Direccin, usuarios claves y el responsable de informtica. Se pretende definir los procedimientos bsicos que puedan regular y orientar las actividades a realizar, a fin de asegurar la estandarizacin de los procesos de trabajo de las actividades anlogas que realizan los empleados de los Centros Educativos Biculturales en El Salvador en las reas administrativa e informtica.

A continuacin se detalla una serie de procedimientos que ayudarn en el mejor desempeo de las actividades dentro de los Centros Educativos Biculturales, las cuales se dividen en Administrativas e Informticas y se describen seguidamente:

a) Contabilidad

a.1) Se deber contar con un Catlogo de Cuentas, debidamente elaborado que facilite la preparacin de los Estados Financieros de una manera lgica y adecuada, de acuerdo a las Normas Internacionales de Informacin Financiera, que incluya todas las cuentas que sean necesarias para reflejar de manera exacta los movimientos contables de las cuentas de activo,

185

pasivo, capital, ingresos, costos, y gastos, de tal manera que los resultados obtenidos sean de utilidad para que la Institucin tome las decisiones ms adecuadas.

a.2) Se deber contar con un Manual de Aplicacin de Cuentas a travs del cual se especifique: Contenido, codificacin, as como el manejo de cada una de ellas. Explicando cuando se cargan o se abonan.

a.3) Para el manejo de las diversas operaciones de la Institucin, se establecen varios fondos dependiendo del monto de los mismos, si stos son mayores al fondo asignado a caja chica , se proceder a la emisin de cheques, todo lo dems se har en efectivo.

a.4) Para el manejo de dichos fondos se contar con una Cuenta Corriente, en un Banco, la cual ser custodiada y manejada por la Administracin o la Junta Directiva de la Institucin.

a.5) Las funciones de autorizacin, ejecucin y contabilizacin de las transacciones sujetas de este fondo, debern realizarse por diferentes personas o puestos de trabajo, de tal manera que ningn empleado tenga la responsabilidad total de una transaccin.

a.6) La Institucin limitar el acceso solamente al Administrador o Junta Directiva los Documentos Financieros de fcil convertibilidad en efectivo como los son quedan, pagars, cheques posfechados, letras de cambio, etc., siendo el responsable de su control, custodia y de hacerlos efectivos en el momento que corresponda.

a.7) Se establecer una fecha para la emisin y entrega de los cheques, as como para la recepcin de facturas y entrega de quedan.

186

b)

Fondo de Caja Chica

b.1) Se constituir un Fondo de Caja Chica ( el lmite de ste ser establecido por las Altas Autoridades de cada Institucin) , el cual sirva para la realizacin de compras menores que surjan de manera emergente dentro de dichos lmites b.2) Para usar los mencionados fondos deber llenarse un formulario prenumerado en donde se establezca una descripcin de los usos para los que se requieren los fondos, su justificacin y deber contar con la firma del Administrador de la Institucin en seal de aprobacin. b.3) Los fondos sern manejados por el Contador o Auxiliar Contable de la

Institucin quien esta ms a disposicin de la Administracin, y solamente entregar fondos cuando el formulario correspondiente est debidamente autorizado por el Administrador. As mismo una vez utilizados los fondos que se soliciten se le deber anexar la correspondiente factura o comprobante de consumidor final que ampare la compra que se efectu. b.4) Peridicamente el Contador o Auxiliar Contable har las correspondientes liquidaciones de Caja Chica, de tal forma que el fondo asignado sea igual a los valores en efectivo con que cuente en determinado momento mas las facturas que amparen las compras efectuadas. Dicha liquidacin deber efectuarse previendo no quedarse sin fondos para atender las necesidades durante el tiempo que dure el reintegro. b.5) El Contador o Auxiliar Contable posterior a las liquidaciones correspondientes deber efectuar los contabilizacin de los gastos.

c) Proceso de Compras

c.1) Toda compra que exceda de los valores determinados para la Caja Chica, deber ser solicitada a travs de una requisicin de compras.

187

c.2) A fin de efectuar la compra de materiales se deben cumplir con las siguientes condiciones: Contar con una lista de proveedores autorizados. Solicitar siempre cotizaciones cuando menos de tres proveedores. Verificar siempre la recepcin exacta de las mercaderas que se compren. Presentar al encargado de las compras la factura o comprobante de Crdito Fiscal, que ampare la transaccin realizada. La Asistente o Secretaria deber verificar los contenidos de las facturas contra la documentacin justificativa, antes de iniciar el proceso de pago. En toda requisicin de compra tramitada, deber estamparse el sello y firma de recibido, as como la fecha de recibido de los materiales en la Institucin.

c.3) Deber

establecerse

un

local

determinarse

un

mueble

para

depositar y resguardar los materiales o artculos que se obtengan, al cual slo tendr acceso la persona que designe la Administracin.

c.4) Toda adquisicin de bienes y servicios debe estar considerada en el Presupuesto de Funcionamiento de la Institucin, y la que no lo est deber ser autorizada por la Junta Directiva o Administracin.

c.5) Toda requisicin de compra que ampare artculos de uso frecuente, debe ser elaborada en base a la cantidad de existencias y a los lotes mximos y mnimos de inventarios.

c.6) Toda compra que se efecte deber contar con su factura o comprobante de Crdito Fiscal para anexarlo a la requisicin de compras.

c.8) Para la emisin de cheques se deber presentar la documentacin justificativa y deber estar autorizada por la Administracin.

188

c.9) Las fechas posibles de pago debern establecerse con la suficiente anticipacin, a fin que se puedan tramitar oportunamente las firmas correspondientes.

d) Contratacin de Servicios

d.1) Todo servicio de mantenimiento que se contrate ya sea para fotocopiadora, fax, computadora, vehculos, etc., ser sometido a licitacin o concurso privado, mediante invitacin a empresas especializadas previamente calificadas para ello.

d.2) Para la seleccin de las empresas que prestarn los servicios mencionados, se deber definir el alcance de los mismos, a fin que estos sean prestados de acuerdo a los requerimientos de la Direccin, Administracin Directiva. o Junta

d.3)

Corresponder a la Administracin de la Institucin, la seleccin de las empresas que presten los servicios demandados, considerando factores como solvencia econmica, experiencia comprobada en el campo y precio.

d.4) Se requerirn como mnimo de tres cotizaciones de proveedores de servicios.

e)

Registro Acadmico

e.1) El control de estudiantes de la Institucin deber llevarse de una manera ordenada tanto fsico como electrnico con el objetivo de facilitar el control de la entrada y salida de los estudiantes ya sea por abandono a la Institucin o por egreso.

e.2) Manejar las agendas o actividades a desarrollar dentro de la Institucin con el objetivo de mantener informada a las personas que formen parte de la

189

Institucin y que se hayan unido al esfuerzo para lograr un crecimiento de la Institucin, pues el objetivo sigue siendo formar profesionales competentes.

e.3) Elaborar diplomas y certificados de grados los cuales debern estar debidamente archivados en los expedientes por alumno y por ao.

e.4) Controlar la diferencia de estudiantes ao con ao de tal forma que permite conocer la disponibilidad de cupos para cada perodo.

e.5) Controlar cuadros de notas por materia de tal forma que pueda sacar un promedio por perodo de cada uno de los estudiantes y de cada uno de los niveles.

e.6) Se encargar de preparar una copia de cada cierre de ao para verificaciones posteriores. En caso de contar con la persona encargada del Departamento de Auditora le servir de apoyo para la creacin de copias de respaldo (backup) y mantenimiento de su equipo que en este caso ser la fuente de informacin para toda la Institucin pues controlara el nmero de estudiantes por perodo lo cual permitir conocer cunto ser la disponibilidad econmica basndose en las cuotas establecidas mensualmente.

e.7) Con apoyo del encargado del rea de Auditora de informtica se logra un mejor control y se evitar la prdida masiva de informacin.

f)

Profesor de Computacin

f.1) Tendr como responsabilidad principal la administracin del hardware y el software de la institucin, velando porque se le de el uso adecuado y el mantenimiento en el tiempo oportuno.

190

f.2) Velar porque los equipos sean tratados de la forma ms adecuada garantizando un mayor tiempo de vida til de los mismos.

f.3) Reportar a la administracin, fallos y desperfectos que presenten los equipos tecnolgicos con el fin de contratar los servicios de mantenimiento y reparacin en el menor tiempo posible con el propsito de no interrumpir las actividades diarias en el centro de cmputo.

f.4) Indagar en el conocimiento de nuevos programas que sean de utilidad para la innovacin del programa de estudio del centro educativo.

f.5) Se encargar de planificar previamente los guiones de clases elaborando guas de estudio para reforzar los conocimientos del alumnado.

g)

Contratacin de Personal

g.1) Para la cobertura de puestos vacantes o creacin de puestos nuevos, la Institucin proceder a seguir un proceso de Reclutamiento y Seleccin.

g.2) Ser potestad de la Direccin o Junta Directiva cubrir o no las vacantes que se presenten u optar por otras opciones de personal que considere conveniente.

g.3) Ser responsabilidad

del

Director

el Reclutamiento y Seleccin de

personal idneo para cada una de las plazas.

g.4) La Direccin o Junta Directiva autorizar la contratacin de personal, para lo cual deber contar con una terna de candidatos.

191

g.5) El contratado deber cubrir los requisitos establecidos y tener la suficiente preparacin acadmica para el puesto al que aplica, deber ser especialista en la materia o actividad a desarrollar.

g.6) Para ingresar a trabajar a la Institucin, todo candidato deber cumplir los requisitos de ingreso incluidos en el perfil, los cuales sern comprobados a travs de un proceso de seleccin que incluir presentacin de Currculum Vitae con la documentacin y atestados que comprueben su experiencia y estudios realizados, realizacin de exmenes de idoneidad, entrevistas, investigacin de referencias y exmenes de salud.

g.7) Toda persona que ingrese a trabajar a la Institucin deber firmar un Contrato Individual de Trabajo, en donde se establezcan todas las condiciones de contratacin, vigencia, tipo de contratacin, sueldo, perodo de prueba, etc.

3.2.1 Procedimiento: Elaboracin del Plan de Auditora en Informtica

Objetivo: Definir y formalizar proyectos inmersos a la funcin de Auditora en informtica, orientados primordialmente al seguimiento de la calidad y control de los diferentes elementos relacionados con los recursos de informtica.

Puesto: Auditor Informtico

Actividades:

a) Determina qu reas sern auditadas a travs de un diagnstico actualizado del entorno del negocio y de la funcin de informtica, con el fin de detectar qu reas son de riesgo o dbiles con respecto a la funcin de informtica.

192

b) Realiza matriz de riesgo segn los hallazgos de los cuestionarios, detectando las reas de mayor riesgo en relacin con informtica y que requieren una revisin formal y oportuna.

c) Desarrolla las siguientes actividades para la elaboracin del plan general de Auditora en informtica: c.1) Estima tiempo necesario para auditar cada rea determinada en la matriz de riesgo. c.2) Analiza y define los aspectos o componentes que se evaluarn. c.3) Verifica la importancia y validez de los puntos mencionados en la actividad anterior. Ya sea va telefnica, fax o personalmente. c.4) Asigna prioridades a cada rea con los involucrados en el proyecto. c.5) Define fechas estimadas de inicio y terminacin por rea de revisin. c.6) Establecer fechas de revisin (firmas de aprobacin). c.7) Define responsables e involucrados por etapas del proyecto.

d) Elabora el Plan de Auditora en Informtica. Determina las reas a ser auditadas, aspectos del rea por auditar, las fechas y perodos en que se auditarn las reas, etc. La prioridad de las reas a auditar se determina tomando en cuenta que pueda obedecer a la solicitud efectuada por la Alta Direccin, y al requerimiento de los involucrados en cada una de las reas.

e) Presenta Plan de Auditora en Informtica a la Alta Direccin para que sea autorizado formalmente y de esta manera se comprometa dando apoyo a los diferentes Proyectos que conforman el Plan.

f) Pone en marcha el Plan y lo ejecuta.

193

3.3 Elaboracin de Manuales.

La Auditora es una herramienta til para efectuar la revisin y evaluacin de los controles, determina el estado de seguridad de la informacin, verifica los procedimientos de informtica con el objetivo de lograr una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.

Toda organizacin para desarrollar eficazmente sus actividades, necesita utilizar instrumentos y herramientas tcnico-administrativas que le permitan alcanzar los objetivos y las metas propuestas.

Con base en lo anterior se propone a los Centros Educativos Biculturales en El Salvador la elaboracin de una serie de manuales que les permitirn desarrollar de manera efectiva las actividades descritas en el numeral anterior (Descripcin de Procedimientos), que sern elaborados dando cumplimiento a los

requerimientos obtenidos a travs de la informacin recabada por medio de los cuestionarios distribuidos al personal clave dentro de las Instituciones, como tambin a travs de las entrevistas.

Estos instrumentos servirn de gua para la contratacin de los servicios de Auditora informtica externa, del mismo modo proporcionarn una base sobre la cual las diferentes reas puedan funcionar con mayor eficiencia buscando la mejor coordinacin de las funciones de los mismos a fin de viabilizar el alcance de los objetivos.

A continuacin se presentan los Manuales que deben ser tomados en consideracin para la implantacin del Modelo de Auditora TI.

194

MANUAL DE AUDITORA DE HARDWARE Y SOFTWARE

a) AUDITORA DE LA ADMINISTRACION DEL HARDWARE b) AUDITORA DE HARDWARE INSTALADO c) AUDITORA DE LA OPERACIN DEL HARDWARE d) AUDITORA DE LA ADMINISTRACION DEL SOFTWARE e) EVALUACION DE SISTEMAS DE INFORMACION DURANTE EL CICLO DE DESARROLLO E IMPLANTACION f) DIAGNOSTICO DE LA SITUACION ACTUAL DE LOS SISTEMAS DE INFORMACION EN OPERACIN g) EVALUACION SOBRE LA LEGALIZACION DEL SOFTWARE

195

A) AUDITORA DE LA ADMINISTRACIN DEL HARDWARE

Objetivo: Asegurar la existencia Administracin del hardware.

de una administracin formal de la

Responsable: Auditor Informtico 1. Realiza Procedimiento Bsico para el Desarrollo de una Auditora Informtica (Ver Anexo 4.2) 2. Consulta al personal de la empresa si realiza una Administracin formal de Hardware que d seguimiento a: Planeacin de nueva tecnologa (hardware / software). Operacin y mantenimiento del equipo. Control y seguridad del equipo. Aspectos legales y seguridad del equipo. Otros Nota: Esta evaluacin se har a travs del Cuestionario

Administracin del Hardware. (Ver Anexo 4.3) 3. De no contar el personal de la empresa con una Administracin formal del hardware, verifica cules son las actividades que realizan para tal funcin y cmo les dan seguimiento. 4. Comprueba la existencia de documentacin que especifique cada una de las funciones de Administracin del hardware solicitndola a los responsables del rea de informtica para su conocimiento. 5. De existir documentacin, verifica que las funciones especificadas en el documento concuerde con la realidad. Para ello, utiliza la Gua de Observacin de Administracin del Hardware para su respectiva verificacin. (Ver Anexo 4.4) 6. De no contar el personal de la empresa con documentacin, les consulta cmo se dan a conocer a los responsables del equipo y al usuario las funciones de Administracin de hardware, por ejemplo: Anlisis y evaluacin del equipo.

196

Anlisis de nmero de equipo, caractersticas usuario, etc. Anlisis y diagnstico del software instalado en los equipos de cmputo. Cantidad de licencias, copias piratas, versiones, nmero de usuarios, etc. Otros. De tal manera, que se brinde un adecuado servicio a los usuarios del equipo en el uso de sistemas y software al que tiene acceso. 7. Ordena la informacin recopilada en la evaluacin de la Administracin del hardware. 8. Despus de recopilar la informacin necesaria realiza la elaboracin del Informe Final de Auditora en Informtica. (Ver Anexo 4.5 y 4.5A) Nota: Es importante aclarar que el orden y forma de este informe puede variar de acuerdo con la creatividad y estilo de los autores en informtica y de los estndares establecidos por el responsable de la funcin.

B) AUDITORA DE HARDWARE INSTALADO

Objetivo: Evaluar si se cuenta con el equipo suficiente, actualizado y compatible que responda a las necesidades de la Institucin.

Responsable: Auditor Informtico

1.

Lleva a cabo Procedimiento Bsico para el Desarrollo de una Auditora Informtica (Ver Anexo 4.2)

2.

Comprueba qu el personal encargado de compras lleva a cabo una planeacin y evaluacin formal de compras de equipos, as como de su instalacin y verifica que se est cumpliendo; para lo cual solicita dicho plan y lo revisa.

3.

Consulta al responsable de informtica si cuentan con procedimientos que les faciliten una adecuada instalacin del equipo. Para la evaluacin har uso del Cuestionario Instalacin del Hardware. (Ver Anexo 4.6)

197

4.

Solicita procedimientos para el proceso de instalacin del equipo, corrobora que vayan acorde a la realidad y que se estn cumpliendo, de tal manera que les permita lo siguiente: Descripcin del equipo adquirido. Dnde se ha instalado. Metodologa de instalacin del equipo y normativa de instalacin.

5.

Verifica quines son los responsables de ejecutar las diferentes actividades que se realizan durante el proceso de instalacin del equipo, como los responsables del seguimiento del mismo, con el fin que estn cumpliendo dichas actividades y que estn considerando la metodologa y normativa de instalacin.

6.

En caso de que personal externo lleve a cabo la instalacin del equipo, verifica que dicha instalacin ya sea parcial o total, se realice en base a polticas de la Institucin. Para ello, solicita dichas polticas y realiza entrevistas al personal externo para chequear cmo estn antes de la entrega y luego compara con las modificaciones que segn el personal externo se han realizado.

7.

Ordena toda la informacin recopilada en la Evaluacin e Instalacin del Hardware. (Ver Anexo 4.7)

8.

Desarrolla la elaboracin del Informe Final de Auditora en Informtica. (Ver Anexo 4.5 y 4.5A)

C) AUDITORA DE LA OPERACIN DEL HARDWARE

Objetivo: Asegurar que se lleven a cabo controles y procedimientos en la operacin del hardware.

Responsable: Auditor Informtico

1. Realiza

Procedimiento Bsico para el Desarrollo de una Auditora

Informtica (Ver Anexo 4.2)

198

2. Consulta a responsable de operacin del hardware si cuentan con manuales de operacin de equipo o alguna documentacin que muestre los procedimientos relativos a esta funcin. Para la evaluacin hace uso de Cuestionario Operacin del Hardware. (Ver Anexo 4.8) 3. De existir manuales, los solicita para verificar si el personal responsable de administrar y operar el equipo fue capacitado y si estos se estn aplicando en la realidad. 4. De no contar con manuales, consulta a responsables de administrar u operar el equipo, como procede para tal actividad y luego verifica si en realidad se trabaja como lo ha expuesto. 5. Recopila informacin acerca de la operacin del equipo de cmputo como: Usuarios que accesaron diferentes equipos de cmputo. Operaciones realizadas en el equipo. Tiempos de utilizacin. Interrupciones durante el uso del equipo y causas. Tiempo para reiniciar cada interrupcin. Accesos invlidos a los diferentes equipos. Otros. Debe especificar si esta informacin es generada por algn software o se produce de manera independiente. 6. Verifica si los equipos poseen controles de acceso a personas no autorizadas y si estos estn diseados para prevenir, detectar o corregir el acceso no autorizado a los equipos, adems de identificar los responsables de darles seguimiento. 7. Verifica a travs de una gua que los controles contemplen: Proteccin de archivos. Proteccin a programas de las aplicaciones que estn en los equipos. Proteccin a otro software alojado en los equipos. Mtodos para prevenir el monitoreo no autorizado del equipo. Deteccin inmediata y automatizada de acceso no autorizado a los equipos.

199

Contraseas que autoricen el acceso a los equipos, sin permitir la entrada en archivos no autorizados. Otros. 8. Ordena informacin recabada en la evaluacin y desarrolla el Informe Final de Auditora en Informtica. (Ver Anexo 4.5 y 4.5A)

D) AUDITORA DE LA ADMINISTRACION DEL SOFTWARE

Objetivo: Asegurar que exista una Administracin formal del software.

Responsable: Auditor Informtico

1. Realiza Procedimiento Bsico para el Desarrollo de una Informtica (Ver Anexo 4.2)

Auditora

2. Se presenta a las diferentes reas para identificar el software existente (paquetes, lenguajes, sistemas de informacin, sistemas operativos, etc.), con sus versiones, recopilando la informacin en Control del Software Instalado (Ver Anexo 4.9) 3. Verifica si existe una Administracin formal del software, de ser as, solicita documentacin formal que especifique las funciones de Administracin del software. El Auditor Informtico revisa la documentacin y lleva Control de Funciones de Administracin del Software detallando las tareas que se efectan para cada funcin y los responsables de efectuarlas. (Ver Anexo 4.10) 4. Revisa la documentacin y verifica si las funciones desarrolladas en la realidad, concuerdan con las funciones documentadas. En caso de no existir Administracin del software, cuestiona al encargado de informtica cmo se realizan las actividades respectivas a esta Administracin, auxilindose del Cuestionario de Administracin del Software Indica al personal responsable y usuarios sobre, qu hacer y cmo llevar a cabo cada una de las funciones de Administracin del software. (Ver Anexo 4.11)

200

5. Verifica si existe personal externo interviniendo en las funciones de Administracin del software y solicita informacin sobre la especializacin de dicho personal y la razn por la que est participando. 6. Solicita el procedimiento que se utiliza para canalizar dudas, sugerencias y compromisos entre los usuarios y los responsables de Administracin del software. 7. Cuestiona a la Administracin acerca de cmo garantizar que el software que se est utilizando es el idneo para el desarrollo de las actividades. 8. Despus de recopilar toda la informacin, desarrolla el Informe Final de Auditora Informtica (Ver Anexo 4.5 y 4.5A)

E) EVALUACIN DE SISTEMAS DE INFORMACIN DURANTE EL CICLO DE DESARROLLO E IMPLANTACIN

Objetivo: Confirmar que el personal de desarrollo de sistemas de informacin ejecuten el ciclo de vida de desarrollo e implantacin, con el fin de que se asegure calidad y productividad durante el desarrollo de dichos sistemas.

Responsable: Auditor Informtico

1. Efecta: Procedimiento Bsico para el Desarrollo de una Auditora en Informtica (Ver Anexo 4.2) 2. Solicita el plan del proyecto del sistema de informacin, y verifica que las fechas de realizacin del proyecto coincidan con la informacin proporcionada en los planes. 3. Revisa en la documentacin relativa al proyecto: objetivos, requisitos generales, metodologa, responsables y las restricciones de los recursos (tcnicos, humanos, presupuesto y otros). Recopila informacin, sobre:

descripcin del proyecto, necesidad del proyecto, reas afectadas, riesgos, costos, ventajas que aporta, adaptacin a los planes de la Institucin. Solicita informacin a la Administracin o Encargado de Informtica.
201

4. Revisa el plan del proyecto de desarrollo del sistema de informacin, verificando que este se encuentre debidamente aprobado por la Alta

Direccin, la Administracin y las reas afectadas. En caso de no existir un plan del proyecto, se solicita el procedimiento realizado para estudiar la

justificacin, llevar a cabo el estudio de viabilidad del proyecto y quin tiene la capacidad de aprobar formalmente la realizacin y prioridad del proyecto. Pide informacin documentada existente a la Administracin. 5. Investiga si existen procedimientos formales para asignar el personal y los recursos materiales para el desarrollo de sistemas de informacin en el proyecto y comprueba si estos son respetados. Si adems existe contratacin de servicios externos, se debe comprobar que est aprobado y se haga uso de l, as como revisar que en dicho contrato se contemplen los riesgos ms frecuentes como la compatibilidad con los estndares establecidos en el rea de desarrollo y, en todo caso, revisar que se incorporen penalizaciones a causa de incumplimiento de dicho contrato. 6. Verifica que las reas afectadas con el proyecto participen en el desarrollo del mismo, comprobando que los usuarios estn incluidos en un comit, el cual realizar las siguientes actividades: Periodicidad de reuniones mnimas y en cualquier caso que lo exija el desarrollo del proyecto. Revisar la marcha del proyecto Asignar los recursos Modificar la marcha del proyecto en caso de ser necesario. 7. Controla que sigan las etapas del ciclo de vida del proyecto y que se generen todos los documentos asociados a la metodologa usada, verificando que

antes de comenzar una nueva etapa se haya documentado la etapa previa, haya sido revisada y aceptada. Adems verifica que se est respetando el plan establecido y, en caso contrario, tomar las medidas oportunas o proceder a la aprobacin de una modificacin del plan; as tambin, verifica que se respete el uso de los recursos establecidos.

202

8. Revisa las pruebas del sistema de informacin y verifica que este cumpla con las especificaciones establecidas en la etapa de anlisis. 9. Verifica que los usuarios y la Alta Direccin aprueben formalmente el sistema durante las pruebas, firmando y aceptando de conformidad el sistema, la documentacin respectiva (pedir copia de dicha documentacin). 10. Presencia la instalacin del sistema y verifica que los usuarios reciban la formacin necesaria (fundamentalmente, manuales de usuario). 11. En caso de que existiera un sistema antiguo, verifica que el nuevo sistema desarrollado se implante de forma coordinada con el retiro del antiguo sistema. Para lo cual hay un periodo de funcionamiento en paralelo de ambos sistemas. 12. Verifica la consistencia de la informacin entre el sistema nuevo y el antiguo durante la conversin de datos. Si el sistema antiguo se va a mantener para obtener informacin, se dejar en operacin en modo de slo lectura. 13. Confirma la aceptacin del sistema por parte de la Alta Direccin y usuarios a travs de documentacin que ha sido firmada, la cual contendr de forma explicita la aceptacin de la implantacin correcta del sistema. 14. Realiza Informe Final de Auditora Informtica (Ver Anexo 4.5 y 4.5A) F) DIAGNOSTICO DE LA SITUACIN ACTUAL DE LOS SISTEMAS DE INFORMACIN EN OPERACIN

Objetivo: Llevar un control de evaluacin de los sistemas de informacin, ya que son un elemento primordial de la organizacin (manejo de datos en las reas Financieras, Registro Acadmico, Compras, Informtica, y administrativas para la toma de decisiones).

Responsable: Auditor Informtico 1. Realiza Procedimiento Bsico para el Desarrollo de una Informtica (Ver Anexo 4.2) 2. Consulta a los usuarios de los diferentes sistemas de informacin en Auditora

operacin y elabora una Lista de Principales Sistemas de informacin y

203

Usuarios, Determina cules fueron desarrollados por la empresa y cules comprados a terceros, para saber cul ser la fuente principal de estudio, si alguno requiere mayor evaluacin. (Ver Anexo 4.12) 3. Se presenta donde los principales usuarios de cada sistema que se encuentran en operacin, toma como base los comentarios positivos o negativos de los mismos con el fin de establecer los volmenes de transacciones promedio. 4. Registra en formulario Registro de Fallas o Regularidades de los Sistemas o Equipo de Computo Anexo 4.13). 5. Solicita los informes de desempeo de los sistemas hechos con anterioridad a los usuarios principales y si los sistemas son confiables, de calidad y oportunos. 6. Anota la fecha de liberacin de los sistemas y la ltima vez que se auditaron en el formulario Registro de Fallas o Regularidades de los Sistemas o Equipo de Computo. Esto permite valorar la posibilidad y grado de riesgo. (Ver Anexo 4.13) 7. Solicita se le proporcione una maquina para revisar la configuracin del todas las fallas y prioridades de operacin (Ver

equipo donde se encuentran instalados los sistemas y estudia la integracin a otros sistemas de informacin. Los hallazgos encontrados en la revisin del equipo se detallan en Registro de Fallas o Regularidades de los Sistemas o Equipo de Cmputo 8. Corrobora informacin recabada, informacin recopilada en dicha De no existir observaciones, ordena la evaluacin, caso contrario, verifica

observaciones y realiza correcciones. 9. Elabora Informe Final de Auditora Informtica (Ver Anexo 4.5 y 4.5A)

G) EVALUACIN SOBRE LA LEGALIZACIN DEL SOFTWARE Objetivo: Asegurar que la Institucin mantenga software debidamente autorizado y evitar las sanciones que corresponden a este tipo de infracciones, minorizando riesgos.

204

Responsable: Auditor Informtico

1. Realiza Procedimiento Bsico para el Desarrollo de una Informtica (Ver Anexo 4.2)

Auditora

2. Realiza procedimientos de adquisicin de software y revisa si en dichos procedimientos se contempla que cada programa de software adquirido posea su respectiva autorizacin de uso. 3. Solicita documentacin sobre autorizacin de uso del software adquirido; es decir, contratos o licencias que autorizan legalmente la utilizacin del software. 4. Revisa los tipos de contratos que posee la Institucin y las condiciones (quin / como) bajo las cuales se puede utilizar el software. El auditor informtico realiza su propio Control de Legalizacin de Software (Ver Anexo 4.14). 5. Verifica que se estn cumpliendo las condiciones de utilizacin del software que establecen los contratos, a travs de la comparacin del uso actual del software y el estipulado en el contrato. 6. Analiza de acuerdo a la informacin recopilada, si la Institucin se encuentra expuesta a sanciones y riesgos, como: Virus. Discos daados. Software defectuoso. Documentacin inadecuada. Imposibilidad de beneficiarse con ofertas o actualizaciones del software. 7. Elaboracin Informe Final de Auditora en Informtica (Ver Anexo 4.5 y 4.5A)

205

MANUAL DE SEGURIDAD
A. AUDITORA DE SEGURIDAD DE LOS RECURSOS INFORMATICOS B. AUDITORA DE SEGURIDAD DEL AREA DE INFORMATICA C. AUDITORA DE SEGURIDAD FISICA Y DE HARDWARE D. AUDITORA DE SEGURIDAD DE APLICACIONES DEL SOFTWARE

206

A) AUDITORA DE SEGURIDAD DEL AREA DE INFORMATICA

Objetivo: Verificar que existan polticas y procedimientos relativos a la seguridad del rea de informtica.

Responsable: Auditor Informtico

1. Lleva a cabo Procedimiento Bsico para el Desarrollo de una Auditora Informtica. (Ver Anexo 4.2) 2. Verifica si se han adoptado medidas de seguridad en el rea de informtica, tomando como referencia las polticas de seguridad establecidas para el uso adecuado de los equipos. 3. De existir medidas de seguridad verifica qu operaciones han sido cubiertas. 4. Corrobora que los controles establecidos para el acceso a los equipos informticos sean los adecuados y se estn cumpliendo para tal caso, se apoya en informacin obtenida. 5. Verifica el tipo de proteccin fsica que se le ha dado a los archivos magnticos, que garantice su integridad en caso de algn desastre (incendio, inundaciones, etc.) 6. Comprueba que la operacin del equipo de computacin se est realizando basndose en procedimientos de operacin establecidos. 7. Consulta al Administrador y Encargado de Informtica si cuentan con contratos de seguros contra robos e incendios que garanticen la operatividad del las reas. 8. Ordena toda la informacin recabada en la evaluacin. 9. Elaborar Informe Final de Auditora Informtica (Ver Anexo 4.5 y 4.5A)

B) AUDITORA DE SEGURIDAD FISICA Y DE HARDWARE

Objetivo: Verificar que existan planes, polticas y procedimientos relacionados a la seguridad fsica y del hardware de la Institucin.
207

Responsable: Auditor Informtico

1. Lleva a cabo Procedimiento Bsico para el Desarrollo de una Auditora Informtica (Ver Anexo 4.2) 2. Consulta al Administrador y Encargado de informtica si cuentan con procedimientos que describan el uso y proteccin del hardware as como de la seguridad fsica. 3. De contar con procedimientos, los solicita para verificar que se estn aplicando adecuadamente. 4. De no contar con procedimientos consulta al Administrador o Encargado de Informtica cmo lo realizan. 5. Verifica la ubicacin del Equipo Informtico especialmente los que estn en zona de paso, de acceso pblico, etc. 6. Consulta a Administrador y Encargado de Informtica si cuentan con controles de accesos fsicos para agentes externos o casuales. 7. Verifica que haya proteccin de los soportes magnticos en cuanto a acceso, a almacenamiento y posibles transportes. 8. Comprueba si cuentan con un sistema de inventario y proteccin de documentos impresos. 9. Ordena la informacin recopilada en la evaluacin. 10. Elabora Informe Final de Auditora en Informtica (Ver Anexo 4.5 y 4.5A)

C) AUDITORA DE SEGURIDAD DE APLICACIONES DEL SOFTWARE

Objetivo: Identificar que tcnicas se emplean para restringir el acceso a programas de aplicacin y la documentacin relacionada.

Responsable: Auditor Informtico

1. Lleva a cabo Procedimiento Bsico para el Desarrollo de una Auditora Informtica (Ver Anexo 4.2)
208

2. Consulta a Administrador y Encargado de Informtica si cuentan con procedimientos de uso y proteccin de software. De contar con dichos procedimientos, los solicita y verifica si se estn aplicando de acuerdo a lo establecido en ellos y que estn tomando en cuenta lo siguiente: Administracin de software Cuantificacin del software (original y copia) Uso del software Acceso al software Autorizacin del software 3. De no contar con procedimientos de uso y proteccin del software, consulta al Administrador y Encargado de Informtica, cules son las actividades que realiza para tal funcin y cmo las dan a conocer a los usuarios de aplicaciones del software. 4. Verifica que la salida e ingreso del software sea controlado a travs de polticas, las cuales solicita, para corroborar si se estn cumpliendo y que al menos abarquen: Revisin (contenido, cantidad, destino) Registro formal en la Institucin Aprobacin por el Responsable de Informtica y Administrador Registro de quin y a qu hora lo extrajo. Revisin si fue devuelto en las mismas condiciones que sali. 5. Corrobora que los sistemas de informacin cuenten con la seguridad mnima requerida a travs de procedimientos y controles que contemplen al menos: Procedimiento de uso de la computadora Niveles de acceso (perfil de usuarios). Procedimiento de uso de los mdulos de los sistemas. Para tal evaluacin solicita dichos procedimientos al Administrador y Encargado de Informtica. 6. Si existieran Manuales de Usuarios, los solicita, para verificar que cumplan con los estndares establecidos por la Institucin.

209

7. Verifica que se cuente con un procedimiento formal para asegurar que los cambios efectuados en los sistemas sean al menos: Justificados, es decir por requerimientos de usuarios. Probados antes de trasladarlos operacin Revisados por la Auditora. Aprobados por los responsables correspondientes. 8. Consulta al Administrador y Encargado de Informtica, si tienen definidos los responsables de modificar los programas fuente de los sistemas y que tcnicas utilizan para asegurar que slo ellos tienen acceso a dichos programas, ya que de ello depende la integridad de los mismos. 9. Solicita al Administrador, los procedimientos de respaldo de los programas fuentes, documentacin y archivos de operacin para corroborar que se estn aplicando adecuadamente. 10. Elabora Informe Final de Auditora en Informtica (Ver Anexo 4.5 y 4.5A)

210

MANUAL DE MANTENIMIENTO DE HARDWARE Y SOFTWARE

A) AUDITORA AL MANTENIMIENTO DE LOS SISTEMAS DE

INFORMACION B) AUDITORA AL MANTENIMIENTO DEL HARDWARE

211

A. AUDITORA AL MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION

Objetivo: Preservar los sistemas desarrollados, as como prevenir la prdida o destruccin accidental de programas o la introduccin intencional de cambios no autorizados a los programas de los sistemas.

Responsable: Auditor Informtico

1. Realiza

Procedimiento Bsico para el Desarrollo de Auditora

Informtica (Ver Anexo 4.2) 2. Identifica las tcnicas que se emplean para asegurar razonablemente que los cambios a programas de los sistemas de aplicaciones sean autorizados y aprobados. 3. Identifica, a travs de los procedimientos, quin puede iniciar una solicitud de modificacin a los sistemas, as como de quin puede autorizarlos. 4. Verifica que la peticin de cambio a los sistemas de informacin est debidamente documentada, aprobada y autorizada para todos los cambios en las aplicaciones del sistema que sufrir modificaciones. Adems, revisa que la documentacin muestre las razones de los cambios. 5. Revisa que las modificaciones realizadas estn documentadas detallando los cambios realizados y en proceso. 6. Revisa que los cambios en aplicaciones de sistemas se sometan a las pruebas correspondientes y que estas sean aprobadas. 7. Verifica que toda la documentacin revisada se archive a fin de proveer un registro de cambios a programas. Se debe tener en cuenta que, el mantenimiento de sistemas se basa en tres actividades principales, las cuales son: Comprensin del cambio a realizar. Modificacin o realizacin del cambio. Prueba de correccin del cambio realizado.

212

8. Una vez recopilada la informacin requerida, elabora el Informe Final de Auditora en Informtica (Ver Anexo 4.5 y 4.5A)

B) AUDITORA AL MANTENIMIENTO DEL HARDWARE

Objetivo: Comprobar que se cuente con polticas y procedimientos formales relativos al mantenimiento preventivo y correctivo del hardware.

Responsable: Auditor Informtico

1. Lleva a cabo Procedimiento Bsico para el Desarrollo de una Auditora Informtica (Ver Anexo 4.2) 2. Consulta al Administrador y Encargado de Informtica, sobre los

procedimientos para el manejo adecuado del equipo. 3. Consulta si se cuenta con un inventario del hardware tanto del rea de informtica como de reas usuarias. 4. De contar con inventario, valida que este sea real comparndolo con el inventario fsico. 5. De no contar con inventario, consulta al Administrador y Encargado de Informtica cmo controlan la existencia del mismo. Investigar si lo hacen con inventario automatizado (software) o en base a las compras. 6. Verifica que los procedimientos para dar mantenimiento al hardware, contemplen como mnimo: Desarrollo de las actividades de mantenimiento preventivo / correctivo. Responsables mantenimiento. Identificacin de los recursos de hardware que recibirn mantenimiento. Permitiendo que el equipo brinde un mejor rendimiento a los usuarios y evitar en gran medida los problemas del mantenimiento. 7. Verifica si la actualizacin del hardware es porque las reas administrativa o informtica lo solicitan (mal desempeo, capacidad de memoria, etc.) o porque
213

de

la

ejecucin,

seguimiento

autorizacin

del

los proveedores lo sugieren, con el fin de corroborar que dicha actualizacin no sea innecesaria o redunden en costo para la Institucin. 8. Elabora el Informe Final de Auditora en Informtica (Ver Anexo 4.5 y 4.5A)

214

MANUAL DE POLTICAS
A) B) C) D) E) PARA LA ADMINISTRACION DE LA AUDITORIA INFORMATICA. RELATIVAS AL SOFTWARE. RELATIVAS A SEGURIDAD. RELATIVAS AL HARDWARE. RELATIVAS AL MANTENIMIENTO.

215

A) POLTICAS INFORMATICA

PARA

LA

ADMINISTRACIN

DE

LA

AUDITORA

Objetivo: Mostrar los lineamientos a ser cumplidos por el Auditor Informtico, permitiendo conocer las normas a las cuales estarn sometidos los diferentes usuarios de los equipos informticos.

A.1 Elementos de la Administracin de la funcin de Auditora Informtica.

1. Planeacin 1.1 La Administracin de la funcin de Auditora informtica, deber coordinarse con la Administracin para observar, comentar, definir y programar los planes de Auditora informtica conjuntos. 1.2 Establecer fechas de reuniones formales e informales para dar seguimiento a los planes de compromiso conjunto. 1.3 Ser necesario para toda planeacin de la Auditora informtica que el personal que intervenga sea multidisciplinario, al cual se le exija la

optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. 1.4 Toda planeacin de Auditora informtica deber contar con los siguientes elementos: a) Etapa b) Tareas c) Actividades d) Costo / beneficio e) Responsables de cada actividad f) Revisiones formales e informales g) Tcnicas para ejecutar actividades h) Herramientas para realizar las actividades del proyecto

216

2. Recurso Humano

2.1 Relacionado al Trabajo El personal que realice la Auditora informtica no deber realizar actividades ajenas al servicio de la Institucin durante la jornada de trabajo. El auditor debe realizar y preparar el informe de Auditora con el debido cuidado y diligencia, sin omitir ningn aspecto que luego pueda desvirtuar los resultados de la Auditora. Tambin, debe expresar juicios razonables, valederos y debidamente sustentados en una labor tcnica. Todo trabajo de Auditora informtica debe ser desarrollado por personas que posean en su conjunto competencia tcnica, entrenamiento,

capacitacin, y experiencia suficiente para aplicar en forma debida y adecuada las tcnicas y procedimientos de Auditoras. Seleccionar una contrasea difcil de descifrar, que no tenga relacin obvia con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones parecidas. Proteger meticulosamente su contrasea y evitar que sea vista por otros en forma inadvertida. Reportar a su jefe inmediato cualquier evento que pueda comprometer la seguridad de la Institucin y sus recursos informticos, como por ejemplo contagio de virus, intrusos, modificacin o prdida de datos y otras actividades poco usuales.

2.2 Relacionado al Comportamiento El Auditor Informtico no deber proporcionar, salvo autorizacin expresa, informacin concerniente a asuntos de su labor, especialmente la que sea de naturaleza reservada y cuya divulgacin pueda ocasionar perjuicios a la Institucin.

217

 No permitir y no facilitar el uso de los sistemas informticos de la Institucin a personas no autorizadas. El auditor externo debe mantener y mostrar en todo momento una actitud mental independiente en relacin con el personal, las actividades y operaciones de la Institucin auditada.

2.3 Relacionado al Control Toda labor de Auditora en informtica deber planearse de manera adecuada desde la formulacin del programa de trabajo hasta la redaccin del Informe Final, incluyendo la informacin por recopilar, desarrollo de cuestionarios, las tcnicas, distribucin de trabajo y los procedimientos que se han de aplicar en la ejecucin de la Auditora y la comunicacin de resultados a los directivos. Desde luego estableciendo un nivel de supervisin permanente y adecuado para revisar el trabajo encomendado a los integrantes de la Auditora informtica por parte del encargado de la misma. Se deber contar con un comit de control y seguimiento integrado por la alta direccin, responsables directos de la Auditora y encargados de las reas funcionales.

B) POLTICAS RELATIVAS AL SOFTWARE 1. Ser necesario que para la elaboracin de los sistemas de informacin se cuente con un plan estratgico y con el adecuado sealamiento de prioridades y de sus objetivos. 2. En todo proceso de planeacin de sistemas de informacin, deber asegurarse de que todos los recursos (hardware, software, comunicaciones, etc.) requeridos estn claramente identificados en el plan de desarrollo de aplicaciones y que sean compatibles con la arquitectura y la tecnologa con que se cuenta actualmente en la Institucin.

218

3. Los sistemas de informacin deben ser desarrollados de acuerdo al ciclo de vida de los sistemas. 4. Se debe analizar si los sistemas de informacin son factibles de realizar, cul es su relacin costo / beneficio y si es recomendable elaborarlos. 5. Ser necesario que se investiguen el costo de desarrollar un sistema, considerando el costo de los programas, uso de los equipos (pruebas, paralelos, comparaciones), tiempos, personal y operacin. 6. Para todo diseo lgico, se deber comparar lo planeado contra lo que

realmente se est obteniendo. 7. Verificar que todo sistema de informacin debe proporcionar informacin para planear, organizar y controlar de manera eficaz y oportuna, para reducir la duplicidad de datos, reportes y obtener una mayor seguridad en la forma ms econmica. 8. Los sistemas de informacin deben ser: a) Dinmicos (susceptibles para ser modificados) b) Estructurados (los componentes o subsistemas deben actuar como un todo) c) Integrados (un solo objetivo) d) Accesibles (disponibles) e) Necesarios (que se pruebe su utilizacin) f) Comprensibles (que contenga todos los atributos) g) Oportunos (la informacin est en el momento que se requiere) h) Funcionales (que proporcionen la informacin adecuada a cada nivel) i) Estndares (que la informacin tenga la misma interpretacin en los distintos niveles) j) Modulares (facilidad para ser expandidos o reducidos) k) Seguros (que slo las personas autorizadas tengan acceso) l) Jerrquicos (por niveles funcionales) m) nicos (que no duplique informacin)

219

9. Ser necesaria una comunicacin completa entre usuarios y responsables del desarrollo de los sistemas de informacin, para que ste cumpla con los requerimientos.

C) POLTICAS RELATIVAS A SEGURIDAD

C.1 SEGURIDAD DEL SOFTWARE 1. Existencia de sistemas simultneos (paralelos) que permitan pasar de un equipo a otro en forma instantnea y tener as sistemas no interrumpibles. 2. Monitorear la proteccin de los sistemas de informacin a travs de paquetes de control contra accesos no autorizados.

C.2 SEGURIDAD EN EL PERSONAL

1. Se deber evaluar que las reas funcionales cuenten con polticas adecuadas de vacaciones y de reemplazo, que eviten dependencias con algunas personas sin arriesgar el funcionamiento de la Institucin. 2. Ser necesario contar con polticas de rotacin de personal que disminuya la posibilidad de fraude. 3. Se deber procurar evaluar la motivacin del personal, ya que un empleado motivado normalmente tiene un alto grado tanto de lealtad como de rendimiento y disminuir la posibilidad de ataques intencionados a la Institucin. 4. Contratar personal debidamente investigado.

C.3 SEGURIDAD FSICA 1. Se deber evaluar que toda la Institucin cuente con detectores de humo que indiquen la posible presencia de fuego y mantener limpios los ductos de aire acondicionado evitando el polvo.

220

2. Velar porque los extintores se estn revisando para poder ser utilizados; es decir, estn recargados, de fcil acceso y de buena calidad. 3. Velar porque se estn realizando capacitaciones al personal para el uso de los equipos contra incendio y realizar prcticas en cuanto a su uso. 4. Se deber verificar que la Institucin cuente con suficientes salidas de emergencia sealadas y que estn debidamente controladas para evitar robos. 5. Realizar simulacros.

C.4 SEGURIDAD EN LA UTILIZACIN DEL EQUIPO

1. Los computadores de la Institucin slo deben usarse en un ambiente seguro. Se considera que un ambiente es seguro cuando se han implantado las medidas de control apropiadas para proteger el software, el hardware y los datos. Esas medidas deben estar acorde a la importancia de los datos y la naturaleza de riesgos previsibles. 2. Los equipos de la Compaa slo deben usarse para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos. 3. Ser necesario que se restrinja el acceso a los programas y a los archivos de la Institucin. 4. Toda transferencia de informacin entre las diferentes funciones de un sistema deber ser registrada. 5. Contar con copias de los archivos y programas en diferentes lugares y sean ubicados en instalaciones seguras. 6. Ser necesario que se cuente con un estricto control sobre la entrada y salida de equipo. 7. Debe respetarse y no modificar la configuracin de hardware y software establecida por la Institucin 8. No se permite fumar, comer o beber mientras se est usando una PC. 9. Deben protegerse los equipos de riesgos del medioambiente (por ejemplo, polvo, incendio y agua).

221

10. Deben usarse protectores contra transitorios de energa elctrica y en los servidores deben usarse fuentes de poder ininterrumpibles (UPS). 11. Cualquier falla en los computadores o en la red debe reportarse inmediatamente ya que podra causar problemas serios como prdida de la informacin o indisponibilidad de los servicios. 12. Deben protegerse los equipos para disminuir el riesgo de robo, destruccin, y mal uso. Las medidas que se recomiendan incluyen el uso de vigilantes y cerradura con llave. 13. Los equipos deben marcarse para su identificacin y control de inventario. Los registros de inventario deben mantenerse actualizados. 14. No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un equipo fuera de la Institucin se requiere una autorizacin escrita. 15. La prdida o robo de cualquier componente de hardware o programa de software debe ser reportada inmediatamente. 16. Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos por otras personas mediante disposicin apropiada del mobiliario de la oficina y protector de pantalla. Cuando ya no se necesiten o no sean de utilidad, los datos confidenciales se deben borrar. 17. Debe implantarse un sistema de autorizacin y control de acceso con el fin de restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. Estos privilegios deben definirse de una manera consistente con las funciones que desempea cada usuario. 18. No est permitido llevar al sitio de trabajo computadores porttiles (laptop) y en caso de ser necesario se requiere solicitar la autorizacin correspondiente. 19. A menos que se indique lo contrario, los usuarios deben asumir que todo el software la Compaa est protegido por derechos de autor y requiere licencia de uso. Por tal razn es ilegal y est terminantemente prohibido hacer copias o usar ese software para fines personales.. 20. Los usuarios no deben copiar a un medio removible (como un diskette), el software o los datos residentes en las computadoras de la Institucin, sin la aprobacin previa de la Administracin.

222

21. Slo pueden bajarse archivos de redes externas de acuerdo a los procedimientos establecidos. Debe utilizarse un programa antivirus para examinar todo software que venga de afuera o inclusive de otros departamentos de la Institucin. 22. No debe utilizarse software bajado de Internet y en general software que provenga de una fuente no confiable, a menos que se haya sido comprobado en forma rigurosa y que est aprobado su uso por la Administracin. 23. No deben usarse diskettes u otros medios de almacenamiento en cualquier computadora de la Institucin a menos que se haya previamente verificado que estn libres de virus u otros agentes dainos. 24. La informacin de la Institucin clasificada como confidencial o de uso restringido, debe guardarse y transmitirse en forma cifrada, utilizando herramientas de encriptado robustas y que hayan sido aprobadas por la Administracin. 25. Siempre que sea posible, debe eliminarse informacin confidencial de los computadores y unidades de disco duro antes de que les mande a reparar. Si esto no es posible, se debe asegurar que la reparacin sea efectuada por empresas responsables, con las cuales se haya firmado un contrato de confidencialidad. Alternativamente, debe efectuarse la reparacin bajo la supervisin de una representante de la Institucin.

D) POLTICAS RELATIVAS AL HARDWARE

1. Todo equipo deber ser ubicado en un lugar que no est expuesto a la luz directa del sol. 2. Ser necesario que se mantenga limpia y ordenada el rea donde se

encuentra ubicado el equipo 3. Verificar que todo equipo no sea desarmado, ni abierto por personal no autorizado

223

4. Deber verificarse que las armaduras elctricas de los toma corrientes, estn polarizados (que tengan tierra fsica) para evitar que la variacin en el voltaje dae el equipo. 5. Ser necesario que se realice servicio preventivo al equipo de cmputo por lo menos tres veces al ao. 6. Para toda adquisicin de equipo de computacin se deber solicitar por escrito a la autoridad superior y deber verificar la razn de dicho requerimiento. 7. Se tendr que considerar la asignacin presupuestaria que permita cubrir el pago del bien a adquirir y Auditora velar porque se cumpla presupuesto. 8. Para toda compra de equipo de cmputo se deber verificar el lapso de tiempo que cubre la garanta, servicio tcnico, cotizaciones con el IVA incluido y asesoramiento, as como el precio en plaza. dicho

E) POLTICAS RELATIVAS AL MANTENIMIENTO

1. Para cualquier tipo de contrato de mantenimiento se deber analizar cul es el que ms conviene a la Institucin y revisar con detalle que las clusulas del contrato estn perfectamente definidas en las cuales se elimine toda subjetividad y con sealizacin en caso de incumplimiento para evitar contratos que sean parciales. 2. Deber definirse un plan de mantenimiento acorde de antemano, entre el usuario y el responsable, considerando lo siguiente: a) Alcances del mantenimiento b) Identificacin del estado inicial del producto c) Actividades de mantenimiento d) Registros y reportes de mantenimiento El auditor deber verificar que se cumpla. 3. Deber efectuarse un mantenimiento peridico a los recursos informticos que garantice la continuidad de las operaciones de la Institucin; con un debido monitoreo por parte del auditor.

224

4. Ser necesario que el auditor asegure a traves de evaluaciones que el mantenimiento sea preventivo, ms que correctivo. 3.4 Plan de Contingencia

Para las instituciones es importante contar con una seria de lineamientos que le faciliten dar solucin a las dificultades que se presenten en un futuro. Para lo cual se vuelve necesario contar con un plan de contingencia que les permita tomar decisiones oportunas de acuerdo a la situacin acaecida.

A. AUDITORA DE SEGURIDAD DEL PLAN DE CONTINGENCIAS Y DE RECUPERACION

Objetivo: Asegurar que existan planes, polticas y procedimientos relativos a la seguridad de contingencias para el funcionamiento continuo de las operaciones de la Institucin.

Responsable: Auditor Informtico 1. Realiza Procedimiento Bsico para el Desarrollo de una Auditora

informtica (Ver Anexo 4.2) 2. Consulta a Encargado de Informtica si cuentan con planes de contingencias y de recuperacin de operaciones en casos de desastres. 3. De contar con planes, los solicita para verificar que los recursos considerados bsicos importantes o necesarios tengan los mtodos de seguridad para prevenir y enfrentar contingencias. 4. De no contar con planes de contingencias y de recuperacin de operaciones, le consulta a Administrador y Encargado de Informtica, que mtodo utilizaran o cmo consideraran ellos enfrentar dicha situacin en dado caso se diera y quines son los responsables. 5. Corrobora a travs de entrevista que el plan haya sido difundido formalmente en toda la organizacin y que se haya elaborado junto con todo el personal.

225

6. Consulta al Administrador y Encargado de Informtica si se ha capacitado al personal en cuanto a la aplicacin de los procedimientos y si se han llevado a cabo simulaciones de dicho plan. De tal manera que el plan de contingencia y recuperacin cumpla con las necesidades y vaya acorde a lo real. 7. Una vez evaluada la seguridad de contingencias y recuperacin de operaciones, ordena la informacin recabada. 8. Elabora Informe Final de Auditora en Informtica (Ver Anexo 4.5 y 4.5A)

B. AUDITORA AL RECURSO HUMANO

Objetivo: Determina si se cuenta con el personal adecuado para ejecutar las funciones del rea de informtica, con el fin de mantener calidad en el servicio que esta ofrece a la Institucin.

Responsable: Auditor Informtico

1. Lleva a cabo Procedimiento Bsico para el Desarrollo de una Auditora informtica (Ver Anexo 4.2) 2. Revisa Cuestionario Evaluacin al Recurso Humano y posteriormente confirma entrevista con el personal a entrevistar. (Ver Anexo 4.15) 3. Se presenta a las reas para conocer los procedimientos utilizados para cubrir vacantes, ya sea por promocin interna, bsqueda directa de personal externo, utilizacin de empresas de seleccin de personal, etc. 4. Evala si la seleccin del personal se basa en criterios objetivos, tomando en cuenta: formacin profesional, experiencia y niveles de responsabilidades anteriores. 5. Realiza Entrevista Evaluacin al Recurso Humano al personal de las reas para determinar sus conocimientos acerca de sus responsabilidades asociadas a su puesto y los estndares de rendimiento. 6. Solicita los procesos de identificacin de las necesidades de formacin para los empleados.

226

7. Determina necesidades de formacin de los empleados en base a puesto de trabajo, experiencia, responsabilidad y desarrollo, as como, s las

capacitaciones que son impartidas, son de acuerdo con la tecnologa de los sistemas de informacin de la Institucin. 8. Despus de recopilar la informacin necesaria elabora Informe Final de Auditora en Informtica (Ver Anexo 4.5 y 4.5A)

4 Etapa IV: Plan de Implantacin y Evaluacin del Modelo de Auditora TI 4.1 Objetivos

4.1.1 Objetivo General Orientar e indicar a los Centros Educativos Biculturales de El Salvador sobre cules son las instrucciones que se deben de seguir para llevar a cabo la puesta en marcha (implantacin) del Modelo de Auditora TI, en las reas funcionales.

4.1.2 Objetivo Especfico a) Que los Centros Educativos Biculturales de El Salvador, cuenten con un Modelo de Auditora TI que les ayude a evaluar y controlar el buen uso de los recursos tecnolgicos. b) Poseer una herramienta que les permita detectar fallas o irregularidades en el uso de la tecnologa y procesamiento de la informacin. c) Proporcionar una serie de polticas y procedimientos que les permitan regular las diferentes actividades relacionadas con el uso de la tecnologa.

4.2 Presentacin de la Propuesta

Se efectuar la presentacin del Modelo de Auditora TI, a las Altas Autoridades de los Centros Educativos Biculturales, donde se le les notificar sobre todas las irregularidades que se han encontrado en el interior de los Centros Educativos

227

Biculturales despus de realizada la investigacin de campo, las cuales pueden ocasionar la prdida de informacin y el mal uso de los recursos tecnolgicos. Adicionalmente, se les har conciencia en aspectos tales como: Casos actuales de Fraude Computacional Casos de sanciones por trabajar con programas no autorizados (no cuentan con una licencia que respalde su uso). La importancia de contar con personal capacitado en el buen uso y manejo de los recursos informticos. La importancia de contar con un plan de capacitacin contina para los empleados.

4.3 Revisin y Autorizacin de la Propuesta

Presentado el Modelo de Auditora TI y habiendo realizado un anlisis del mismo y concientes que este ayudar a mejorar el uso de los equipos informticos y un buen desempeo por parte de los empleados en su actividades, el Administrador y/o Junta Directiva estarn a cargo de la autorizacin para desarrollar el Plan de Implementacin en las reas funcionales (administrativa e informtica) de los Centros Educativos Biculturales de El Salvador.

4.4 Puesta en Marcha del Modelo de Auditora TI

Para la realizacin de la puesta en marcha del Modelo de Auditora TI se efectuarn las siguientes actividades:

4.4.1

Divulgacin del Modelo

La divulgacin del Modelo se realizar mediante una sesin donde se les informar a los encargados de las reas funcionales (administrativa e informtica) sobre la aplicacin del Modelo. Posteriormente, se les notificar a los empleados

228

mediante comunicaciones internas donde a la vez se les solicitar la colaboracin para que se integren.

4.4.2 Capacitacin

Se capacitar al personal de las reas funcionales de los Centros Educativos Biculturales en cuanto a: Buen uso de los recursos tecnolgicos. Forma de realizar actualizaciones de software. Realizacin de copias de respaldo. Medidas de proteccin de los recursos tecnolgicos. En las sub-reas que el Informe de Auditora reporte deficiencias, se brindar asesora con el propsito de solventarlas.

4.4.3 Condiciones para Implantar el Modelo Entre las condiciones bsicas requeridas para la implantacin del Modelo de Auditora TI se pueden mencionar:

a) Se requiere de la existencia de una persona encargada para realizar la Auditora. b) Se requiere que el personal encargado cumpla con el perfil establecido dentro de la Propuesta. c) Revisar peridicamente cules son las necesidades de conocimiento de los empleados involucrados. d) Existencia de un plan de retroalimentacin para los empleados referente al Modelo. e) Capacitar al personal involucrado sobre la forma de trabajo del Modelo. f) Orientar al cumplimiento de las estrategias y responsabilidades dentro del Modelo. g) Realizar validaciones de condiciones para la asignacin de trabajo.

229

4.4.4 Responsables de la Implantacin

La implantacin ser responsabilidad del Administrador

de cada uno de los

Centros Educativos Biculturales con el apoyo del encargado de informtica (profesor de computacin) y en presencia del auditor, de tal forma que el proceso sea ms seguro y se pueda dar cumplimiento a los lineamientos establecidos.

4.4.5 Acciones para la Implantacin del Modelo de Auditora TI

Las acciones para la implantacin son presentadas para facilitar la puesta en marcha del Modelo de Auditora TI y son detalladas a continuacin:

1. Informar a los empleados de los Centros Educativos Biculturales de El Salvador sobre la forma de trabajar del Modelo. 2. Realizar reuniones con el personal involucrado y con el auditor para definir las actividades a desarrollar de acuerdo al Modelo. Para la realizacin de las reuniones se recomienda utilizar el Organizador de Reuniones. (Ver Anexo 4.16). 3. Evaluar los conocimientos del personal de las reas funcionales (administrativa e informtica) acerca del software, hardware y seguridad que sern el soporte para la adecuada implantacin del Modelo.

4. Realizar una prueba piloto para anticipar errores o aspectos no considerados para la puesta en marcha del Modelo de Auditora TI.

4.5 Presupuesto de Implantacin del Modelo de Auditoria TI

A continuacin se presenta en el cuadro los recursos, humanos, materiales y financieros para la implantacin del Modelo de Auditora TI en las reas

230

funcionales (rea administrativa y rea informtica) de los Centros Educativos Biculturales.

VALOR A DESCRIPCION Recurso Humano Auditor Capacitador Recursos Materiales Licencias de Windows XP Licencias de Office Otros Papelera y tiles Resma papel bond carta Boligrafos Folders Carta Tinta para impresor Canon BC-02 Vietas (paquete) Caja de Fasteners Engrapadoras Perforadora 2 10 10 2 1 1 1 1 3.04 0.1 0.04 20.91 0.94 0.99 4.95 4.3 $ 6.08 $ 1.00 $ 0.40 $ 41.82 $ 0.94 $ 0.99 $ 4.95 $ 4.30 $ 60.48 Equipo Tecnolgico para Presentacin Laptop, proyector de multimedia. $ 700.00 7 7 $ 400.00 $ 550.00 $ 2,800.00 $ 3,850.00 1 1 $ 964.11 $ 409.71 $ 1,928.22 $ 819.42 CANTIDAD PAGAR INVERSION

SUB-TOTAL Imprevistos (10%)

$ 10,158.12 $ 1,015.81

TOTAL

$ 11,173.93

Tabla No. 1: Presupuesto de Implantacin del Modelo de Auditoria TI NOTA: Los salarios de auditor y capacitador son mensuales, y los datos fueron adquiridos de la tabla de Remuneraciones promedio mensuales de FUSADE.

231

4.6 Anlisis COSTO-BENEFICIO El Analisis Costo Beneficio es un procedimiento que se utiliza para formular y evaluar programas o proyectos, consistente en la comparacin de costos y beneficios, con el propsito de que estos ltimos excedan a los primeros pudiendo ser de tipo monetario o social, directo o indirecto. El objetivo consiste en identificar y medir las prdidas y las ganancias en el bienestar econmico que recibe la sociedad en su conjunto. FORMA DE FINANCIAR EL PROYECTO COSTOS Inversin Inicial Propuesta de Recuperacin: 1.Mantener como mnimo una poblacin estudiantil de 300 alumnos; pagando una matrcula de $480.00 2. Dividir la Inversin inicial entre la poblacin estudiantil y aplicar el incremento en la matricula. ( La matrcula se realiza durante los meses de mayo a junio) 3. El incremento sera de $37.25; este resultado se obtiene de dividir: INV.INICIAL / N ALUMNOS= $11,173.93 / 300 4. PERIODO DE RECUPERACION: 2 meses Esto debido a que en los Centros Educativos Biculturales el periodo estipulado Para realizar la matricula es de 2 meses. BENEFICIOS: 1.Mejor uso del Recurso Informatico 2. Mejor control y seguridad de la informacion 3. Mejor calidad de trabajo de los empleados 4. Evita riesgos de multas y sanciones por no estar legales
232

$ 11,173.93

4.7 Revisin y Evaluacin de la Propuesta

Despus de implantado el Modelo de Auditora TI,

el Auditor deber evaluar en

forma peridica la eficiencia de las polticas y normas de control relativas al Modelo; debe reagrupar todos los datos recopilados durante la verificacin, a fin de obtener una panormica de todas las actividades relacionadas a la informtica y conducir a buen trmino las diversas etapas del Modelo de Auditora TI. Cabe mencionar que el Auditor puede auxiliarse de los formatos presentados en los anexos y hacer uso de sus conocimientos profesionales para disear otros formatos que le faciliten la fcil recoleccin de informacin con el fin de mejorar da con da los procesos relacionados con la Auditora Informtica.

4.8 Seguimiento

El seguimiento se realizar tomando en cuenta las recomendaciones o informacin recabada en los informes de Auditora que se realicen, con el fin de:

a) Determinar

el

grado

de

cumplimiento

de

las

recomendaciones

proporcionadas a travs de los informes de Auditora.

b) Realizar una presentacin uniforme de todos los resultados obtenidos cada vez que se realice el seguimiento de las actividades que se deben llevar a cabo.

233

4.8 Cronograma de actividades

DIAS ACTIVIDADES
1 PRIMER MES Semana 1 2 3 4 5 1 Semana 2 2 3 4 5 1 Semana 3 2 3 4 5 1 Semana 4 2 3 4 5 1 Semana 1 2 3 4 5 1 SEGUNDO MES Semana 2 2 3 4 5 1 Semana 3 2 3 4 5 1 Semana 4 2 3 4 5

ETAPA I: Diagnostico.
Objetivo de la Etapa. A. General. Utilizacin de la Tcnica del FODA. Anlisis Situacional de las reas funcionales Descripcin del anlisis del FODA Formas de realizar el anlisis del FODA Herramientas a Utilizar. Cuestionario Entrevistas Observacin directa. Anlisis de la Situacin Actual de los Centros Educativos Biculturales. Funcin Principal Funciones especificas Personal a supervisar

ETAPA II: Planificacin.

Objetivos de la Etapa. Asignacin de Responsabilidades. Financiero Operativo Tcnico Perfil del Puesto. Habilidades Actitudes Educacin

242

DIAS ACTIVIDADES
1

PRIMER MES Semana 1 2 3 4 5 1 Semana 2 2 3 4 5 1 Semana 3 2 3 4 5 1 Semana 4 2 3 4 5 1 Semana 1 2 3 4 5 1

SEGUNDO MES Semana 2 2 3 4 5 1 Semana 3 2 3 4 5 1 Semana 4 2 3 4 5

Conocimientos especiales. Experiencia Ubicacin de la Auditoria dentro de la Estructura Organizativa de los Centros Educativos Biculturales en El Salvador.

ETAPA III: Desarrollo.

Objetivos de la Etapa. General. Descripcin de Procedimientos. Objetivo Normas Especificas: rea Administrativa Fondo de caja Chica Proceso de Compras Contratacin de servicios Registro Acadmico Contratacin de Personal rea Informtica, Etapa Preliminar y de Justificacin Procedimiento 1: Elaboracin del Plan de Auditoria en Informtica. Elaboracin de Manuales. Introduccin Manual de Auditoria de Hardware y Software. a) Auditoria de la Administracin del Hardware. b) Auditoria de Hardware Instalado.

243

DIAS ACTIVIDADES
1

PRIMER MES Semana 1 2 3 4 5 1 Semana 2 2 3 4 5 1 Semana 3 2 3 4 5 1 Semana 4 2 3 4 5 1 Semana 1 2 3 4 5 1

SEGUNDO MES Semana 2 2 3 4 5 1 Semana 3 2 3 4 5 1 Semana 4 2 3 4 5

c) Auditoria de la Operacin del Hardware. d) Auditoria de la Administracin del Software. e) Evaluacin de sistemas de informacin durante el ciclo de desarrollo e Implantacin. f) Diagnostico de la situacin actual de los sistemas de informacin en operacin. g) Evaluacin sobre la legalizacin del software. Manual de Seguridad. a) Auditoria de Seguridad del rea de informtica. b) Auditoria de Seguridad Fsica y de Hardware. c) Auditoria de Seguridad de aplicaciones del Software. Manual de Mantenimiento de Hardware y de Software. a) Auditoria al Mantenimiento de los sistemas de informtica. b) Auditoria del Mantenimiento del Hardware. Manual de Polticas. Polticas para la Administracin de la funcin de la auditoria en informtica. Polticas relativas al software. Polticas relativas a seguridad. Polticas relativas al Hardware. Plan de Contingencia.

244

DIAS ACTIVIDADES
1

PRIMER MES Semana 1 2 3 4 5 1 Semana 2 2 3 4 5 1 Semana 3 2 3 4 5 1 Semana 4 2 3 4 5 1 Semana 1 2 3 4 5 1

SEGUNDO MES Semana 2 2 3 4 5 1 Semana 3 2 3 4 5 1 Semana 4 2 3 4 5

A. Auditoria de seguridad del plan de contingencias y de recuperacin. B. Auditoria del recurso humano. C. Elaboracin del informe final de auditoria en informtica.

ETAPA IV: Implantacin.

Objetivos del plan de Implantacin. A) General B) Especifico. Presentacin de la Propuesta. Revisin y Autorizacin de la Propuesta en marcha. Puesta en Marcha del Modelo de Auditoria TI. a) Divulgacin del modelo. b) Capacitacin. c) Condiciones para implementar el modelo. e) Acciones para la Implantacin del Modelo de Auditoria TI. d) Responsables de la Implementacin. f) Presupuesto de Implementacin del modelo de auditoria TI. g) Analisis COSTO - BENEFICIO. h) Revisin y evaluacin de la propuesta. i) Seguimiento del Modelo.

245

CONCLUSIONES

Despus de haber realizado la investigacin para la realizacin de la Tesis en los Centros Educativos Biculturales se concluye lo siguiente:

1. Los Centros Educativos Biculturales estn conformados por Medianas y Gran empresa, lo cual facilita la implantacin del Modelo de Auditoria TI, ya que cuentan con el recurso financiero y humano necesario para adoptar e Implantar el Modelo. 2. Los Centros Educativos Biculturales estn divididos organizacionalmente en dos reas: La Docente y la Administrativa. 3. Los Centros Educativos Biculturales han incorporado a sus actividades tanto administrativas como educativas la tecnologa como herramienta de trabajo, la cual consideran necesaria para el desarrollo de sus actividades diarias. 4. Los Centros Educativos Biculturales cuentan con equipos informticos para la realizacin de sus actividades , por lo que se considera que la Implantacin del Modelo de Auditoria TI, les servir para controlar el buen uso de stos y su aprovechamiento optimo. 5. Los Centros Educativos Biculturales no tienen como poltica interna la mejora continua en cuanto a recurso informtico, lo que favorece la Implantacin del Modelo de Auditoria Ti; ya que ste puede convertirse en una gua a seguir cuando se deseen hacer nuevas adquisiciones de equipo. 6. En los Centros Educativos Biculturales, el rea Administrativa es la que presenta deficiencia en cuanto al aprovechamiento ptimo de los recursos tecnolgicos y esto se debe a que el personal que labora dentro de estas reas no posee slidos conocimientos informticos. 7. La incorporacin de la Auditoria dentro de los Centros Educativos Biculturales, ayudara a la buena administracin de los recursos; ya que sta es una herramienta importante dentro de las Instituciones. Puesto que permite detectar fallas y proporciona soluciones o lineamientos con los cuales pueden corregirse.

246

RECOMENDACIONES

Se recomienda a los Centros Educativos Biculturales:

1. La Implantacin del Modelo de Auditoria TI, ya que este les servir de ayuda para aprovechar al mximo el recurso tecnolgico con el que cuentan dentro de sus instalaciones.

2. Crear conciencia en la Administracin de los Centros Educativos Biculturales el hecho de controlar, monitorear y mejorar continuamente la tecnologa informtica que utilizan para la realizacin de sus actividades diarias.

3. Crear un programa de capacitacin continua para el recurso humano, ya que esta es de suma importancia y ms cuando se trata de tecnologa. Puesto que sta evoluciona aceleradamente.

4. Se considera importante el hecho de asignar la realizacin de la auditoria a una entidad capacitada y sobre todo confiable. Ya que la informacin que se procesa en Los Centros Educativos Biculturales se considera de mucha importancia.

5. Que la Administracin de los Centros Educativos Biculturales se interesen por incorporar a sus procesos administrativos el Modelo de Auditoria TI, ya que este les ayudara a controlar y regular todas las actividades relacionadas con la tecnologa.

247