Auditoría de Tecnología de Información

Auditora de las
Tecnologas de la
Informacin
Ing. Jess Len Lamas
jesusleon@contraloria.gob.pe
Universidad Nacional Agraria "La Molina"
La Empresa bajo un Enfoque sistmico
GESTION SISTEMAS
INGRESOS
RECURSO S
BIENES
SERVICIOS
GESTION PROCESOS
LA ORGANIZACIN Y SU ENTORNO
E
N
E
N
Cultura
Polticas
Clima
UPC Diseo de la Estructura Organizacional

Daniel Arrieta
Universidad
Nacional
Estructura
Agraria "La Molina"
ENTORNO
GENERAL
ENTORNO ECONMICO
OPERACIONAL
PROVEEDORES
INTERNACIONAL
SOCIAL
ORGANIZACIN
LABORA
COMPETENCI
L
A
TECNOLGICO
POLTIC
CLIENTE
O
S
LEGA
L
QU
QUES
ESUNA
UNAORGANIZACIN?
ORGANIZACIN?
Es un conjunto de personas cuyos esfuerzos (acciones) se coordinan para
conseguir un cierto resultado u objetivo que interesa a todas ellas, aunque
su inters pueda deberse a motivos muy diferentes.
Entorno
Externo
Estrategia
Sistemas de
Direccin
Estructura
Formal
Objeto
Estilo de
Direccin
Estructura
Real
Misin
Externa
Valores de
La Direccin
Misin
Interna
Entorno
Interno
(Esquema Juan Antonio Prez Lpez) - UPC Diseo de la Estructura Organizacional Daniel Arrieta
LA CADENA DE VALOR DE LA EMPRESA

(PROCESOS)
RECURSOS GERENCIALES
RECURSOS FISICOS ( INFRA ESTRUCTURA )
RECURSOS TECNOLOGICOS ( INFORMATICOS )
RECURSOS HUMANOS
RECURSOS FINANCIEROS
LOGISTICA
DE
ENTRADA
I&D
PRODUC- MKT. Y
CION
VENTAS
LOGISTICA
DE
SALIDA
Visin
y
Misin
Compar
tida
POST
VENTA
El Sistema de Informacin Organizacional

CONOCIMIENTOS DE TI
Informacin Estratgica
Informacin tctica
Informacin del
conocimiento
Determinacin de objetivos
Alta
Direccin
Direccin
Supervisin, coordinacin y control
Trabajadores del
conocimiento
Trabajadores de los datos
MEDIOS
-Hardware
-Software
-Telecomunicaciones
Administracin de la informacin
Diseo del producto/servicio
Trabajadores
Produccin Finanzas
KNOW-HOW:
Talento, Habilidades y
Creatividad con las T.I.
Marketing Personal
SISTEMA DE INFORMACIN
(Andreu, Ricart y Valor, 1991)
Conjunto
integrado de procesos, principalmente formales,

desarrollados en un entorno usuario-ordenador que
operan sobre un conjunto de datos estructurados de una
organizacin.
Recopilan, procesan y distribuyen selectivamente la
informacin necesaria. para la operatividad habitual de
la organizacin y las actividades propias de la direccin
de la misma.
Auditora
Proviene del latn auditorius, de la cual proviene la palabra
auditor (oir y revisar cuentas).
Auditora de las Tecnologas de la Informacin

a.- Examen objetivo;
b.- Crtico;
c.- Sistemtico;
d.- Eminentemente posterior y selectivo de las polticas,
normas, prcticas, procedimientos y procesos (opinin
respecto a la eficiencia en la utilizacin de los recursos
informticos);
e.- Evaluar la confiabilidad, consistencia, integridad y
oportunidad de la informacin y la efectividad de los
controles en los sistemas de informacin computarizados.
10
reas de Inters para el Auditor de Tecnologas

de la Informacin
La Gerencia de Sistemas.
La organizacin y el personal.
El rea del computador.
Las aplicaciones.
Los estndares de documentacin y desarrollo.
La operacin del computador.
Los planes de desarrollo informtico.
Los controles y la seguridad en general.
Los archivos maestros y de transacciones.
La Red de Comunicaciones y de Datos.
La Internet / Intranet.
Las microcomputadoras.
La Transferencia Electrnica de Documentos (EDI).
Otras.
11
El Proceso de la Auditora
Fases especficas mediante las cuales se desarrolla este proceso:
12
La Planeacin de la Auditora
13
Planeacin de la Auditora
Se debe definir:
Objetivos y el alcance del trabajo;

Tcnicas y Herramientas a utilizar;
Recursos humanos y tcnicos que se emplearn; y
Plazos para realizar el examen.
Qu se busca ?
Conocimiento de los Sistemas de Informacin;
Evaluacin preliminar de sus fortalezas y debilidades y,
Lista de materias relacionadas con el rea auditada.
14
Actividades importantes:
a. Conocimiento General de la Entidad.
b. Evaluacin del Sistema de Control Interno de la
Gerencia de Sistemas de Informacin.
C. Programa de Auditora.
a) Conocimiento General de la Entidad
Conocer y estudiar la Entidad y la funcin informtica :
Informacin relacionada con la organizacin, sus

Objetivos, Reglamentos, Normas, Funciones, Estructura
del rea de Sistemas, Equipos, Aplicaciones, etc.
15
MODELO DE ANLISIS DE FUERZAS COMPETITIVAS

DE PORTER
NUEVOS
COMPETIDORES
COMPETENCIA
D
30%
PODER DE LOS
PROVEEDORES
C
10%
A
25%
PODER DE LOS
COMPRADORES
B
35%
ACTUAL
AMENAZA DE
SUSTITUTOS
Conocimiento General de la Entidad

ANALISIS EXTERNO
ANALISIS INTERNO
RESULTADOS
OBTENIDOS
Financieros
Posicin
competitiva
Marketing y
Ventas
CAPACIDADES
Y CARENCIAS
Gerenciales
Innovacin
Produccin
Comerciales
Logsticas
Financieras
FORTALEZAS Y
DEBILIDADES
MERCADO
Tamao
Tendencias
Segmentos
Atractividad
CLIENTES
- Intermedios
- Finales
ENTORNO
GENERAL
Demogrfico
Econmico
Poltico
Legal
Tecnolgico
Climtico, etc.
COMPETENCIA
Grupos
Posicin comp.
Capacidades y
carencias
Caractersticas
Estruct. Costos
Estrategias
OPORTUNIDADES Y
AMENAZAS
DIAGNOSTICO ESTRATEGICO
LINEAMIENTOS ESTRATGICOS GENERALES

OPORTUNIDADES
FORTALEZAS
DEBILIDADES
ESTRATEGIAS
F/O
( DE ATAQUE )
ESTRATEGIAS
D/O
( DE REFUERZO )
AMENAZAS
ESTRATEGIAS
F/A
( DE DEFENSA )
ESTRATEGIAS
D/A
( DE PREVENCIN /
SUPERVIVENCIA )
b) Evaluacin del Sistema de Control Interno de la

Gerencia de Sistemas de Informacin
Mtodos y procedimientos de administracin y proteccin
de recursos informticos.
Confiabilidad de los registros.
Eficiencia de las operaciones.
Adhesin a las polticas informticas establecidas por la
organizacin.
19
c) Programa de Auditora
Aspectos a cubrir en la fase de ejecucin de la Auditora y la
disposicin en tiempo, modo y lugar de los recursos necesarios
para llevarla a cabo:
a. Evaluacin de Organizacin en el rea de Sistemas.
b. Evaluacin de la Seguridad Fsica y Planes de Contingencia
de la Oficina de Sistemas.
c. Evaluacin de Bases de Datos, Archivos y Datos.
d. Evaluacin de Operaciones (Centro de Procesamiento y
rea de atencin a usuarios).
e. Evaluacin de Desarrollo y Mantenimiento de Sistemas.
f. Evaluacin de Redes de Comunicaciones.
20
Normas de Control Interno para Sistemas

Computarizados (Rubro 500)
NORMAS TCNICAS DE CONTROL INTERNO PARA
EL SECTOR PBLICO
(R.C. N 072-98-CG, Lima, Viernes 18 de Diciembre de 1,998)
Organizacin del rea informtica.

Plan de Sistemas de Informacin.
Controles de Datos fuente, de operacin y de salida.
Mantenimiento de equipos de cmputo.
Seguridad de programas, de datos y equipos de cmputo.
Plan de Contingencias.
Aplicaciones de tcnicas de Intranet.
Gestin ptima de software adquirido a medida por
entidades pblicas.
21
Organizacin del rea Informtica (500-01)

Evaluar las polticas para la organizacin adecuada del rea
informtica:
a. Alineamiento con el Plan Operativo (Gestin Institucional) .
b. Mantener la operatividad de la entidad (Funciones y
responsabilidades).
c. Constitucin funcional: Produccin, Desarrollo y Soporte
Tcnico (Hardware, Software, Telecomunicaciones).
22
Plan de Sistemas de Informacin (500-02)

Implementar un plan de sistemas de informacin con el fin de
contribuir al logro de los objetivos institucionales:
a. La entidad debe recibir el soporte del sistema de
informacin, de acuerdo con sus necesidades.
b. Diagnstico de la situacin informtica; Objetivos y
estrategias de sistemas; generacin, ordenamiento y
priorizacin de los proyectos; programacin de los tiempos
requeridos para la puesta en marcha.
c. La direccin debe participar en la elaboracin, aprobacin y
puesta en funcionamiento del plan de sistemas de informacin.
23
PLANIFICACION ESTRATEGICA Y OPERATIVA

PLAN ESTRATEGICO EMPRESARIAL
PLAN ESTRATEGICO DE T.I.
Ao
Ao00
HOY
HOY
Ao
Ao11
PLANES
PLANES
OPERATIVOS
OPERATIVOS
DIVISIONALES
DIVISIONALES
YYFUNCIONALES
FUNCIONALES
de
deCORTO
CORTOPLAZO
PLAZO
Ao
Ao33 Ao
Ao44 Ao
Ao nn
LO IMPORTANTE
LO URGENTE!!!
Controles de Datos Fuente, de Operacin y

de Salida (500-03)
Salvaguardar los datos fuente, operaciones de proceso y
salida de informacin:
a. Deben establecerse polticas que definan niveles de
seguridad de las claves de acceso.
b. Procedimientos de controles de operacin.
c. Copias de informacin en otros locales.
25
Mantenimiento de Equipos de Computacin

(500-04)
Polticas respecto al mantenimiento de los equipos de
computacin:
a. Deben considerarse el mantenimiento correctivo y
preventivo.
b.Mantenimiento correctivo: mantenimiento de emergencia
(menor tiempo posible).
c.Mantenimiento preventivo (programado).
d.Bajo tres factores: (Periodicidad, acceso inmediato al
mantenimiento correctivo y la proteccin de los dispositivos
de almacenamiento).
e.Establecer las polticas sobre mantenimiento de los
equipos.
26
Seguridad de Programas, de Datos y equipos

de cmputo (500-05)
Mecanismos de seguridad en los programas y datos del
sistema para proteger la informacin procesada por la
entidad:
a.Seguridad lgica. 1) Acceso a los archivos y programas para
los programadores, analistas u operadores. 2) claves de
acceso (password); 3) copias de respaldo de manera peridica
y descentralizada; 4) contar con un sistema de seguridad
(software); y, 5) mantener programas antivirus actualizados.
b.Seguridad fsica de los equipos (Personal de vigilancia,
alarmas, extinguidores y dems dispositivos).
27
Plan de Contingencias (500-06)

Elaborar el Plan de Contingencias de la entidad:
a. Describe los procedimientos que debe seguir la Oficina de
Informtica para actuar en caso de una emergencia se
interrumpa la operatividad del sistema de cmputo.
b.Considera todos los puntos por separado y en forma
integral como sistema (Documentacin actualizada, Suscribir
convenios).
c.Debe efectuarse sobre la base de que la emergencia
existe.
d. Se distribuye entre el personal responsable de su
operacin.
e. Informtica elabora, mantiene y actualizar el Plan.
28
Aplicacin de Tcnicas de Intranet (500-07)

Implementacin de las tcnicas de INTRANET (previa
evaluacin del costo-beneficio):
a. Establecer niveles de seguridad para informacin
especifica que es compartida entre mltiples usuarios dentro
de una entidad.
b. Permite construir rpidamente una base de conocimientos
capaz de ayudar al crecimiento de la entidad.
c. Pautas tcnicas para iniciar una Intranet (Protocolo de
comunicaciones, servidor; organizacin de la informacin,
software de manipulacin de la informacin y Base de datos).
Limitacin al alcance
29
Gestin ptima de Software adquirido a

medida por Entidades Pblicas (500-08)
Polticas sobre el software a medida adquirido por las

entidades:
a. Contratos con terceros para el desarrollo e
implementacin de aplicaciones computarizadas.
b. La direccin debe establecer las polticas que permitan
registrar los derechos de propiedad a nombre del Estado.
c. Procedimientos que permitan compartir entre las
distintas entidades pblicas, la utilizacin del software
adquirido a medida para sus actividades.
30
Objetivos a considerar para la elaboracin del

Programa para Evaluacin de Organizacin en el rea
de Sistemas
a. Segregacin de funciones.
b. Mantenimiento de manuales y custodia de bienes.
c. Controles sobre exactitud de los datos (E/S).
d. Administracin adecuada de los recursos informticos.
e. Verificar la buena planificacin; organizacin; control;
estandarizacin.
f. Que todos los proyectos sean abordados mediante Estudios
de Factibilidad, evitar la MODA (ERP-SIGA-BI-B2BDatawarehouse,etc.)
31

Programa para Evaluacin de Organizacin en el rea
de Sistemas
g. Comprobar los elementos de la planificacin (Cronogramas de
actividades; Informacin individual de las actividades;
Racionalizacin; Informes de cumplimiento,etc.).
h. Existencia de planificacin y de una metodologa de
Desarrollo, Mantenimiento y control (Dificultades, Evitar los
imprescindibles, reducir exceso de tiempo o injustificacin
de atrasos en el desarrollo de los sistemas, problemas de
cumplimiento).
i. Garantizar que estn descritos los procedimientos de
planificacin, desarrollo, mantenimiento y operacin de los
sistemas y que estn controlados con mtodos simples y
funcionales.
32
REGLA DE HOROWITZ
La sabidura consiste en saber cundo se
debe evitar la perfeccin.
33
Qu es un proyecto?
Gerencia temporal de un medio ambiente diseado para
entregar un producto terminado, que busca solucionar un caso
especfico de negocios.
Caractersticas:
nico.
Diseado para el logro de un objetivo especfico.
Contiene recursos definidos.
Tiene un inicio y final definidos.
Generalmente se requiere un rango de habilidades.
34
DEFINICION DE OBJETIVO
UN OBJETIVO ES...
- UN RESULTADO ESPECFICO Y CUANTIFICABLE

- POSIBLE DE ALCANZAR EN UN DETERMINADO
PERODO DE TIEMPO.
Los objetivos deben estar basados en el Diagnstico y no
ser expresiones de buenos deseos ni meras extrapolaciones
de tendencias histricas.
35
Requisitos de un objetivo
Debe estar orientado a resultados.
Debe ser alcanzable.
Medible para poder ser evaluable.
Aceptables por todos para que sean participativos.
Motivadores y desafiantes.
Flexibles.
Coherentes con la misin de la empresa.
36
El Estudio de Factibilidad e Iniciacin del

Proyecto
Planeamiento Estratgico
Estudio de Factibilidad
Informe
?
Redimensionamiento o
Abandono
Continua
Iniciacin del Proyecto
Plan de
Trabajo
37
El Estudio de Factibilidad
Los objetivos son:
Desarrollar definiciones precisas del problema.
Gane la aprobacin de usuario
Decidir si el problema...
Puede solucionarse.
No puede solucionarse.
Identificar las alternativas para solucionar el
problema.
LEY DE GORDON
Si una investigacin no merece la pena,
tampoco merece la pena hacerla bien.
38
El Informe del Estudio de Factibilidad

Se trata del producto final del Estudio de
Factibilidad.
Debe explicar:
Porqu es necesario el Sistema?
Qu negocio busca satisfacer?
Cules son las alternativas?
Qu opcin se prefiere (y por qu)?
Cmo puede medirse un eventual xito del
proyecto?
39
Anlisis Empresarial
Para cada opcin considere (y compare...)
Cualquier premisa importante.
Encaje con la estrategia de SI/TI.
Los riesgos de una realizacin exitosa.
Tiempo de entrega.
Retorno de la inversin.
Esbozo del proyecto y presupuestos.
40
Estimacin de la Inversin
Tcnicas para identificar las opciones de mayor
valor del dinero
Involucra:
Analizar Costos, Beneficios, TIR.
Considerar opciones de financiamiento.
Sopesar los riesgos ligados a cada opcin.
Evaluar el equilibrio entre las opciones.
Seleccionar la opcin ptima.
41
Herramientas de Evaluacin de la Inversin

Costo Hundido
Costo irrecuperable en que ya se ha incurrido.
Tiene relevancia para las decisiones futuras.
Costo de Oportunidad
Utilidad mxima que podra haberse obtenido de la inversin en
cualquiera de sus usos alternativos; el dinero, el tiempo y el
trabajo cuestan.
Los costos hundidos y los costos de oportunidad son dos caras
de una moneda que no podemos ignorar.
42
Anlisis de Costo / Beneficio

Compara intervenciones o programas que tienen un
resultado comn en una situacin donde, para un nivel
dado de recursos, los encargados de adoptar las
decisiones desean maximizar las prestaciones.
Anlisis Costo Beneficio
* Identificacin de los Costos
* Costos Operacionales
* Beneficios Tangibles
* Beneficios Intangibles
43
Iniciacin del Proyecto

Objetivo: Establecer el mando en la direccin.
Llevar a cabo la valoracin de los riesgos.
Distribuir roles & responsabilidades.
Describir productos finales & entregables.
Plan de actividades & distribucin de recursos.
Colocar los resultados en un documento de iniciacin
del proyecto.
44
En relacin a los proyectos y a su gestin.....

LEY DE HENDRICKSON
Si a causa de un problema se convocan muchas
reuniones, las reuniones llegarn a ser ms
importantes que el problema.
TEOREMA FUNDAMENTAL
Los nuevos sistemas generan nuevos problemas.
45
Derivacin de los Proyectos

Necesidades del Negocio
Plan Corporativo
Estrategias de TI
Programa
Proyecto
Programa
Proyecto
Proyecto
Satisfaccin de
las Necesidades
del Negocio
46
Problemas comunes de los Proyectos

Poco involucramiento de la Alta Direccin.
La envergadura del Proyecto sobrepasa los lmites
organizacionales.
Inexperiencia en la gerencia del Proyecto.
Presin en el equipo por personal ajeno al proyecto.
Fracaso en el control de los costos.
Produccin del personal no tiene continuidad.
47
Riesgos de un Proyecto de T.I.

El sistema podra
Nunca ser entregado.
Ser entregado tarde y/o que exceda el presupuesto.
Ser poco amigable, carente de funcionalidad.
Ser inestable (errores) una vez puesto en
funcionamiento.
Difcil / Costoso de manejar, mantener y mejorar.
No trabaje como se espera.
No interconectado con otros sistemas, falto de

integracin.
No cumpla con las cambiantes expectativas.
48
Controlando los riesgos del proyecto

Distribuir roles y responsabilidades.
Establecer buenas comunicaciones.
Reducir el proyecto en etapas manejables.
Planear cada etapa en detalle.
Planear entregables no actividades.
No inicie una nueva etapa hasta que una etapa
previa haya concluido.
No sea ambicioso ms all de lo normal.
LEY DE PATTON
Un buen plan es mejor HOY que un plan perfecto
MAANA.
49
Controlando los riesgos del proyecto

Controlar los requerimientos de cambios del
usuario.
Revisar frecuentemente:
Progresos contra presupuestos y fechas lmites.
Calidad contra estndares y requerimientos.
Es el proyecto an viable?
Involucre a los usuarios finales a travs de todo el
proyecto.
50
Algunas verdades en la Gerencia de Proyectos

Lo que no esta en el papel no se ha dicho !.
La palabra ms valiosa y menos usadas en el
vocabulario de un gerente de proyectos es NO.
Los problemas que hacen dao son aquellos que se
desconoce hasta que se presentan.
Demasiadas personas en un proyecto crean ms
problemas de los que solucionan.
Lo ms ridculo respecto a las fechas lmites es
agregarles ms costos con la intencin de
alcanzarlas.
51
Consideraciones para auditar el Proyecto

Est el proyecto soportado en un levantamiento de
procesos vlido (Anlisis Empresarial)?
El Comit del Proyecto ha establecido el control
firme acerca del proyecto?
Los riesgos del proyecto han sido identificados
conjuntamente con las soluciones apropiadas?
El Comit del Proyecto ha designado medidas de
control de calidad?
El Comit del Proyecto ha asignado fechas para la
revisin del avance del proyecto?
52
ALGUNAS LEYES UNIVERSALES SOBRE LOS

MTODOS RECOMENDADOS POR EL COMIT DE
LA SOCIEDAD DE LOS INGENIEROS
FILSOFOS PARA INGENIEROS INGENUOS
1. Cualquier error de cualquier clculo, ser el que ms
daos produzca.
2. Si slo existe una oferta para un determinado
proyecto, lo ms seguro es que el precio no sea
razonable.
3. Todas las promesas sobre los plazos de entrega deben
multiplicarse por un factor igual a 2,0.
4. Los cambios importantes de diseo se solicitarn
cuando el proceso de fabricacin este a punto de
terminar.
53
5. Las especificaciones sobre el rendimiento se deben

multiplicar por un factor igual a 0,5 (50% de lo
planeado).
6. Si hay ms de una persona a la que se le pueda echar
la culpa de un error, la culpa no ser de nadie.
7. Aparatos idnticos que han tenido el mismo
comportamiento en las pruebas, no se comportarn
igual en la prctica.
8. Las clusulas de garanta expiran al pago de la factura.
54

Programa para Evaluacin de la Seguridad Fsica y
Planes de Contingencia de la Oficina de Sistemas
a. Establecer la continuidad de operaciones de negocio
que se apoyan en la OFICINA DE SISTEMAS, mediante
la verificacin de los planes para la "Prevencin y
Recuperacin de Desastres.
b.Comprobar el diseo y la implantacin de un plan de
contingencia.
55
Plan de Contingencia
Objetivo : recuperar el servicio en un tiempo aceptable
Tipo de Plan regulado por el Impacto del negocio.
Los planificadores necesitan considerar:
Diferentes tipos de fallas en el servicio (hardware,
software, comunicaciones, utilitarios, etc.).
Desastres (Fuego, Inundaciones, Huelgas, Epidemias,
etc).
Restaurar el servicio de la computadora.
Reubicar usuarios y personal de apoyo.
56

Programa para Evaluacin de la Seguridad Fsica y
Planes de Contingencia de la Oficina de Sistemas
Verificar la existencia de controles sobre el acceso
fsico y de procedimientos de respaldo:
a. Utilizacin no autorizada de los elementos
computacionales.
B. Robo de informacin, programas, equipos o archivos de
la entidad.
c. Destruccin, modificacin o revelacin premeditada o
accidental de informacin, programas o equipos.
d. Prdida de grandes cantidades de informacin
histrica o del perodo corriente, de difcil recuperacin
o elevado costo.
57
Acerca de los Riesgos....segn el MAGU...

Riesgo bajo El auditor considera que los controles prevern o
detectarn cualquier aseveracin errnea que pudiera ocurrir.
Riesgo medio El auditor considera que es ms probable que
los controles no prevean o detecten cualquier aseveracin
errnea que pudiera ocurrir.
Riesgo alto El auditor considera que es ms probable que los
controles no prevean o detecten cualquier aseveracin errnea
que pudiera ocurrir.
58

Programa para Evaluacin de Bases de Datos,
Archivos y Datos
a. Verificar que la informacin almacenada en entidad,
est protegida contra su prdida o robo.
b. Comprobar la seguridad para la proteccin accidental
o intencional de los datos.
c. Identificar las medidas de seguridad empleadas para
conservar correctos los datos en la base de datos.
d. Copia de seguridad de cada archivo en prevencin de
posibles fallas.
e. Examinar procedimientos con los que cuenta el
sistema para evitar la inconsistencia de los datos,
preservando la integridad de los datos.
59
Administrando el Centro de Documentacin
Un sistema de Informacin comprende muchos

componentes.
Es importante mantener el control de:
Documentos de diseo.
Programas de computadora.
Planes.
Manuales.
Computadoras y equipos de comunicaciones.
60

Documentacin a guardar:
*
Donde se encuentran estos tems (Programas

de computadora).
*
Quin o quienes los poseen?
*
Su estado (Ej. en desarrollo, prueba, piloto,
archivado).
*
Historia de los problemas y cambios.
*
Relaciones con otros componentes
(subprocesos).
61

Infraestructura de IT
Hardware
Suite 1
Software
Redes
Documentacin
Suite 2
Programa
1-1
Mdulo
1 - 2 - 1
Programa
1-2
Programa
1-3
Mdulo
1 - 2 - 2
62

Programa para Evaluacin de Operaciones en el
Centro de Procesamiento y rea de Atencin a
Usuarios
a. Control del rea de operaciones de los centros de
procesamiento de datos y las reas de atencin a
usuarios.
b. Controlar que estas reas seaneficientes y
eficaces, es fundamental, ya que tiene consecuencias
inmediatas en la continuidad de las operaciones.
63
Acuerdos de Nivel de Servicio

Acuerdo formal entre proveedores y usuarios
del servicio.
Nivel de soporte:
Tipos de servicios a ser provistos.
Tiempos disponibles y situaciones cubiertas.
Medicin en la entrega del servicio.
Control de cambios.
Personal de enlace.
Cargos y penalidades.
64
Contratos y Acuerdos de Nivel de Servicio
USUARIO
USUARIO
USUARIO
USUARIO
DEPARTAMENTO DE SERVICIOS DE IT
SISTEMAS DE COMPUTADORA
Hardware
Software
aplicativo
Medio
ambiente
Comunicaciones
Proveedores & Mantenimiento
65

Programa para Evaluacin de Desarrollo y
Mantenimiento de Sistemas
a. Verificar los procedimientos que permitan al Grupo de
desarrollo garantizar que los sistemas sean eficientes,
eficaces, y confiables, cuando entren en produccin
normal (explotacin).
b. Comprobar que los procedimientos incluyen pistas de
Auditora y Control en los sistemas.
66
Una buena especificacin del Sistema

...Debera ser:
Exacta
Clara
Concisa
Inequvoca
Relevante
Adecuada
Completa
Efectiva
67
El analista de sistemas
Usuario
Analista de
Sistemas
Programador
El Analista de Sistemas traduce las necesidades de

los usuarios en trminos tcnicos
LEY DE JORDAN
Un informante (usuario) que nunca proporciona
informacin equivocada es demasiado anormal como
para confiar en l.
68
POSTULADOS FUNDAMENTALES DE LA TEORA

AVANZADA DE SISTEMAS
1. Todo es un sistema.
2. Todo es parte de un sistema mayor.
3. El Universo est infinitamente sistematizado, tanto
hacia arriba (sistemas ms grandes) como hacia
abajo (sistemas ms pequeos).
4. Todos los sistemas son infinitamente complejos (La
ilusin de que son simples proviene de centrar la
atencin en una o pocas variables).
69
Diseo de Sistemas
Diseo Lgico :
Diseo Conceptual
Implementar los requerimientos de los usuarios.
Ningn detalle fsico.
Portable.
Diseo Fsico :
Diseo del mundo real.
Hardware, Software, comunicaciones, personas.
70
Diseo Lgico
Otros requerimientos son :

* Diccionario de datos
Guardar definiciones y descripciones
de los datos.
Provee referencia cruzada.

* Algoritmos - Definir las entradas y salidas:
Describe brevemente la operacin del
proceso.
Las herramientas CASE simplifican el diseo lgico.
71
Diseo Fsico
Define el proceso en detalle
Decide acerca de los componentes fsicos del
sistema:
Programas de computadora.
Estructuras de datos.
Plataforma tecnolgica.
72
Diagrama de Flujo Inventario
(Demostracin de un mtodo para documentacin de un diagrama de flujo

usando un sistema de inventario como ejemplo)
Inventario
Cliente
Proceso de
transacciones
Generacin
de la orden
Comunicar
Gerente
Proveedor
73
Modelo de desarrollo de Sistemas Cascada

El proceso de diseo traduce los requisitos
de una representacin del software que
puede ser establecida de forma que se
obtenga la calidad requerida antes de
iniciar la codificacin.
Especificar
necesidades
Diseo
Desarrollo
Fija
Prueba
Implementacin
74
Ciclo de Vida del Desarrollo de Sistemas
Plan
Estudio de Factibilidad
Continuacin o redefinicin del

alcance
Iniciacin del
proyecto
Aproximacin al
modeloCascada
Especificar necesidades
Desarrollo/Obtencin
Construccin y
Pruebas
Implementacin y
Revisin
75
Modelo Cascada - Ventajas

Bueno para requisitos estables y conocidos.
Bueno para procesos computacionales complejos.
Encaja bien con el modelo tradicional Top-Down.
Rpido y eficiente si en producto final es
conocido.
Medida clara del progreso del proyecto.
Fcil de dividirse en sub-contratos.
76
Modelo Cascada Desventajas

Completar las especificaciones son tareas de tiempo
completo.
Ninguna conviccin que se ha hecho con precisin
hasta la comprobacin de aceptacin.
Cambiantes necesidades del negocio.
Alto costo de corregir errores.
Gran esfuerzo de mantenimiento.
Muy lento. Pasa mucho tiempo antes que los usuarios
vean un producto funcionando.
77
El alto costo de los cambios en los sistemas

Costo
Especif.
Diseo
Desarrollo
Prueba
Implementacin
Post-Implem.
Tiempo
78
Qu involucra el Desarrollo Rpido de

Aplicaciones (RAD)?
Compromiso de la Alta Direccin.
Equipos pequeos y mucho Empowerment.
Requerimientos Mnimos en el ms corto tiempo.
Talleres (sesiones de Desarrollo de Sistemas
conjunto).
Se requiere gran confianza en la automatizacin
(CASE).
Prototipeo, iteracin y re-uso.
79
Ciclo de Vida Diseo Rpido de Aplicaciones

(RAD)
Desarrollo del
Sistema
3
Definir
Requerimientos
1
Verificacin y
Validacin
5
Diseo del
Sistema
Entrega del
Sistema
6
Documentacin
Del Sistema
4
80
Software Asistido por Computadora (CASE)
Herramientas de apoyo de software a cubrir:

1 Actividades tcnicas:
Anlisis & Diseo.
Construccin y Mantenimiento.
Administracin de los procesos de desarrollo:

-
Gerencia del proyecto.
Estimaciones.
Administracin de la configuracin.
Ambiente Integrado de Apoyo al Programa cubre

todo.
81
Controlando los prototipos

Prototipos
Internos
Iteracin Funcional
del Prototipo
Acuerdo del
Prototipo
Acuerdo
Administracin de
la Configuracin
Diseo & Construccin

del Prototipo
Acuerdo del
Prototipo
Acuerdo
82
Modelo de construccin de Aplicativos mediante

Prototipos
Inicio
Parada
Recoleccin y
refinamiento de
requisitos
Producto de
Ingeniera
Refinamiento
prototipo
Diseo
rpido
Evaluacin del prototipo

por el Cliente
Construccin
prototipo
83
Modelo de construccin de Aplicativos mediante

Prototipos
Trabajar con mdulos
manejables
Construir el Prototipo
con rapidez
Modificar el Prototipo una

vez revisado por los
usuarios
Enfatizar la Interfaz con

el Usuario
Modularidad
Menor Tiempo (1 semana/3 das)
Baja dependencia de los modulos
Amigables y en relacin al modelo

de usuario
84
Modelo Espiral - RAD

Anlisis de riesgos
basado en
requisitos
Recolecin de
requerimientos
y planificacin
del proyecto
inicial
Plan
Analizar
Definir
objetivos
100
99 96
Opciones
80
Decisin de seguir
o no hacia el
sistema
Revisin
Evaluacin
del cliente
Prueba e
Instalacin
Diseo
Construccin
Prototipo inicial
del software
85
Especificacin de Requerimientos
Las especificaciones generalmente cubren:
Requerimientos funcionales (Obligatorios &
Opcionales).
Seguridad de T.I.
Documentacin.
Entrenamiento.
Mantenimiento.
Rendimiento esperado.
Medicin del rendimiento.
Criterios de prueba y aceptacin.
........ etc.
86
Control de versiones
Todos los desarrolladores necesitan trabajar en la
misma versin No de las ltimas semanas
Debe asegurarse que todos los componentes en
una versin son compatibles
A veces se necesitan mltiples versiones para
diferentes necesidades o plataformas diferentes
Proporciona un medio de regresar atrs; a un
estado previamente conocido (regresin).
87
Riesgos asociados a los cambios

Impacto de los cambios no identificados.
Cambio incorrectamente especificado, diseado o
programado.
Cambio de versin incorrecta o lanzada.
Cambio instalado en ubicacin equivocada.
Documentacin del sistema no actualizada.
Riesgos de seguridad (Ej. virus, analizadores de
protocolo, etc.).
88
Impacto de cambios sin control

Problemas e imprevistos se presenten en todas
partes.
El sistema presenta fallas debido a:
Errores de programa.
Versiones de programa incompatibles.
Fallas al instalar el cambio.
Documentacin del programa incorrecta.
Interferencia maliciosa.
Impactos Prdida de data; sistema no accesible;

revelacin de informacin sensible.
89

Programa para Evaluacin de Redes de
Comunicaciones
a. Evaluar la forma de comunicacin entre los usuarios y
sistemas basados en el computador.
b. Evaluar cmo se afecta la seguridad de los datos, a
medida en que las comunicaciones y procesamiento
de datos continan expandindose.
90
La Ejecucin de la Auditora
91
Controles de Carcter General

Controles de Adquisicin, Organizacin, Desarrollo,
Administracin fsica y lgica, Documentacin y de
Seguridad.
Controles de Carcter Especfico

Controles de Aplicaciones (Entrada, Procesamiento y
Salida), Bases de Datos, de Procesamiento Distribuido y de
Microcomputadoras.
92
Entonces....se evala a travs de Controles de Carcter

General y/o Controles de Carcter Especfico.
Recomendacin: Se debe ir de lo general a lo

particular
Cmo ir de lo general a lo particular ?
El auditor debe identificar, verificar y evaluar los mtodos de
control en el proceso de obtencin de la evidencia adecuada,
para fundamentar las conclusiones de auditora a travs de
pruebas de cumplimiento y/o sustantivas.
93
Pruebas de Cumplimiento
Usadas para determinar si un procedimiento de control
prescrito est funcionando efectivamente y consisten en
verificar:
a) Aplicacin de Leyes o Reglamentos, de procedimientos
establecidos en los manuales y que stos se encuentren
actualizados.
b) Conocimiento por parte del personal, de los manuales y de
las polticas del ambiente informtico.
c) Existencia de informes o memorandos preparados por el
Departamento de Informtica.
d) Verificar si han sido implantadas las recomendaciones
emitidas por auditoras anteriores.
94
Pruebas Sustantivas
Proveen seguridad razonable sobre la validez de la
informacin producida, mediante la aplicacin de una o varias
tcnicas de auditora, ya sea simultnea o secuencialmente,
tales como:
a) Analizar registros.
b) Hacer operaciones.
c) Comparar archivos.
d) Estratificar archivos.
e) Seleccionar una muestra aleatoria.
f) Resumir informacin.
g) Generar reportes.
h) Construir archivos de prueba.
i) Extraer informacin de un archivo.
j) Realizar anlisis estadsticos.
k) Simular parte del sistema o el sistema completo.
95
Tipos de evidencia
La evidencia de auditora puede clasificarse en los tipos
siguientes:
Evidencia fsica
Evidencia documental
Evidencia testimonial
Evidencia analtica
a. Evidencia fsica. Ejemplo en la verificacin de saldos y/o

cruces de informacin (magntico versus fsico).
b. Evidencia documental. Es la informacin obtenida de la
entidad bajo auditora e incluye, comprobantes de pago,
facturas, contratos, cheques y, en el caso de empresas
estatales, acuerdos de Directorio. La confiabilidad del
documento depende de la forma como fue creado y su propia
naturaleza.
96
Tipos de evidencia
Clasificar los documentos en:
Externos: aquellos que se originan fuera de la entidad.
Internos: aquellos que se originan dentro de la entidad.
c. Evidencia testimonial: Informacin obtenida de terceros a
travs de cartas o declaraciones recibidas en respuesta a
indagaciones o mediante entrevistas.
d. Evidencia analtica: Se obtiene al analizar o verificar la
informacin.
La confiabilidad de evidencia analtica depende en gran parte
de la importancia de la informacin comparable.
97
ATRIBUTOS DE LA EVIDENCIA
a) Suficiencia: Se refiere al alcance de los procedimientos de
auditora desarrollados.
b) Competencia: Calidad de las evidencias obtenidas, su
aplicabilidad respecto a una aseveracin en particular, y su
confiabilidad.
c) Relevancia (pertinencia): Relacin que existe entre la
evidencia y su uso. Debe guardar relacin lgica y patente con
ese hecho.
98
TCNICAS DE AUDITORA
Son mtodos prcticos de investigacin y prueba que utiliza
el auditor para obtener evidencia que fundamente su opinin.
Las tcnicas ms utilizadas al realizar al realizar pruebas de
transacciones y saldos son:
Tcnicas de verificacin ocular
Tcnicas de verificacin oral
Tcnicas de verificacin escrita
Tcnicas de verificacin documental
Tcnicas de verificacin fsica
99

Comparacin, es el acto de observar la similitud o diferencia
existente entre dos o mas elementos.
Observacin, es el examen ocular realizado para cerciorarse
como se ejecutan las operaciones.
Indagacin, es el acto de obtener informacin verbal sobre
un asunto mediante averiguaciones directas o conversaciones
con los funcionarios responsables de la entidad.
100

Las Entrevistas, pueden ser efectuadas al personal de la
entidad auditada. Para obtener mejores resultados deben
prepararse apropiadamente, especificar quienes sern
entrevistados, definir las preguntas a formular, alertar al
entrevistado acerca del propsito y puntos a ser abordados.
Las Encuestas pueden ser tiles para recopilar informacin
de un gran universo de datos o grupos de personas.
101
Tcnicas de verificacin escrita
Analizar, consiste en la separacin y evaluacin crtica,

objetiva y minuciosa de los elementos o partes que conforman
una operacin o proceso para establecer su relacin y
conformidad con los criterios normativos y tcnicos
existentes.
Confirmacin, permite comprobar la autenticidad de los
registros y documentos analizados, a travs de informacin
directa y por escrito.
Tabulacin, consiste en agrupar los resultados obtenidos en
reas, segmentos o elementos examinados, de manera que se
facilite la elaboracin de conclusiones.
Conciliacin, implica hacer que concuerden dos conjuntos de
datos relacionados, separados e independientes.
102
Tcnicas de verificacin documental

Comprobacin, verificar la existencia, legalidad, autenticidad
y legitimidad de las operaciones efectuadas por una entidad,
mediante la verificacin de los documentos que las justifican.
Computacin, verificar la exactitud y correccin aritmtica
de una operacin o resultado. Se prueba solamente la
exactitud de un clculo, por lo tanto, se requiere de otras
pruebas adicionales para establecer la validez de las cifras
incluidas en una operacin.
Rastreo, es utilizada para dar seguimiento y controlar una
operacin de manera progresiva, de un punto a otro de un
proceso interno determinado.
Revisin selectiva, consiste en el examen ocular rpido de
una parte de los datos o partidas que conforman un universo
homogneo en ciertas reas.
103
Tcnicas de verificacin fsica

Inspeccin, es el examen fsico y ocular de activos, obras,
documentos y valores, con el objeto de establecer su
existencia y autenticidad.
104
Tcnicas de auditora usadas para evaluar

los programas de cmputo
Pruebas de Recorrido.
Comparacin de cifras en el sistema.
Evaluacin operativa y funcional de los Sistemas de
Informacin.
Evaluacin de la calidad de la informacin.
Control de datos rechazados.
Dgito de verificacin.
Evaluacin de entradas preprocesadas al sistema.
Evaluacin de transacciones ficticias.
Evaluacin de controles internos en aplicaciones crticas.
Evaluacin de la oportunidad, razonabilidad, privacidad y
seguridad de la informacin.
105
La Informe de la Auditora
106
El Informe
Es la culminacin de una auditora o revisin. Representa el
aspecto crtico del proceso porque es la representacin
fidedigna, visible en que terceros pueden confiar. As pues,
debe mostrar claramente el alcance del trabajo realizado y
la responsabilidad que se asume en cuanto a la razonabilidad
de los Sistemas.
Una vez reunida la evidencia, el auditor debe depurar y
juzgar con el mayor celo profesional a fin de obtener las
conclusiones adecuadas. Al emitir su opinin, terceras
personas depositan su confianza en l.
107
Los informes que se emitan deben tener en

consideracin los siguientes criterios (Segn las
MAGU)
Claridad: los informes deben ser fciles de entender y
estar libres de ambigedades o vaguedades.
Objetividad: los informes deben estar libres de prejuicios.
Precisin: los informes no deben ser ms largos de lo
necesario. No deben existir prrafos o secciones demasiado
detalladas que no se adecuen con claridad al contenido del
informe. Muchos detalles quitan mrito al informe y pueden
desvirtuar y confundir al usuario de este.
Equidad: los informes deben ser equilibrados y reflejar un
adecuado conocimiento de los problemas significativos sobre
la habilidad de la entidad auditada, para administrar sus
operaciones.
108
Papeles de trabajo
Es importante que como constancia fsica del trabajo
realizado se anexe la documentacin de mayor prioridad,
como producto de la revisin realizada.
Esta puede incluir informacin de las encuestas realizadas,
guas de evaluacin formuladas a los usuarios del sistema, as
como documentacin emitida por el sistema en revisin, que
evidencie las novedades encontradas o simplemente las
salidas del sistema (reportes).
109

Auditoría de Tecnología de Información

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Auditoría de Tecnología de Información

Enviado por

Direitos autorais:

Formatos disponíveis

Auditora de las

Universidad Nacional Agraria "La Molina"

Universidad Nacional Agraria "La Molina"

La Empresa bajo un Enfoque sistmico

Universidad Nacional Agraria "La Molina"

UPC Diseo de la Estructura Organizacional

Agraria "La Molina"

LA CADENA DE VALOR DE LA EMPRESA

Universidad Nacional Agraria "La Molina"

El Sistema de Informacin Organizacional

Supervisin, coordinacin y control

Universidad Nacional Agraria "La Molina"

integrado de procesos, principalmente formales,

Universidad Nacional Agraria "La Molina"

Auditora de las Tecnologas de la Informacin

reas de Inters para el Auditor de Tecnologas

Fases especficas mediante las cuales se desarrolla este proceso:

Universidad Nacional Agraria "La Molina"

Universidad Nacional Agraria "La Molina"

Objetivos y el alcance del trabajo;

Universidad Nacional Agraria "La Molina"

Informacin relacionada con la organizacin, sus

Universidad Nacional Agraria "La Molina"

MODELO DE ANLISIS DE FUERZAS COMPETITIVAS

Conocimiento General de la Entidad

LINEAMIENTOS ESTRATGICOS GENERALES

b) Evaluacin del Sistema de Control Interno de la

Universidad Nacional Agraria "La Molina"

Universidad Nacional Agraria "La Molina"

Normas de Control Interno para Sistemas

Organizacin del rea informtica.

Organizacin del rea Informtica (500-01)

Universidad Nacional Agraria "La Molina"

Plan de Sistemas de Informacin (500-02)

PLANIFICACION ESTRATEGICA Y OPERATIVA

Controles de Datos Fuente, de Operacin y

Universidad Nacional Agraria "La Molina"

Mantenimiento de Equipos de Computacin

Seguridad de Programas, de Datos y equipos

Plan de Contingencias (500-06)

Aplicacin de Tcnicas de Intranet (500-07)

Gestin ptima de Software adquirido a

Polticas sobre el software a medida adquirido por las

Objetivos a considerar para la elaboracin del

Objetivos a considerar para la elaboracin del

Universidad Nacional Agraria "La Molina"

Universidad Nacional Agraria "La Molina"

- UN RESULTADO ESPECFICO Y CUANTIFICABLE

Universidad Nacional Agraria "La Molina"

Universidad Nacional Agraria "La Molina"

El Estudio de Factibilidad e Iniciacin del

Iniciacin del Proyecto

Universidad Nacional Agraria "La Molina"

El Informe del Estudio de Factibilidad

Universidad Nacional Agraria "La Molina"

Universidad Nacional Agraria "La Molina"

Universidad Nacional Agraria "La Molina"

Herramientas de Evaluacin de la Inversin

Universidad Nacional Agraria "La Molina"

Anlisis de Costo / Beneficio

Universidad Nacional Agraria "La Molina"

Iniciacin del Proyecto

Universidad Nacional Agraria "La Molina"

En relacin a los proyectos y a su gestin.....