CAPITULO

Planeacin
de la auditora
en informtica

OBJETIVOS
Al finalizar este captulo, usted:
1. Conocer las distintas fases que comprende la auditora en informtica.
2. Comprender la importancia en el trabajo de auditora de la planeacin, el
examen y la evaluacin de la informacin, la comunicacin de los resultados
y el seguimiento.
3. Explicar el valor de la evaluacin de los sistemas de acuerdo al riesgo.
4. Describir las fases que deben seguirse para realizar una adecuada investigacin preliminar.
5. Definir cules son las principales caractersticas que requiere el personal
que habr de participar en una auditora.
6. Conocer cmo se elabora una carta-convenio de servicios profesionales de
auditora.

26

SSSM ' A S E S DE LA AUDITORA

DE LA AUDITORA
EN INFORMTICA

Auditora interna

j La auditora en informtica es el proceso de recoleccin y evaluacin de evidencias para determinar cundo son salvaguardados los activos de los sistemas
computarizados, de qu manera se mantiene la integridad de los datos y cmo
se logran los objetivos de la organizacin eficazmente y se usan los recursos
consumidos eficientemente. La auditora en informtica sigue los objetivos tradicionales de la auditora: aquellos que son de la auditora externa, de salvaguarda de los activos y la integridad de datos, y los objetivos gerenciales, aquellos propios de la auditora interna que no slo logran los objetivos sealados
sino tambin los de eficiencia y eficacia.
La auditora interna es una funcin independiente de la evaluacin que se
establece dentro de una organizacin para examinar y evaluar sus actividades.
El objetivo de la auditora interna consiste en apoyar a los miembros de la organizacin en el desempeo de sus responsabilidades. Para ello, proporciona anlisis, evaluaciones, recomendaciones, asesora e informacin concerniente a las
actividades revisadas.
Los auditores internos son responsables de proporcionar informacin acerca de la adecuacin y efectividad del sistema de control interno de la organizacin y de la calidad de la gestin.
El manual de organizacin deber establecer claramente los propsitos del
departamento de auditora interna, especificar que el alcance del trabajo no debe
tener restricciones y sealar que los auditores internos no tendrn autoridad y/o
responsabilidad respecto de las actividades que auditan.
El auditor interno debe ser independiente de las actividades que audita.
Esta independencia permite que el auditor interno realice su trabajo libre y objetivamente, ya que sin esta independencia no se pueden obtener los resultados
deseados.
, Las normas de auditora interna comprenden:

Las actividades auditadas y la objetividad de los auditores internos.

El conocimiento tcnico, la capacidad y el cuidado profesional de los auditores internos con los que deben ejercer su funcin. En el caso de la auditora
en informtica es de suma importancia el que el auditor cuente con los conocimientos tcnicos actualizados y con la experiencia necesaria en el rea.
El alcance del trabajo de auditora interna en el rea de informtica.
El desarrollo de las responsabilidades asignadas a los auditores internos
responsables de la auditora a informtica.

Los auditores internos deben ser independientes de las actividades que

auditan, y deben de tener un amplio criterio para no tomar decisiones subjetivas basadas en preferencias personales sobre determinado equipo o software,
sin analizar a profundidad las opiniones. Los auditores internos son independientes cuando pueden desempear su trabajo con libertad y objetividad. La
independencia permite a los auditores internos rendir juicios imparciales, esen-

cales para la adecuada conduccin de las auditoras; esto se logra a travs de

una adecuada objetividad y criterio.
La objetividad es una actitud de independencia mental que los auditores
internos deben mantener al realizar las auditoras. Los auditores internos no
deben subordinar sus juicios en materia de auditora al de otros.
/ La objetividad requiere que los auditores internos realicen sus auditoras
de tal manera que tengan una honesta confianza en el producto de su trabajo y
que no hayan creado compromisos significativos en cuanto a la calidad. Los
auditores internos no deben colocarse en situaciones en las que se sientan imposibilitados para hacer juicios profesionales objetivos.
Los resultados del trabajo de auditora deben ser revisados antes de emitir
el respectivo informe de auditora, para proporcionar una razonable seguridad
de que el trabajo se realiz objetivamente.
El auditor en informtica debe contar con los conocimientos tcnicos requeridos y con capacidad profesional.
El departamento de auditora interna deber asignar a cada auditora a aquellas personas que en su conjunto posean los conocimientos, la experiencia y la
disciplina necesarios para conducir apropiadamente la auditora. Tambin deber asegurarse que la experiencia tcnica y la formacin acadmica de los auditores sean las apropiadas para realizar las auditoras en informtica.
Asimismo, se deber obtener una razonable seguridad sobre las capacidades y pericias de cada prospecto para auditor en informtica.
El departamento de auditora interna deber contar u obtener los conocimientos, experiencias y disciplinas necesarias para llevar a cabo sus responsabilidades de auditora en informtica. Deber tener personal o emplear consultores calificados en las disciplinas de informtica necesarias para cumplir con
las responsabilidades de auditora; sin embargo, cada miembro del departamento no necesita estar calificado en todas las disciplinas.
\/El departamento de auditora interna deber asegurarse:

nmam
FASES
DE LA AUDITORA

Que las auditoras sean supervisadas en forma apropiada. La supervisin

es un proceso continuo que comienza con la planeacin y termina con el
trabajo de auditora.
Que los informes de auditora sean precisos, objetivos, claros, concisos, constructivos y oportunos.
Que se cumplan los objetivos de la auditora.
Que la auditora sea debidamente documentada y que se conserve la evidencia apropiada de la supervisin.
Que los auditores cumplan con las normas profesionales de conducta.
Que los auditores en informtica posean los conocimientos, experiencias y
disciplinas esenciales para realizar sus auditoras.
Cada auditor interno requiere de ciertos conocimientos y experiencias:

Se requiere pericia en la aplicacin de las normas, procedimientos y tcnicas de auditora interna para el desarrollo de las revisiones. Se entiende por
pericia la habilidad para aplicar los conocimientos que se poseen a las si-

Habilidades
de los auditores

tuaciones que posiblemente se encuentren, ocupndose de ellas sin tener

que recurrir en exceso a ayudas o investigaciones tcnicas.
Tener habilidad para: aplicar amplios conocimientos a situaciones que posiblemente se vayan encontrando, reconocer las desviaciones significativas
y poder llevar a cabo las investigaciones necesarias para alcanzar soluciones razonables.

28
CAPTULO 2
PLANEACIN
DE LA AUDITORA
EN INFORMTICA

Entre las habilidades que deben tener los auditores estn:

Habilidad para comunicarse efectivamente y dar un trato adecuado a las

personas. Los auditores internos deben tener habilidad para comunicarse
tanto de manera oral como escrita, de tal manera que puedan transmitir
clara y efectivamente asuntos como: los objetivos de la auditora, las evaluaciones, las conclusiones y las recomendaciones.
Los auditores en informtica son responsables de continuar su desarrollo
profesional para poder mantener su pericia profesional. Debern mantenerse informados acerca de las mejoras y desarrollos recientes.
Los auditores en informtica deben ejercer el debido cuidado profesional al
realizar sus auditoras. El cuidado profesional, deber estar de acuerdo con
la complejidad de la auditora que se realiza. Los auditores deben estar
atentos a la posibilidad de errores intencionales, de errores omisiones, de la
ineficiencia, del desperdicio, de la inefectividad y del conflicto de intereses.
Tambin debern estar alertas ante aquellas condiciones y actividades en
donde es ms probable que existan irregularidades. Adems, debern de
identificar los controles inadecuados y emitir recomendaciones para promover el cumplimiento con procedimientos y prcticas aceptables.

El debido cuidado implica una razonable capacidad, no infalibilidad ni acciones extraordinarias. Requiere que el auditor realice exmenes y verificaciones con un alcance razonable, pero no requiere auditoras detalladas de todas
las operaciones. Por consiguiente, el auditor no puede dar una absoluta seguridad de que no existan incumplimientos o irregularidades. Sin embargo, la posibilidad de que existan irregularidades materiales o que no se cumplan las disposiciones debe ser considerada siempre que el auditor emprende una auditora.
Cuando el auditor detecte una irregularidad que va en contra de lo establecido
deber informarlo a las autoridades adecuadas de la organizacin. El auditor
puede recomendar cualquier investigacin que considere necesaria en esas circunstancias. Posteriormente, el auditor deber efectuar su seguimiento para verificar que se ha cumplido con lo sealado.
El ejercicio del debido cuidado profesional significa el uso razonable de las
experiencias y juicios en el desarrollo de la auditora.
Para este fin el auditor deber considerar
Cuidado
profesional

El alcance del trabajo de auditora necesario para lograr los objetivos de la

auditora.
La materialidad o importancia relativa de los asuntos a los que se aplican
los procedimientos de la auditora.

La adecuacin y efectividad de los controles internos.

El costo de la auditora en relacin con los posibles beneficios.

El cuidado profesional incluye la evaluacin de los estndares establecidos,

determinando en consecuencia si tales estndares son aceptables y si son cumplidos. Cuando stos son vagos debern solicitarse interpretaciones autorizadas.
El alcance de la auditora debe abarcar el examen y evaluacin de la adecuacin y efectividad del sistema de control interno de la organizacin y la calidad en el cumplimiento de las responsabilidades asignadas. El propsito de
revisar la adecuacin del sistema de control interno es el de cerciorarse si el
sistema establecido proporciona una razonable seguridad de que los objetivos
y metas de la organizacin se cumplirn eficiente y econmicamente.
y Los objetivos elementales del control interno son para asegurar:

La confiabilidad e integridad de la informacin. Los auditores deben revisar la confiabilidad e integridad de la informacin y los mtodos empleados para identificar, medir, clasificar y reportar dicha informacin
El cumplimiento de las polticas, planes, procedimientos, leyes y reglamentos.
La salvaguarda de los activos.
El uso eficiente y econmico de los recursos.
El logro de los objetivos y metas establecidos para las operaciones o programas.

El sistema de informacin proporciona datos para la toma de decisiones, el

control y el cumplimiento con requerimientos externos. Por ello, los auditores
deben examinar los sistemas de informacin y cuando sea apropiado asegurarse:

Que los registros e informes contengan informacin precisa, confiable, oportuna, completa y til.
Que los controles sobre los registros e informes sean adecuados y efectivos.

Los auditores deben revisar los sistemas establecidos para asegurarse del
cumplimiento de las polticas, planes y procedimientos, leyes y reglamentos
que pueden tener un impacto significativo en las operaciones e informes, y deben determinar si la organizacin cumple con ellos.
La gerencia de informtica es responsable del establecimiento de los sistemas diseados para asegurar el cumplimiento de requerimientos tales como
polticas, planes, procedimientos y leyes y reglamentos aplicables. Los auditores son responsables de determinar si los sistemas son adecuados y efectivos
y si las actividades auditadas estn cumpliendo con los requerimientos apropiados.
Los auditores debern revisar:

La correccin de los mtodos de salvaguarda de los activos y verificar la

existencia de estos activos.

CAPTULO 2
PLANEACIN
DE LA AUDITORIA
EN INFORMTICA

Uso eficiente
de recursos

Los mtodos empleados para salvaguardar los activos de diferentes tipos

de riesgos tales como: robo, incendios, actividades impropias o ilegales, as
como de elementos naturales como terremotos, inundaciones, etctera.

Los auditores debern evaluar si el empleo de los recursos se realiza en

forma econmica y eficiente.
La administracin es responsable de establecer estndares de operacin para
medir la eficiencia y economa en el uso de los recursos. Los auditores internos
son responsables de determinar si:

Los estndares para medir la economa y eficiencia en el uso de los recursos

son los adecuados.
Los estndares de operacin establecidos han sido entendidos y se cumplen.
Las desviaciones a los estndares de operacin se identifican, analizan y se
comunican a los responsables para que tomen las medidas correctivas.
Se toman las medidas correctivas.

/ Las auditoras relacionadas con el uso econmico y eficiente de los recursos

debern identificar situaciones tales como:
Subutilizacin de instalaciones.
Trabajo no productivo.
Procedimientos que no justifican su costo.
Exceso o insuficiencia de personal.
Uso indebido de las instalaciones.
Los auditores debern revisar las operaciones o programas para cerciorarse si los resultados son consistentes con los objetivos y metas establecidos y si
las operaciones o programas se llevan a cabo como se planearon.

PLANEACIN DE LA AUDITORA
EN INFORMTICA
Para hacer una adecuada planeacin de la auditora en informtica hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con ello podremos determinar el nmero y caractersticas del
personal de auditora, las herramientas necesarias, el tiempo y costo, as como
definir los alcances de la auditora para, en caso necesario, poder elaborar el
contrato de servicios.
Dentro de la auditora en general, la planeacin es uno de los pasos ms
importantes, ya que una inadecuada planeacin provocar una serie de proble-

mas que pueden impedir que se cumpla con la auditora o bien hacer que no se
efecte con el profesionalismo que debe tener cualquier auditor.
FHrahajnjje auditoria deber incluir la planeacin de la auditora, el_examen y la evaluacin de la informacin. la-comunicacin de los resultados y el
segTffieTo.
/ La planeacin deber ser documentada e incluir:

31
FASES
DE LA AUDITORA

El establecimiento de los objetivos y el alcance del trabajo.

La obtencin de informacin de apoyo sobre las actividades que se auditarn.
La determinacin de los recursos necesarios para realizar la auditora.
El establecimiento de la comunicacin necesaria con todos los que estarn
involucrados en la auditora.
La realizacin, en la forma ms apropiada, de una inspeccin fsica para
familiarizarse con las actividades y controles a auditar, as como identificacin de las reas en las que se deber hacer nfasis al realizar la auditora y
promover comentarios y la promocin de los auditados.
La preparacin por escrito del programa de auditora.
La determinacin de cmo, cundo y a quin se le comunicarn los resultados de la auditora.
La obtencin de la aprobacin del plan de trabajo de la auditora.

En el caso de la auditora en informtica, la planeacin es fundamental,

pues habr que hacerla desde el punto de vista de varios objetivos:

Evaluacin administrativa del rea de procesos electrnicos.

Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
Evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo (software, hardware, redes, bases de datos, comunicaciones).
Seguridad y confidencialidad de la informacin.
Aspectos legales de los sistemas y de la informacin.

Para lograr una adecuada planeacin, lo primero que se requiere es obtener

informacin general sobre la organizacin y sobre la funcin de informtica a
evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, y con base en esto planear el programa de trabajo, el cual
deber incluir tiempos, costos, personal necesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la auditora.
/
El proceso de planeacin comprende el establecer:

Metas.
Programas de trabajo de auditora.
Planes de contratacin de personal y presupuesto financiero.
Informes de actividades.

Las metas se debern establecer de tal manera que se pueda lograr su cumplimiento, sobre la base de los planes especficos de operacin y de los presu-

Objetivos
de la planeacin

puestos, los que hasta donde sea posible debern ser cuantificables. Debern
acompaarse de los criterios para medirlas y de fechas lmite para su logro.
Los programas de trabajo de auditora debern incluir: las actividades que
se van a auditar, cundo sern auditadas, el tiempo estimado requerido, tomando en consideracin el alcance del trabajo de auditora planeado y la naturaleza y extensin del trabajo de auditora realizado por otros. Los programas
de trabajo debern ser lo suficientemente flexibles para cubrir demandas imprevistas.
Los planes de contratacin de empleados y los presupuestos financieros
incluyendo el nmero de auditores, su conocimiento, su experiencia y las
disciplinas requeridas para realizar su trabajo, debern contemplarse al elaborar los programas de trabajo de auditora, as como las actividades administrativas, la escolaridad y el adiestramiento requeridos, la investigacin sobre
auditora y los esfuerzos de desarrollo.

32
CAPTULO 2
PLANEACIN
DE LA AUDITORA
EN INFORMTICA

REVISION PRELIMINAR
El primer paso en el desarrollo de la auditora, despus de la planeacin, es la
revisin preliminar del rea de informtica/El objetivo de la revisin preliminar es el de obtener la informacin necesaria para que el auditor pueda tomar la
decisin de cmo proceder en la auditora. Al terminar la revisin preliminar el
auditor puede proceder en uno de los tres caminos siguientes.!/'

A
/

Diseo de la auditora. Puede haber problemas debido a la falta de competencia tcnica para realizar la auditora.
Realizar una revisin detallada de los controles internos de los sistemas con
la esperanza de que se deposite la confianza en los controles de los sistemas
y de que una serie de pruebas sustantivas puedan reducir las consecuencias.
Decidir el no confiar en los controles internos del sistema. Existen dos razones posibles para esta decisin. Primero, puede ser ms eficiente desde el
punto de vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los controles del rea de informtica pueden duplicar los
controles existentes en el rea del usuario. El auditor puede decidir que se
obtendr un mayor costo-beneficio al dar una mayor confianza a los controles de compensacin y revisar y probar mejor estos controles.

La revisin preliminar significa la recoleccin de evidencias por medio de

entrevistas con el personal de la instalacin, la observacin de las actividades
en la instalacin y la revisin de la documentacin preliminar. Las evidencias
se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de
entrevistas, o con documentacin narrativa. Debemos considerar que sta ser
slo una informacin inicial que nos permitir elaborar el plan de trabajo, la
cual se profundizar en el desarrollo de la auditora.

La revisin preliminar elaborada por un auditor interno difiere de la realizada por un auditor externo en tres aspectos. En primer lugar, el auditor interno normalmente requiere de menos revisiones y trabajos, especialmente en la
parte gerencial y de organizacin, ya que l es parte de la organizacin y est
familiarizado con la misma. En segundo, el auditor externo se enfoca ms en las
causas de las prdidas y en los controles necesarios para justificar sus decisiones; el auditor interno tiene una amplia perspectiva, la cual incorpora en sus
consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero,
si el auditor interno supone serias debilidades en los controles internos, en lugar de proceder directamente con las pruebas sustantivas, deber continuar
con la fase de revisin detallada para sealar recomendaciones para mejorar los
controles internos.

REVISIN DETALLADA
Los objetivos de la fase detallada son los de obtener la informacin necesaria
para que el auditor tenga un profundo entendimiento de los controles usados
dentro del rea de informtica.
El auditor debe decidir si debe de continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema
de control interno, o proceder directamente a la revisin con los usuarios (pruebas compensatorias), o a las pruebas sustantivas. En algunos casos el auditor
puede, despus de hacer un anlisis detallado, decidir que con los controles
internos se tiene suficiente confianza, y en otros casos que los procedimientos
alternos de auditora pueden ser ms apropiados.
En la fase de evaluacin detallada es importante para el auditor identificar
las causas de las prdidas existentes dentro de la instalacin y los controles
para reducir las prdidas y los efectos causados por stas. Al terminar la revisin detallada el auditor debe evaluar en qu momento los controles establecidos reducen las prdidas esperadas a un nivel aceptable. Los mtodos de obtencin de informacin al momento de la evaluacin detallada son los mismos
usados en la investigacin preliminar, y lo nico que difiere es la profundidad
con que se obtiene la informacin y se evala.
Como en el caso de la investigacin preliminar, se tienen diferentes formas
de lograr los objetivos desde el punto de vista del auditor interno o externo. El
auditor interno debe considerar las causas de las prdidas que afectan la eficiencia y eficacia, adems de evaluar por qu los controles escogidos son o no
suficientes para reducir las prdidas esperadas a un nivel aceptable. El auditor
interno debe evaluar si los controles escogidos son ptimos, si provocan un
sobrecontrol, o bien si se logra un satisfactorio nivel de control usando menos controles o controles menos costosos. Si el auditor interno considera que los
controles internos del sistema no son satisfactorios, en lugar de proceder directamente a revisar, a probar controles alternos o a realizar pruebas sustantivas y
procedimientos, debe sealar las recomendaciones para mejorar los controles
de los sistemas.

33
FASES
DE LA AUDITORA

Tipos
de revisiones

EXAMEN Y EVALUACIN
DE LA INFORMACIN
Los auditores internos debern obtener, analizar, interpretar y documentar la
informacin para apoyar los resultados de la auditora.
El proceso de examen y evaluacin de la informacin es el siguiente:

Se debe obtener la informacin de todos los asuntos relacionados con los

objetivos y alcances de la auditora.
La informacin deber ser suficiente, competente, relevante y til para que
proporcione bases slidas en relacin con los hallazgos y recomendaciones
de la auditora. La informacin suficiente significa que est basada en hechos, que es adecuada y convincente, de tal forma que una persona prudente e informada pueda llegar a las mismas conclusiones que el auditor. La
informacin competente significa que es confiable y puede obtenerse de la
mejor manera, usando las tcnicas de auditora apropiadas. La informacin
relevante apoya los hallazgos y recomendaciones de auditora y es consistente con los objetivos de sta. La informacin til ayuda a la organizacin
a lograr sus metas.
Los procedimientos de auditora, incluyendo el empleo de las tcnicas de
pruebas selectivas y el muestreo estadstico, debern ser elegidos con anterioridad, cuando esto sea posible, y ampliarse o modificarse cuando las circunstancias lo requieran.
El proceso de recabar, analizar, interpretar y documentar la informacin
deber supervisarse para proporcionar una seguridad razonable de que la
objetividad del auditor se mantuvo y que las metas de auditora se cumplieron.
Los documentos de trabajo de la auditora debern ser preparados por los
auditores y revisados por la gerencia de auditora. Estos documentos debern registrar la informacin obtenida y el anlisis realizado, y deben apoyar las bases de los hallazgos de auditora y las recomendaciones que se
harn.

Los auditores debern reportar los resultados del trabajo de auditora. El

auditor deber discutir las conclusiones y recomendaciones en los niveles apropiados de la administracin antes de emitir su informe final. Los informes debern ser objetivos, claros, concisos, constructivos y oportunos. Los informes
presentarn el propsito, alcance y resultados de la auditora y, cuando se considere apropiado, contendrn la opinin del auditor.
Los informes pueden incluir recomendaciones para mejoras potenciales y
reconocer el trabajo satisfactorio y las medidas correctivas. Los puntos de vista
de los auditados respecto a las conclusiones y recomendaciones pueden ser incluidos en el informe de auditora.
Los auditores internos realizarn el seguimiento de las recomendaciones,
para asegurarse que se tomaron las acciones apropiadas sobre los hallazgos de
auditora reportados.

El director de auditora en informtica deber establecer un programa para

seleccionar y desarrollar los recursos, el cual debe contemplar:

Descripciones de puestos por cada nivel de auditora en informtica.

Seleccin de individuos calificados y competentes.
Entrenamiento y oportunidad de capacitacin profesional continua para
todos y cada uno de los auditores.
Evaluacin del trabajo de cada uno de los auditores por lo menos una vez al
ao.
Asesora a los auditores en lo referente a su trabajo y a su desarrollo profesional.

El trabajo de auditora interna y externa deber coordinarse para asegurar

la adecuada cobertura y para minimizar la duplicidad de esfuerzos.
El director de auditora interna en informtica deber establecer y mantener un programa de control de calidad para evaluar las operaciones del departamento de auditora interna. El propsito de este programa es proporcionar
una seguridad razonable de que el trabajo de auditora est de acuerdo con las
normas aplicables.
y Un programa de control de calidad deber incluir los siguientes elementos:

Supervisin.
Revisiones internas.
Revisiones externas.

La supervisin del trabajo de los auditores en informtica deber llevarse a

cabo continuamente para asegurarse de que estn trabajando de acuerdo con
las normas, polticas y programas de auditora en informtica.
Las revisiones internas debern realizarse peridicamente por el personal
del departamento de auditora interna para evaluar la calidad del trabajo de
auditora realizado. Estas revisiones debern llevarse a cabo de la misma manera que cualquier otra auditora.
Para evaluar la calidad del trabajo de auditora en informtica debern
practicarse revisiones externas.

PRUEBAS DE CONSENTIMIENTO
El objetivo de la fase de prueba de consentimiento es el de determinar si los
controles internos operan como fueron diseados para operar. El auditor debe
determinar si los controles declarados en realidad existen y si realmente trabajan confiablemente.
Adems de las tcnicas manuales de recoleccin de evidencias, muy frecuentemente el auditor debe recurrir a tcnicas de recoleccin de informacin
asistidas por computadora, para determinar la existencia y confiabilidad de los

36
CAPITULO 2

PLANEACIN

controles. Por ejemplo, para evaluar la existencia y confiabilidad de los controles de un sistema en red, se requerir el entrar a la red y evaluar directamente al
sistema

DE LA AUDITORA
EN INFORMTICA

PRUEBAS DE CONTROLES DEL USUARIO

En algunos casos el auditor puede decidir el no confiar en los controles internos
dentro de las instalaciones informticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles internos de informtica.
Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, vistas y evaluaciones hechas
directamente con los usuarios

Tipos de pruebas

PRUEBAS SUSTANTIVAS

El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que

permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden
ocurrir prdidas materiales durante el procesamiento de la informacin. El auditor externo expresar este juicio en forma de opinin sobre cundo puede
existir un proceso equivocado o falta de control de la informacin. Se pueden
identificar ocho diferentes pruebas sustantivas:
Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad.
Pruebas para asegurar la calidad de los datos.
Pruebas para identificar la inconsistencia de los datos.
Pruebas para comparar con los datos o contadores fsicos.
Confirmacin de datos con fuentes externas.
Pruebas para confirmar la adecuada comunicacin.
Pruebas para determinar falta de seguridad.
Pruebas para determinar problemas de legalidad.
Debemos cuestionarnos el beneficio de tener un excesivo control o bien evaluar el beneficio marginal de tener mayor control contra el costo que representa
ste. Para ello es necesario evaluar el costo por falla del sistema, y sus repercusiones para determinar el grado de riesgo y confianza necesarios contra el costo
de implantacin de controles y el costo de recuperacin de la informacin o
eliminacin de las repercusiones.

El auditor debe participar en tres estados del sistema:

Durante la fase de diseo del sistema.
Durante la fase de operacin.
Durante la fase posterior a la auditora.

37
FASES
DE LA AUDITORA

En general, la opinin del gerente de informtica y de la alta gerencia consideran que el que el auditor participe en la fase de diseo disminuye la independencia del auditor, pero existen varias formas en las cuales se puede eliminar esto:

Aumentando los conocimientos en informtica del auditor.

Asignar diferentes auditores a la fase de diseo, al trabajo de auditora y al
posterior a la auditora.
Crear una seccin de auditora en informtica dentro del departamento de
auditora interno, especializado en auditora en informtica.
Obtener mayor soporte de la alta gerencia.

Realizar una auditora en informtica es un trabajo complejo. Por ello, para

lograr los objetivos, el auditor necesita dividir los sistemas en una serie de
subsistemas, identificando los componentes que realizan las actividades bsicas de cada subsistema, evaluar la confianza de cada componente, y la de los
subsistemas, y en forma agregada evaluar cada subsistema hasta llegar a una
evaluacin global sobre la confianza total del sistema. Esto se deber realizar
sin olvidar el postulado de investigacin de operaciones, que nos seala que:
La suma de los ptimos parciales de los subsistemas no es igual al ptimo del
sistema, pero nos da una buena aproximacin.
Los pasos que involucran una auditora en informtica son similares a aquellos que se realizan para auditar un sistema manual. Primero se realiza una
investigacin preliminar del rea de informtica, para lograr un entendimiento
de cmo est siendo administrada la instalacin y de los principales sistemas
que son procesados. En segundo lugar, si el auditor determina confiar en los
controles internos del sistema, se realiza una investigacin detallada. En tercero, el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos controles que son crticos. En cuarto, se realizan pruebas sustantivas de los procedimientos. Finalmente, el auditor debe dar una opinin. Despus de estos pasos el auditor evala los controles internos del sistema y decide si debe proceder con pasos alternativos.
Durante la auditora en informtica deben tomarse muchas decisiones difciles. Cada evaluacin sobre la confianza de los sistemas de control interno requiere de evaluaciones complejas realizadas en forma conjunta con las evidencias obtenidas.

no

MLC

38
CAPITULO 2
PLANEACIN
DE LA AUDITORA
EN INFORMTICA

EVALUACIN DE LOS SISTEMAS

DE ACUERDO AL RIESGO
Una de las formas de evaluar la importancia que puede tener para la organizacin un determinado sistema, es considerar el riesgo que implica el que no sea
utilizado adecuadamente, la prdida de la informacin o bien el que sea usado
por personal ajeno a la organizacin. Para evaluar el riesgo de un sistema con
mayor detalle vase el apartado "Plan de contingencia y procedimientos de
respaldo para casos de desastre", en el captulo 6.
Algunos sistemas de aplicaciones son de ms alto riesgo que otros debido a
que:

Ejemplo

Son susceptibles a diferentes tipos de prdida econmica.

Fraudes y desfalcos entre los cuales estn los sistemas financieros.

El auditor debe de poner especial atencin a aquellos sistemas que requieran de un adecuado control financiero.
i

Flujo de caja, inversiones cuentas por pagar y cobrar, nmina.

Ejemplo

Las fallas pueden impactar grandemente a la organizacin.

Una falla en el procesamiento de la nmina puede tener como consecuencia
el que se tenga una huelga.

Ejemplo

Interfieren con otros sistemas, y los errores generados permean a otros sistemas.
Potencialmente, alto riesgo debido a daos en la competencia. Algunos sistemas le dan a la organizacin un nivel competitivo muy alto dentro de un
mercado.
Sistema de planeacin estratgica. Patentes, derechos de autor, los cuales
son las mayores fuentes de recursos de la organizacin. Otros a travs de los
cuales su prdida puede destruir la imagen de la organizacin.

Ejemplo

Sistemas de tecnologa de punta o avanzada. Si los sistemas utilizan tecnologa avanzada o de punta.
Sistemas de bases de datos, sistemas distribuidos o de comunicacin, tecnologa sobre la cual la organizacin tenga muy poca experiencia o respaldo, la
cual es ms probable que sea una fuente de problemas de control.

Sistemas de alto costo. Sistemas que son muy costosos de desarrollar, los
cuales son frecuentemente sistemas complejos que pueden presentar muchos problemas de control.

INVESTIGACIN PRELIMINAR
Es necesario iniciar el trabajo de obtencin de datos con un contacto preliminar
que permita una primera idea global. El objeto de este primer contacto es percibir
rpidamente las estructuras fundamentales y diferencias principales entre el organismo a auditar y otras organizaciones que se hayan investigado. 1

La investigacin preliminar debe incorporar fases de evaluacin del control gerencial y del control de las aplicaciones. Durante la revisin de los controles gerenciales el auditor debe entender a la organizacin y las polticas y
prcticas gerenciales usadas en cada uno de los niveles, dentro de la jerarqua
de la instalacin en que se encuentran las computadoras. Durante la revisin de
los controles de las aplicaciones, el auditor debe entender los controles ejercidos sobre el mayor tipo de transacciones que fluyen a travs de los sistemas de
aplicaciones ms significativos dentro de la instalacin de computadoras.
Se debe recopilar informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitudes de
documentos; la finalidad es definir el objetivo y alcance del estudio, as como el
programa detallado de la investigacin.
Se deber observar el estado general del departamento o rea, su situacin
dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin.
En el caso de la auditora en informtica debemos comenzar la investigacin preliminar con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar una serie de documentos. La investigacin preliminar se debe hacer solicitando y revisando la informacin de cada una de las
reas, basndose en los siguientes puntos:
Administracin. Se recopila la informacin para obtener una visin general del
departamento por medio de observaciones, entrevistas preliminares y solicitud
de documentos para poder definir el objetivo y alcances del departamento.
La eficiencia en el departamento de informtica slo se puede lograr si sus
objetivos estn integrados con los de la institucin y si permanentemente se
adapta a los posibles cambios de stos.
Esta adaptacin nicamente puede ser posible si los altos ejecutivos y los
usuarios de los sistemas toman parte activa en las decisiones referentes a la
direccin y utilizacin de los sistemas de informacin, y si el responsable de
dicho sistema constantemente consulta y pide asesora y cooperacin a los ejecutivos y usuarios.
Asimismo el control de la direccin de informtica no es posible, a menos
que el personal responsable aplique la misma disciplina de trabajo y los mtodos que se exigen normalmente a los usuarios. Podemos hablar de tener el control, nicamente cuando se contemplaron los objetivos, se estableci un presu-

"The Spreading Darger of Computer Crime", en Business Week, 20 de abril de 1981.

40
CAPTULO 2
PLANEACIN
DE LA AUDITORA
EN INFORMTICA

puesto y se registraron correctamente los costos en el desarrollo de la aplicacin, y cuando sta contempla el nivel de servicio en trminos de calidad y
tiempos mnimos de entrega de resultados de la operacin del computador.
El xito de la direccin de informtica dentro de una organizacin depende
finalmente de que todas las personas responsables adoptan una actitud positiva respecto a su trabajo y evalen constantemente la eficiencia en su propio
trabajo, as como el desarrollado en su rea, estableciendo metas y estndares
que incrementen su productividad.
La direccin de informtica, segn las diferentes reas de la organizacin,
es evaluada desde diferentes puntos de vista.
Los usuarios a nivel operativo generalmente la ven como una herramienta
para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccin de
informtica es una funcin de servicio. Cada grupo de usuarios tiene su propia
expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y
normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios.
Los altos ejecutivos consideran a la direccin de informtica como una inversin importante, que tiene la funcin de participar activamente en el cumplimiento de los objetivos de la organizacin. Por ello, esperan un mximo del
retorno de su inversin; esperan que los recursos destinados a la direccin de
informtica proporcionen un beneficio mximo a la organizacin y que sta
participe en la administracin eficiente y en la minimizacin de los costos mediante informacin que permita una adecuada toma de decisiones. Los directivos, con toda la razn, consideran que la organizacin cada da depende ms
del rea de informtica y consecuentemente esperan que se deba administrar lo
ms eficiente y eficaz posible.
Esencialmente, la meta principal de los administradores de la direccin de
informtica es la misma que inspira cualquier departamento de servicio: combinar un servicio adecuado con una operacin econmica.
El problema estriba en balancear el nivel de servicio a los usuarios, que
siempre puede ser incrementado a costa de un incremento del factor econmico
o viceversa.
Para poder analizar y dimensionar la estructura a auditar se debe solicitar:
A nivel organizacin total:
Objetivos a corto y largo plazos.
Manual de la organizacin.
Antecedentes o historia del organismo.
Polticas generales.
A nivel del rea de informtica:

Requerimientos
de una auditora

Objetivos a corto y largo plazos.

Manual de organizacin del rea que incluya puestos, funciones, niveles
jerrquicos y tramos de mando.
Manual de polticas, reglamentos internos y lineamientos generales.
Nmero de personas y puestos en el rea.

Procedimientos administrativos del rea.

Presupuestos y costos del rea.
Recursos materiales y tcnicos:

Solicitar documentos sobre los equipos, as como el nmero de ellos, su

localizacin y sus caractersticas (de los equipos instalados, por instalar y
programados).
Estudios de viabilidad.
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Configuracin de equipos de comunicacin (redes internas y externas) y
localizacin de los equipos.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas de uso de los equipos.
Polticas de seguridad fsica y prevencin contra contingencias internas y
externas.
Sistemas:

Descripcin general de los sistemas instalados y de los que estn por instalarse, que contengan volmenes de informacin.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salida.
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
Bases de datos, propietarios de la informacin y usuarios de la misma.
Procedimientos y polticas en casos de desastre.
Sistemas propios, rentados y adquiridos.

En el momento de hacer la planeacin de la auditora o bien en su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones.

Se solicita la informacin y se ve que:

No se tiene y se necesita.
No se tiene y no se necesita.

Se tiene la informacin pero:

No se usa.
Es incompleta.

42

CAPTULO 2
PLANEACIN
DE LA AUDITORA
EN INFORMTICA

Uso
de informacin

No est actualizada.
No es la adecuada.
Se usa, est actualizada, es la adecuada y est completa.

En el caso de que no se disponga de la informacin y se considere que no se

necesita, se debe evaluar la causa por la que no es necesaria, ya que se puede
estar solicitando un tipo de informacin que debido a las caractersticas del
organismo no se requiera. Eso nos dar un parmetro muy importante para
hacer una adecuada planeacin de la auditora.
En el caso de que no se tenga la informacin pero que sea necesaria, se debe
recomendar que se elabore de acuerdo con las necesidades y con el uso que se le
va a dar.
En el caso de que se tenga la informacin pero que no se utilice, se debe
analizar por qu no se usa. El motivo puede ser que est incompleta, que no est
actualizada, que no sea la adecuada, etc. Hay que analizar y definir las causas
para sealar alternativas de solucin, lo que nos lleva a la utilizacin de la informacin.
En caso de que se tenga la informacin, se debe analizar si se usa, si est
actualizada, si es la adecuada y si est completa; de ser as, se considerar dentro de las conclusiones de la evaluacin, ya que como se dijo la auditora no slo
debe considerar errores, sino tambin sealar los aciertos.
Antes de concluir esta etapa no se olvide que el xito del anlisis crtico
depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la

informacin sin fundamento). Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE
Una de las partes ms importantes en la planeacin de la auditora en informtica es el personal que deber participar.
En este punto no veremos el nmero de personas que debern participar,
ya que esto depende de las dimensiones de la organizacin, de los sistemas y de
los equipos; lo que se deber considerar son las caractersticas del personal que
habr de participar en la auditora.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga est debidamente capacitado, que tenga
un alto sentido de moralidad, al cual se le exija la optimizacin de recursos
(eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditora.

En primer lugar, debemos pensar que hay personal asignado por la organizacin, que deba tener el suficiente nivel para poder coordinar el desarrollo de
la auditora, proporcionarnos toda la informacin que se solicite y programar
las reuniones y entrevistas requeridas.
ste es un punto muy importante ya que, de no tener el apoyo de la alta
direccin, ni contar con un grupo multidisciplinario en el cual estn presentes
una o varias personas del rea a auditar, ser casi imposible obtener informacin en el momento y con las caractersticas deseadas.
Tambin se debe contar con personas asignadas por los usuarios para que
en el momento que se solicite informacin, o bien se efecte alguna entrevista
de comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no
slo el punto de vista de la direccin de informtica, sino tambin el del usuario
del sistema.
Para complementar el grupo, como colaboradores directos en la realizacin
de la auditora, se deben tener personas con las siguientes caractersticas:
Tcnico en informtica.
Conocimientos de administracin, contadura y finanzas.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos y experiencia en psicologa industrial.
Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar.
Conocimientos de los sistemas ms importantes.

43
PERSONAL
PARTICIPANTE

Caractersticas
del personal

En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, comunicaciones, etctera.
Lo anterior no significa que una sola persona deba tener los conocimientos
y experiencias sealadas, pero s que deben intervenir una o varias personas
con las caractersticas apuntadas
Una vez planeada la forma de llevar a cabo la auditora, estaremos en posibilidad de presentar la carta convenio de servicios profesionales (en el caso
de auditores externos) y el plan de trabajo.
La carta convenio es un compromiso que el auditor dirige a su cliente para
su confirmacin de aceptacin. En ella se especifican el objetivo y alcance de la
auditora, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.
Una vez que se ha hecho la planeacin, se puede utilizar el formato sealado en la figura 2.1, el cual servir para resumir el plan de trabajo de la auditora.
Este formato de programa de auditora nos servir de base para llevar un adecuado control del desarrollo de la misma. En l figuran el organismo, la fecha
de formulacin, las fases y subfases que comprenden la descripcin de la actividad, el nmero de personas participantes, las fechas estimadas de inicio y terminacin, el nmero de das hbiles y el nmero de das-hombre estimados.

Programa
de auditora

44
CAPITULO 2
PLANEACIN
DE LA AUDITORA
EN INFORMTICA

El control del avance de la auditora lo podemos llevar mediante el formato

de la figura 2.2, el cual nos permite cumplir con los procedimientos de control y
asegurarnos que el trabajo se est llevando a cabo de acuerdo con el programa
de auditora, con los recursos estimados y en el tiempo sealado en la planeacin.
El hecho de contar con la informacin del avance permite que el trabajo
elaborado pueda ser revisado por cualquiera de nuestros asistentes.
Como ejemplo de propuesta de auditora en informtica, vase la figura 2.3,
y como ejemplo de contrato de auditora en informtica consltese la figura 2.4.

45
PERSONAL
PARTICIPANTE

Figura 2.1. Programa de auditora en informtica

ORGANISMO:

FECHA DE FORMULACIN

NUM. DEL
DESCRIPCIN

ACTIVIDAD

PERIODO ESTIMADO

PERSONAL
PARTICIPANTE

INICIO

TERMINO

DAS

DAS

HAB.

HOM.

EST.

EST.

46
CAPITULO 2
PLANEACIN
DE LA AUDITORA
EN INFORMTICA

Figura 2.2. Avance del cumplimiento del programa de auditora en informtica

HOJA NUM.:

ORGANISMO:

DE

PERIODO QUE REPORTA

SITUACIN DE LA AUDITORA

PERIODO REAL DE LA AUDITORIA

FASE
NO INICIADA EN PROCESO TERMINADA

INICIADA

TERMINADA

DAS

GRADO

DAS

REALES

DE

HOM-

EXPLICACIN DE LAS VARIACIO-

BRE

NES EN RELACIN CON LO

EST.

PROGRAMADO

UTILIZA- AVAN
DOS

CE

Figura 2.3. Ejemplo de propuesta de servicios de auditora en informtica

I. ANTECEDENTES
(Anotar los antecedentes especficos del proyecto de auditora.)
II. OBJETIVOS DE LA AUDITORA EN INFORMTICA
(Anotar el objetivo especfico de la auditora.)
III. ALCANCES DEL PROYECTO
El alcance del proyecto comprende:
1. Evaluacin de la direccin de informtica en lo que corresponde a:

Su organizacin.
Funciones.
Objetivos.
Estructura.
Recursos humanos.
Normas y polticas.
Capacitacin.
Planes de trabajo.
Controles.
Estndares.
Condiciones de trabajo.
Situacin presupuestal y financiera.

2. Evaluacin de los sistemas:

Evaluacin de los diferentes sistemas en operacin (flujo, procedimientos, documentacin, organizacin de archivos, estndares de
programacin, controles, utilizacin de los sistemas, opiniones de
ios usuarios).
Evaluacin de avances de los sistemas en desarrollo y congruencia
con el diseo general, control de proyectos, modularidad de los sistemas.
Seguridad lgica de los sistemas, confidencialidad y respaldos.
Derechos de autor y secretos industriales, de los sistemas propios y
los utilizados por la organizacin.
Evaluacin de las bases de datos.

3. Evaluacin de los equipos:

Adquisicin.
Estandarizacin.
Controles.
Nuevos proyectos de adquisicin.
Almacenamiento.
Comunicacin.

CAPITULO 2
PLANEACIN
DE l_" AUDITORA
EN INFORMTICA

Redes.
Equipos adicionales.

4. Evaluacin de la seguridad:
Seguridad lgica y confidencialidad.
Seguridad en el personal.
Seguridad fsica.
Seguridad contra virus.
Seguros.
Seguridad en la utilizacin de los equipos.
Seguridad en la restauracin de los equipos y de los sistemas.
Plan de contingencia y procedimientos en caso de desastre.
IV. METODOLOGA
La metodologa de investigacin a utilizar en el proyecto se presenta a continuacin:
1. Para la evaluacin de la direccin de informtica se llevarn a cabo las
siguientes actividades:

2.

Solicitud de los manuales administrativos, organizacin, funciones,

planes, polticas, estndares utilizados y programas de trabajo.
Solicitud de costos y presupuestos de informtica.
Elaboracin de un cuestionario para la evaluacin de la direccin.
Aplicacin del cuestionario al personal, y realizacin de entrevistas.
Entrevistas a lderes de proyectos y a usuarios ms relevantes de la
direccin de informtica.
Anlisis y evaluacin de la informacin.
Elaboracin del informe.

Para la evaluacin de los sistemas tanto en operacin como en desarrollo se llevarn a cabo las siguientes actividades:

Estudios de viabilidad y costo/beneficio.

Solicitud del anlisis y diseo de los sistemas en operacin y en
desarrollo.
Solicitud de documentacin de los sistemas en operacin (manuales
tcnicos, de operacin, de usuario, diseos).
Solicitud del plan de trabajo.
Solicitud de contratos de compra o renta de software.
Solicitud de licencias y derechos de-autor.
Plan de contingencia y recuperacin en casos de desastre.
Recopilacin y anlisis de los procedimientos administrativos de cada
sistema.
Anlisis de bases de datos.

Anlisis de la seguridad lgica y confidencialidad.

Evaluacin de los proyectos en desarrollo, prioridades y personal
asignado.
Evaluacin de la participacin de auditora interna.
Evaluacin de controles.
Evaluacin de las licencias, la obtencin de derechos de autor y de
la confidencialidad de la informacin.
Entrevistas con usuarios de los sistemas.
Evaluacin directa de la informacin obtenida contra las necesidades y requerimientos de los usuarios.
Anlisis objetivo de la estructuracin y flujo de los programas.
Anlisis y evaluacin de la informacin compilada.
Elaboracin de informe.
3. Para la evaluacin de los equipos se llevarn a cabo las siguientes actividades:

4.

Solicitud de los estudios de viabilidad, costo/beneficio y caractersticas de los equipos actuales, proyectos sobre adquisicin o ampliacin de equipo y su actualizacin.
Solicitud de contratos de compra o renta de los equipos.
Solicitud de contratos de mantenimiento de los equipos.
Solicitud de contratos y convenios de respaldo.
Solicitud de contratos de seguros.
Bitcoras de los equipos.
Elaboracin de un cuestionario sobre la utilizacin de equipos, archivos, unidades de entrada/salida, equipos perifricos, y su seguridad.
Visita a las instalaciones y a los lugares de almacenamiento de archivos magnticos.
Visita tcnica de comprobacin de seguridad fsica y lgica de las
instalaciones.
Evaluacin tcnica del sistema elctrico y ambiental de los equipos,
del local utilizado y en general de las instalaciones.
Evaluacin de los sistemas de seguridad de acceso.
Evaluacin de la informacin recopilada, obtencin de grficas, porcentajes de utilizacin de los equipos y su justificacin.
Elaboracin de informe.

Elaboracin del informe final, presentacin y discusin del mismo, y presentacin de conclusiones y recomendaciones.

V. TIEMPO Y COSTO
(Poner el tiempo en que se realizar el proyecto, de preferencia indicando el
tiempo de cada una de las etapas; el costo del mismo, que incluya el personal participante en la auditora y sus caractersticas, y la forma de pago.)

50

Figura 2.4. Ejemplo de contrato de auditora en informtica

CAPTULO 2
PLANEACIN
DE LA AUDITORA
EN INFORMTICA

Contrato de prestacin de servicios profesionales de auditora en informtica

que celebran por una parte
, representado por
en su carcter de
. y que en lo sucesivo se denominar "el cliente", por otra parte
representada por
quien se denominar "el auditor", de conformidad con las declaraciones y
clusulas siguientes:
DECLARACIONES
I.

El cliente declara:
a) Que es una
b) Que est representado para este acto por_
y que tiene como su domicilio.
c) Que requiere obtener servicios de auditora en informtica, por lo
que ha decidido contratar los servicios del auditor.

II. Declara el auditor:

a) Que es una sociedad annima, constituida y existente de acuerdo
con las leyes y que dentro de sus objetivos primordiales est el de
prestar auditora en informtica
b) Que est constituida legalmente segn escritura nmero
de
fecha
ante el notario pblico nm.
del
Lie.
c) Que seala como su domicilio.

III. Declaran ambas partes:

a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo
formalizan otorgando el presente contrato que se contiene en las
siguientes:
CLUSULAS
Primera. Objeto
El auditor se obliga a prestar al cliente los servicios de auditora en informtica para llevar a cabo la evaluacin de la direccin de informtica del cliente,
que se detallan en la propuesta de servicios anexa que, firmada por las partes, forma parte integrante del contrato.

Segunda. Alcance del trabajo

El alcance de los trabajos que llevar a cabo el auditor interno dentro de este
contrato son:
a) Evaluaciones de la-direccin de informtica en lo que corresponde a:
Su organizacin.
Funciones.
Estructura.
Cumplimiento de los objetivos.
Recursos humanos.
Normas y polticas.
Capacitacin.
Planes de trabajo.
Controles.
Estndares.
Condiciones de trabajo.
Situacin presupuestal y financiera.
b) Evaluacin de los sistemas:

Evaluacin de los diferentes sistemas en operacin (flujo, procedimientos, documentacin, organizacin de archivos, estndares de
programacin, controles, utilizacin de los sistemas).
Opiniones de los usuarios.
Evaluacin de avances de los sistemas en desarrollo y congruencia
con el diseo general, control de proyectos, modularidad de los sistemas.
Evaluacin de prioridades y recursos asignados (humanos y equipos de cmputo).
Seguridad lgica de los sistemas, confidencialidad y respaldos.
Derechos de autor y secretos industriales, de los sistemas propios y
los utilizados por la organizacin.
Evaluacin de las bases de datos.

c) Evaluacin de los equipos:

Adquisicin, estudios de viabilidad y costo-beneficio.
Capacidades.
Utilizacin.
Estandarizacin.
Controles.
Nuevos proyectos de adquisicin.
Almacenamiento.
Comunicacin.
Redes.
Equipos adicionales.
Respaldos de equipos.

52
CAPITULO 2
PLANEACIN
DE LA AUDITORIA
EN INFORMTICA

Contratos de compra, renta o renta con opcin a compra.

Planes y proyecciones de adquisicin de nuevos equipos.
Mantenimientos.

d) Evaluacin de la seguridad:

Seguridad lgica y confidencialidad.

Seguridad en el personal.
Seguridad fsica.
Seguridad contra virus.
Seguros.
Seguridad en la utilizacin de los equipos.
Seguridad en la restauracin de los equipos y de los sistemas.
Plan de contingencia y procedimientos en caso de desastre.

e) Elaboracin de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos sealados en los incisos a, b, c, d de
esta clusula.
Tercera. Programa de trabajo
El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisin las actividades a realizar por cada una de las partes, los responsables de llevarlas a cabo y las
fechas de realizacin.
Cuarta. Supervisin
El cliente o quien designe tendr derecho a supervisar los trabajos que se le
han encomendado al auditor dentro de este contrato y a dar por escrito las
instrucciones que estime convenientes.
Quinta. Coordinacin de los trabajos
El cliente designar por parte de la organizacin a un coordinador del proyecto, quien ser el responsable de coordinar la recopilacin de la informacin que solicite el auditor, y de que las reuniones y entrevistas establecidas
en el programa de trabajo se lleven a cabo en las fechas establecidas.
Sexta. Horario de trabajo
El personal del auditor dedicar el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebracin de este contrato, de acuerdo al programa de trabajo convenido por ambas partes, y gozar de libertad
fuera del tiempo destinado al cumplimiento de las actividades, por lo que no
estar sujeto a horarios y jornadas determinadas.
Sptima. Personal asignado
El auditor designar para el desarrollo de los trabajos objeto de este contrato
a socios del despacho, quienes, cuando consideren necesario, incorporarn
personal tcnico capacitado de que dispone la firma, en el nmero que se
requieran y de acuerdo a los trabajos a realizar.

Octava. Relacin laboral

El personal del auditor no tendr ninguna relacin laboral con el cliente y
queda expresamente estipulado que este contrato se suscribe en atencin a
que el auditor en ningn momento se considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que
se deriven de las relaciones entre l y su personal, y que exime al cliente de
cualquier responsabilidad que a este respecto existiere.
Novena. Plazo de trabajo
El auditor se obliga a terminar los trabajos sealados en la clusula segunda
de este contrato en
das hbiles despus de la fecha en que
se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo
estimado para la terminacin de los trabajos est con relacin a la oportunidad con que el cliente entregue los documentos requeridos por el auditor y al
cumplimiento de las fechas estipuladas en el programa de trabajo aprobado
por las partes, por lo que cualquier retraso ocasionado por parte del personal
del cliente o de usuarios de los sistemas repercutir en el plazo estipulado, el
cual deber incrementarse de acuerdo a las nuevas fechas establecidas en
el programa de trabajo, sin perjuicio alguno para el auditor.
Dcima. Honorarios
El cliente pagar al auditor por los trabajos objeto del presente contrato, honorarios por la cantidad de
ms
el impuesto al valor agregado correspondiente. La forma de pago ser la
siguiente:
a)
b)

% a la firma del contrato.

% a los
das hbiles despus de iniciados los
trabajos.

c)

% a la terminacin de los trabajos y presentacin del

informe final.

Undcima. Alcance de los honorarios

El importe sealado en la clusula dcima compensar al auditor por sueldos, honorarios, organizacin y direccin tcnica propia de los servicios de
auditora, prestaciones sociales y laborales de su personal.
Duodcima. Incremento de honorarios
En caso de que se tenga un retraso debido a la falta de entrega de informacin, demora o cancelacin de las reuniones, o cualquier otra causa imputable al cliente, este contrato se incrementar en forma proporcional al retraso y se sealar el incremento de comn acuerdo.
Decimotercera. Trabajos adicionales
De ser necesaria alguna adicin a los alcances o productos del presente
contrato, las partes celebrarn por separado un convenio que formar parte

CAPITULO 2
PLANEACIN
DE LA AUDITORA
EN INFORMTICA

integrante de este instrumento y en forma conjunta se acordar el nuevo

costo.
Decimocuarta. Viticos y pasajes
El importe de los viticos y pasajes en que incurra el auditor en el traslado,
hospedaje y alimentacin que requieran durante su permanencia en la ciudad de
_, como consecuencia de los trabajos objeto de este contrato, ser por cuenta del cliente.
Decimoquinta. Gastos generales
Los gastos de fotocopiado y dibujo que se produzcan con motivo de este
contrato corrern por cuenta del cliente.
Decimosexta. Causas de rescisin
Sern causa de rescisin del presente contrato la violacin o incumplimiento
de cualquiera de las clusulas de este contrato.
Decimosptima. Jurisdiccin
Todo lo no previsto en este contrato se regir por las disposiciones relativas,
contenidas en el Cdigo Civil del
y, en caso de controversia para su interpretacin y cumplimiento, las partes se someten a la jurisdiccin de los tribunales federales, renunciando al fuero que les pueda corresponder en razn de su domicilio presente o futuro.
Enteradas las partes del contenido y alcance legal de este contrato, lo
rubrican y firman de conformidad, en original y tres copias, en la ciudad de
, el da

EL CLIENTE

EL AUDITOR

CAPITULO

Auditora
de la funcin
de informtica

OBJETIVOS
Al finalizar este captulo, usted:
1. Explicar la importancia de la recoleccin de informacin sobre la organizacin que se va a auditar.
2. Describir los pasos a seguir para realizar una adecuada evaluacin de la
estructura orgnica de la organizacin a auditar.
3. Definir los elementos a tomar en cuenta en la evaluacin del personal de
una organizacin.
4. Manejar una gua para entrevistar adecuadamente al personal de informtica.
5. Conocer la importancia de evaluar los recursos financieros y materiales de
una organizacin.

fSKi

AUDITORIA DE
LA FUNCIN DE
INFORMTICA

RECOPILACIN DE LA INFORMACIN
ORGANIZACIONAL
Una vez elaborada la planeacin de la auditora, la cual servir como plan
maestro de los tiempos, costos y prioridades, y como medio de control de la
auditora, se debe empezar la recoleccin de la informacin. Para ello se proceder a efectuar la revisin sistematizada del rea, a travs de los siguientes
elementos:
A) Revisin de la estructura orgnica:

Jerarquas (definicin de la autoridad lineal, funcional y de asesora).

Estructura orgnica.
Funciones.
Objetivos.

B) Se deber revisar la situacin de los recursos humanos.

C) Entrevistas con el personal de procesos electrnicos:
Jefatura.
Anlisis.
Programadores.
Operadores.
Personal de bases de datos.
Personal de comunicacin y redes.
Personal de mantenimiento.
Personal administrativo.
Responsable de comunicaciones.
Responsable de Internet e Intranet.
Responsable de redes locales o nacionales.
Responsable de sala de usuarios.
Responsable de capacitacin.
D) Se deber conocer la situacin en cuanto a:
Presupuesto.
Recursos financieros.
Recursos materiales.
Mobiliario y equipo.
Costos.
E) Se har un levantamiento del censo de recursos humanos y anlisis de situacin en cuanto a:

Nmero de personas y distribucin por reas.

Denominacin de puestos y personal de confianza y de base (sindicalizado y no sindicalizado).
Salario y conformacin del mismo (prestaciones y adiciones).
Movimientos salariales.
Capacitacin (actual y programa de capacitacin).
Conocimientos.
Escolaridad.
Experiencia profesional.
Antigedad (en la organizacin, en el puesto y en puestos similares
fuera de la organizacin).
Historial de trabajo.
ndice de rotacin del personal.
Programa de capacitacin (vigente y capacitacin otorgada en el ltimo ao).

F) Por ltimo, se deber revisar el grado de cumplimiento de los documentos

administrativos:

Organizacin.
Normas y polticas.
Planes de trabajo.
Controles.
Estndares.
Procedimientos.
La informacin nos servir para determinar:

Si las responsabilidades en la organizacin estn definidas adecuadamente.

Si la estructura organizacional est adecuada a las necesidades.
Si el control organizacional es el adecuado.
Si se tienen los objetivos y polticas adecuadas, si se encuentran vigentes y si estn bien definidas.
Si existe la documentacin de las actividades, funciones y responsabilidades.
Si los puestos se encuentran definidos y sealadas sus responsabilidades.
Si el anlisis y descripcin de puestos est de acuerdo con el personal
que los ocupa.
Si se cumplen los lineamientos organizacionales.
Si el nivel de salarios est de acuerdo con el mercado de trabajo.
Si se tiene un programa de capacitacin adecuado y si se cumple con l.
Si los planes de trabajo concuerdan con los objetivos de la empresa.
Si se cuenta con los recursos humanos necesarios que garanticen la
continuidad de la operacin o si se cuenta con los "indispensables".
Si se evalan los planes y se determinan las desviaciones.
Si se cumple con los procedimientos y controles administrativos.

57
RECOPILACIN DE
LA INFORMACIN
ORGANIZACIONAL

58
CAPTULO 3
AUDITORIA DE
LA FUNCIN DE
INFORMTICA

Funciones
de la gerencia

La organizacin debe estar estructurada de tal forma que permita lograr

eficiente y eficazmente los objetivos, y que esto se logre a travs de una adecuada toma de decisiones.
Una forma de evaluar la forma en que la gerencia de informtica se est
desempeando es mediante la evaluacin de las funciones que la alta gerencia
debe realizar:

Planeacin. Determinar los objetivos del rea y la forma en que se van a

lograr estos objetivos.
Organizacin. Proveer de las facilidades, estructura, divisin del trabajo,
responsabilidades, actividades de grupo y personal necesario para realizar
las metas.
Recursos humanos. Seleccionando, capacitando y entrenando al personal
requerido para realizar las metas.
Direccin. Coordinando las actividades, proveyendo liderazgo y gua, y
motivando al personal.
Control. Comparando lo real contra lo planeado, como base para realizar
los ajustes necesarios.

PRINCIPALES PLANES
QUE SE REQUIEREN
DENTRO DE LA ORGANIZACIN
DE INFORMTICA
Estudio de viabilidad
Investiga los costos y beneficios de los usos a largo plazo de las computadoras,
y recomienda cundo debe o no usarse. En caso de requerirse el uso de la computacin, sirve para definir el tipo de hardware, el software y el equipo perifrico
y de comunicacin necesarios para lograr los objetivos de la organizacin.
El estudio de viabilidad consiste en la evaluacin para determinar, primero, si la computadora puede resolver o mejorar un determinado procedimiento,
y, segundo, cul es la mejor alternativa. Para lograr esto se deben de contestar
una serie de preguntas, entre las cuales estn las siguientes:

La computadora resolver o mejorar los procedimientos, funciones o actividades que se realizan?

La computadora mejorar la informacin para lograr una adecuada toma
de decisiones?

El costo de la informtica proporcionar una adecuada tasa de retorno?

(En este caso, uno de los mayores problemas es el de evaluar los intangibles.)
Cul es el periodo de recuperacin de la inversin?
Cul es la relacin costo-beneficio que se obtendr?
Se debe desarrollar un nuevo sistema o adquirir una nueva computadora,
o bien hacer cambios al sistema actual o actualizar el sistema de cmputo
que se tiene?
Se debe comprar o elaborar internamente los nuevos sistemas o las adecuaciones?
Se deben comprar los equipos, rentar o rentar con opcin a compra?
Se deben hacer cambios estructurales en la organizacin para lograr el incremento en las capacidades de procesamiento?
Qu prioridad tiene el proyecto y para cundo debe ser realizado?
Qu caractersticas tiene el sistema actual?
Cules son las reas potenciales en que se usar el nuevo sistema?
Cules son las fortalezas y debilidades del sistema actual?
Cules son los recursos adicionales que se requerirn?
Cul es el impacto a informtica a largo plazo?
Cules son las restricciones que se deben considerar?
Cul es el proyecto (PERT) que se tiene para su implementacin?

Despus de contestar estas preguntas, se debe elaborar un manual de especificaciones para ser distribuido al personal de informtica, a los vendedores o
asesores, para que les sirva de base para la contratacin, elaboracin o compra,
y como gua de referencia y control del proyecto.

Planeacin de cambios,
modificaciones y actualizacin
Especifica las metas y actividades que se deben realizar para lograr los cambios
y modificaciones, su independencia, tiempos, responsables y restricciones, cuando la organizacin toma la decisin de hacer cambios sustanciales de software,
hardware, comunicacin o equipos perifricos.
Algunas de las actividades tpicas en este plan son:

Especificacin completa de hardware, software, comunicacin, equipos

perifricos.
Evaluacin y seleccin.
Planeacin fsica y preparacin del lugar.
Pruebas finales de aceptacin.
Envo e instalacin.
Participacin del auditor interno y de los usuarios.
Diseo de la estructura organizacional en caso de que se vea afectada.

59
RECOPILACIN DE
LA INFORMACIN
ORGANIZACIONAL

60

Plan maestro
CAPITULO 3
AUDITORA DE
LA FUNCIN DE
INFORMTICA

El plan maestro o plan estratgico de una instalacin informtica define los

objetivos a largo plazo y las metas necesarias para lograrlo.
Una de las principales obligaciones del rea de gerencia en informtica es
la construccin de un plan maestro. El plan maestro debe contener los objetivos, metas y actividades generales a realizar durante los siguientes aos, incluyendo los nuevos sistemas que se pretenden implementar. Puede comprender
un periodo corto o largo, dependiendo de las caractersticas y necesidades de la
organizacin, y de lo cambiante de los sistemas. Una organizacin consolidada
posiblemente requiera un plan maestro a ms largo plazo que una organizacin
de reciente creacin.
El plan maestro puede comprender cuatro subplanes:
A) El plan estratgico de organizacin. Incluye los objetivos de la organizacin
a largo plazo, el medio ambiente, los factores organizacionales que sern
afectados, as como sus prioridades, el personal requerido, su actualizacin, desarrollo y capacitacin.
B) El plan estratgico de sistemas de informacin. Se debe elaborar el plan
estratgico y los objetivos planteados a largo plazo dentro de un plan estratgico de informacin, y las implicaciones que tendr dentro de la organizacin en general y en la organizacin de informtica.
C) El plan de requerimientos. Define la arquitectura necesaria para lograr los
objetivos planteados.
D) El plan de aplicaciones de sistemas de informacin. Define los sistemas de
aplicaciones que se desarrollarn, asociados con las prioridades y con el
periodo en que sern implantados:

Adquisicin o desarrollo de sistemas y su programa de trabajo.

Planeacin de desarrollo y capacitacin del personal necesario, o bien
su contratacin.
Recursos financieros que se necesitarn.
Requerimiento de facilidades.
Requerimientos de cambios en la organizacin.

Plan de proyectos
Consiste en el plan bsico para desarrollar determinado sistema y para asegurarse que el proyecto es consistente con las metas y objetivos de la organizacin
y con aquellos sealados en el plan maestro. Es importante que este plan no
slo contemple los sistemas, sino tambin las prioridades y el momento en el
cual se desarrollarn los sistemas.

Un plan de proyectos debe contener las actividades bsicas para poder lograr un determinado proyecto. Las principales tareas que deben estar especificadas dentro de un plan de proyecto son:

61
EVALUACIN DE
LA ESTRUCTURA
ORGNICA

Identificar las tareas a realizar.

Identificar las relaciones entre tareas.
Determinar las restricciones de tiempo de cada tarea del proyecto.
Determinar los recursos necesarios para cada tarea.
Determinar cualquier otra restriccin que se tenga.
Determinar la secuencia de actividades.

Plan de seguridad: seguros,

contingencias y recuperacin
en caso de siniestro
Una instalacin de informtica est expuesta a sufrir un desastre por muchas
razones: huracanes, fuego, inundaciones, terremotos, sabotaje, fraude, problemas del equipo. Se debe tener un plan que permita eliminar en lo posible la
ocurrencia de un desastre o de prdida por causas internas o externas a la organizacin. Se debe contar con una adecuada planeacin sobre los seguros que se
deben tener en caso de que ocurra un desastre. Tambin se debe tener un plan
de recuperacin para que en caso de que ocurra un desastre la instalacin se
encuentre en funcionamiento en el menor tiempo posible y con el menor impacto para la organizacin.

EVALUACIN DE LA ESTRUCTURA ORGNICA

Para lograr la evaluacin de la estructura orgnica se deber solicitar el manual
de organizacin de la direccin, el cual deber comprender, como mnimo:

Organigrama con jerarquas.

Funciones.
Objetivos y polticas.
Anlisis, descripcin y evaluacin de puestos.
Manual de procedimientos.
Manual de normas.
Instructivos de trabajo o guas de actividad.

Tambin se deben solicitar:

62
CAPTULO 3
AUDITORA DE
LA FUNCIN DE
INFORMTICA

Objetivos de la direccin.
Polticas y normas de la direccin.
Planeacin.
El director de informtica y aquellas personas que tengan un cargo directivo deben llenar los cuestionarios sobre estructura orgnica, funciones, objetivos y polticas.
Bsicamente, el departamento de informtica puede estar dentro de alguno
de estos tipos de dependencia:

Direccin
de informtica

A) Depende de alguna direccin o gerencia, la cual, normalmente, es la

direccin de finanzas. Esto se debe a que inicialmente informtica, o departamento de procesamiento electrnico de datos, nombre con que se le conoca,
procesaba principalmente sistemas de tipo contable, financiero o administrativo; por ejemplo, la contabilidad, la nmina, ventas o facturacin.
El que informtica dependa del usuario principal, normalmente se presenta
en estructuras pequeas o bien que inician en el rea de informtica. La ventaja
que tiene es que no se crea una estructura adicional para el rea de informtica y
permite que el usuario principal tenga un mayor control sobre sus sistemas.
La desventaja principal es que los otros usuarios son considerados como
secundarios y normalmente no se les da la importancia y prioridad requerida.
Otra desventaja es que, como la informacin es poder, a veces hace que un rea
tenga un mayor poder. Tambin, en ocasiones, sucede que el gerente o director
del rea usuaria del cual depende informtica tiene muy poco conocimiento de
informtica; ello ocasiona que el jefe de informtica cree una isla dentro de la
gerencia y que acuerde directamente con otras gerencias usuarias, lo que da
lugar a problemas con las lneas de autoridad. Este tipo de organizacin se usaba cuando comenz el rea de informtica, y en la actualidad slo es recomendable para instalaciones muy pequeas.
B) La segunda posibilidad es que la direccin de informtica dependa de la
gerencia general; esto puede ser en lnea o bien en forma de asesora.
La ventaja de alguna de estas organizaciones es que el director de informtica podr tener un nivel adecuado dentro de la organizacin, lo cual le permitir lograr una mejor comunicacin con los departamentos usuarios y, por lo
tanto, proporcionarles un mejor servicio y asignar las prioridades de acuerdo
con los lineamientos dados por la gerencia general.
La desventaja es que aumentan los niveles de la organizacin, lo que elevar el costo de la utilizacin de los sistemas de cmputo.
C) La tercera posibilidad es para estructuras muy grandes, en las que hay
bases de datos, redes o bien equipos en diferentes lugares.
En esta estructura se considera la administracin corporativa. La direccin
de informtica depende de la gerencia general, y existen departamentos de informtica dentro de las dems gerencias, las cuales reciben todas las normas,
polticas, procedimientos y estndares de la direccin de informtica, aunque
funcionalmente dependan de la gerencia a la cual estn adscritas. La direccin
de informtica es la responsable de las polticas, normatividad y controles.

Las funciones, organizacin y polticas de los departamentos deben estar

perfectamente definidas para evitar la duplicidad de mando y el que en dos
lugares diferentes se estn desarrollando los mismos sistemas, o bien que slo
en un lugar se programe y no se permita usar los equipos para programar en
otro lugar que no sea la direccin de informtica. Esto se puede dar en instalaciones que tengan equipo en varias ciudades o lugares, y para evitarlo se deben
tener bien definidas las polticas y funciones de todas las reas.
La ventaja principal de esta organizacin consiste en que se puede tener
centralizada la informacin (base de datos) y descentralizados los equipos; pero
se debe tener una adecuada coordinacin entre la direccin de informtica y los
departamentos de informtica de las reas usuarias para evitar duplicar esfuerzos o la duplicidad de mando.
En la actualidad, con la proliferacin de computadoras personales y la creacin de redes tanto internas como externas, as como de bases de datos que son
utilizadas por diferentes usuarios a diversas profundidades, este tipo de organizacin se puede considerar como la ms recomendable. Lo que hay que tener
muy claro es que en este tipo de organizacin el departamento de informtica
es el responsable de las normas y polticas de adquisicin de equipo y de utilizacin del mismo.
Dentro de esta misma forma de organizacin se debe evaluar la posibilidad
de tener una estructura por proyectos, lo cual permitir que los diseadores de
los sistemas estn ms cerca de las reas usuarias. Esto se puede lograr mediante la creacin de una fuerza de trabajo independiente, con todos los recursos,
pero con la obligacin de cumplir con los objetivos y metas sealados para un
sistema dentro de los diferentes planes.
La respuesta a si un tipo de organizacin corporativa es la ms conveniente
y en qu grado est en funcin de la decisin sobre tener una organizacin centralizada o descentralizada. La descentralizacin del procesamiento de la informacin ocurre en la actualidad como algo natural, debido al incremento de las
minicomputadoras y a los sistemas en redes. Sin embargo, si se desea controlar
el desarrollo, implementacin y adquisicin de equipos y de software, se deben
tener polticas de descentralizacin muy bien definidas, para evitar la proliferacin de equipo y de software que impida la adecuada comunicacin y la adquisicin de equipo no compatible, y que dificulte la integridad de los datos, lo
cual hace necesario que el personal sea entrenado en diferentes equipos, sistemas y plataformas.
D) La cuarta forma de organizacin es la creacin de una compaa independiente que d servicio de informtica a la organizacin.

ESTRUCTURA ORGNICA
Uno de los elementos ms crticos es el relativo al personal y a su organizacin.
Un personal calificado, motivado, entrenado y con la adecuada remuneracin,
repercute directamente en el buen desempeo del rea de informtica.

64
CAPTULO 3

Bases jurdicas (principalmente

en el sector pblico)

AUDITORIA DE
LA FUNCIN DE
INFORMTICA

'

'

A continuacin ofrecemos unos cuestionarios que servirn para evaluar la

estructura orgnica y las bases jurdicas:
Se ajusta la estructura orgnica actual a las disposiciones jurdicas vigentes?
Si

NO

No, por qu razn?

Cules son los ordenamientos legales en que se sustenta la direccin?

OBJETIVO DE LA ESTRUCTURA
La estructura actual est encaminada a la consecucin de los objetivos del
rea? Explique en qu forma.

Permite la estructura actual que se lleven a cabo con eficiencia:

Las atribuciones encomendadas?

Las funciones establecidas?
La distribucin del trabajo?
El control interno?

NO

NO

NO

NO

Si alguna de las respuestas es negativa, explique cul es la razn.

NIVELES JERRQUICOS
Es conveniente conocer los niveles jerrquicos para poder evaluar si son los
necesarios y si estn bien definidos.
Los niveles jerrquicos establecidos actualmente son necesarios y suficientes
para el desarrollo de las actividades del rea?
s NO
Cules y por qu son sus recomendaciones?

Permiten los niveles jerrquicos actuales que se desarrolle adecuadamente la:

Operacin?
Supervisin?
Control?

s
s
s

NO
NO
NO

65

Permiten los niveles actuales que se tenga una gil:

Comunicacin ascendente?
Comunicacin descendente?
Toma de decisiones?

s
s
s

NO
NO
NO

Si alguna de las respuestas es negativa, explique cul es la razn.

Considera que algunas reas deberan tener:

Mayor jerarqua?
Menor jerarqua?

si

NO

NO

Por qu razn?

DEPARTAMENTALIZACION
Se consideran adecuados los departamentos, reas y oficinas en que est dividida actualmente la estructura de la direccin?
s NO
No, por qu razn?

El rea y sus subreas tienen delimitadas con claridad sus responsabilidades?

S

NO

No, qu efectos provoca esta situacin?

PUESTOS
Se debe tener cuidado de que estn bien definidas las funciones de cada puesto, ya que desafortunadamente existe mucha confusin en los nombres que se
dan a los puestos dentro del medio de la informtica.
Los puestos actuales son adecuados a las necesidades que tiene el rea para
llevar a cabo sus funciones?
s NO
NO, por qu razn?

El nmero de empleados que trabaja actualmente es adecuado para cumplir

con las funciones encomendadas?
s , NO
Solicite el manual de descripcin de puestos de:
Anlisis.
Programacin.

EVALUACIN DE
LA ESTRUCTURA
ORGNICA

66
CAPTULO 3
AUDITORIA DE
LA FUNCIN DE
INFORMTICA

Tcnicos.
Operacin.
Captura.
Administrador de bases de datos.
Comunicacin y redes.
Direccin.
Administrativos.
Otros.
Pida la plantilla del personal. Se debe especificar el nmero de personas que
reportan a las personas que a su vez reportan a cada puesto, ya sea:
Director.
Subdirector.
Jefes de departamento.
Jefes de seccin.
Jefes de rea.
El nmero de personas es el adecuado en cada uno de los puestos?
Si

NO

S? Por qu?

No, cul es el nmero de personal que considerara adecuado? Seale el puesto

o los puestos.

EXPECTATIVAS
Dentro de las expectativas se pueden detectar, en algunas ocasiones, deficiencias y frustraciones de las personas.
Considera que debe revisarse la estructura actual, a fin de hacerla ms eficiente?
s NO
S? Por qu razn?

Cul es la estructura que propondra?

De realizar una modificacin a la estructura, cundo considera que debera

hacerse?

AUTORIDAD
Se encuentra definida adecuadamente la lnea de autoridad?

NO

No, por qu razn?

Su autoridad va de acuerdo a su responsabilidad?

NO

No, por qu razn?

En su rea se han presentado conflictos por el ejercicio de la autoridad?

S

NO

S, explique en qu casos.

Existe en el rea algn sistema de sugerencias y quejas por parte del personal?
S

NO

FUNCIONES
Las funciones en informtica pueden diferir de un organismo a otro, aunque se
designen con el mismo nombre; por ejemplo, la funcin del programador en
una organizacin puede ser diferente en otra organizacin. Ofrecemos a continuacin un cuestionario para evaluar las funciones.
EXISTENCIA
Se han establecido funciones del rea?
Por qu no?

Las funciones estn de acuerdo con las atribuciones legales?

s
Por qu no estn de acuerdo?

Estn por escrito en algn documento las funciones del rea?

Cul es la causa de que no estn por escrito?

Cul es la forma de darlas a conocer?

EVALUACIN DE
LA ESTRUCTURA
ORGNICA

Quin elabor las funciones?

CAPTULO 3
AUDITORIA DE
LA FUNCIN DE

INFORMTICA

. ,

.,

Participo el area en su formulacin?

Por qu causas no particip?

Quin las autoriz o aprob?

COINCIDENCIAS
Se debe tener cuidado en que se conozcan las funciones dei rea.
Las funciones estn encaminadas a la consecucin de los objetivos institucionales e internos?
s NO
No, por qu?

Las funciones del rea estn acordes al reglamento interior?

NO

No, en qu considera que difieren?

A qu nivel se conocen las funciones del rea?

Conocen otras reas las funciones del rea?

NO

No, por qu?

_
Considera que se deben dar a conocer?

NO

No, por qu?

ADECUADAS
Debemos tener cuidado, ya que en esta rea podemos detectar malestares del
personal, debido a que si las funciones no son adecuadas a las necesidades,
pueden existir problemas de definicin de funciones o bien de cargas de trabajo.
Son adecuadas a la realidad las funciones?
En caso negativo, por qu no son adecuadas?

NO

Son adecuadas a las necesidades actuales?

e
S(

Kin
NO

EVALUACIN DE
LA ESTRUCTURA
ORGNICA

En caso negativo, por qu no?

Cules son sus principales limitaciones?

Son adecuadas a las cargas de trabajo?

Existen conflictos por las cargas de trabajo desequilibradas?

s
si

NO
NO

De qu tipo?

Se tiene contemplada la desconcentracin?

si

NO

NO

No, por qu?

Cmo afecta la desconcentracin a las funciones?

Qu funciones se van a desconcentrar?

Particip la direccin de informtica en su elaboracin?

No, por qu?

CUMPLIMIENTO

Esta seccin nos sirve para evaluar el grado de cumplimiento de las funciones
del personal.
Estn delimitadas las funciones?

si

NO

A nivel de departamento?

SI

NO

A nivel de puesto?

SI

NO

No, por qu?

Las actividades que realiza el personal son acordes a las funciones que tiene
asignadas?
s NO

70
CAPTULO 3
AUDITORA DE
LA FUNCIN DE
INFORMTICA

No, qu tipo de actividades realiza que no estn acordes a las funciones

asignadas?

Cul es la causa?

Quin las ordena?

Las actividades que realiza actualmente cumplen en su totalidad con las funciones conferidas?
s NO
No, cul es su grado de cumplimiento?

La falta de cumplimiento de sus funciones es por:

Falta de personal.
Personal no capacitado.
Cargas de trabajo excesivas.
Porque realiza otras actividades.
La forma en que las ordena.

SI

NO

s
s
s
s

NO
NO
NO
NO

Cules funciones realiza en forma:

Peridica?
Eventual?
Sistemtica?

Otras?

Tienen programas y tareas encomendadas?

SI

NO

No, por qu?

Permiten cumplir con los programas y tareas encomendadas (necesidades de

operacin)?
s NO
No, por qu causas?

Quin es el responsable de ordenar que se ejecuten las actividades?

En caso de realizar otras actividades,, quin las ordena y autoriza?

En caso de no encontrarse el jefe inmediato, quin lo puede realizar?

APOYOS
Para cumplir con sus funciones requiere de apoyos de otras reas?
Si

NO

SI

NO

De qu tipo?
Cul es el rea que proporciona el apoyo?
Se lo proporcionan con oportunidad?
No, qu le ocasiona?
No, cmo resuelve esa falta de apoyo?
Con qu frecuencia lo solicita?
Para cumplir con sus funciones, proporciona apoyos a otras reas?
S

NO

NO

si

NO

S, qu tipo de apoyo proporciona?

A cuntas reas?
Cules son?
DUPLICIDAD
Existe duplicidad de funciones en la misma rea?
S, qu conflictos ocasiona y cules funciones?
Existe duplicidad de funciones en otras reas?
S, cules y dnde?
Qu conflictos ocasiona?
La duplicidad de funciones se debe a que el rea no puede realizarlas?
S

S, cul es la razn?
No, cul es su opinin al respecto?

NO

Se pueden eliminar funciones?

CAPTULO 3
AUDITORIA DE
LA FUNCIN DE
INFORMTICA

SI

NO

SI

NO

SI

NO

S, cules?
Se pueden transferir funciones?
S, cules y adonde?
Permite la duplicidad que se d el control interno?
No, por qu?

0BJETIVOS
Uno de los posibles problemas o descontentos que puede tener el personal es el
desconocimiento de los objetivos de la organizacin, lo cual puede deberse a
una falta de definicin de los objetivos; esto provoca que no se pueda tener una
planeacin adecuada.
Ofrecemos un cuestionario que sirve para evaluar los objetivos.
EXISTENCIA
Se han establecido objetivos para el rea?

NO

Quin los estableci?

Cul fue el mtodo para el establecimiento de los objetivos?
Particip el rea en su establecimiento?

NO

Cules fueron las principales razones de la seleccin de los objetivos?

Los objetivos establecidos son congruentes con:

Los
Los
Los
Los

de la direccin?
de la subdireccin?
del departamento/oficina?
de otros departamentos/oficinas?

si
si
s
s

NO
NO
NO
NO

Nadie le exige establecerlos.

NO

Considera importante que se establezcan.

NO

Es responsabilidad de otra rea establecer los objetivos.

NO

Por qu no se han establecido objetivos para el rea?

Cul?
EVALUACIN DE
LA ESTRUCTURA

De qu manera planea el trabajo del rea?

ORGNICA

Cmo afecta la operacin del rea el no tener establecidos los objetivos?

FORMALES
Se han definido por escrito los objetivos del rea?

NO

NO

NO

En qu documentos? (Recabarlos.)

Por qu no estn definidos por escrito?

Qu problemas se han derivado de esta situacin?

CONOCIMIENTO
Se han dado a conocer los objetivos?
A quin se han dado a conocer?

Quin ms debera conocerlos?

Qu mtodo se ha utilizado para dar a conocer los objetivos?

Por qu no se han dado a conocer los objetivos?

Considera importante que los conozca el personal?

Cmo afecta a la operacin del rea el hecho de que los objetivos no se hayan
dado a conocer o que su conocimiento sea parcial?
ADECUADOS
Abarcan los objetivos toda la operacin del rea?

NO

Los objetivos son claros y precisos?

NO

Son realistas?

NO

Qu aspectos no se cubren?

74

Se pueden alcanzar?
CAPTULO 3
AUDITORA DE
LA FUNCIN DE
INFORMTICA

SI

NO

Estn de acuerdo con las funciones del rea?

NO

Sealan cules son las realizaciones esperadas?

NO

Son congruentes con los objetivos institucionales?

NO

Sirven de gua al personal?

NO

Sirven para motivar al personal?

NO

Se han establecido para el corto, mediano y largo plazos?

NO

Por qu?

Qu adecuaciones puede sugerir para los objetivos actuales?

CUMPLIMIENTO
En qu grado se cumplen los objetivos?
Existen mecanismos para conocer el grado de cumplimiento de los objetivos?
S

NO

S, cules?
No, de qu manera se establece el grado de cumplimiento?
Se elabora algn reporte sobre el grado de avance en el cumplimiento de los
objetivos?
s NO
Para quin y con qu frecuencia? (Recabar datos.)
Quin elabora este reporte?
Qu se hace en caso de desviacin en el cumplimiento de los objetivos?
Qu sugerencia puede hacer para lograr el cumplimiento total de los objetivos?

ACTUALIZACIN
Se revisan los objetivos?
Por sistema?

NO

Quin revisa los objetivos?

EVALUACIN DE
LA ESTRUCTURA
ORGNICA

De qu manera se lleva a cabo la revisin?

Participa el rea en la actualizacin de los objetivos?

NO

Cundo se hizo la ltima revisin de los objetivos?

De qu manera se incorporan las modificaciones derivadas de las revisiones?

Por qu no se revisan los objetivos?

Qu sugerencias tiene para que la actualizacin de los objetivos sea ms eficaz?

AiNALISIS DE ORGANIZACIONES
Entre las diferentes formas de la estructura organizational de la direccin de
informtica no existe una evaluacin concreta y aceptada de las funciones de
sta. Las funciones que en una organizacin son consideradas como de programado^ en otra pueden ser de analista o de analista programados y en algunas
se han dividido ciertas funciones con diferentes niveles, por ejemplo, programador I, programador II, etctera.
Esto ha dado por resultado que, al no existir una definicin clara de los
niveles, funciones y conocimientos, las personas se designen con el ttulo que
ellos consideran pertinente; por ejemplo, ingeniero en sistemas (sin haber obtenido el grado), analista de sistemas, o bien que en algunos pases existan escuelas que confieran grados acadmicos que no son reconocidos oficialmente. Al
analizar las organizaciones debemos tener muy en cuenta si estn definidas las
funciones y la forma de evaluar a las personas que ingresan a los diferentes
niveles de la organizacin.
Si no existe un organigrama, el auditor debe elaborar uno que muestre el
actual plan de organizacin, ya que esto facilita el estudio y proporciona una
imagen general de la organizacin.
Criterios para analizar organigramas:

Agrupar funciones similares y relacionarlas entre s.

Agrupar funciones que sean compatibles.
Localizar la actividad cerca de la funcin a la que sirva.
Localizar la actividad cerca o dentro de la funcin mejor preparada para
realizarla.

Elaboracin
del organigrama

76
CAPTULO 3
AUDITORA DE
LA FUNCIN DE

INFORMTICA

No asignar la misma funcin a dos personas o entidades diferentes.

Separar las funciones de control y aquellas que sern objeto del mismo.
Ningn puesto debe tener dos o ms lneas de dependencia jerrquica.
j?} tramo de control no debe ser exagerado, ni muy numerosos los niveles
jerrquicos.

Cuando se estudia la estructura orgnica es importante hacer algunas anotaciones sobre las tareas asignadas a cada puesto y responder las siguientes preguntas:
Existen lneas de autoridad justificadas?
Hay una extralimitacin de funciones?
Hay demasiada supervisin de funcionarios?
Es excesiva la supervisin en general?
Hay agrupamientos ilgicos en las unidades?
Hay uniformidad en las asignaciones?

EVALUACIN DE LOS RECURSOS HUMANOS

El desarrollo del personal implica:

Establecer promociones y oportunidades de desarrollo.

Educacin y capacitacin. Estas actividades mantienen la moral y las habilidades de los empleados en un nivel adecuado para cumplir con los objetivos y metas encomendadas, y les permitir tener mayor motivacin y mejores remuneraciones. En el rea de informtica es muy importante la capacitacin para tener actualizado a nuestro personal en una disciplina en la que
puede quedarse rezagado muy rpidamente, aunque, por otro lado, debido
a la presin de tiempo con la que se trabaja, en muchas ocasiones no se le da
al personal la oportunidad para capacitarse.

Se deber obtener informacin sobre la situacin del personal del rea, para
lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyeccin
de recursos humanos. A continuacin un ejemplo de cuestionario para obtener
informacin sobre los siguientes aspectos:

Desempeo y comportamiento.
Condiciones de ambiente de trabajo.
Organizacin en el trabajo.
Desarrollo y motivacin.
Capacitacin y supervisin.
DESEMPEO Y CUMPLIMIENTO
Es suficiente el nmero de personal para el desarrollo de las funciones del
rea?
s NO

Se deja de realizar alguna actividad por falta de personal?

Est capacitado el personal para realizar con eficacia sus funciones?
S

NO

SI

NO

SI

NO

NO

No, por qu?

Es eficaz en el cumplimiento de sus funciones?

No, por qu?

Es adecuada la calidad del trabajo del personal?

No, por qu?

Es frecuente la repeticin de los trabajos encomendados?

El personal es discreto en el manejo de informacin confidencial?

S

NO

No, anote repercusiones.

En general, acata el personal las polticas, sistemas y procedimientos establecidos?

S NO
No, por qu?

Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de

trabajo?
s NO
Si, qu se hace al respecto?

Respeta el personal la autoridad establecida?

SI

NO

No, por qu?

Existe cooperacin por parte del personal para la realizacin del trabajo?
S

NO

NO

No, por qu?

El personal tiene afn de superacin?

Presenta el personal sugerencias para mejorar el desempeo actual?

s

NO

EVALUACIN DE
LOS RECURSOS
HUMANOS

Cmo considera las sugerencias?

CAPTULO 3
AUDITORA DE
LA FUNCIN DE
INFORMTICA

Qu tratamiento se les da?

Se toman en cuenta las sugerencias de los empleados?

sf

NO

En qu forma?

Cmo se les da respuesta a las sugerencias?

CAPACITACIN
Uno de los puntos que se deben evaluar con ms detalle dentro del rea de
informtica es la capacitacin; esto se debe al proceso cambiante y al desarrollo
de nuevas tecnologas en el rea.
Los programas de capacitacin incluyen al personal de:

Direccin.
Anlisis.
Programacin.
Operacin.
Administracin.
Administrador de bases de datos.
Comunicaciones redes.
Captura.
Otros (especifique).

(
(
(
(
(
(
(
(
(

)
)
)
)
)
)
)
)
)

Se han identificado las necesidades actuales y futuras de capacitacin del personal del rea?
sf NO
No, por qu?

Se desarrollan programas de capacitacin para el personal del rea

S(

NO

Apoya la superioridad la realizacin de estos programas?

si

NO

Se evalan los resultados de los programas de capacitacin?

si

NO

No, por qu?

No, por qu?

Solicite el plan de capacitacin para el presente ao.

SUPERVISIN

MB

Cmo se lleva a cabo la supervisin del personal?

En caso de no realizarse, por qu no se realiza?

Cmo se controlan el ausentismo y los retardos del personal?

Por qu no se llevan controles?

Cmo se evala el desempeo del personal?

Por qu no se evala?

Cul es la finalidad de la evaluacin del personal?

LIMITANTES
Cules son los principales factores internos que limitan el desempeo del personal?

Cules son los principales factores externos que limitan el desempeo del personal del rea?

Cul es el ndice de rotacin de personal en:

Anlisis?
Operacin?
Administracin?
Captura?
Programacin?
Direccin?
Administracin de bases de datos?
Comunicaciones redes?
Tcnicos?
Otros? (especifique).

En trminos generales, se adapta el personal al mejoramiento administrativo

(resistencia al cambio)?
s NO
Cul es el grado de disciplina del personal?

79
EVALUACIN DE
LOS RECURSOS
HUMANOS

80

Cul es el grado de asistencia y puntualidad del personal?

CAPTULO 3
AUDITORA DE
LA FUNCIN DE
INFORMTICA

Existe una poltica uniforme y consistente para sancionar la indisciplina del

personal?
's NO
Se lleva a efecto esta poltica?
Puede el personal presentar quejas y/o problemas?

s
'

NO
NO

S, cmo se solucionan?

Otras reas externas presentan quejas sobre la capacidad y/o atencin del
personal del rea?
s NO
S, qu tratamiento se les da?

Cmo se otorgan los ascensos, promociones y aumentos salariales?

Cmo se controlan las faltas y ausentismos?

Cules son las principales causas de faltas y ausentismo?

CONDICIONES DE TRABAJO
Para poder trabajar se requiere que se tenga una adecuada rea de trabajo, con
mayor razn en un rea en la que se debe hacer un trabajo de investigacin e
intelectual.
Conoce el reglamento interior de trabajo el personal del rea?
Se apoyan en l para solucionar los conflictos laborales?

NO

NO

SI

NO

NO, por qu?

Cmo son las relaciones laborales del rea con el sindicato?

Se presentan problemas con frecuencia?

S, en qu aspectos?

Cmo se resuelven?

81

REMUNERACIONES
Normalmente las personas estn inconformes con su remuneracin. Es importante evaluar que tan cierta es esta inconformidad o si est dada por otros malestares aunque sean sealados como Inconformidad en las remuneraciones, o
bien puede deberse a que se desconoce cmo se evala a la persona para
poder darle una mejor remuneracin.
Est el personal adecuadamente remunerado con respecto a:
Trabajo desempeado?
Puestos similares en otras organizaciones?
Puestos similares en otras reas?

Si

NO

s
si

NO

NO

S, cmo repercute?

No, cmo repercute?

Conseguir informacin sobre los sueldos de los mismos niveles en otras organizaciones.
AMBIENTE
El ambiente en el rea de informtica, principalmente en programacin, es muy
importante para lograr un adecuado desarrollo.
El personal est integrado como grupo de trabajo?

SI

NO

SI

NO

NO

No, por qu?

Cul es el grado de convivencia del personal?

Cmo se aprovecha esto para mejorar el ambiente de trabajo?

Son adecuadas las condiciones ambientales con respecto a:

Espacio del rea?
Iluminacin?
Ventilacin?
Equipo de oficina?
Mobiliario?
Ruido?
Limpieza y/o aseo?
Instalaciones sanitarias?
Instalaciones de comunicacin?

NO

NO

s
s
s
s
s

NO
NO
NO
NO
NO

EVALUACIN DE
LOS RECURSOS
HUMANOS

ORGANIZACIN DEL TRABAJO

CAPTULO 3
AUDITORA DE
LA FUNCIN DE
INFORMTICA

Participa en la seleccin del personal?

si

NO

En cantidad?

si

NO

En calidad?

si

NO

SI

NO

No, por qu?

Qu repercusiones tiene?

Se prevn las necesidades de personal con anterioridad:

No, por qu?

Est prevista la sustitucin del personal clave?

No, por qu?

DESARROLLO Y MOTIVACIN
Cmo se lleva a cabo la introduccin y el desarrollo del personal del rea?

En caso de no realizarse, por qu no se realiza?

Cmo se realiza la motivacin del personal del rea?

Cmo se estimula y se recompensa al personal del rea?

Existe oportunidad de ascensos y promociones?

SI

NO

Qu poltica hay al respecto?

ENTREVISTAS CON EL PERSONAL

DE INFORMTICA
Se debern efectuar entrevistas con el personal de informtica, para lo cual puede
entrevistarse a un grupo de personas elegidas, sin dejar de sealar que quienes

deseen exteriorizar sus opiniones lo podrn hacer en un lugar y hora determinados. En algunos casos es conveniente proporcionar un nmero telefnico para
poder hacer la reunin fuera de la direccin de informtica y hay que solicitar
que las opiniones sean debidamente fundamentadas.
Esto nos servir para determinar:

Grado de cumplimiento de la estructura organizacional administrativa.

Grado de cumplimiento de las polticas y los procedimientos administrativos.
Satisfaccin e insatisfaccin.
Capacitacin.
Observaciones generales.

Ofrecemos a continuacin una:

GUA DE ENTREVISTA
1. Nombre del puesto.
2. Puesto del jefe inmediato.
3. Puestos a que reporta.
4. Puestos de las personas que reportan al entrevistado.
5. Nmero de personas que reportan al entrevistado.
6. Describa brevemente las actividades diarias de su puesto.
7. Actividades peridicas.
8. Actividades eventuales.
9. Con qu manuales cuenta para el desempeo de su puesto?
10. Cules polticas se tienen establecidas para el puesto?
11. Seale las lagunas que considere que existen en la organizacin.
12. En caso de que el entrevistado mencione cargas de trabajo, cmo las
establece?
13. Cmo las controla?
14. Cmo se deciden las polticas que han de implantarse?
15. Cmo recibe las instrucciones de los trabajos encomendados?
16. Con qu frecuencia recibe capacitacin y de qu tipo?
17. Sobre qu tema le gustara recibir capacitacin?
18. Mencione la capacitacin obtenida y dada a su personal durante el ltimo
ao.
19. Cmo considera el ambiente de trabajo?
20. Observaciones.
NOTA: En caso de que se trate de una entrevista solicitada por el personal de
informtica, tiene que ser confidencial y no debern formularse las preguntas
iniciales. El entrevistado deber hablar abiertamente fundamentando sus opiniones y comentarios.

84
CAPITULO 3
AUDITORA DE
LA FUNCIN DE
INFORMTICA

ITUACION PRESUPUESTAL Y FINANCIERA

PRESUPUESTOS
Se obtendr informacin presupuestal y financiera del departamento, as como
del nmero de equipos y caractersticas para hacer un anlisis de su situacin
desde un punto de vista econmico. Entre esta informacin se encuentra:

Costos del departamento, desglosado por reas y controles.

Presupuesto del departamento, desglosado por reas.
Caractersticas de los equipos, nmero de ellos y contratos.
NOTA: Se debern pedir los costos, presupuestos y caractersticas de los equi-

pos sealados en los puntos anteriores, adems de contestar el cuestionario, del

cual se ofrece un ejemplo a continuacin:

1.

Cul es el gasto total anual del rea de informtica incluyendo renta del
equipo y administracin del centro de cmputo (gastos directos o indirectos)?

2.

Existe un sistema de contabilidad de costos por:

Usuario?

( )

Por aplicacin?

( )

3.

Conocen los usuarios los costos de sus aplicaciones?

4.

Los reportes de costo permiten la comparacin de lo gastado en la direccin de informtica contra lo presupuestado?
s NO

5.

Cite a los principales proveedores de su direccin en materia de:

Proveedor
Mobiliario en general
Consumibles
Equipo
Software
Mantenimiento
Equipo auxiliar

Papelera
Cintas, discos, etctera

Volumen anual

NO

Ac
rec

6.

Cules cargos adicionales se manejan por separado fuera del contrato?

Ponga una X en ellos.
Utilizacin del equipo.
Servicio de mantenimiento.
Capacitacin del personal.
Asesora en sistemas de cmputo.
Gastos de instalacin del equipo.
Impuestos federales, estatales, municipales y especiales.
Seguros de transporte y compra de equipo.
Otros (especifquelos).

7.

(
(
(
(
(
(
(
(

Cul es la situacin jurdica del equipo (especificar por equipo)?

Compra del equipo.
Renta del equipo.
Renta con opcin a compra.
Renta de tiempo mquina.
Maquila.
Otro, cul?

8.

(
(
(
(

)
)
)
)

Cul es la situacin jurdica del software (especificar por software)?

Compra.
Renta.
Elaborado internamente.
Maquila.
Otro, cul?

(
(
(
(

)
)
)
)

Pueden existir diferentes situaciones jurdicas de los equipos y del software; en

este caso se debe especificar la situacin de cada uno.

RECURSOS FINANCIEROS
A continuacin, se ofrecen algunas preguntas tiles para abordar el tema de los
recursos financieros.
FORMULACIN
Quin interviene en la formulacin del presupuesto del rea?
Se respetan los planteamientos presupustales del rea?
No, en qu partidas no se ha respetado y en qu monto?

si

NO

85
SITUACIN
PRESUPUESTAL
Y FINANCIERA

86

WSM

ADECUACIN
CAPTULO 3
AUDITORA DE
LA FUNCIN DE
INFORMTICA

Los recursos financieros con que cuenta el rea, son suficientes para alcanzar
los objetivos y metas establecidos?
si NO
No, qu efectos se han tenido en el rea al no contar con suficientes recursos
financieros?

RECURSOS MATERIALES
PROGRAMACIN
Existe un programa sobre los requerimientos del rea?

NO

NO

Qu personas del rea Intervienen en su elaboracin?

Se respetan los planteamientos del rea?
No, en qu aspectos no se respetan?

ADECUACIN
Los recursos materiales que se le proporcionan al rea, son suficientes para
cumplir con las funciones encomendadas?
s NO
No, en qu no son suficientes?
Los recursos materiales se proporcionan oportunamente?

SI

NO

Cules son las principales limitaciones que tiene el rea en cuanto a los recursos materiales?
Qu sugerencias haran para superar las limitaciones actuales?

SERVICIOS GENERALES
Existe un programa sobre los servicios generales que requiere el rea?
S

NO

Considera los servicios generales que se proporcionan al rea:

,

Adecuados?
Suficientes?
Oportunos?

SI

NO

NO

NO

En caso de que alguna de las respuestas sea negativa especifique cul es la

deficiencia.

Qu sugerencias haran para superar las limitaciones actuales?

MOBILIARIO Y EQUIPO
Se cuenta con el equipo y mobiliario adecuados y en cantidad suficiente para
desarrollar su trabajo?
si NO
Por qu?
Estn adecuadamente distribuidos en el rea de trabajo?

Actualmente se estn dejando de realizar actividades por falta de material y

equipo?
si NO
Qu se hace para solucionar este problema?

Conoce esta situacin el jefe de la unidad?

Qu medidas se han tomado?

Existe el servicio de mantenimiento del equipo?

Existen medidas de seguridad?

si

NO

Cules?

No, por qu?

Qu se hace con el equipo en desuso?

Sobre quin recae la responsabilidad del equipo?

Con qu frecuencia se renuevan el equipo y mobiliario?

Se recogen opiniones y sugerencias que nos permitan establecer las medidas

correctivas con las cuales lograr un mejor funcionamiento de estos recursos?

SITUACIN
PRESUPUESTAL
Y FINANCIERA

CAPITULO

Evaluacin
de los sistemas

OBJETIVOS
Al finalizar este captulo, usted:
1. Evaluar si las organizaciones que se van a auditar cuentan con los sistemas necesarios para cumplir con sus funciones.
2. Explicar la importancia de la evaluacin del diseo lgico de un sistema y
de su desarrollo.
3. Definir las caractersticas principales del control de proyectos, ya que de
esto depende el adecuado desarrollo de un sistema.
4. Conocer el contenido mnimo que deben tener los instructivos de operacin
de los sistemas.
5. Describir cules son los trabajos que se deben realizar para iniciar la operacin de un sistema.
6. Explicar la importancia de las entrevistas a los usuarios para comparar los
datos con los proporcionados por la direccin de informtica.
7. Conocer los sealamientos principales relacionados con los derechos de
autor y la informtica.

90

Pj-

2sz

EVALUACIN DE SISTEMAS

DE LOS SISTEMAS

Existen diversas formas por medio de las cuales las organizaciones pueden contar
con el software necesario para cumplir con sus requerimientos; entre ellas se
encuentran:
Elaborado por el usuario, o bien un software comercial. El que el usuario elabore un determinado software tiene las siguientes ventajas: normalmente es
desarrollado para cubrir todas las necesidades del usuario; puede ser modificado de acuerdo a las necesidades de la organizacin; contiene sistemas de seguridad propios. Aunque tiene estas desventajas: es ms costoso; su tiempo de
implementacin es ms largo, su mantenimiento y actualizacin, normalmente
no se hacen sobre una base peridica.
Software compartido o regalado. Normalmente se trata de un software sencillo elaborado para computadoras personales, que puede ser conseguido a bajo
costo va Internet. El peligro de este tipo de software es que puede no cumplir
con todas nuestras necesidades, adems de que se debe tener cuidado con los
programas pirata o con virus.
Se debe considerar la librera de programas de aplicacin. Sin importar la
forma de desarrollo, los programas siempre son escritos para correr en un determinado sistema operativo. Un elemento importante del sistema operativo es
la cantidad y diversidad de programas de aplicacin que son escritas en l, lo
cual se conoce como la librera de programas de aplicacin. Es importante tomar en cuenta el sistema operativo utilizado, ya que puede ser un tipo de sistema operativo conocido como "propietario", el cual slo puede ser usado en
mquinas de un determinado proveedor.
Software transportable (portability). Se considera que un software es portable o
transportable cuando 1) tiene diferentes versiones para diferentes sistemas
operativos, cuando 2) puede cambiarse entre dos o ms sistemas operativos, o
cuando 3) puede ser fcilmente convertido de un sistema operativo a otro. Un
software que es transportable permite, aparentemente, usar el mismo programa de aplicacin sin importar el sistema computacional. Se puede usar en una
gran computadora (mainframe) o en una minicomputadora, o cambiar entre diferentes tipos de minicomputadoras. Una organizacin que obtiene un software
que tiene diferentes versiones, pero que en esencia es el mismo, lo cual significa
que es transportable, ahorra tiempo en entrenamiento y en personal, y permite
el que fcilmente se mueva de un trabajo a otro o bien en diferentes lugares.
Un solo usuario o multiusuario. Como en el caso de los sistemas operativos,
los programas de aplicacin pueden ser para un solo usuario o para una variedad de usuarios.
Categorizacin del software de aplicacin por usuario. El software puede ser
catalogado como: de propsitos generales, de funciones especficas o especfico
de la industria.

Software a la medida de la oficina. El software comercial puede ser vendido, o

bien puede ser elaborado internamente como paquetes individuales o como
paquetes integrales y compatibles que son diseados para trabajar en conjunto.
Por ejemplo, un paquete elaborado en Cobol, o una hoja de clculo, pueden ser
diseados para trabajar slo con un determinado sistema operativo. Los paquetes individuales pueden ocasionar muchos problemas, ya que por ejemplo se
puede tener un magnfico paquete de presupuestos que sea incompatible con el
paquete de contabilidad. Si dos paquetes son diseados en forma individual
por dos diferentes compaas, es muy probable que no sean compatibles, lo
cual puede repercutir en aumento de tiempo, costo y entrenamiento. Un software que es compatible e integrado permite que sus menus, apuntadores, comandos y ayudas sean iguales y que las salidas del sistema sean compatibles. El
usar paquetes de software compatible, tiene grandes beneficios, aunque puede
tener el inconveniente de que no todos los paquetes cumplan con los requerimientos de los usuarios.
Al desarrollar un determinado sistema se debe cuidar si habr necesidad
de adquirir sistemas o lenguajes propiedad de una compaa, que para su utilizacin se requiera de una licencia especfica, lo cual puede ser muy costoso, o
bien "casarnos" con un determinado proveedor, lo cual puede ser conveniente
pero requiere de una evaluacin muy detallada.
La elaboracin o adquisicin de sistemas debe evaluarse con mucho detalle, para lo cual se debe revisar desde la planeacin y elaboracin de los sistemas hasta su desarrollo e implementacin. Se deber evaluar si:

91
EVALUACIN
DE SISTEMAS

Existen realmente sistemas entrelazados como un todo o bien si existen programas aislados.
Existe un plan estratgico para la elaboracin de los sistemas o bien si se
estn elaborando sin el adecuado sealamiento de prioridades y de objetivos.
Los recursos son los adecuados y si se estn utilizando en forma eficaz y
eficiente.
El plan estratgico deber establecer los servicios que se prestarn en un
futuro, contestando preguntas como las siguientes:
Cules servicios se implementarn?
Cundo se pondrn a disposicin de los usuarios?
Qu caractersticas tendrn?
Cuntos recursos se requerirn?
La estrategia de desarrollo deber establecer las nuevas aplicaciones y recursos que proporcionar la direccin de informtica y la arquitectura en que
estarn fundamentados:
Qu
Qu
Qu
Qu

aplicaciones sern desarrolladas y cundo?

tipo de archivos se desarrollarn y cundo?
bases de datos sern desarrolladas y cundo?
lenguajes se utilizarn y en qu software?

El plan estratgico

CAPTULO 4
EVALUACIN
DE LOS SISTEMAS

Qu tecnologa ser utilizada y cundo se implementar?

Cuntos recursos se requerirn aproximadamente?
Cul es aproximadamente el monto de la inversin en hardware y software?

En lo referente a la consulta a los usuarios, el plan estratgico debe definir

los requerimientos de informacin de la organizacin:

Qu estudios van a ser realizados al respecto?

Qu metodologa se utilizar para dichos estudios?
Quin administrar y realizar estos estudios?

En el rea de auditora interna debe evaluarse cul ha sido la participacin

del auditor y los controles establecidos.
Por ltimo, el plan estratgico determina la planeacin de los recursos.

Contempla el plan estratgico las ventajas de la nueva tecnologa?

Cules sern los conocimientos requeridos por los recursos humanos planeados?
Se contemplan en la estructura organizacional los nuevos niveles jerrquicos requeridos por el plan estratgico?
Cul es la inversin requerida en servicios, desarrollo y consulta a los usuarios?

El proceso de planeacin de sistemas deber asegurarse de que todos los

recursos requeridos estn claramente identificados en el plan de desarrollo de
aplicaciones y datos.
Estos recursos (hardware, software y comunicaciones) debern ser compatibles con la estrategia de la arquitectura de la tecnologa con que se cuenta
actualmente.
Para identificar los problemas de los sistemas primero debemos detectar
los sntomas, los cuales son un reflejo del rea problemtica; despus de analizar los sntomas podremos definir y detectar las causas, parte medular de la
auditora.
Se deben reunir todos los sntomas y distinguirlos antes de sealar las causas, evitando tomar los sntomas como causas y dejando fuera todo lo que sean
rumores sin fundamento.
^ Los sistemas deben ser evaluados de acuerdo con el ciclo de vida que normalmente siguen. Para ello, se recomiendan los siguientes pasos:
A) Definicin del problema y requerimientos del usuario. Examinar y evaluar
los problemas y caractersticas del sistema actual, sea manual, mecnico o
electrnico, as como los requerimientos por parte del usuario.
B) Estudio de factibilidad:

Desarrollo de los objetivos y del modelo lgico del sistema propuesto.

Anlisis preliminar de las diferentes alternativas, incluyendo el estudio de factibilidad tcnico y econmico de cada alternativa.

Desarrollo de recomendaciones para el proyecto de sistema, incluyen

do los tiempos y costos del proyecto.

93
EVALUACIN
DE SISTEMAS

C) Diseo general y anlisis del sistema:

Estudio detallado del sistema actual, incluyendo los procedimientos,

diagramas de flujo, mtodos de trabajo, organizacin y control.
Desarrollo del modelo lgico del sistema actual.

D) Diseo del sistema:

Desarrollo de los objetivos para el sistema propuesto.

Desarrollo del modelo lgico del sistema propuesto, incluyendo la definicin lgica de los procesos, diccionario lgico de datos y diseo lgico de las bases de datos.
Evaluacin de las diferentes opciones de diseo.
Desarrollo del anlisis costo-beneficio para evaluar las implicaciones
econmicas de cada alternativa.

E) Diseo detallado:

Desarrollo de las especificaciones para el sistema fsico, incluyendo el

diseo de reportes, archivos, entradas, pantallas y formas.
Diseo de las especificaciones del programa.
Diseo de la implementacin y el tiempo y forma de llevar a cabo las
pruebas.

F) Implementacin y desarrollo fsico:

Codificacin y documentacin del programa.

Evaluacin y seleccin del equipo de cmputo.
Desarrollo de sistemas de auditora, control y seguridad, y desarrollo
de los procedimientos de prueba.
Desarrollo de los programas de entrenamiento.

G) Pruebas del sistema, evaluacin y aceptacin por parte del usuario y de

contralora interna:

Modificaciones y adecuaciones.
Instalacin.
Carga de datos.

H) Soporte cotidiano, cambios y mejoras al sistema. Despus de esto, se vuelve

nuevamente al ciclo inicial, el cual a su vez debe comenzar con el estudio de
factibilidad.
Tambin se debe evaluar que un error o correccin en el momento del diseo lgico es de fcil solucin y bajo costo, pero que los errores o modificaciones

Evaluacin
de los sistemas

94
CAPITULO 4
EVALUACIN
DE LOS SISTEMAS

entre ms adelantado est el desarrollo del sistema son ms costosos y de ms

difcil implementacin. Hay ocasiones en que un sistema en su fase de implementacin tiene tantas modificaciones, que es preferible hacer uno nuevo, en
lugar de usar el diseado con demasiadas modificaciones.
La primera etapa a evaluar en el sistema es el estudio de factibilidad, el cual
debe analizar si el sistema es susceptible de realizarse, cul es su relacin beneficio-costo y si es conductualmente favorable.
Se deber solicitar el estudio de factibilidad de los diferentes sistemas que
se encuentren en operacin, as como de los que estn en la fase de anlisis para
evaluar:

La disponibilidad y caractersticas del equipo.

Los sistemas operativos y los lenguajes disponibles.
Las necesidades de los usuarios.
Las formas de utilizacin de los sistemas.
El costo y los beneficios que reportar el sistema.
El efecto que producir en quienes lo usarn.
El efecto que stos tendrn sobre el sistema.
La congruencia de los diferentes sistemas.
La congruencia entre los sistemas y la organizacin.
Si estn definidos los procesos administrativos, la normatividad y las polticas para la utilizacin de los sistemas.
Su seguridad y confidencialidad.

En el caso de los sistemas que estn funcionando, se deber comprobar si

existe el estudio de factibilidad con los puntos sealados, y comparar con la
realidad lo especificado en el estudio de factibilidad.
Por ejemplo, en un sistema que el estudio de factibilidad seal determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario,
debemos comparar cul fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud
razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), el tiempo, el personal y la operacin. En la prctica, debemos de considerar los costos directos, indirectos y de operacin involucrados en un sistema, para poderlos comparar con los beneficios obtenidos.
Los beneficios que justifican el desarrollo de un sistema pueden ser el ahorro en los costos de operacin, la reduccin del tiempo de proceso de un sistema, una mayor exactitud, un mejor servicio, una mejora en los procedimientos
de control, una mayor confiabilidad y seguridad, una mejor comunicacin y en
forma ms eficiente.
Entre los problemas ms comunes en los sistemas estn los siguientes:

Falta de estndares en el desarrollo, en el anlisis y en la programacin.

Falta de participacin y de revisin por parte de la alta gerencia.
Falta de participacin de los usuarios.
Inadecuada especificacin del sistema al momento de hacer el diseo detallado.

Deficiente anlisis costo-beneficio.

Nueva tecnologa no usada o usada incorrectamente.
Inexperiencia por parte del personal de anlisis y del de programacin.
Diseo deficiente.
Proyeccin pobre de la forma en que se realizar el sistema.
Control dbil o falta de control sobre las fases de elaboracin del sistema y
sobre el sistema en s.
Problemas de auditora (poca participacin de auditora interna en el momento del diseo del sistema).
Inadecuados procedimientos de seguridad, de recuperacin y de archivos.
Falta de integracin de los sistemas (elaboracin de sistemas aislados o programas que no estn unidos como sistemas).
Documentacin inadecuada o inexistente.
Dificultad de dar mantenimiento al sistema, principalmente por falta de
documentacin o por excesivos cambios y modificaciones hechos al sistema.
Problemas en la conversin e implementacin.
Procedimientos incorrectos o no autorizados.
\

EVALUACIN DEL ANLISIS

En esta etapa se evaluarn las polticas, procedimientos y normas que se tienen
para llevar a cabo el anlisis.
Se deber evaluar la planeacin de las aplicaciones que pueden provenir de
cuatro fuentes principales:

La planeacin estratgica: agrupando las aplicaciones en conjuntos relacionados entre s y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la organizacin, independientemente de los recursos que impliquen su desarrollo y
justificacin en el momento de la planeacin.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la informacin de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron.
Los requerimientos de la organizacin y de los usuarios.
La situacin de una aplicacin puede ser alguna de las siguientes:

Planeada para ser desarrollada en el futuro.

En desarrollo.
En proceso, pero con modificaciones en desarrollo.
En proceso con problemas detectados.

95
EVALUACIN
DEL ANLISIS

96
CAPITULO 4
EVALUACIN
DE LOS SISTEMAS

En proceso sin problemas.

En proceso espordicamente.

NOTA: Se deber documentar detalladamente la fuente que gener la necesidad

de la aplicacin. La primera parte ser evaluar la forma en que se encuentran
especificadas las polticas, los procedimientos y los estndares de anlisis, si es
que se cumplen y si son los adecuados para la organizacin.
Es importante revisar la situacin en que se encuentran los manuales de
anlisis y ver si estn acordes con las necesidades de la organizacin. En algunas ocasiones se tiene una microcomputadora con sistemas sumamente sencillos y se solicita que se lleve a cabo una serie de anlisis que despus hay que
plasmar en documentos sealados en los estndares, lo cual hace que esta fase
sea muy compleja y costosa. Los sistemas y su documentacin deben estar acordes con las caractersticas y necesidades de una organizacin especfica; no se
deber tener la misma documentacin para un sistema que se va a usar en
computadoras personales, el cual debe de ser documentado en forma ms sencilla (el usuario no necesariamente debe de saber de computacin) que un sistema en red. Tambin deben de existir diferentes niveles de documentacin (documentacin para usuarios, para responsables de la informacin tcnica).
Se debe evaluar la obtencin de datos sobre la operacin, el flujo, el nivel, la
jerarqua de la informacin que se tendr a travs del sistema, as como sus
lmites e interfases con otros sistemas. Se han de comparar los objetivos de los
sistemas desarrollados con las operaciones actuales, para ver si el estudio de la
ejecucin deseada corresponde al actual.
La auditora en informtica debe evaluar los documentos y registros usados en la elaboracin del sistema, as como todas las salidas (pantallas, las cuales deben tener una estructura "amigable") y reportes, la descripcin de las
actividades de flujo de la informacin y de procedimientos, los archivos almacenados, las bases de datos, su uso y su relacin con otros archivos y sistemas,
su frecuencia de acceso, su conservacin, su seguridad y control, la documentacin propuesta, las entradas y salidas del sistema y los documentos fuente a
usarse.
Dentro del estudio de los sistemas en uso se deber solicitar:
Manual del usuario.
Descripcin de flujo de informacin.
Descripcin y distribucin de informacin.
Manual de formas.
Manual de reportes.
Lista de archivos y especificacin.
Definicin de bases de datos.
Definicin de redes.
Con la informacin obtenida podremos dar respuesta a las siguientes preguntas:

Se est ejecutando en forma correcta y eficiente el proceso de informacin?

Puede ser simplificado para mejorar su aprovechamiento?

Se debe tener una mayor interaccin con otros sistemas?

Se tiene propuesto un adecuado control y seguridad sobre el sistema?
Est en el anlisis la documentacin adecuada?
Se debe usar otro tipo de tcnicas o de dispositivos (redes, bases de datos)?
Los informes de salida son confiables y adecuados?
Las pantallas y el sistema son amigables?

97
EVALUACIN
DEL ANLISIS

ANLISIS Y DISEO ESTRUCTURADO

El mayor objetivo del anlisis y diseo estructurado es determinar los requerimientos exactos, de tal forma que se disee el sistema correcto. El diseo estructurado emplea una serie de herramientas grficas y tcnicas que permiten el
anlisis de tal forma que sea posible conocer errores antes de que ocurran. Un
error que ocurre durante la operacin puede tener un costo de 30 a 90%, mientras que en la fase de aceptacin puede tener un costo de 5 a 10%, en la fase de
pruebas del diseo, de 4 a 7%, en la de codificacin, de 5%, en la de diseo de
sistemas de 3 a 6%, y en la de anlisis de 1 a 4%, por lo cual es muy conveniente
que los errores sean detectados y eliminados en las fases iniciales. En el caso de
los sistemas tradicionales la informacin puede estar incompleta, no actualizada o simplemente imprecisa, y estos problemas puede que no sean detectados,
mientras que en la programacin estructurada el analista recolecta informacin
sobre procedimientos actuales, flujos de informacin, procesos de toma de
decisiones y reportes, y as construye un modelo lgico de la situacin actual,
usando herramientas conocidas como diagramas lgicos de flujo de datos.
El diagrama de flujo es muy til porque detecta los procesos lgicos, los
requerimientos de informacin, el flujo de informacin, y provee un modelo
grfico del sistema actual, que puede ser utilizado para detectar mejoras y desarro llar los objetivos del nuevo sistema.
Las modificaciones mayores en los procedimientos actuales, necesidades
de informacin y de los procesos de toma de decisiones, las cuales son necesarias para lograr los objetivos, son construidas dentro del nuevo modelo lgico y
son descritas grficamente dentro de la propuesta del diagrama lgico de flujo
del nuevo sistema.
El diagrama lgico de flujo de datos del sistema propuesto se convierte en
la base para desarrollar y evaluar las diferentes alternativas de diseo para el
nuevo sistema. Las alternativas de diseo pueden incluir las bases para la computadora principal (batch), para el sistema en lnea o distribuido, para las
computadoras dedicadas o minicomputadoras, y para el rango de software que
soporte estas configuraciones, incluyendo el desarrollo de software, los paquetes de programas, usando lenguajes de cuarta generacin, las bases de datos y
sus caractersticas. Una vez que son seleccionadas estas alternativas se puede
comenzar el diseo detallado y la implementacin del sistema. Este proceso
involucra el diseo de las salidas y de las entradas, los requerimientos de archivos y los procedimientos de control.

Diagrama
de flujo de datos

E^S

EVALUACIN DEL DISEO

DE LOS SISTEMAS

LGICO DEL SISTEMA

En esta etapa se debern analizar las especificaciones del sistema:
Qu deber hacer?
Cmo lo deber hacer?
Cul es la justificacin para que se haga de la manera sealada?
Cul es la secuencia y ocurrencia de los datos?
La definicin del proceso.
Los archivos y bases de datos utilizados.
Las salidas y reportes.
Una vez que hemos analizado estas partes se deber estudiar la participacin que tuvo el usuario en la identificacin del nuevo sistema, la participacin
de auditora interna en el diseo de los controles y la determinacin de los
procedimientos de operacin y decisin.
Al tener el anlisis del diseo lgico del sistema debemos compararlo con
lo que realmente se est obteniendo: como en el caso de la administracin, en la
cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se
est obteniendo (lo real).

PROGRAMAS DE DESARROLLO
Los programas de desarrollo incluyen software que slo puede ser usado por el
personal que ha tenido entrenamiento y experiencia; este software incluye:
A) Lenguajes de programacin:

Lenguaje de mquina.
Ensambladores.
De tercera generacin.
De cuarta generacin:
o

4GLS.
Query languages.
Generadores de reportes.
Lenguajes naturales.
Generadores de aplicaciones.

B) CASE (computer aided software engineering).

C) Programacin orientada a objetos.

Al utilizar un determinado software se debe evaluar lo siguiente:

Interfases de usuario grfico, para poder disear pantallas y reportes agradables y visuales.
Enlace de objetos en los sistemas de informacin. Esto nos permite unir
determinados objetos dentro de un documento, por ejemplo, unir un
procesador de palabra con una hoja de clculo, o bien unir informacin de
un programa o sistema a otro programa o sistema.
Capacidad de trabajar en multiplataformas.
Capacidad de trabajar en redes.
Licencias. Verificar el tipo de licencia que se puede contratar (individual,
mltiple, corporativa).
Transportable.
Compatible con otro software.
Compatible con perifricos.
Fcil de usar.
Grado de sofisticacin.
Capacidad de utilizacin en red.
De fcil instalacin.
Demanda de hardware.
Requerimientos de memoria.
Costo.
Seguridad y confidencialidad.

EVALUACIN DEL
DISEO LGICO
DEL SISTEMA

BASES DE DATOS
I banco de datos es el conjunto de datos que guardan entre s una coherencia
[ temtica independiente del medio de almacenamiento.
La cantidad de informacin que contiene un banco de datos suele ser muy
[grande, del orden de millones de datos.
Se considera que una base de datos es la organizacin sistemtica de archivos de datos para facilitar su acceso, recuperacin y actualizacin, los cuales
estn relacionados unos con otros y son tratados como una entidad. Puede deI cirse que una base de datos es un banco de datos organizado como un tipo
estructurado de datos.
El DBMS (data base management system = sistema de administracin de bases
de datos) es un conjunto de programas que permite manejar cmodamente una
f base de datos, o sea:
El conjunto de facilidades y herramientas de actualizacin y recuperacin de informacin de una base de datos.1

Antonio Vaquero y Luis Jopnes, Informtica: glosario de trminos y siglas, McGraw-Hill.

Base de datos

En las bases de datos se debe evaluar:

La independencia de los datos. Muchos de los programas elaborados internamente eran dependientes de los archivos creados por ellos mismos, o sea
que carecan de independencia. La falta de independencia significa que cada
vez que un archivo es cambiado, todo programa que accesa a ese archivo
debe ser cambiado.
Redundancia de los datos. Se deben evitar las redundancias en las bases de
datos.
Si tuvisemos el nombre completo de los alumnos en cada una de las bases
de datos en las que se accese, la cantidad de datos redundantes sera muy
alta.

Consistencia de los datos. El problema de redundancia en los datos no slo

provoca que se ocupe demasiado espacio en los discos, sino que tambin
puede causar el problema de inconsistencia en los datos, ya que se puede
cambiar en un archivo pero omitirse en algn otro de los archivos.
Un sistema de bases de datos es un conjunto de programas que:

Almacena los datos en forma uniforme y de manera consistente.

Organiza los datos en archivos en forma uniforme y consistente.
Permite el acceso a la informacin en forma uniforme y consistente.
Elimina la redundancia innecesaria en los archivos.
Los componentes a evaluar dentro de una base de datos son:

Diccionario/directorio de datos.
Lenguajes de datos (lenguajes de descripcin de datos: DDL; lenguajes de
manipulacin de datos: DML).
Monitoreo de teleproceso.
Herramientas de desarrollo de aplicaciones.
Software de seguridad.
Sistemas de almacenamiento, respaldo y recuperacin.
Reporteadores.
Query languages (structured query language: SQL; natural language queries, query
by example: QBE).
Bases de datos de multiplataformas.
Web server software (world wide web: www).

EL ADMINISTRADOR DE BASES DE DATOS

El desarrollo de las bases de datos ha creado la necesidad dentro de la organizacin de contar con un organismo encargado de administrar las bases de datos,

cuyas funciones son las de planear, disear, organizar, operar, entrenar, as como
dar soporte a los usuarios, seguridad y mantenimiento.
Dentro de las funciones de este organismo estn las de tener relaciones con
la alta administracin, los analistas de sistemas, los programadores de aplicaciones, los usuarios y los programadores de sistemas.
Los modelos de bases de datos pueden ser:

Jerrquicos.
De redes.
Relacinales.
Orientados a objetos.

Entre las ventajas del sistema de bases de datos se encuentran:

Compartir datos.
Reduccin de redundancia de datos.
Mejora de la consistencia de los datos.
Independencia de datos.
Incrementa la productividad del programador de aplicaciones y de usuarios.
Mejora el control y la administracin de los datos.
Incrementa el nfasis de los datos como un recurso. Aumenta la importancia de la informacin como parte fundamental de la administracin.

Problemas de los sistemas

de administracin de bases de datos
Cuando varios usuarios utilizan una base de datos, pueden existir problemas si
no fue diseada para usuarios mltiples. Uno de estos problemas surge cuando
no existe un control sobre la actualizacin inmediata. Esto significa que dos o
ms usuarios pueden estar elaborando cambios al mismo archivo en el mismo
momento, y no existe control sobre la actualizacin inmediata de los archivos. Este tipo de problemas existe principalmente en las bases de datos de
computadoras personales, ya que los grandes sistemas tienen control sobre las
actualizaciones inmediatas.
Tambin pueden existir problemas en el uso de recursos excesivos de cmputo, lo cual se agrava si no se tiene un mantenimiento constante sobre las bases
de datos.
Problemas de seguridad. Las bases de datos deben de tener suficiente control para que se asegure que slo personal autorizado pueda acceder datos, y se
debe definir el tipo de usuario que pueda adicionar, dar de baja, actualizar o
acceder datos dependiendo de su llave de entrada, as como el usuario propietario de la base de datos.

101
EVALUACIN DEL
DISEO LGICO
DEL
SISTEMA

ZSS& V/OMUNICACION
DE LOS SISTEMAS

Se debe evaluar el modo de comunicacin y el cdigo empleado. Los diferentes

modos de comunicacin varan dependiendo del tipo de informacin que transmitimos y el costo del medio empleado.
El medio de comunicacin es tambin un factor importante a evaluar, y ste
depender de la velocidad y capacidad de transmisin, lo cual est directamente relacionado con el costo (cables trenzados, cable coaxial, fibra ptica, microondas, ondas de radio, infrarrojas).
Los componentes ms comunes dentro de un sistema de comunicacin son:
Servidor y husped.
Terminal o estacin de trabajo.
Convertidores de protocolo.
Mdem.
Equipo de conexin de terminales.
Modo de comunicacin.
Medio de comunicacin.
Topologa de las redes:

De punto a punto o estrella y topologa jerrquica.

Mutidrop o bus y ring.
Mesh.
Sin cables (wireless).

Tipo de redes:

o
o

Local.
Wide area networks (WAN).
Enterprise.
Internacional.

En general las redes pueden ser caras y pueden crear complicaciones en el

sistema de informacin, pero pueden ser justificables por alguna o varias de las
siguientes razones:
Compartir perifricos.
Compartir archivos.
Compartir aplicaciones.
Reducir costos de adquisicin, instalacin y mantenimiento de software.
Conexin con otras redes.
Captura de datos en lugares que son de informacin.
Aumentar productividad.
Permitir expansin.
Disminuir tiempo de comunicacin.
Aumentar control.
Seguridad.

Los puntos a revisar en las redes son:

i

Confiabilidad de las redes. Un sistema con redes que estn constantemente

"cadas", o que no sea confiable, provoca muchos problemas a la organizacin y cuestiona su funcionamiento.
Tiempo de respuesta. Una red que sea lenta en sus operaciones, provoca
que los usuarios la eviten o no la utilicen. Entre los problemas que puede
ocasionar esta lentitud estn:
0
0
0

La distancia que tiene que recorrer y la forma en que se transmite.

La cantidad de trfico en la red.
La capacidad de los canales de comunicacin.
Factores externos a la red, como puede ser la estructura de las bases de
datos.

Costo de la red.
Compatibilidad con otras redes.
Seguridad en las redes.
Los puntos a evaluar en el diseo lgico del sistema son:

Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.
Manipulaciones de datos (antes y despus del proceso electrnico de datos).
Proceso lgico (necesario para producir informes).
Identificacin de archivos, tamao de los campos y registros.
Proceso en lnea o lote y su justificacin.
Frecuencia y volmenes de operacin.
Sistemas de seguridad.
Sistemas de control.
Responsables (tipos de usuarios, identificando los usuarios propietarios de
la informacin).
Nmero de usuarios.
Software necesario.
Bases de datos requeridos.
En caso de redes determinar su tipo y caractersticas.

INFORMES
Cuando se analiza un sistema de informtica es muy comn pensar exclusivamente en la parte relacionada con la informtica, olvidndonos de que un siste-

EVALUACIN DEL
DISEO LGICO
DEL SISTEMA

104

DE

ma comprende desde el momento en que se genera un dato, as como su proceCAPTULO 4

Sarniento, retroalimentacin y salida. Es muy comn que solamente se evale el
EVALUACIN
procesamiento de la informacin y su almacenamiento dejando fuera la evaluaLOS SISTEMAS
c in de aquello que es el inicio del sistema, el seguimiento administrativo y la
obtencin de los reportes y salidas de informacin.
Lo que debemos determinar en el sistema es:

En el procedimiento:

En la grfica de flujo de informacin:

Quin hace la funcin, cundo y cmo?

Qu formas se utilizan en el sistema?
Son necesarias, se usan, estn duplicadas?
El nmero de copias es el adecuado?
Existen puntos de control o faltan?

Es fcil de usar?
Es lgica?
Se encontraron lagunas?
Hay faltas de control?

En las formas de diseo:

Cmo est usada la forma en el sistema?

Qu tan bien se ajusta la forma al procedimiento?
Cul es el propsito, por qu se usa?
Se usa y es necesaria?
El nmero de copias es el adecuado?
Quin lo usa?

Entre los elementos a revisar en el diseo de formas estn:

Numeracin. Est numerada la forma? Es necesaria su numeracin? Est
situada en un solo lugar fcil de encontrar? Cmo se controlan las hojas numeradas y su utilizacin?
Ttulo. Da el ttulo de la forma una idea clara sobre su funcin bsica?
Espacio. Si la forma va ser mecanografiada, hay suficiente espacio para escribir a mquina rpidamente, con exactitud y eficiencia? Si la forma se llenar a
mano, hay el espacio adecuado para que se escriba en forma legible?
Tabulacin. Si la forma va ser mecanografiada, permite su tabulacin llenarla
uniformemente? Es la tabulacin la mnima posible? Una excesiva tabulacin
disminuye la velocidad y eficiencia para llenarla. Adems le da una apariencia
desigual y confusa.
Zonas. Estn juntos los datos relacionados entre s? Si los datos similares estn
agrupados por zonas, todas las personas que usan la forma ahorran tiempo. La

informacin similar reunida por zonas hace ms fcil su referencia, se mecanografa ms eficientemente y se revisa con ms rapidez. Posteriormente, se debe
verificar que las zonas de las formas que sean utilizadas para captura estn
situadas de manera congruente con el diseo de las pantallas de captura.
Rayado. Da la forma una apariencia desordenada y difcil de entender por el
uso confuso y excesivo de lneas delgadas, gruesas o de doble raya?
Instrucciones. Se le dice al usuario cmo debe llenar la forma? Formas
autoinstructivas o que suministran la informacin de cmo llenarlas permiten
que el personal nuevo y los otros trabajen con supervisin y errores mnimos.
De no ser as, existe un manual de llenado de formas, el cual se debe revisar
para ver si las instrucciones son claras, si son congruentes con la forma y si son
excesivas, ya que un diseo excesivo de instrucciones puede provocar confusin y hacer que stas sean poco claras.
Firmas. Existe suficiente espacio para una firma legible? Est el espacio debidamente identificado respecto a la firma que se solicita? La firma se utiliza
como un mero trmite o realmente controla la persona que firma lo que se est
firmando?
Nombres. Se usan los nombres de los puestos en lugar del nombre del individuo en la forma? No es conveniente imprimir nombres de personas debido a la
rotacin de personal.
Encabezados ambiguos. Se indica con exactitud qu fechas, qu nmeros o
qu firmas se requieren? Se deben evitar encabezados dudosos o ambiguos.
Rtulos. Son demasiados llamativos? Son demasiado discretos? Existe un
adecuado contraste entre los rtulos y los textos respecto a su tamao, color y
ubicacin, para que los datos solicitados sean identificados fcilmente?
Ubicacin de los rtulos. Estn los rtulos o encabezados debajo de la lnea en
donde se debe mecanografiar? Esto causa prdida de tiempo, porque la mecangrafa tiene que mover el carro para ver el rtulo y acomodarlo nuevamente
para escribir la informacin deseada.
Casilleros. Se usan pequeos espacios enmarcados () para con una sola indicacin reducir escritos largos o repetitivos? Los espacios son suficientes o excesivos?
Tipo de papel. Son el peso y calidad del papel apropiados para esa forma?
Use papel ms pesado y de mejor calidad para aquellas formas que requieren
un manejo excesivo. Use papel de menor peso con formas que se usen poco,
para reducir costo y espacio en los archivos.
Tamaos estndar. Tiene la forma un tamao estndar? El tamao estndar se
ajusta a sobres y archivos estndar. Adems reduce existencias de papel, manejo, tiempo y costo de impresin. Se debe considerar que el costo del papel que

106
Figura 4.1. Descripcin de informes

CAPTULO 4
EVALUACIN
DE LOS SISTEMAS

FECHA

SISTEMA

NOMBRE DEL INFORME

PROPSITO

CLAVE

QUIN LO FORMULA

PERIODICIDAD

VOLUMEN EN HOJAS

EN VIGOR
DFSDE

FECHA EN QUE DEBE PRESENTARSE

NM. COPIAS
OPORTUNIDAD CONFIABILIDAD COMPLETO

COPIA

USUARIO

USO

ORIGINAL
1a.
2a.
3a.
4a.

NM.

DESCRIPCIN DEL PROCEDIMIENTO

ANEXAR COPIA FOTOSTTICA DEL INFORME Y DEL DIAGRAMA DE FLUJO.

ANALIZO

PG.

DE

Figura 4.2. Anlisis de informes

NOMBRE DEL INFORME
PROPSITO DEL INFORME
QUIN LO FORMULA
QU LO ORIGINA
VOLUMEN DE HOJAS O REGISTROS
FORMA DE HACERLO
PRINCIPAL USUARIO
FECHA TERICA DE PRESENTACIN
FECHA DE PRESENTACIN
NIVEL DE INFORMACIN
EN VIGOR DESDE
MODIFICACIONES

FUNCIN

EVALUACIN DEL
DISEO LGICO
DEL SISTEMA

PERIODICIDAD
PERIODICIDAD

OTROS DATOS

TANTOS

COLOR

DATOS Q U E CONTIENE

FECHA

RECOPIL

O R D E N DE LOS DATOS

REVIS

NDICE
PGINA

DE

108

Figura 4.3. Evaluacin de formas

CAPITULO 4
EVALUACIN
DE LOS SISTEMAS

NOMBRE DE LA FORMA.

FRECUENCIA DE USO

ELABORADO POR

NM. DE FORMA

NM. DE COPIAS

USUARIOS

CANT. IMPRESA

CANT. INV.

PERIODO ESTIMADO DE USO

OBSERVACIONES

FACTORES A EVALUAR

INFORMACIN EMPRESA

IMAGEN

TERMINOLOGA ESTNDAR

sf

NO

PROFESIONAL Y CORRECTA

S NO

EXISTE MANUAL DE OPERACIN

NO

CALIDAD APROPIADA DE PAPEL

S NO

AUTODESCRIPTIVA

NO

BUENA CALIDAD DE IMPRESIN

si- NO

FUENTE DE INFORMACIN DEBIDAMENTE s

IDENTIFICADA

NO

REQUIERE OTROS DATOS DE

REFERENCIA

NO

MXIMO APROVECHAMIENTO
DE PAPEL

s NO

TIENE SUFICIENTES ESPACIOS

NO

MXIMO APROVECHAMIENTO
DE IMPRESIN

s NO

COSTO

CUMPLE CON LAS NECESIDADES s NO

DATOS QUE CONTIENE

NECESITA DATOS ADICIONALES

NO

TIENE DATOS INNECESARIOS

NO

DUPLICA DATOS DE OTRAS

FORMAS

EN CASO DE HABER CONTESTADO "NO" A ALGUNA PREGUNTA, ANOTE LAS OBSERVACIONES

s NO

Figura 4.4. Evaluacin de formas

UTILIZACIN

FECHA

PREPARACIN

NO

RENGLONES DE DATOS EN ORDEN

CRONOLGICO SEGN FLUJO

FORMATOS ESTNDAR

NO

DATOS CONSTANTES PREIMPRESOS

S NO

DESCRIBE CLARAMENTE EL
USUARIO

S NO

S NO

COPIAS FCIL DE IDENTIFICAR

s
s

NO

ESPACIOS SUFICIENTES SEGN

MANERA DE PREPARACIN

COPIAS FCIL DE SEPARARSE

NO

TABULACIN UNIFORME

S NO

NO

ENCABEZADOS ARRIBA DE LAS

REAS PARA LLENAR

S NO

ENCABEZADOS EN ORDEN CRONOLGICO

COPIAS CLARAS PARA UN BUEN

REGISTRO
SUFICIENTE CALIDAD DEL PAPEL
PARA LA VIDA DE LA FORMA

S NO

S NO

FCIL DE MANEJAR Y ARCHIVAR

NO

UTILIZA ESPACIOS ENMARCADOS

S NO

FCIL DE IMPRIMIR O
REPRODUCIR

NO

MEDIDA ESTNDAR DE PAPEL

S NO

TTULOS Y ENCABEZADOS BIEN

BALANCEADOS

NO

CALIDAD DE PAPEL APROPIADO

S NO

ES CONGRUENTE CON LAS

PANTALLAS DE CAPTURA

S NO

REQUIERE NMERO DE CONTROL

SECUENCIAL

S NO

CONTROL
NMERO DE CLAVE

NO

REQUIERE AUTORIZACIN PARA

REIMPRIMIRSE

NO

EN CASO DE HABER CONTESTADO "NO" A ALGUNA PREGUNTA, ANOTE LAS OBSERVACIONES.

ANALIZADO POR

Figura 4.5. Evaluacin de formas

A. CONOCE LA PERSONA QUE FORMULA
EL DOCUMENTO, EL OBJETIVO
Y LA IMPORTANCIA DEL MISMO?

S.

NO.

N_

B. QU OPININ TIENE
EL EMPLEADO DEL MANEJO
DE ESTE DOCUMENTO?

QUE PROBLEMAS EXISTEN

EN SU ELABORACIN?

D. EXISTE RETRASO EN SU
FORMULACIN?
MOTIVO
E. SE USA LA FORMA

NO PARCIALMENTE

EN FORMA
INCORRECTA

EL USO QUE SE DA A LA FORMA

EN LOS DIFERENTES LUGARES ES EL ADECUADO?

EN FORMA
CORRECTA

NO_

NO_

EN QU CASO Y POR QU?.

CONSIDERA QUE SE PUEDEN

HACER CAMBIOS A LA FORMA
PARA SIMPLIFICAR TRABAJO
Y PROCEDIMIENTO?
CULES SON, POR QU Y CULES
SERAN LOS BENEFICIOS?

G. OPININ GENERAL

FECHA.
AUDITOR

111
Figura 4.6. Descripcin de formas
SISTEMA,
FORMA^
ELABORADA: NOMBRE.
PUESTO 1
AUTORIZADA: NOMBRE

FUENTE DE INFORMACIN

OBJETIVO

DESTINO
ORDEN
ORIGINAL
1a. COPIA
2a. COPIA
3a. COPIA
4a. COPIA
5a. COPIA
6a. COPIA
7a. COPIA

DESTINO

USO

EVALUACIN DEL
DISEO LGICO
DEL SISTEMA