Conceptos de la Auditoría de Sistemas

Introducción

Conceptos de Auditoría de
Sistemas *

Tipos de Auditoría *

Objetivos Generales de una Auditoría de
Sistemas *

Justificativos para efectuar una Auditoría de
Sistemas *

Controles *

Clasificación general de los
controles *

 Controles Preventivos *

 Controles detectivos *

 Controles Correctivos *

Principales Controles físicos y
lógicos *

Controles automáticos o
lógicos *

Controles administrativos en un ambiente de
Procesamiento de
Datos *

 Controles de
Preinstalación *

 Controles de organización y Planificación *

 Controles de Sistema en
Desarrollo y
Producción *

 Controles de Procesamiento *

 Controles de Operación *

 Controles en el uso del
Microcomputador *

 Análisis de Casos de Controles
Administrativos *

Metodología de una Auditoría de
Sistemas *

 Caso Práctico *

Introducción

Conceptos de Auditoría de Sistemas

La palabra auditoría viene del latín
auditorius y de esta proviene auditor, que tiene la virtud
de oir y revisar cuentas, pero
debe estar encaminado a un objetivo
específico que es el de evaluar la eficiencia y
eficacia con
que se está operando para que, por medio del
señalamiento de cursos
alternativos de acción, se tomen decisiones que permitan
corregir los errores, en caso de que existan, o bien mejorar la
forma de actuación.

Algunos autores proporcionan otros conceptos pero todos
coinciden en hacer énfasis en la revisión, evaluación
y elaboración de un informe para el
ejecutivo encaminado a un objetivo
específico en el ambiente
computacional y los sistemas.

A continuación se detallan algunos conceptos
recogidos de algunos expertos en la materia:

Auditoría de Sistemas
es:

• La verificación de controles en el
  procesamiento de la información, desarrollo
  de sistemas e
  instalación con el objetivo de
  evaluar su efectividad y presentar recomendaciones a la
  Gerencia.
• La actividad dirigida a verificar y juzgar información.
• El examen y evaluación de los procesos del
  Area de Procesamiento automático de Datos (PAD) y
  de la utilización de los recursos que en
  ellos intervienen, para llegar a establecer el grado de
  eficiencia,
  efectividad y economía de los
  sistemas
  computarizados en una empresa y
  presentar conclusiones y recomendaciones encaminadas a corregir
  las deficiencias existentes y mejorarlas.
• El proceso de
  recolección y evaluación de evidencia para determinar
  si un sistema
  automatizado:

Daños

Salvaguarda activos
Destrucción

Uso no autorizado

Robo

Mantiene Integridad de Información Precisa,

los datos
Completa

Oportuna

Confiable

Alcanza metas Contribución de la

organizacionales función
informática

Consume recursos Utiliza
los recursos
adecuadamente

eficientemente en el procesamiento de la
información

• Es el examen o revisión de carácter
  objetivo
  (independiente), crítico(evidencia), sistemático
  (normas),
  selectivo (muestras) de las políticas, normas,
  prácticas, funciones,
  procesos,
  procedimientos
  e informes
  relacionados con los sistemas de
  información computarizados, con el fin de emitir una
  opinión profesional (imparcial) con respecto
  a:
• Eficiencia en el uso de los recursos
  informáticos
• Validez de la información
• Efectividad de los controles establecidos

Tipos de
Auditoría

Existen algunos tipos de auditoría entre las que la Auditoría de
Sistemas integra un mundo paralelo pero diferente y peculiar
resaltando su enfoque a la función informática.

Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo
mismo que Auditoría Financiera.

Entre los principales enfoques de Auditoría tenemos los
siguientes:

Financiera Veracidad de estados
financieros

Preparación de informes de
acuerdo a principios
contables

Evalúa la eficiencia,

Operacional Eficacia

Economía

de los métodos y
procedimientos
que rigen un proceso de una
empresa

Sistemas Se preocupa de la función
informática

Fiscal Se dedica a observar el cumplimiento
de

las leyes
fiscales

Administrativa Analiza:

Logros de los objetivos de
la Administración

Desempeño de funciones
administrativas

Evalúa:

Calidad Métodos

Mediciones

Controles

de los bienes y
servicios

Revisa la contribución a la sociedad

Social así como la participación en
actividades

socialmente orientadas

Objetivos Generales de
una Auditoría de Sistemas

• Buscar una mejor relación costo-beneficio de los sistemas
  automáticos o computarizados diseñados e
  implantados por el PAD
• Incrementar la satisfacción de los usuarios de
  los sistemas
  computarizados
• Asegurar una mayor integridad, confidencialidad y
  confiabilidad de la información mediante la
  recomendación de seguridades y controles.
• Conocer la situación actual del área
  informática y las actividades y esfuerzos
  necesarios para lograr los objetivos
  propuestos.
• Seguridad de personal,
  datos, hardware,
  software e
  instalaciones
• Apoyo de función informática a las metas y objetivos de
  la organización
• Seguridad, utilidad,
  confianza, privacidad y disponibilidad en el ambiente
  informático
• Minimizar existencias de riesgos en
  el uso de Tecnología de
  información
• Decisiones de inversión y gastos
  innecesarios
• Capacitación y educación sobre controles en los Sistemas de
  Información

Justificativos para
efectuar una Auditoría de Sistemas

• Aumento considerable e injustificado del presupuesto del
  PAD (Departamento de Procesamiento de
  Datos)
• Desconocimiento en el nivel directivo de la
  situación informática de la empresa
• Falta total o parcial de seguridades lógicas y
  fisicas que garanticen la integridad del personal,
  equipos e información.
• Descubrimiento de fraudes efectuados con el
  computador
• Falta de una planificación
  informática
• Organización que no funciona correctamente,
  falta de políticas, objetivos,
  normas,
  metodología, asignación de tareas
  y adecuada administración del Recurso
  Humano
• Descontento general de los usuarios por
  incumplimiento de plazos y mala calidad de los
  resultados
• Falta de documentación o documentación
  incompleta de sistemas que
  revela la dificultad de efectuar el mantenimiento de los sistemas en
  producción

Controles

Conjunto de disposiciones metódicas, cuyo fin es
vigilar las funciones y
actitudes de
las empresas y para
ello permite verificar si todo se realiza conforme a los programas
adoptados, ordenes impartidas y principios
admitidos.

Clasificación
general de los controles

• Controles
  Preventivos

Son aquellos que reducen la frecuencia con que ocurren
las causas del riesgo,
permitiendo cierto margen de violaciones .

Ejemplos: Letrero "No fumar" para salvaguardar las
instalaciones

Sistemas de
claves de acceso

• Controles
  detectivos

Son aquellos que no evitan que ocurran las causas del
riesgo sino
que los detecta luego de ocurridos. Son los mas importantes para
el auditor. En cierta forma sirven para evaluar la eficiencia de los
controles preventivos.

Ejemplo: Archivos y
procesos que
sirvan como pistas de auditoría

Procedimientos de
validación

• Controles
  Correctivos

Ayudan a la investigación y corrección de las
causas del riesgo. La
corrección adecuada puede resultar dificil e ineficiente,
siendo necesaria la implantación de controles detectivos
sobre los controles correctivos, debido a que la
corrección de errores es en si una actividad altamente
propensa a errores.

Principales Controles
físicos y lógicos

Controles particulares tanto en la parte fisica como en
la lógica
se detallan a continuación

Autenticidad

Permiten verificar la identidad

1. Passwords
1. Firmas digitales

Exactitud

Aseguran la coherencia de los datos

1. Validación de campos
1. Validación de excesos

Totalidad

Evitan la omisión de registros
así como garantizan la conclusión de un proceso de
envio

1. Conteo de regitros
1. Cifras de control

Redundancia

Evitan la duplicidad de datos

1. Cancelación de lotes
1. Verificación de
   secuencias

Privacidad

Aseguran la protección de los datos

1. Compactación
1. Encriptación

Existencia

Aseguran la disponibilidad de los datos

1. Bitácora de estados
1. Mantenimiento de activos

Protección de Activos

Destrucción o corrupción
de información o del hardware

1. Extintores
1. Passwords

Efectividad

Aseguran el logro de los objetivos

1. Encuestas de satisfacción
1. Medición de niveles de
   servicio

Eficiencia

Aseguran el uso óptimo de los recursos

1. Programas monitores
1. Análisis costo-beneficio

Controles
automáticos o lógicos

Periodicidad de cambio de
claves de acceso

Los cambios de las claves de acceso a los programas se
deben realizar periódicamente. Normalmente los usuarios se
acostumbran a conservar la misma clave que le asignaron
inicialmente.

El no cambiar las claves periódicamente aumenta
la posibilidad de que personas no autorizadas conozcan y utilicen
claves de usuarios del sistema de
computación.

Por lo tanto se recomienda cambiar claves por lo menos
trimestralmente.

Combinación de alfanuméricos en claves
de acceso

No es conveniente que la clave este compuesta por
códigos de empleados, ya que una persona no
autorizada a través de pruebas
simples o de deducciones puede dar con dicha clave.

Para redefinir claves es necesario considerar los tipos
de claves que existen:

Individuales

Pertenecen a un solo usuario, por tanto es individual y
personal. Esta
clave permite al momento de efectuar las transacciones registrar
a los responsables de cualquier cambio.

Confidenciales

De forma confidencial los usuarios deberán ser
instruidos formalmente respecto al uso de las claves.

No significativas

Las claves no deben corresponder a números
secuenciales ni a nombres o fechas.

Verificación de datos de
entrada

Incluir rutinas que verifiquen la compatibilidad de los
datos mas no
su exactitud o precisión; tal es el caso de la
validación del tipo de datos que
contienen los campos o verificar si se encuentran dentro de un
rango.

Conteo de registros

Consiste en crear campos de memoria para ir
acumulando cada registro que se
ingresa y verificar con los totales ya registrados.

Totales de Control

Se realiza mediante la creación de totales de
linea, columnas, cantidad de formularios,
cifras de control, etc. , y
automáticamente verificar con un campo en el cual se van
acumulando los registros,
separando solo aquellos formularios o
registros con
diferencias.

Verficación de limites

Consiste en la verificación automática de
tablas, códigos, limites
mínimos y máximos o bajo determinadas condiciones
dadas previamente.

Verificación de secuencias

En ciertos procesos los
registros
deben observar cierta secuencia numerica o alfabetica, ascendente
o descendente, esta verificacion debe hacerse mediante rutinas
independientes del programa en
si.

Dígito autoerificador

Consiste en incluir un dígito adicional a una
codificación, el mismo que es resultado de la
aplicación de un algoritmo o
formula, conocido como MODULOS, que detecta la corrección
o no del código. Tal es el caso por ejemplo del decimo
dígito de la cédula de identidad,
calculado con el modulo 10 o el ultimo dígito del RUC
calculado con el módulo 11.

Utilizar software de seguridad en los
microcomputadores

El software de seguridad permite
restringir el acceso al microcomputador, de tal modo que solo el
personal
autorizado pueda utilizarlo.

Adicionalmente, este software permite reforzar la
segregación de funciones y la
confidencialidad de la información mediante controles para que los
usuarios puedan accesar solo a los programas y
datos para los
que están autorizados.

Programas de este tipo son: WACHDOG, LATTICE,SECRET
DISK, entre otros.

Controles administrativos
en un ambiente de
Procesamiento de Datos

La máxima autoridad del
Area de Informática de una empresa o
institución debe implantar los siguientes controles que se
agruparan de la siguiente forma:

1.- Controles de Preinstalación

2.- Controles de Organización y
Planificación

3.- Controles de Sistemas en
Desarrollo y
Producción

4.- Controles de Procesamiento

5.- Controles de Operación

6.- Controles de uso de Microcomputadores

• Controles de
  Preinstalación

Hacen referencia a procesos y
actividades previas a la adquisición e instalación
de un equipo de computación y obviamente a la automatización de los sistemas
existentes.

Objetivos:

• Garantizar que el hardware y
  software se
  adquieran siempre y cuando tengan la seguridad de
  que los sistemas computarizados proporcionaran mayores
  beneficios que cualquier otra alternativa.
• Garantizar la selección adecuada de equipos y
  sistemas de computación
• Asegurar la elaboración de un plan de
  actividades previo a la instalación

Acciones a seguir:

• Elaboración de un informe
  técnico en el que se justifique la adquisición
  del equipo, software y
  servicios de
  computación, incluyendo un estudio
  costo-beneficio.
• Formación de un comité que coordine y
  se responsabilice de todo el proceso de
  adquisición e instalación
• Elaborar un plan de
  instalación de equipo y software
  (fechas, actividades, responsables) el mismo que debe contar
  con la aprobación de los proveedores
  del equipo.
• Elaborar un instructivo con procedimientos
  a seguir para la selección y adquisición de
  equipos, programas y
  servicios
  computacionales. Este proceso debe
  enmarcarse en normas y
  disposiciones legales.
• Efectuar las acciones
  necesarias para una mayor participación de proveedores.
• Asegurar respaldo de mantenimiento y asistencia
  técnica.

• Controles de organización y
  Planificación

Se refiere a la definición clara de funciones, linea
de autoridad y
responsabilidad de las diferentes unidades del
área PAD, en labores tales como:

1. Diseñar un sistema
1. Elaborar los programas
1. Operar el sistema
1. Control de calidad

Se debe evitar que una misma persona tenga el
control de toda
una operación.

Es importante la utilización óptima de
recursos en el
PAD mediante la preparación de planes a ser evaluados
continuamente

Acciones a seguir

• La unidad informática debe estar al mas alto nivel
  de la pirámide administrativa de manera que cumpla con
  sus objetivos,
  cuente con el apoyo necesario y la dirección efectiva.
• Las funciones de
  operación, programación y diseño de
  sistemas deben estar claramente delimitadas.
• Deben existir mecanismos necesarios a fin de asegurar
  que los programadores y analistas no tengan acceso a la
  operación del computador y
  los operadores a su vez no conozcan la documentación de
  programas y
  sistemas.
• Debe existir una unidad de control de
  calidad, tanto de datos de
  entrada como de los resultado del procesamiento.
• El manejo y custodia de dispositivos y archivos
  magnéticos deben estar expresamente definidos por
  escrito.
• Las actividades del PAD deben obedecer a
  planificaciones a corto, mediano y largo plazo sujetos a
  evaluación y ajustes periódicos
  "Plan Maestro de
  Informática"
• Debe existir una participación efectiva de
  directivos, usuarios y personal del
  PAD en la planificación y evaluación del cumplimiento del plan.
• Las instrucciones deben impartirse por
  escrito.

• Controles de Sistema en
  Desarrollo y
  Producción

Se debe justificar que los sistemas han sido la mejor
opción para la empresa, bajo
una relación costo-beneficio
que proporcionen oportuna y efectiva información, que los sistemas se han
desarrollado bajo un proceso
planificado y se encuentren debidamente documentados.

Acciones a seguir:

Los usuarios deben participar en el diseño
e implantación de los sistemas pues aportan conocimiento y
experiencia de su área y esta actividad facilita el
proceso de
cambio

• El personal de
  auditoría
  interna/control debe
  formar parte del grupo de
  diseño para sugerir y solicitar la
  implantación de rutinas de control
• El desarrollo,
  diseño y mantenimiento de sistemas obedece a planes
  específicos, metodologías estándares,
  procedimientos
  y en general a normatividad escrita y aprobada.
• Cada fase concluida debe ser aprobada
  documentadamente por los usuarios mediante actas u otros
  mecanismos a fin de evitar reclamos posteriores.
• Los programas antes
  de pasar a Producción deben ser probados con
  datos que
  agoten todas las excepciones posibles.
• Todos los sistemas deben estar debidamente
  documentados y actualizados. La documentación
  deberá contener:

Informe de factibilidad

Diagrama de bloque

Diagrama de lógica del programa

Objetivos del programa

Listado original del programa y
versiones que incluyan los cambios efectuados con antecedentes
de pedido y aprobación de modificaciones

Formatos de salida

Resultados de pruebas
realizadas

• Implantar procedimientos
  de solicitud, aprobación y ejecución de cambios a
  programas,
  formatos de los sistemas en desarrollo.
• El sistema
  concluido sera entregado al usuario previo entrenamiento y
  elaboración de los manuales de
  operación respectivos

• Controles de
  Procesamiento

Los controles de procesamiento se refieren al ciclo que
sigue la información desde la entrada hasta la
salida de la información, lo que conlleva al
establecimiento de una serie de seguridades para:

• Asegurar que todos los datos sean
  procesados
• Garantizar la exactitud de los datos
  procesados
• Garantizar que se grabe un archivo para
  uso de la gerencia y
  con fines de auditoría
• Asegurar que los resultados sean entregados a los
  usuarios en forma oportuna y en las mejores
  condiciones.

Acciones a seguir:

• Validación de datos de
  entrada previo procesamiento debe ser realizada en forma
  automática: clave, dígito autoverificador,
  totales de lotes, etc.
• Preparación de datos de entrada debe ser
  responsabilidad de usuarios y consecuentemente
  su corrección.
• Recepción de datos de entrada y distribución de información de salida debe obedecer a un
  horario elaborado en coordinación con el usuario,
  realizando un debido control de
  calidad.
• Adoptar acciones
  necesaria para correcciones de errores.
• Analizar conveniencia costo-beneficio de estandarización de
  formularios,
  fuente para agilitar la captura de datos y minimizar
  errores.
• Los procesos
  interactivos deben garantizar una adecuada interrelación
  entre usuario y sistema.
• Planificar el mantenimiento del hardware y
  software,
  tomando todas las seguridades para garantizar la integridad de
  la información y el buen servicio a
  usuarios.

• Controles de
  Operación

Abarcan todo el ambiente de la
operación del equipo central de computación y dispositivos de
almacenamiento, la administración de la cintoteca y la
operación de terminales y equipos de comunicación por parte de los usuarios de
sistemas on line.

Los controles tienen como fin:

• Prevenir o detectar errores accidentales que puedan
  ocurrir en el Centro de Cómputo durante un
  proceso
• Evitar o detectar el manejo de datos con fines
  fraudulentos por parte de funcionarios del PAD
• Garantizar la integridad de los recursos
  informáticos.
• Asegurar la utilización adecuada de equipos
  acorde a planes y objetivos.

Recursos

Informáticos

Acciones a seguir:

• El acceso al centro de
  computo debe contar con las seguridades necesarias para
  reservar el ingreso al personal
  autorizado
• Implantar claves o password para garantizar
  operación de consola y equipo central (mainframe), a
  personal
  autorizado.
• Formular políticas respecto a seguridad,
  privacidad y protección de las facilidades de
  procesamiento ante eventos como:
  incendio, vandalismo, robo y uso indebido, intentos de
  violación y como responder ante esos eventos.
• Mantener un registro
  permanente (bitácora) de todos los procesos
  realizados, dejando constancia de suspensiones o cancelaciones
  de procesos.
• Los operadores del equipo central deben estar
  entrenados para recuperar o restaurar información en
  caso de destrucción de archivos.
• Los backups no deben ser menores de dos (padres e
  hijos) y deben guardarse en lugares seguros y
  adecuados, preferentemente en bóvedas de bancos.
• Se deben implantar calendarios de operación a
  fin de establecer prioridades de proceso.
• Todas las actividades del Centro de
  Computo deben normarse mediante manuales,
  instructivos, normas,
  reglamentos, etc.
• El proveedor de hardware y
  software
  deberá proporcionar lo siguiente:

Manual de operación de equipos

Manual de lenguaje de
programación

Manual de utilitarios disponibles

Manual de Sistemas operativos

• Las instalaciones deben contar con sistema de
  alarma por presencia de fuego, humo, asi como extintores de
  incendio, conexiones eléctricas seguras, entre
  otras.
• Instalar equipos que protejan la información y
  los dispositivos en caso de variación de voltaje como:
  reguladores de voltaje, supresores pico, UPS, generadores de
  energía.
• Contratar pólizas de seguros para
  proteger la información, equipos, personal y todo
  riesgo que
  se produzca por casos fortuitos o mala
  operación.

• Controles en el uso del
  Microcomputador

Es la tarea mas difícil pues son equipos mas
vulnerables, de fácil acceso, de fácil
explotación pero los controles que se implanten ayudaran a
garantizar la integridad y confidencialidad de la
información.

Acciones a seguir:

• Adquisicion de equipos de protección como
  supresores de pico, reguladores de voltaje y de ser posible UPS
  previo a la adquisición del equipo
• Vencida la garantía de mantenimiento del proveedor se debe contratar
  mantenimiento
  preventivo y correctivo.
• Establecer procedimientos
  para obtención de backups de paquetes y de archivos de
  datos.
• Revisión periódica y sorpresiva del
  contenido del disco para verificar la instalación de
  aplicaciones no relacionadas a la gestión de la
  empresa.
• Mantener programas y
  procedimientos
  de detección e inmunización de virus en copias
  no autorizadas o datos procesados en otros equipos.
• Propender a la estandarización del Sistema
  Operativo, software
  utilizado como procesadores de
  palabras, hojas electrónicas, manejadores de base de datos y
  mantener actualizadas las versiones y la capacitación sobre modificaciones
  incluidas.

Analizados los distintos tipos de controles que se
aplican en la Auditoría de
Sistemas efectuaremos a continuación el análisis de casos de situaciones
hipotéticas planteadas como problemáticas en
distintas empresas , con la
finalidad de efectuar el análisis del caso e identificar las
acciones que
se deberían implementar .

• Análisis de Casos de
  Controles Administrativos

Controles sobre datos fijos

Lea cada situación atentamente
y

1.- Enuncie un control que
hubiera prevenido el problema o posibilitado su
detección.

2.- Identifique uno o más controles alternativos
que hubieran ayudado a prevenir o a detectar el
problema.

Situación 1

Un empleado del grupo de
control de datos
obtuvo un formulario para modificaciones al archivo maestro
de proveedores
(en blanco) y lo completo con el código y nombre de un
proveedor ficticio, asignándole como domicilio el numero
de una casilla de correo que previamente había abierto a
su nombre.

Su objetivo era
que el sistema emitiera
cheques a la
orden del referido proveedor, y fueran luego remitidos a la
citada casilla de correo.

Cuando el listado de modificaciones al archivo maestro
de proveedores
(impreso por esta única modificación procesada en
la oportunidad ) le fue enviado para su verificación con
los datos de entrada, procedió a destruirlo.

Alternativas de Solución

• Los formularios
  para modificarse a los archivos
  maestros deberían ser prenumerados; el departamento
  usuario respectivo debería controlar su secuencia
  numérica.
• Los listados de modificaciones a los archivos
  maestros no sólo deberían listar los cambios
  recientemente procesados, sino también contener totales
  de control de
  los campos importantes,(número de registros, suma
  de campos importantes, fecha de la última
  modificación ,etc.) que deberían ser
  reconciliados por los departamentos usuarios con los listados
  anteriores.

Situación 2

Al realizar una prueba de facturación los
auditores observaron que los precios
facturados en algunos casos no coincidían con los
indicados en las listas de precios
vigente. Posteriormente se comprobó que ciertos cambios en
las listas de precios no
habían sido procesados, razón por la cual el
archivo
maestro de precios estaba
desactualizado.

Alternativas de Solución

• Uso de formularios
  prenumerados para modificaciones y controles programados
  diseñado para detectar alteraciones en la secuencia
  numérica de los mismos.
• Creación de totales de control por
  lotes de formularios de
  modificaciones y su posterior reconciliación con un
  listado de las modificaciones procesadas.
• Conciliación de totales de control de
  campos significativos con los acumulados por el computador.
• Generación y revisión de los
  listados de modificaciones procesadas por un delegado
  responsable.
• Revisión de listados periódicos del
  contenido del archivo maestro
  de precios.

Situación 3

El operador del turno de la noche, cuyos conocimientos
de programación eran mayores de los que los
demás suponían, modifico (por consola) al archivo maestro
de remuneraciones a
efectos de lograr que se abonara a una remuneración
más elevada a un operario del área de producción con el cual estaba emparentado.
El fraude fue
descubierto accidentalmente varios meses
después.

Alternativas de Solución

• Preparación de totales de control del
  usuario y reconciliación con los acumulados del campo
  remuneraciones, por el computador.
• Aplicación de control de
  límites de razonabilidad.

Situación 4

XX Inc. Es un mayorista de equipos de radio que
comercializa sus equipos a través de una vasta red de representantes. Sus
clientes son
minoristas locales y del exterior; algunos son considerados "
clientes
especiales", debido al volumen de sus
compras, y los
mismos son atendidos directamente por los supervisores de
ventas. Los
clientes
especiales no se incrementan por lo general, en la misma
proporción que aquellas facturadas a los clientes
especiales.

Al incrementarse los precios, el
archivo
maestro de precios y
condiciones de venta a clientes
especiales no es automáticamente actualizado; los propios
supervisores estipulan qué porción del incremento
se aplica a cada uno de los clientes
especiales.

El 2 de mayo de 1983 la compañía
incrementó sus precios de
venta en un 23%;
el archivo
maestro de precios y
condiciones de venta a clientes comunes
fue actualizado en dicho porcentaje.

En lo que atañe a los clientes
especiales, algunos supervisores incrementaron los precios en el
referido porcentaje, en tanto que otros -por razones comerciales-
recomendaron incrementos inferiores que oscilaron entre un 10% y
un 20%. Estos nuevos precios de
venta fueron
informados a la oficina central
por medio de formularios de
datos de entrada, diseñados al efecto,
procediéndose a la actualización del archivo
maestro.

En la oportunidad, uno de los supervisores acordó
con uno de sus clientes
especiales no incrementar los precios de
venta
(omitió remitir el citado formulario para su
procesamiento) a cambio de una
"comisión’’ del 5% de las ventas.

Ningún funcionario en la oficina central
detectó la no actualización de los precios
facturados a referido cliente
razón por la cual la compañía se vio
perjudicada por el equivalente a US$ 50.000. El fraude fue
descubierto accidentalmente, despidiéndose al involucrado,
pero no se interrumpió la relación
comercial.

Alternativas de Solución

• La empresa
  debería actualizar el archivo maestro
  de precios y condiciones de venta
  aplicando la totalidad del porcentaje de
  incremento.
• Los supervisores de venta
  deberían remitir formularios de
  entrada de datos transcribiendo los descuentos propuestos para
  clientes
  especiales.
• Los formularios
  deberían ser prenumerados, controlados y aprobados,
  antes de su procesamiento, por funcionarios competentes en la
  oficina
  central.
• Debe realizarse una revisión critica de
  listados de excepción emitidos con la nómina de aquellos clientes cuyos
  precios de venta se
  hubiesen incrementado en menos de un determinado
  porcentaje.

Situación 5

Un empleado del almacén de
productos
terminados ingresos al
computador
ordenes de despacho ficticias, como resultado de las cuales se
despacharon mercaderías a clientes
inexistentes.

Esta situación fue descubierta hasta que los
auditores realizaron pruebas de
cumplimientos y comprobaron que existían algunos despachos
no autorizados.

Alternativas de Solución

• Un empleado independiente de la custodia de los
  inventarios
  debería reconciliar diariamente la información
  sobre despachos generada como resultado del procesamiento de
  las órdenes de despacho, con documentación
  procesada independientemente, por ejemplo, notas de pedido
  aprobadas por la gerencia de
  ventas.

De esta manera se detectarían los despachos
ficticios.

Situación 6

Al realizar una prueba de facturación, los
auditores observaron que los precios facturados en algunos casos
no coincidían con los indicados en las listas de precios
vigentes. Posteriormente se comprobó que ciertos cambios
en las listas de precios no habían sido procesados,
razón por la cual el archivo maestro
de precios estaba desactualizado.

Alternativas de Solución

• Creación de totales de control por
  lotes de formularios de
  modificaciones y su posterior reconciliación con un
  listado de las modificaciones procesadas.
• Conciliación de totales de control con
  los acumulados por el computador
  referentes al contenido de campos
  significativos.
• Generación y revisión, por un
  funcionario responsable, de los listados de modificaciones
  procesadas.
• Generación y revisión de listados
  periódicos del contenido del archivo maestro
  de precios.

Situación 7

Una cobranza en efectivo a un cliente
registrada claramente en el correspondiente recibo como de $
18,01, fue ingresada al computador por
$ 1.801 según surge del listado diario de cobranzas en
efectivo.

Alternativas de Solución

• Contraloría/Auditoría debería preparar y
  conservar totales de control de los lotes de recibos por
  cobranzas en efectivo. Estos totales deberian ser luego
  comparados con los totales según el listado diario de
  cobranzas en efectivo.
• Un test de
  razonabilidad asumiendo que un pago de $361.300 está
  definido como no razonable.
• Comparación automática de los pagos
  recibidos con las facturas pendientes por el número de
  factura y
  rechazar o imprimir aquellas discrepancias significativas o no
  razonables.
• Efectuar la Doble digitación de campos
  criticos tales como valor o
  importe.

Metodología de
una Auditoría de Sistemas

Existen algunas metodologías de Auditorías
de Sistemas y todas depende de lo que se pretenda revisar o
analizar, pero como estándar analizaremos las cuatro fases
básicas de un proceso de
revisión:

• Estudio preliminar
• Revisión y evaluación de controles y
  seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados

Estudio preliminar.- Incluye definir el grupo de
trabajo, el programa de
auditoría, efectuar visitas a la unidad informática para conocer detalles de la
misma, elaborar un cuestionario
para la obtención de información para evaluar
preliminarmente el control
interno, solicitud de plan de
actividades, Manuales de
políticas, reglamentos, Entrevistas
con los principales funcionarios del PAD.

Revisión y evaluación
de controles y seguridades.- Consiste de la revisión
de los diagramas de
flujo de procesos,
realización de pruebas de
cumplimiento de las seguridades, revisión de aplicaciones
de las áreas criticas, Revisión de procesos
históricos (backups), Revisión de
documentación y archivos, entre
otras actividades.

Examen detallado de áreas criticas.-Con
las fases anteriores el auditor descubre las áreas
criticas y sobre ellas hace un estudio y análisis profundo en los que
definirá concretamente su grupo de
trabajo y la distribución de carga del mismo,
establecerá los motivos, objetivos,
alcance Recursos que
usara, definirá la metodología de trabajo, la duración
de la auditoría, Presentará el plan de trabajo y
analizara detalladamente cada problema encontrado con todo lo
anteriormente analizado en este folleto.

Comunicación de resultados.- Se elaborara
el borrador del informe a ser
discutido con los ejecutivos de la empresa hasta
llegar al informe
definitivo, el cual presentara esquemáticamente en forma
de matriz,
cuadros o redacción simple y concisa que destaque los
problemas
encontrados , los efectos y las recomendaciones de la
Auditoría.

El informe debe
contener lo siguiente:

• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área
  Informática
• Configuración del Hardware y
  Software
  instalado
• Control Interno
• Resultados de la Auditoría

• Caso
  Práctico

A continuación se presenta una política en Informática establecida como propuesta a
fin de ilustrar el trabajo
realizado de una auditoría de
sistemas enfocada en los controles de Organización y planificación.

Esta política fue creada
con la finalidad de que satisfaga a un grupo de
empresas
jurídicamente establecidas con una estructura
departamental del Area de Sistemas integrada por: Dirección , Subdirección, Jefes
Departamentales del Area de Sistemas en cada una de las empresas que
pertenecen al grupo.

Así mismo los Departamentos que la componen son:
Departamento de Desarrollo de
Sistemas y Producción, Departamento de Soporte
Técnico y Departamento de Redes/ Comunicaciones, Departamento de Desarrollo de
Proyectos.

Para el efecto se ha creado una Administración de Sistemas que
efectúa reuniones periódicas a fin de regular y
normar el funcionamiento del área de Sistemas y un
Comité en el que participan personal del
área de Sistemas y personal
administrativo.

POLÍTICAS EN
INFORMÁTICA

TITULO I

DISPOSICIONES GENERALES

ARTICULO 1°.- El presente ordenamiento tiene
por objeto estandarizar y contribuir al desarrollo
informático de las diferentes unidades administrativas de
la Empresa
NN.

ARTICULO 2°.- Para los efectos de este
instrumento se entenderá por:

Comité: Al equipo integrado por la
Dirección , Subdirección, los
Jefes departamentales y el personal
administrativo de las diferentes unidades administrativas
(Ocasionalmente) convocado para fines específicos
como:

• Adquisiciones de Hardware y
  software
• Establecimiento de estándares de la Empresa NN
  tanto de hardware como
  de software
• Establecimiento de la Arquitectura
  tecnológica de grupo.
• Establecimiento de lineamientos para concursos de
  ofertas

Administración de Informática: Está integrada
por la Dirección, Subdirección y Jefes
Departamentales, las cuales son responsables de:

• Velar por el funcionamiento de la tecnología informática que se utilice en las
  diferentes unidades administrativas
• Elaborar y efectuar seguimiento del Plan Maestro de
  Informática
• Definir estrategias y
  objetivos a
  corto, mediano y largo plazo
• Mantener la Arquitectura
  tecnológica
• Controlar la calidad del
  servicio
  brindado
• Mantener el Inventario
  actualizado de los recursos
  informáticos
• Velar por el cumplimiento de las Políticas y Procedimientos
  establecidos.

ARTICULO 3°.- Para los efectos de este
documento, se entiende por Políticas
en Informática, al conjunto de reglas
obligatorias, que deben observar los Jefes de Sistemas
responsables del hardware y software existente en la
Empresa NN,
siendo responsabilidad de la Administración de Informática,
vigilar su estricta observancia en el ámbito de su
competencia,
tomando las medidas preventivas y correctivas para que se
cumplan.

ARTICULO 4°.- Las Políticas
en Informática son el conjunto de ordenamientos y
lineamientos enmarcados en el ámbito jurídico y
administrativo de la Empresa NN. Estas
normas inciden
en la adquisición y el uso de los Bienes y
Servicios
Informáticos en la Empresa NN,
las cuales se deberán de acatar invariablemente, por
aquellas instancias que intervengan directa y/o indirectamente en
ello.

ARTICULO 5°.- La instancia rectora de los
sistemas de informática de la Empresa NN es
la Administración, y el organismo competente
para la aplicación de este ordenamiento, es el
Comité.

ARTICULO 6°.- Las presentes Políticas
aquí contenidas, son de observancia para la
adquisición y uso de bienes y
servicios
informáticos, en la Empresa NN,
cuyo incumplimiento generará que se incurra en responsabilidad administrativa; sujetándose
a lo dispuesto en la sección Responsabilidades
Administrativas de Sistemas.

ARTICULO 7°.- Las empresas de
la Empresa NN
deberán contar con un Jefe o responsable del Area de
Sistemas, en el que recaiga la administración de los Bienes y
Servicios, que
vigilará la correcta aplicación de los
ordenamientos establecidos por el Comité y demás
disposiciones aplicables.

TITULO II

LINEAMIENTOS PARA LA ADQUISICION DE
BIENES DE
INFORMATICA

ARTICULO 8°.- Toda adquisición de
tecnología
informática se efectúa a través del
Comité, que está conformado por el personal de la
Administración de Informática y
Gerente
Administrativo de la unidad solicitante de bienes o
servicios
informáticos.

ARTICULO 9°.- La adquisición de
Bienes de
Informática en la Empresa NN,
quedará sujeta a los lineamientos establecidos en este
documento.

ARTICULO 10°.- La Administración de Informática, al
planear las operaciones
relativas a la adquisición de Bienes
informáticos, establecerá prioridades y en su
selección deberá tomar en cuenta: estudio
técnico, precio,
calidad,
experiencia, desarrollo
tecnológico, estándares y capacidad,
entendiéndose por:

• Precio.- Costo
  inicial, costo de
  mantenimiento y consumibles por el
  período estimado de uso de los equipos;
• Calidad.- Parámetro cualitativo que
  especifica las características técnicas de los
  recursos
  informáticos.
• Experiencia.- Presencia en el mercado
  nacional e internacional, estructura
  de servicio, la
  confiabilidad de los bienes y
  certificados de calidad con los
  que se cuente;
• Desarrollo Tecnológico.- Se
  deberá analizar su grado de obsolescencia, su nivel
  tecnológico con respecto a la oferta
  existente y su permanencia en el mercado;

• Estándares.- Toda adquisición se
  basa en los estándares, es decir la arquitectura de
  grupo
  empresarial establecida por el Comité. Esta arquitectura
  tiene una permanencia mínima de dos a cinco
  años.
• Capacidades.- Se deberá analizar si
  satisface la demanda
  actual con un margen de holgura y capacidad de crecimiento para
  soportar la carga de trabajo del área.

ARTICULO 11°.- Para la adquisición de
Hardware se
observará lo siguiente:

a) El equipo que se desee adquirir deberá estar
dentro de las listas de ventas
vigentes de los fabricantes y/o distribuidores del mismo y
dentro de los estándares de la Empresa
NN.

b) Deberán tener un año de
garantía como mínimo

c) Deberán ser equipos integrados de
fábrica o ensamblados con componentes previamente
evaluados por el Comité.

d) La marca de los
equipos o componentes deberá contar con presencia y
permanencia demostrada en el mercado
nacional e internacional, así como con asistencia
técnica y refaccionaria local.

e) Tratándose de equipos microcomputadoras, a
fin de mantener actualizado la arquitectura
informático de la Empresa NN, el
Comité emitirá periódicamente las
especificaciones técnicas mínimas para su
adquisición.

f) Los dispositivos de
almacenamiento, así como las interfaces de
entrada/salida, deberán estar acordes con la tecnología de punta vigente, tanto en
velocidad de
transferencia de datos, como en el ciclo del proceso.

g) Las impresoras
deberán apegarse a los estándares de Hardware y
Software vigentes en el mercado y la
Empresa NN,
corroborando que los suministros (cintas, papel, etc.)
se consigan fácilmente en el mercado y no
estén sujetas a un solo proveedor.

h) Conjuntamente con los equipos, se deberá
adquirir el equipo complementario adecuado para su correcto
funcionamiento de acuerdo con las especificaciones de los
fabricantes, y que esta adquisición se manifieste en el
costo de la
partida inicial.

i)Los equipos complementarios deberán tener una
garantía mínima de un año y deberán
contar con el servicio
técnico correspondiente en el país.

j) Los equipos adquiridos deben contar, de preferencia
con asistencia técnica durante la instalación de
los mismos.

k) En lo que se refiere a los computadores denominados
servidores,
equipo de comunicaciones como enrutadores y concentradores
de medios, y
otros que se justifiquen por ser de operación
crítica y/o de alto costo; al
vencer su período de garantía, deben de contar
con un programa de
mantenimiento
preventivo y correctivo que incluya el suministro de
refacciones.

l) En lo que se refiere a los computadores denominados
personales, al vencer su garantía por
adquisición, deben de contar por lo menos con un
programa de
servicio de
mantenimiento correctivo que incluya el
suministro de refacciones.

Todo proyecto de
adquisición de bienes de
informática, debe sujetarse al análisis, aprobación y
autorización del Comité.

ARTICULO 12°: En la adquisición de
Equipo de cómputo se deberá incluir el Software
vigente precargado con su licencia correspondiente considerando
las disposiciones del artículo siguiente.

ARTICULO 13°.- Para la adquisición de
Software base y utilitarios, el Comité dará a
conocer periódicamente las tendencias con tecnología de punta
vigente, siendo la lista de productos
autorizados la siguiente:

1. MS-DOS, MS- Windows 95
   Español, Windows
   NT, Novell
   Netware, Unix(Automotriz).

2. Plataformas de Sistemas
   Operativos:

   Foxpro, Informix

3. Bases de Datos:

   Foxpro
   para DOS, VisualFox, Access

4. Manejadores de bases de
   datos:

   Los lenguajes de
   programación que se utilicen deben ser compatibles
   con las plataformas enlistadas.

   SQL Windows

   Visual Basic

   VisualFox

   CenturaWeb

   Notes Designer

5. Lenguajes de programación:

   Excel

6. Hojas de cálculo:

   Word

7. Procesadores de palabras:

   Page Maker, Corel
   Draw

8. Diseño Gráfico:

   F-prot, Command Antivirus,
   Norton Antivirus

9. Programas antivirus.

   Notes Mail

10. Correo electrónico
11. Browser de Internet

Netscape

En la generalidad de los casos, sólo se
adquirirán las últimas versiones liberadas de los
productos
seleccionados, salvo situaciones específicas que se
deberán justificar ante el Comité. Todos los
productos de
Software que se adquieran deberán contar con su licencia
de uso, documentación y garantía
respectivas.

ARTICULO 14°.- Todos los productos de
Software que se utilicen a partir de la fecha en que entre en
vigor el presente ordenamiento, deberán contar con su
licencia de uso respectiva; por lo que se promoverá la
regularización o eliminación de los productos ya
instalados que no cuenten con la licencia respectiva.

ARTICULO 15°.- Para la operación del
software de red se debe tener en
consideración lo siguiente:

a) Toda la información institucional debe
invariablemente ser operada a través de un mismo tipo de
sistema manejador
de base de datos
para beneficiarse de los mecanismos de integridad, seguridad y
recuperación de información en caso de falla del
sistema de
cómputo.

b) El acceso a los sistemas de
información, debe contar con los privilegios ó
niveles de seguridad de
acceso suficientes para garantizar la seguridad total
de la información institucional. Los niveles de seguridad de
acceso deberán controlarse por un administrador
único y poder ser
manipulado por software. Se deben delimitar las responsabilidades
en cuanto a quién está autorizado a consultar y/o
modificar en cada caso la información, tomando las medidas
de seguridad
pertinentes para cada caso.

c) El titular de la unidad administrativa responsable
del sistema de
información debe autorizar y solicitar la
asignación de clave de acceso al titular de la Unidad de
Informática.

d) Los datos de los sistemas de
información, deben ser respaldados de acuerdo a la
frecuencia de actualización de sus datos, rotando los
dispositivos de respaldo y guardando respaldos históricos
periódicamente. Es indispensable llevar una
bitácora oficial de los respaldos realizados, asimismo,
las cintas de respaldo deberán guardarse en un lugar de
acceso restringido con condiciones ambientales suficientes para
garantizar su conservación. Detalle explicativo se aprecia
en la Política de respaldos en
vigencia.

e) En cuanto a la información de los equipos de
cómputo personales, la Unidad de Informática
recomienda a los usuarios que realicen sus propios respaldos en
la red o en medios de
almacenamiento
alternos.

f) Todos los sistemas de
información que se tengan en operación, deben
contar con sus respectivos manuales
actualizados. Uno técnico que describa la estructura
interna del sistema
así como los programas,

catálogos y archivos que lo
conforman y otro que describa a los usuarios del sistema, los
procedimientos
para su utilización.

h) Los sistemas de
información, deben contemplar el registro
histórico de las transacciones sobre datos relevantes,
así como la clave del usuario y fecha en que se
realizó (Normas
Básicas de Auditoría y Control).

i )Se deben implantar rutinas periódicas de
auditoría a la integridad de los datos y de los programas de
cómputo, para garantizar su confiabilidad.

ARTICULO 16°.- Para la contratación
del servicio de
desarrollo o
construcción de Software aplicativo se
observará lo siguiente:

Todo proyecto de
contratación de desarrollo o
construcción de software requiere de un
estudio de
factibilidad que permita establecer la rentabilidad
del proyecto
así como los beneficios que se obtendrán del
mismo.

Todo proyecto
deberá ser aprobado por el Comité en base a un
informe
técnico que contenga lo siguiente:

• Bases del concurso (Requerimientos claramente
  especificados)
• Análisis de ofertas (Tres oferentes como
  mínimo) y Selección de oferta
  ganadora

Bases del Concurso

Las bases del concurso especifican claramente los
objetivos del
trabajo, delimita las responsabilidades de la empresa oferente
y la contratante.

De las empresas
oferentes:

Los requisitos que se deben solicitar a las empresas
oferentes son:

1. Copia de la Cédula de Identidad
   del o los representantes de la
   compañía
2. Copia de los nombramientos actualizados de los
   representantes legales de la compañía
3. Copia de los Estatutos de la empresa, en que
   aparezca claramente definido el objeto de la
   compañía, esto es para determinar si está
   o no facultada para realizar la obra
4. Copia del RUC de la
   compañía
5. Referencias de clientes (Mínimo 3)
6. La carta con la
   oferta
   definitiva del contratista debe estar firmada por el
   representante legal de la compañía
   oferente.

De la contratante

Las responsabilidades de la contratante son:

1. Delinear adecuadamente los objetivos y
   alcance del aplicativo.
2. Establecer los requerimientos del
   aplicativo
3. Definir responsabilidades de la contratista y
   contratante
4. Establecer campos de acción

Análisis de ofertas y Selección de
oferta
ganadora:

Para definir la empresa
oferente ganadora del concurso, el Comité
establecerá una reunión en la que se debe
considerar los siguientes factores:

1. Costo
2. Calidad
3. Tiempo de permanencia en el mercado de
   la empresa
   oferente
4. Experiencia en el desarrollo de
   aplicativos
5. Referencias comprobadas de Clientes
6. Cumplimiento en la entrega de los
   requisitos

Aprobada la oferta se debe
considerar los siguientes lineamientos en la elaboración
de contratos:

Todo contrato debe
incluir lo siguiente:

Antecedentes, objeto del contrato,
precio, forma
de pago, plazo, obligaciones
del contratista, responsabilidades, fiscalizador de la obra,
garantías, entrega recepción de obra provisional y
definitiva, sanciones por incumplimientos, rescisión del
contrato,
disposiciones supletorias, documentos
incorporados, solución de controversias, entre otros
aspectos.

Las garantías necesarias para cada contrato deben
ser incluídas en forma conjunta con el Departamento Legal,
quienes deben asesorar el tipo de garantía necesaria en la
elaboración de cada contrato.

Las garantías que se deben aplicar de acuerdo al
tipo de contrato
son:

1. Una garantía bancaria o una póliza de
   seguros,
   incondicional, irrevocable y de cobro inmediato por el 5% del
   monto total del contrato para
   asegurar su fiel cumplimiento, la cual se mantendrá
   vigente durante todo el tiempo que
   subsista la obligación motivo de la
   garantía.
2. Una garantía bancaria o una póliza de
   seguros,
   incondicional, irrevocable y de cobro inmediato equivalente al
   100 % (ciento por ciento) del anticipo. Esta garantía se
   devolverá en su integridad una vez que el anticipo se
   haya amortizado en la forma de pago estipulada en el contrato.
3. Un fondo de garantía que será retenido
   de cada planilla en un porcentaje del 5 %.

Junto al contrato se
deberá mantener la historia respectiva del
mismo que se compone de la siguiente documentación
soporte:

• Estudio de factibilidad
• Bases del concurso
• Ofertas presentadas
• Acta de aceptación de oferta
  firmada por los integrantes del Comité
• Informes de fiscalización
• Acta de entrega provisional y definitiva

TITULO III

INSTALACIONES

ARTICULO 17°.- La instalación del
equipo de cómputo, quedará sujeta a los siguientes
lineamientos:

a) Los equipos para uso interno se instalarán
en lugares adecuados, lejos de polvo y tráfico de
personas.

En las áreas de atención directa al
público los equipos se instalarán en lugares
adecuados.

b) La Administración de Informática,
así como las áreas operativas deberán
contar con un croquis actualizado de las instalaciones
eléctricas y de comunicaciones del equipo de cómputo en
red.

c) Las instalaciones eléctricas y de comunicaciones, estarán de preferencia
fijas o en su defecto resguardadas del paso de personas o
máquinas, y libres de cualquier interferencia
eléctrica o magnética.

d) Las instalaciones se apegarán estrictamente
a los requerimientos de los equipos, cuidando las
especificaciones del cableado y de los circuitos de
protección necesarios;

e) En ningún caso se permitirán
instalaciones improvisadas o sobrecargadas.

f) Cuando en la instalación se alimenten
elevadores, motores y
maquinaria pesada, se deberá tener un circuito
independiente, exclusivo para el equipo y/o red de
cómputo.

ARTICULO 18°.- La supervisión y control de las instalaciones
se llevará a cabo en los plazos y mediante los mecanismos
que establezca el Comité.

TITULO IV

LINEAMIENTOS EN
INFORMATICA

CAPITULO I

INFORMACION

ARTICULO 19°.- Los archivos
magnéticos de información se deberán
inventariar, anexando la descripción y las
especificaciones de los mismos, clasificando la
información en tres categorías:

1. Información histórica para
   auditorías
2. Información de interés
   de la Empresa
   NN
3. Información de interés
   exclusivo de algún área en
   particular.

ARTICULO 20°.- Los jefes de sistemas
responsables del equipo de cómputo y de la
información contenida en los centros de cómputo a
su cargo, delimitarán las responsabilidades de sus
subordinados y determinarán quien está autorizado a
efectuar operaciones
emergentes con dicha información tomando las medidas de
seguridad
pertinentes.

ARTICULO 21°.- Se establecen tres tipos de
prioridad para la información:

2. Información vital para el funcionamiento de la
   unidad administrativa;
3. Información necesaria, pero no indispensable
   en la unidad administrativa;
4. Información ocasional o eventual.

ARTICULO 22°.- En caso de información
vital para el funcionamiento de la unidad administrativa, se
deberán tener procesos
concomitantes, así como tener el respaldo diario de las
modificaciones efectuadas, rotando los dispositivos de respaldo y
guardando respaldos históricos semanalmente.

ARTICULO 23°.- La información
necesaria pero no indispensable, deberá ser respaldada con
una frecuencia mínima de una semana, rotando los
dispositivos de respaldo y guardando respaldos históricos
mensualmente.

ARTICULO 24°.- El respaldo de la
información ocasional o eventual queda a criterio de la
unidad administrativa.

ARTICULO 25°.- Los archivos
magnéticos de información, de carácter
histórico quedarán documentados como activos de la
unidad académica y estarán debidamente resguardados
en su lugar de almacenamiento.

Es obligación del responsable del equipo de
cómputo, la entrega conveniente de los archivos
magnéticos de información, a quien le suceda en el
cargo.

ARTICULO 26°.- Los sistemas de
información en operación, como los que se
desarrollen deberán contar con sus respectivos manuales. Un
manual del
usuario que describa los procedimientos de
operación y el manual
técnico que describa su estructura
interna, programas,
catálogos y archivos.

CAPITULO II

FUNCIONAMIENTO

ARTICULO 27°.- Es obligación de la
Administración de Informática
vigilar que el equipo de cómputo se use bajo las
condiciones especificadas por el proveedor y de acuerdo a las
funciones del
área a la que se asigne.

ARTICULO 28°.- Los colaboradores de la
empresa al
usar el equipo de cómputo, se abstendrán de
consumir alimentos, fumar
o realizar actos que perjudiquen el funcionamiento del mismo o
deterioren la información almacenada en medios
magnéticos, ópticos, etc.

ARTICULO 29°.- Por seguridad de los
recursos
informáticos se deben establecer seguridades:

• Físicas
• Sistema Operativo
• Software
• Comunicaciones
• Base de Datos
• Proceso
• Aplicaciones

Por ello se establecen los siguientes
lineamientos:

• Mantener claves de acceso que permitan el uso
  solamente al personal autorizado para ello.
• Verificar la información que provenga de
  fuentes
  externas a fin de corroborar que estén libres de
  cualquier agente externo que pueda contaminarla o perjudique el
  funcionamiento de los equipos.
• Mantener pólizas de seguros de los
  recursos
  informáticos en funcionamiento

ARTICULO 30°.- En ningún caso se
autorizará la utilización de dispositivos ajenos a
los procesos
informáticos de la unidad administrativa.

Por consiguiente, se prohibe el ingreso y/o
instalación de hardware y software
particular, es decir que no sea propiedad de
una unidad administrativa de la Empresa NN, excepto en casos
emergentes que la Dirección autorice.

CAPITULO III

PLAN DE CONTINGENCIAS

ARTICULO 31°.- La Administración de Informática
creará para las empresas y
departamentos un plan de
contingencias informáticas que incluya al menos los
siguientes puntos:

a) Continuar con la operación de la unidad
administrativa con procedimientos
informáticos alternos;

b) Tener los respaldos de información en un
lugar seguro, fuera
del lugar en el que se encuentran los equipos.

c) Tener el apoyo por medios
magnéticos o en forma documental, de las operaciones
necesarias para reconstruir los archivos
dañados;

d) Contar con un instructivo de operación para
la detección de posibles fallas, para que toda
acción correctiva se efectúe con la mínima
degradación posible de los datos;

e) Contar con un directorio del personal interno y del
personal externo de soporte, al cual se pueda recurrir en el
momento en que se detecte cualquier anomalía;

f) Ejecutar pruebas de
la funcionalidad del plan

f) Mantener revisiones del plan a fin de
efectuar las actualizantes respectivas

CAPITULO IV

ESTRATEGIAS

ARTICULO 32.- La estrategia
informática de la DDT se consolida en el Plan Maestro de
Informática y está orientada hacia los siguientes
puntos:

a) Plataforma de Sistemas Abiertos;

b) Descentralización del proceso de
información

c) Esquemas de operación bajo el concepto
cliente/servidor

d) Estandarización de hardware,
software base, utilitarios y estructuras
de datos

e) Intercomunicación entre unidades y equipos
mediante protocolos
estándares

f) Intercambio de experiencias entre Departamentos de
Informática.

g) Manejo de proyectos
conjuntos
con las diferentes unidades administrativas.

h) Programa de
capacitación permanente para los
colaboradores de la empresa del área de
informática

i) Integración de sistemas y bases de datos
de la Empresa NN, para tener como meta final un Sistema
Integral de Información Corporativo.

j) Programación con ayudas visuales e
interactivas. Facilitando interfases amigables al usuario
final.

k) Integración de sistemas
teleinformáticos (Intranet De
grupo
empresarial).

ARTICULO 33°.- Para la elaboración de
los proyectos
informáticos y para la presupuestación de los
mismos, se tomarán en cuentan tanto las necesidades de
hardware y software de la unidad administrativa solicitante, como
la disponibilidad de recursos con que
éstas cuenten.

DISPOSICIONES
TRANSITORIAS

ARTICULO PRIMERO.- Las disposiciones aquí
enmarcadas, entrarán en vigor a partir del día
siguiente de su difusión.

ARTICULO SEGUNDO.- Las normas y políticas
objeto de este documento, podrán ser modificadas o
adecuadas conforme a las necesidades que se vayan presentando,
mediante acuerdo del Comité Técnico de
Informática de la Empresa NN (CTI); una vez aprobadas
dichas modificaciones o adecuaciones, se establecerá su
vigencia.

ARTICULO TERCERO.- Las disposiciones aquí
descritas constan de forma detallada en los manuales de
políticas y procedimientos
específicos existentes.

ARTICULO CUARTO.- La falta de desconocimiento de
las normas
aquí descritas por parte de los colaboradores no los
libera de la aplicación de sanciones y/o penalidades por
el incumplimiento de las mismas.

Palabras clave: Controles automáticos o
lógicos, Controles Administrativos del PAD, Conceptos de
Auditoría
de Sistemas.

Autor: