AUDITORIA DE SISTEMAS

CONTENIDO
1. ANTECEDENTES
Introduccin...122
Conceptos.123
Fundamentos..124
Importancia de la Auditoria
En Informtica.124
Tipos de estructuras donde
se ubica la auditora en informtica.125
2. AUDITORIA EN AMBIENTES
COMPUTARIZADOS .126
Proceso de la Auditoria
Tcnicas de Auditoria
3. TECNICAS DE AUDITORIA ASISTIDO
POR COMPUTADORA..129
4. CASO PRACTICO.....134
OBJETIVO GENERAL
Aplicar los conocimientos sobre los principios de la auditoria de sistemas en
las entidades pblicas y privadas, por estar stas en este siglo de la era de la
tecnologa, donde todas las entidades hacen uso de ella, e identificar la
necesidad de sobre cuando se podr realizar una Auditoria Informtica y
poner en claro sobre lo que se desea obtener realizando la Auditoria
Informtica.
1. ANTECEDENTES
Introduccin
Originalmente la informtica se orient al apoyo de reas tales como
contabilidad, planillas de sueldos, entre otros, a partir de la necesidad
de conocer y medir el apoyo que la misma realizaba en las reas antes
mencionadas, y a la empresa en general, se origin el proceso
conocido como auditora a sistemas de informacin o auditoria de
sistemas.
Mas adelante la informtica pas a formar parte de toda organizacin
y el uso de computadoras personales, redes locales de computadoras,
etc., se difundi a lo largo de toda la empresa, la informtica tambin
da apoyo a la relacin entre empresas a travs de redes WAN y
tambin en la actualidad a travs de INTERNET (B2B / B2C, entre
otros).
De este modo la tarea de los responsables de informtica y los
auditores de sistemas tradicionales se vio desbordada por estos

acontecimientos y les imposibilit continuar con los mtodos utilizados

hasta ese entonces.
As surgi la necesidad del replanteamiento total de la auditora en
informtica, conocida tambin como auditora de sistemas, si bien esta
abarca solamente la revisin de los sistemas de informacin en
desarrollo, operacin y mantenimiento.
Entonces la auditora en informtica se encarga de evaluar y verificar
polticas, controles, procedimientos y seguridad en los recursos
dedicados al manejo de la informacin.
El rol del auditor en informtica no es el de oficiar como capataz o
polica del negocio, como se suele plantear comnmente, sino el de
funcionar como un punto de control y confianza para la alta direccin o
los dueos de la empresa, adems debe ser el
facilitador de
soluciones. Una de las tareas principales del auditor es la de conducir
siempre a la empresa a optimizar el uso de los recursos informticos.
Por otro lado es incorrecto pensar que la auditora informtica
producir un cambio instantneo en la cultura organizacional, en los
mtodos de trabajo, o en la mala calidad o improductividad, se debe
pensar que la auditora en informtica es un elemento estratgico
directo que apoya o promueve la eliminacin o correccin de cada una
de las debilidades antes mencionadas.
Se espera que un auditor en informtica sea un profesional, un
experto, pero sobre todo que sea un ser sensible, humano, que
entienda el contexto real del negocio que est auditando.
Su principal objetivo es darle a cada problema la dimensin
convertirlo en una solucin para el negocio de la empresa.

justa y

Concepto
A continuacin se detallan algunos conceptos recogidos de algunos
expertos en la materia:
Auditora de Sistemas es:
La verificacin de controles en el procesamiento de la informacin,
desarrollo de sistemas e instalacin con el objetivo de evaluar su
efectividad y presentar recomendaciones a la Gerencia.
La actividad dirigida a verificar y juzgar informacin.
El examen y evaluacin de los procesos del rea de Procesamiento
automtico de Datos (PAD) y de la utilizacin de los recursos que en
ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economa de los sistemas computarizados en una
empresa y presentar conclusiones y recomendaciones encaminadas a
corregir las deficiencias existentes y mejorarlas.

El proceso de recoleccin y evaluacin de evidencia para determinar

si un sistema automatizado:
Daos
Salvaguarda activos
Destruccin
Uso no autorizado
Robo
Mantiene Integridad de
los datos

Informacin Precisa,
Completa
Oportuna
Confiable

Alcanza metas
organizacionales

Contribucin de la
funcin informtica

Consume recursos
eficientemente

Utiliza los recursos adecuadamente

en el procesamiento de la
informacin

Es

el examen o revisin de carcter objetivo (independiente),

crtico(evidencia), sistemtico (normas), selectivo (muestras) de las
polticas, normas, prcticas, funciones, procesos, procedimientos e
informes
relacionados
con
los
sistemas
de
informacin
computarizados, con el fin de emitir una opinin profesional
(imparcial) con respecto a:
Eficiencia en el uso de los recursos informticos
Validez de la informacin
Efectividad de los controles establecidos
Es el examen sistemtico que tiene como propsito principal evaluar
la funcionabilidad del sistema informtico, en cuanto a su
operatividad con eficiencia, eficacia y economicidad, proporcionando
informacin confiable, oportuna y til para la toma de decisiones de
la empresa o entidad.
Jos Antonio Echenique
Mc Graw Hill, 1992.

Fundamentos
Aumento considerable e injustificado del presupuesto del PAD
(Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin informtica de
la empresa
Falta total o parcial de seguridades lgicas y fisicas que garanticen
la integridad del personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de polticas,
objetivos, normas, metodologa, asignacin de tareas y adecuada
administracin del Recurso Humano

 Descontento general de los usuarios por incumplimiento de plazos

y mala calidad de los resultados
Falta de documentacin o documentacin incompleta de sistemas
que revela la dificultad de efectuar el mantenimiento de los
sistemas en produccin
Importancia de la Auditoria en Informtica
La tecnologa informtica (hardware, software, redes, b ases de datos,
entre otros) es una herramienta estratgica que brinda rentabilidad y
ventajas competitivas a los negocios frente a otros negocios similares en
el mercado, pero puede originar costos y desventajas si no es bien
administrada por el personal encargado.
La solucin clara es entonces realizar evaluaciones oportunas y completas
de la funcin informtica, a cargo de personal calificado, consultores
externos, auditores en informtica o evaluaciones peridicas realizadas
por el mismo personal de informtica.
Surge entonces la obvia necesidad de auditar la funcin informtica, ya
que resulta innegable que la misma se ha convertido en una herramienta
permanente y necesaria de los procesos principales de los negocios, en
un aliado confiable y oportuno. Esto es posible si se implementan los
controles y esquemas de seguridad requeridos para su aprovechamiento
ptimo.
Una vez que la alta direccin comprenda la importancia de contar con un
rea independiente que asegure y promueva el buen uso y
aprovechamiento de la tecnologa de informtica, ya puede delegar la
responsabilidad en personal altamente capacitado para ejercer la
auditora en informtica entro de la organizacin de manera formal y
permanente.
Tipos de auditora
Los servicios de auditora pueden ser de distinta ndole:
Auditora de seguridad interna. En este tipo de auditora se contrasta el
nivel de seguridad y privacidad de las redes locales y corporativas de
carcter interno
Auditora de seguridad perimetral. En este tipo de anlisis, el permetro
de la red local o corporativa es estudiado y se analiza el grado de
seguridad que ofrece en las entradas exteriores
Test de intrusin. El test de intrusin es un mtodo de auditora
mediante el cual se intenta acceder a los sistemas, para comprobar el
nivel de resistencia a la intrusin no deseada. Es un complemento
fundamental para la auditora perimetral.
Anlisis forense. El anlisis forense es una metodologa de estudio
ideal para el anlisis posterior de incidentes, mediante el cual se trata
de reconstruir cmo se ha penetrado en el sistema, a la par que se
valoran los daos ocasionados. Si los daos han provocado la

inoperabilidad del sistema, el anlisis se denomina anlisis

postmortem.
Auditora de pginas web. Entendida como el anlisis externo de la
web, comprobando vulnerabilidades como la inyeccin de cdigo sql,
Verificacin de existencia y anulacin de posibilidades de Cross Site
Scripting (XSS), etc.

Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de

aplicaciones pginas Web como de cualquier tipo de aplicacin,
independientemente del lenguaje empleado
Sntomas de Necesidad de una Auditora Informtica:
Las empresas acuden a las auditoras externas cuando existen sntomas
bien perceptibles de debilidad. Estos sntomas pueden agruparse en
clases:

Sntomas de descoordinacion y desorganizacin:

- No coinciden los objetivos de la Informtica de la Compaa y de la
propia Compaa.
- Los estndares de productividad se desvan sensiblemente de los
promedios conseguidos habitualmente.
[Puede ocurrir con algn cambio masivo de personal, o en una
reestructuracin fallida de alguna rea o en la modificacin de alguna
Norma importante]
Sntomas de mala imagen e insatisfaccin de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, resfrecamiento de
paneles, variacin de los ficheros que deben ponerse diariamente a su
disposicin, etc.
- No se reparan las averas de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes
en la actividad del usuario, en especial en los resultados de Aplicaciones
crticas y sensibles.
Sntomas de debilidades econmico-financiero:
- Incremento desmesurado de costes.
- Necesidad de justificacin de Inversiones Informticas (la empresa no
est absolutamente convencida de tal necesidad y decide contrastar
opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultneamente
a Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos

- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad
[Los datos son propiedad inicialmente de la organizacin que los genera.
Los datos de personal son especialmente confidenciales]
- Continuidad del Servicio. Es un concepto an ms importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
AUDITORIA EN AMBIENTES COMPUTARIZADOS
INTRODUCCION
La realidad que nos circunda nos muestra cada da con mayor intensidad
que el procesamiento electrnico de datos (EDP) ha cubierto un amplio
espectro de aplicaciones debido, fundamentalmente, a dos de sus
caractersticas principales: generacin de informacin confiable y rapidez
en su elaboracin. Cualquier razonamiento con
respecto al futuro indica que los ambientes
computarizados sern cada da ms comunes.
Es evidente que la informacin utilizada por los
entes en general ha variado en las ltimas
dcadas. Del mismo modo lo han hecho las
necesidades de generacin de esa informacin y
los medios para procesarla.
La incesante evolucin de esta tecnologa ha
llegado a niveles de agilidad en el procesamiento
y capacidad de almacenamiento de informacin
que hacen pensar en un futuro en el cual el uso de la computacin ser
generalizado, aun en aplicaciones domsticas.
Paralelamente a la evolucin de los sistemas computarizados se fue
observando cada vez en forma ms amplia la utilizacin del EDP en la
generacin de informacin contable y de gestin. Depender obviamente
de la envergadura de la organizacin y de la magnitud y complejidad de
la informacin que maneje el ente, el hecho de contar con sistemas
computarizados ms o menos complejos. Lo que no se puede dejar de
lado es que el uso del procesamiento electrnico de datos es hoy un
medio de generacin de informacin aplicado en la mayora de las
empresas, independientemente de su tamao.
Esto significa que los auditores deben acostumbrarse a realizar revisiones
y emitir su opinin profesional sobre datos e informacin que surgen de
sistemas computarizados. Por tal motivo es importante que se conozca el
tipo de implicancias y efectos que sobre la tarea profesional causa el
procesamiento electrnico de datos.
J. Gmez Morfin en Introduccin a la Auditora de Estados Financieros,
Mxico, 1998; detalla con relacin a las tcnicas de Auditora cuando se
utiliza un equipo de computacin, que el auditor en ocasiones podr optar
por procedimientos de Auditora manuales, combinadas con tcnicas
apoyadas en computadoras, de manera que se logre la evidencia
deseada; que es preciso utilizar tcnicas de Auditora apoyadas en

computadora con el fin de verificar, mediante pruebas de cumplimiento, si

los controles estn funcionando satisfactoriamente. La utilizacin de
paquetes de programas generalizados de Auditora ayuda en gran medida
la realizacin de pruebas sustituidas y otros trabajos de la Auditora,
entre ellos, a la elaboracin de evidencia plasmada en los papeles de
trabajo.
Adems, teniendo en cuenta que se haca imprescindible auditar sistemas
informticos; as como disear programas auditores se deben incorporar
especialistas informticos, formando equipos multidisciplinarios capaces
de incursionar en las Auditoras Informticas y Comerciales,
independientemente de los Contables, donde los auditores que cumplen
la funcin de jefes de equipo, estn en la obligacin de documentarse
sobre todos los temas auditados. De esta forma los auditores adquieren
ms conocimientos de los diferentes temas, pudiendo incluso, sin
especialistas de las restantes materias realizar anlisis de esos temas,
aunque en ocasiones es necesario que el auditor se asesore con expertos,
tales como, ingenieros industriales, abogados, especialistas de recursos
humanos o de normalizacin del trabajo para obtener evidencia que le
permita reunir elementos de juicio suficientes.
La decisin anterior coincide con los criterios de L. F. Prez Torao, quien
expresa que la contadura, la Auditora contempornea, la administracin
y la consultora tiene su propia tcnica, por lo tanto deben haber
profesionales que conozcan y apliquen esa tcnica especializada, ya que
su actividad no se circunscribe, como antao, al aspecto contable, pues
cada da se va definiendo con ms claridad el alcance de los servicios
profesionales que presta a las empresas, tales como planeacin
financiera, mercadotecnia, recursos humanos, sistemas y procedimientos,
produccin, relaciones pblicas, etc.
La generalizada informatizacin de los mecanismos econmicos que
hasta apenas unas dcadas se procesaban manualmente, as como los
propios cambios ocurridos en el tratamiento informtico han introducido
transformaciones substanciales sobre el concepto tradicional de Control
Interno y la estructura del registro condicionando la existencia y
desarrollo de la Auditora con la informtica. Algunos de estos cambios
son:
Las transformaciones de los registros y otros medios tradicionales
en ficheros como medios de control de documentos y soportes.

Incremento de la dependencia de directivos, funcionarios y

empleados de los especialistas en informtica, en relacin directa
con la dinmica del desarrollo de la informatizacin.

Transacciones generales, correlacionadas, resumidas y registradas

internamente de forma automatizada.

La continua expansin de los sistemas de gestin de bases con la

consiguiente influencia en la elevacin de la complejidad de los
sistemas informticos que se emplean.

Surgimiento y difusin del delito informtico.

Mayor conciencia por parte de las administraciones de las entidades,

de la necesidad de proteger sus informaciones y de optimizar sus
sistemas informticos.

Practicar Auditoras en un ambiente computarizado, donde la

informatizacin de los sistemas de gestin han alcanzado un desarrollo
notable, conlleva la introduccin de una concepcin diferente a la
existente durante dcadas; donde la informtica participa activamente
como una valiossima herramienta, que permite a esta disciplina
evolucionar al mismo ritmo de las transformaciones incorporadas a la
estructura del registro y del Control Interno.
Consecuentemente, se hace indispensable el empleo de las tcnicas de
Auditora asistidas por computadora (TAAC) que permiten al auditor,
evaluar las mltiples aplicaciones especficas del sistemas en
explotacin, facilitar la bsqueda de evidencias, reducir al mnimo el
riesgo de l Auditora para que los resultados expresen la realidad
objetiva de las deficiencias, as como de las violaciones detectadas y
elevar notablemente la eficiencia en el trabajo. En tal sentido, el auditor
tendr que enfrentar un importante reto al tener que adentrarse en el
conocimiento de una nueva forma de practicar esta disciplina.
Atendiendo a la importancia que reviste para la Auditora un ambiente
informtico, al ser un elemento estratgico para la organizacin y por
constituir una de las reas que mayores posibilidades aportan en la
obtencin de evidencias de forma rpida y precisa, la incursin en este
mbito es decisiva que posibilita, obtener evidencias y pistas viables
que permitan establecer una valoracin fiable con relacin a las
deficiencias, violaciones, adulteraciones e incluso detectar practicas
presuntamente delictivas.
PROCESO DE LA AUDITORIA
Una primera pregunta que debe plantearse al auditor es en qu etapa del
proceso de Auditora se deben considerar las caractersticas del sistema
de procesamiento de datos del ente a ser auditado. Si se tratase de una
Auditora no recurrente, el anlisis de la caracterizacin del sistema de
procesamiento de datos, debe considerarse al efectuar el primer contacto
con el ente. Ya en ese primer contacto el auditor debe tener en cuenta
las caractersticas de los sistemas de informacin debido a que todo el
proceso de Auditora estar influenciado por la configuracin de los
sistemas de informacin del ente.

Si se tratase de una Auditora recurrente, el proceso de anlisis de las

caractersticas especficas de los sistemas de informacin del ente ser
realizado, en forma global, en la etapa de planificacin estratgica, y con
un grado de anlisis mayor en la etapa de planificacin detallada. En la
medida en que estos sistemas de informacin representen controles clave
sern probados durante la etapa de ejecucin y formaran parte a travs
de la evaluacin global final de la etapa de conclusin.
TCNICAS DE AUDITORA ASISTIDO POR EL COMPUTADOR
a) Operaciones en paralelo: Confrontacin de resultados, mediante el
proceso de los mismos datos reales entre un sistema nuevo que
constituye a uno ya auditado. Los programas y procedimientos actuales
no se abandonaran hasta cuando los nuevos arrojen los resultados
esperados.
b) Evaluacin de un sistema con datos de prueba: Comnmente
llamada de lotes de prueba. Se ensaya la aplicacin con datos de prueba
contra resultados obtenidos inicialmente en las pruebas de programas
para detectar resultados no vlidos. Los datos de prueba deben
representar la aplicacin que se examina con todas las posibles
combinaciones de transacciones que se lleven a cabo en situaciones
reales. Esta tcnica se utiliza en la fase de prueba del programa, antes de
ser enviada a produccin y cuando se llevan a cabo modificaciones a un
programa, por tanto, los programas utilizados para digitar los datos de
prueba deben ser los mismos que se encuentran en produccin y que se
utilizan para procesar los movimientos diarios. Cuando esta tcnica se
mantiene en el tiempo para ser consistente y cotidianamente aplicada al
sistema de produccin toma el nombre de EVALUACION DEL SISTEMA
DEL CASO BASE ESCB, en tal caso la prueba es ms completa y requiere
de un alto grado de cooperacin entre usuarios, auditores y personal de
sistemas.
c) Pruebas integrales: Permite examinar el proceso de la aplicacin en su
ambiente normal de produccin, pues se procesan datos de prueba en la
misma aplicacin en produccin junto con los datos reales, para lo cual se
crea una compaa de prueba con fines de Auditora dentro de la
aplicacin lo cual permite disponer de los mismos archivos maestros. Los
resultados de la prueba se comparan contra resultados pre calculados o
predeterminados para examinar la lgica y precisin de los procesos. Se
presenta un proceso de informacin simultneo para comparar contra
resultados predeterminados.
d) Simulacin: Se desarrolla un programa de aplicacin para determinada
prueba y se compara el resultado con los arrojados por la aplicacin real.

e) Revisiones de acceso: Consiste en conservar un registro computarizado

de todos los accesos a determinados archivos (informacin del usuario y
terminal) software de Auditora.
f) Registros extendidos: Agregar un campo de control a un registro software de Auditora.
g) Totales aleatorios de ciertos programas: Consiste en obtener
totales de datos en alguna parte del sistema para verificar su
exactitud en forma parcial - software de Auditora.
h) Seleccin de determinado tipo de transacciones como auxiliar
en el anlisis de un archivo: Con el fin de analizar en forma parcial
el archivo histrico de un sistema el cual sera casi imposible verificar
en forma total - software de Auditora.
i) Resultados
de
ciertos
clculos
para
comparaciones
posteriores: Con el fin de comparar en el futuro los totales en
diferentes fechas - software de Auditora.
Tcnicas de recupero y anlisis en microcomputadoras
Esta tcnica consiste en el recupero de informacin almacenada en el
sistema computadorizado el ente a travs de un microcomputador
utilizado por el auditor. Es conocida como downloading y permite el
acceso a los sistemas de procesamiento principal por parte del auditor
para su anlisis, estratificacin, seleccin de partidas, verificacin de
clculos, etc.
Algunas aplicaciones de Auditora de estas tcnicas de downloading se
detallan a continuacin:

Preparacin de planillas de control por componente para los papeles

de trabajo de Auditora, en base a informacin recuperada del
sistema computadorizado del ente.
Obtencin de informacin a los efectos de cumplir procedimientos de
revisin analtica:
-

Comparacin de saldos entre cuentas a diferentes fechas.

Anlisis de tendencias de saldos.
Anlisis de ndices econmico-financieros.
Anlisis de variaciones.

Las tcnicas de downloading han evolucionada significativamente en

estos ltimos aos y representan una valiossima ayuda para el
auditor. Su utilizacin en el futuro ser cada vez ms creciente.
Tcnicas de datos de prueba
Esta tcnica consiste en el procesamiento de un lote de documentos
ficticios en el sistema de computacin que se pretende probar para

obtener satisfaccin con respecto a que los controles de procesamiento

y las funciones de procesamiento comp utadorizadas estn operando
efectivamente.
Las tcnicas de datos de prueba son mtodos para obtener satisfaccin
de Auditora a travs del ingreso al sistema computadorizado del ente
de un grupo de transacciones generada por el auditor y cuyos
resultados son luego comparados con los resultados obtenidos
previamente. Son desarrollados principalmente para asistir al auditor
en la revisin de los controles de procesamiento y funciones de
procesamiento computadorizadas. Algunos casos comunes de tcnica
de datos de prueba se detallan a continuacin:
a) Verificacin de procedimientos de aplicacin automticos: Si
el sistema del ente prev una aprobacin automtica
en las
transacciones, como por ejemplo la aprobacin de facturas de venta
en funcin de los lmites de crdito del cliente, el auditor podr
desarrollar en su lote de prueba transacciones significativas que
superen el lmite de crdito asignado al cliente y controlar que el
sistema rehace dicha transaccin. Otro ejemplo es el caso de
aceptacin de mercaderas solo en funcin de rdenes de compra
colocadas y verificar que efectivamente el sistema no permite la
recepcin de bienes por los cuales no exista la correspondiente
orden de compra o que las unidades recibidas excedan a las
solicitadas, etc.
b) Verificacin de comparaciones, clculos y acumulaciones:
Este tipo de pruebas trata de verificar
la lgica del sistema
funcione correctamente. Varias son las aplicaciones donde el
auditor verificara el correcto procesamiento, como por ejemplo:
procesamiento de notas de dbito por intereses y que dadas las
caractersticas del ajuste, el sistema calcule el inters a ser
facturado. Otros ejemplos usuales son: altas de activos fijos y
caculo de depreciacin, carga de una serie de operaciones de venta
a un cliente y verificar la posterior acumulacin de operaciones en
la cuenta y la correcta clasificacin por antigedad del saldo.
c) Verificacin de la oportuna y correcta emisin de informes
de excepcin: A travs de los datos de prueba el auditor puede
verificar que para aquellas operaciones extraordinarias, por su
caracterstica o monto significativo, en cuyos casos est prevista la
generacin de informes por excepcin a la gerencia el sistema los
produzca efectivamente.
d) Verificacin del funcionamiento de controles de edicin y
validacin de datos: L a mayora de los sistemas
computadorizados incluyen controles de edicin y validacin de
datos que detectan e informan o rechazan errores en la informacin
de entrada de datos al sistema. Si el auditor desea probar el
correcto funcionamiento de estos controles podr, en su lote de
prueba, incluir informacin que deba ser detectada por el sistema:

Nmeros de clientes o proveedores inexistentes.

Cantidades de compra de productos negativos.
Cantidad de horas trabajadas mayores a las reales del periodo
que se liquida.
Montos diferentes de debe y haber en un asiento diario.

i. Conceptos avanzados de sistemas en lnea

Las operaciones son procesadas al momento de registrarlas, en vez de
acumularla en lotes. Los datos pueden ser registrados en una terminal
remota de entrada conectada a la unidad central de proceso por lneas
de comunicacin. Se refiere a un sistema operativo con terminales sin
implicar su modo de operacin. Un sistema en lnea acepta y almacena
datos desde varias terminales pero no necesariamente implica la
actualizacin de archivo maestro.
Sistema en tiempo real
Se refiere al tiempo requerido para que en una accin, actividad o
decisin tenga lugar. El trmino se usa para referirse a sistemas de
respuestas rpidas en los cuales los archivos son actualizados tan
pronto como las operaciones son registradas y en los cuales los datos
de salida son proporcionados inmediatamente al ser solicitados. Los
sistemas en tiempo real son siempre en lnea.
Un sistema de tiempo real es aquel en el que para que las operaciones
computacionales sea correcto, sino tambin en el tiempo en el que
dicha operacin entrego su resultado. Si las restricciones de tiempo no
son respetadas el sistemas se dice que ha fallado; por lo tanto es
esencial que las restricciones de tiempo en los sistemas sean
cumplidas. El garantizar el comportamiento en el tiempo requerido
necesita que el sistema sea predecible.
2. CASO PRACTICO
A continuacin se presenta una poltica en Informtica establecida
como propuesta a fin de ilustrar el trabajo realizado de una auditora
de sistemas enfocada en los controles de Organizacin y
planificacin, fue creada con la finalidad de que satisfaga a un grupo
de empresas jurdicamente establecidas con una estructura
departamental del Area de Sistemas integrada por: Direccin ,
Subdireccin, Jefes Departamentales del Area de Sistemas en cada
una de las empresas que pertenecen al grupo.
Los Departamentos que la componen son: Departamento de
Desarrollo de Sistemas y Produccin, Departamento de Soporte
Tcnico y Departamento de Redes/ Comunicaciones, Departamento
de Desarrollo de Proyectos.
Para el efecto se ha creado una Administracin de Sistemas que
efecta reuniones peridicas a fin de regular y normar el

funcionamiento del rea de Sistemas y un Comit en el que

participan personal del rea de Sistemas y personal administrativo.

POLTICAS EN INFORMTICA
TITULO I
DISPOSICIONES GENERALES
ARTICULO 1.- El presente ordenamiento tiene por objeto estandarizar y
contribuir al desarrollo informtico de las diferentes unidades
administrativas de la Empresa NN.
ARTICULO 2.- Para los efectos de este instrumento se entender por:
Comit: Al equipo integrado por la Direccin , Subdireccin, los Jefes
departamentales y el personal administrativo de las diferentes unidades
administrativas (Ocasionalmente) convocado para fines especficos
como:
Adquisiciones de Hardware y software
Establecimiento de estndares de la Empresa NN tanto de hardware
como de software
Establecimiento de la Arquitectura tecnolgica de grupo.
Establecimiento de lineamientos para concursos de ofertas
Administracin de Informtica: Est integrada por la Direccin,
Subdireccin y Jefes Departamentales, las cuales son responsables de:
Velar por el funcionamiento de la tecnologa informtica que se utilice
en las diferentes unidades administrativas

Elaborar y efectuar seguimiento del Plan Maestro de Informtica

Definir estrategias y objetivos a corto, mediano y largo plazo
Mantener la Arquitectura tecnolgica
Controlar la calidad del servicio brindado
Mantener el Inventario actualizado de los recursos informticos
Velar por el cumplimiento de las Polticas y Procedimientos
establecidos.

ARTICULO 3.- Para los efectos de este documento, se entiende por

Polticas en Informtica, al conjunto de reglas obligatorias, que deben
observar los Jefes de Sistemas responsables del hardware y software
existente en la Empresa NN, siendo responsabilidad de la Administracin de
Informtica, vigilar su estricta observancia en el mbito de su competencia,
tomando las medidas preventivas y correctivas para que se cumplan.

ARTICULO 4.- Las Polticas en Informtica son el conjunto de

ordenamientos y lineamientos enmarcados en el mbito jurdico y
administrativo de la Empresa NN. Estas normas inciden en la adquisicin y
el uso de los Bienes y Servicios Informticos en la Empresa NN, las cuales
se debern de acatar invariablemente, por aquellas instancias que
intervengan directa y/o indirectamente en ello.
ARTICULO 5.- La instancia rectora de los sistemas de informtica de la
Empresa NN es la Administracin, y el organismo competente para la
aplicacin de este ordenamiento, es el Comit.
ARTICULO 6.- Las presentes
Polticas aqu contenidas, son de
observancia para la adquisicin y uso de bienes y servicios informticos, en
la Empresa NN, cuyo incumplimiento generar que se incurra en
responsabilidad administrativa; sujetndose a lo dispuesto en la seccin
Responsabilidades Administrativas de Sistemas.
ARTICULO 7.- Las empresas de la Empresa NN debern contar con un
Jefe o responsable del Area de Sistemas, en el que recaiga la administracin
de los Bienes y Servicios, que vigilar la correcta aplicacin de los
ordenamientos establecidos por el Comit y dems disposiciones aplicables.
TITULO II
LINEAMIENTOS PARA LA ADQUISICION DE BIENES DE
INFORMATICA
ARTICULO 8.- Toda adquisicin de tecnologa informtica se efecta a
travs del Comit, que est conformado por el personal de la Administracin
de Informtica y Gerente Administrativo de la unidad solicitante de bienes o
servicios informticos.
ARTICULO 9.- La adquisicin de Bienes de Informtica en la Empresa NN,
quedar sujeta a los lineamientos establecidos en este documento.
ARTICULO 10.- La Administracin de Informtica, al planear las
operaciones relativas a la adquisicin de Bienes informticos, establecer

prioridades y en su seleccin deber tomar en cuenta: estudio tcnico,

precio, calidad, experiencia, desarrollo tecnolgico, estndares y capacidad,

entendindose por:
Precio.- Costo inicial, costo de mantenimiento y consumibles por el
perodo estimado de uso de los equipos;
Calidad.- Parmetro cualitativo que especifica las caractersticas
tcnicas de los recursos informticos.
Experiencia.- Presencia en el mercado nacional e internacional,
estructura de servicio, la confiabilidad de los bienes y certificados de
calidad con los que se cuente;
Desarrollo Tecnolgico.- Se deber analizar su grado de
obsolescencia, su nivel tecnolgico con respecto a la oferta existente y
su permanencia en el mercado;
Estndares.- Toda adquisicin se basa en los estndares, es decir la
arquitectura de grupo empresarial establecida por el Comit. Esta
arquitectura tiene una permanencia mnima de dos a cinco aos.
Capacidades.- Se deber analizar si satisface la demanda actual con un
margen de holgura y capacidad de crecimiento para soportar la carga de
trabajo del rea.
ARTICULO 11.- Para la adquisicin de Hardware se observar lo
siguiente:
a) El equipo que se desee adquirir deber estar dentro de las listas de
ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro
de los estndares de la Empresa NN.
b) Debern tener un ao de garanta como mnimo
c) Debern ser equipos integrados de fbrica o ensamblados con
componentes previamente evaluados por el Comit.
d) La marca de los equipos o componentes deber contar con presencia
y permanencia demostrada en el mercado nacional e internacional, as
como con asistencia tcnica y refaccionaria local.
e) Tratndose de equipos microcomputadoras, a fin de mantener
actualizado la arquitectura informtico de la Empresa NN, el Comit
emitir peridicamente las especificaciones tcnicas mnimas para su
adquisicin.

f) Los dispositivos de almacenamiento, as como las interfaces de

entrada/salida, debern estar acordes con la tecnologa de punta
vigente, tanto en velocidad de transferencia de datos, como en el ciclo
del proceso.
g) Las impresoras debern apegarse a los estndares de Hardware y
Software vigentes en el mercado y la Empresa NN, corroborando que los
suministros (cintas, papel, etc.) se consigan fcilmente en el mercado y
no estn sujetas a un solo proveedor.

h) Conjuntamente con los equipos, se deber adquirir el equipo

complementario adecuado para su correcto funcionamiento de acuerdo
con las especificaciones de los fabricantes, y que esta adquisicin se
manifieste en el costo de la partida inicial.
i)Los equipos complementarios debern tener una garanta mnima de
un ao y debern contar con el servicio tcnico correspondiente en el
pas.
j) Los equipos adquiridos deben contar, de preferencia con asistencia
tcnica durante la instalacin de los mismos.
k) En lo que se refiere a los computadores denominados servidores,
equipo de comunicaciones como enrutadores y concentradores de
medios, y otros que se justifiquen por ser de operacin crtica y/o de alto
costo; al vencer su perodo de garanta, deben de contar con un
programa de mantenimiento preventivo y correctivo que incluya el
suministro de refacciones. l) En lo que se refiere a los computadores
denominados personales, al vencer su garanta por adquisicin, deben de
contar por lo menos con un programa de servicio de mantenimiento
correctivo que incluya el suministro de refacciones.
Todo proyecto de adquisicin de bienes de informtica, debe sujetarse al
anlisis, aprobacin y autorizacin del Comit.
ARTICULO 12: En la adquisicin de Equipo de cmputo se deber incluir
el Software vigente precargado con su licencia correspondiente
considerando las disposiciones del artculo siguiente.
ARTICULO 13.- Para la adquisicin de Software base y utilitarios, el
Comit dar a conocer peridicamente las tendencias con tecnologa de
punta vigente, siendo la lista de productos autorizados la siguiente:
a) Plataformas de Sistemas Operativos:

MS-DOS, MS- Windows 95 Espaol, Windows NT, Novell Netware,

Unix(Automotriz).
b) Bases de Datos:
Foxpro, Informix
c) Manejadores de bases de datos:
Foxpro para DOS, VisualFox, Access
d) Lenguajes de programacin:
Los lenguajes de programacin que se utilicen deben ser compatibles
con las plataformas enlistadas.
SQL Windows
Visual Basic
VisualFox
CenturaWeb
Notes Designer

e) Hojas de clculo:
Excel
f) Procesadores de palabras:
Word
g) Diseo Grfico:
Page Maker, Corel Draw
h) Programas antivirus.
F-prot, Command Antivirus, Norton Antivirus
i) Correo electrnico
Notes Mail
j) Browser de Internet
Netscape
En la generalidad de los casos, slo se adquirirn las ltimas versiones
liberadas de los productos seleccionados, salvo situaciones especficas
que se debern justificar ante el Comit. Todos los productos de
Software que se adquieran debern contar con su licencia de uso,
documentacin y garanta respectivas.
ARTICULO 14.- Todos los productos de Software que se utilicen a partir
de la fecha en que entre en vigor el presente ordenamiento, debern contar
con su licencia de uso respectiva; por lo que se promover la regularizacin
o eliminacin de los productos ya instalados que no cuenten con la licencia
respectiva.

ARTICULO 15.- Para la operacin del software de red se debe tener en

consideracin lo siguiente:
a) Toda la informacin institucional debe invariablemente ser operada a
travs de un mismo tipo de sistema manejador de base de datos para
beneficiarse de los mecanismos de integridad, seguridad y recuperacin de
informacin en caso de falla del sistema de cmputo.
b) El acceso a los sistemas de informacin, debe contar con los privilegios
niveles de seguridad de acceso suficientes para garantizar la seguridad total
de la informacin institucional. Los niveles de seguridad de acceso debern
controlarse por un administrador nico y poder ser manipulado por
software. Se deben delimitar las responsabilidades en cuanto a quin est
autorizado a consultar y/o modificar en cada caso la informacin, tomando
las medidas de seguridad pertinentes para cada caso.
c) El titular de la unidad administrativa responsable del sistema de
informacin debe autorizar y solicitar la asignacin de clave de acceso al
titular de la Unidad de Informtica.
d) Los datos de los sistemas de informacin, deben ser respaldados de
acuerdo a la frecuencia de actualizacin de sus datos, rotando los
dispositivos de respaldo y guardando respaldos histricos peridicamente.

Es indispensable llevar una bitcora oficial de los respaldos realizados,

asimismo, las cintas de respaldo debern guardarse en un lugar de acceso
restringido con condiciones ambientales suficientes para garantizar su
conservacin. Detalle explicativo se aprecia en la Poltica de respaldos en
vigencia.
e) En cuanto a la informacin de los equipos de cmputo personales, la
Unidad de Informtica recomienda a los usuarios que realicen sus propios
respaldos en la red o en medios de almacenamiento alternos.
f) Todos los sistemas de informacin que se tengan en operacin, deben
contar con sus respectivos manuales actualizados. Uno tcnico que describa
la estructura interna del sistema as como los programas, catlogos y
archivos que lo conforman y otro que describa a los usuarios del sistema,
los procedimientos para su utilizacin.
h) Los sistemas de informacin, deben contemplar el registro histrico de
las transacciones sobre datos relevantes, as como la clave del usuario y
fecha en que se realiz (Normas Bsicas de Auditora y Control).

i )Se deben implantar rutinas peridicas de auditora a la integridad de los

datos y de los programas de cmputo, para garantizar su confiabilidad.
ARTICULO 16.- Para la contratacin del servicio de desarrollo o
construccin de Software aplicativo se observar lo siguiente:
Todo proyecto de contratacin de desarrollo o construccin de software
requiere de un estudio de factibilidad que permita establecer la rentabilidad
del proyecto as como los beneficios que se obtendrn del mismo.
Todo proyecto deber ser aprobado por el Comit en base a un informe
tcnico que contenga lo siguiente:
Bases del concurso (Requerimientos claramente especificados)
Anlisis de ofertas (Tres oferentes como mnimo) y Seleccin de oferta
ganadora
Bases del Concurso
Las bases del concurso especifican claramente los objetivos del trabajo,
delimita las responsabilidades de la empresa oferente y la contratante.
De las empresas oferentes:
Los requisitos que se deben solicitar a las empresas oferentes son:
a) Copia de la Cdula de Identidad del o los representantes de la
compaa
b) Copia de los nombramientos actualizados de los representantes
legales de la compaa
c) Copia de los Estatutos de la empresa, en que aparezca claramente
definido el objeto de la compaa, esto es para determinar si est o
no facultada para realizar la obra
d) Copia del RUC de la compaa

e) Referencias de clientes (Mnimo 3)

f) La carta con la oferta definitiva del contratista debe estar firmada
por el representante legal de la compaa oferente.
De la contratante
Las responsabilidades de la contratante son:
a) Delinear adecuadamente los objetivos y alcance del aplicativo.
b) Establecer los requerimientos del aplicativo
c) Definir responsabilidades de la contratista y contratante
d) Establecer campos de accin
Anlisis de ofertas y Seleccin de oferta ganadora:

Para definir la empresa

oferente ganadora del concurso, el Comit
establecer una reunin en la que se debe considerar los siguientes
factores:
a) Costo
b) Calidad
c) Tiempo de permanencia en el mercado de la empresa oferente
d) Experiencia en el desarrollo de aplicativos
e) Referencias comprobadas de Clientes
f) Cumplimiento en la entrega de los requisitos
Aprobada la oferta se debe considerar los siguientes lineamientos en la
elaboracin de contratos:
Todo contrato debe incluir lo siguiente:
Antecedentes, objeto del contrato, precio, forma de pago, plazo,
obligaciones del contratista, responsabilidades, fiscalizador de la obra,
garantas, entrega recepcin de obra provisional y definitiva, sanciones por
incumplimientos, rescisin del contrato, disposiciones supletorias,
documentos incorporados, solucin de controversias, entre otros aspectos.
Las garantas necesarias para cada contrato deben ser includas en forma
conjunta con el Departamento Legal, quienes deben asesorar el tipo de
garanta necesaria en la elaboracin de cada contrato.
Las garantas que se deben aplicar de acuerdo al tipo de contrato son:
a. Una garanta bancaria o una pliza de seguros, incondicional, irrevocable
y de cobro inmediato por el 5% del monto total del contrato para
asegurar su fiel cumplimiento, la cual se mantendr vigente durante
todo el tiempo que subsista la obligacin motivo de la garanta.
b. Una garanta bancaria o una pliza de seguros, incondicional, irrevocable
y de cobro inmediato equivalente al 100 % (ciento por ciento) del
anticipo. Esta garanta se devolver en su integridad una vez que el

anticipo se haya amortizado en la forma de pago estipulada en el

contrato.
c.

Un fondo de garanta que ser retenido de cada planilla en un porcentaje

del 5 %.
Junto al contrato se deber mantener la historia respectiva del mismo que
se compone de la siguiente documentacin soporte:
Estudio de factibilidad
Bases del concurso
Ofertas presentadas
Acta de aceptacin de oferta firmada por los integrantes del Comit
Informes de fiscalizacin
Acta de entrega provisional y definitiva
TITULO III
INSTALACIONES
ARTICULO 17.- La instalacin del equipo de cmputo, quedar sujeta a
los siguientes lineamientos:
a) Los equipos para uso interno se instalarn en lugares adecuados,
lejos de polvo y trfico de personas.
En las reas de atencin directa al pblico los equipos se instalarn en
lugares adecuados.
b) La Administracin de Informtica, as como las reas operativas
debern contar con un croquis actualizado de las instalaciones elctricas
y de comunicaciones del equipo de cmputo en red.
c) Las instalaciones elctricas y de comunicaciones, estarn de
preferencia fijas o en su defecto resguardadas del paso de personas o
mquinas, y libres de cualquier interferencia elctrica o magntica.
d) Las instalaciones se apegarn estrictamente a los requerimientos de
los equipos, cuidando las especificaciones del cableado y de los circuitos
de proteccin necesarios;
e) En ningn caso se permitirn instalaciones improvisadas o
sobrecargadas.
f) Cuando en la instalacin se alimenten elevadores, motores y
maquinaria pesada, se deber tener un circuito independiente, exclusivo
para el equipo y/o red de cmputo.
ARTICULO 18.- La supervisin y control de las instalaciones se llevar a
cabo en los plazos y mediante los mecanismos que establezca el Comit.

TITULO IV
LINEAMIENTOS EN INFORMATICA
CAPITULO I
INFORMACION
ARTICULO 19.- Los archivos magnticos de informacin se debern
inventariar, anexando la descripcin y las especificaciones de los mismos,
clasificando la informacin en tres categoras:
1. Informacin histrica para auditoras
2. Informacin de inters de la Empresa NN
3. Informacin de inters exclusivo de algn rea en particular.
ARTICULO 20.- Los jefes de sistemas responsables del equipo de
cmputo y de la informacin contenida en los centros de cmputo a su
cargo,
delimitarn las responsabilidades de sus subordinados y
determinarn quien est autorizado a efectuar operaciones emergentes con
dicha informacin tomando las medidas de seguridad pertinentes.
ARTICULO 21.- Se establecen tres tipos de prioridad para la informacin:
1. Informacin vital para el funcionamiento de la unidad administrativa;
2. Informacin necesaria, pero no indispensable en la unidad
administrativa;
3. Informacin ocasional o eventual.
ARTICULO 22.- En caso de informacin vital para el funcionamiento de la
unidad administrativa, se debern tener procesos concomitantes, as como
tener el respaldo diario de las modificaciones efectuadas, rotando los
dispositivos de respaldo y guardando respaldos histricos semanalmente.
ARTICULO 23.- La informacin necesaria pero no indispensable, deber
ser respaldada con una frecuencia mnima de una semana, rotando los
dispositivos de respaldo y guardando respaldos histricos mensualmente.
ARTICULO 24.- El respaldo de la informacin ocasional o eventual queda
a criterio de la unidad administrativa.
ARTICULO 25.- Los archivos magnticos de informacin, de carcter
histrico quedarn documentados como activos de la unidad acadmica y
estarn debidamente resguardados en su lugar de almacenamiento.

Es obligacin del responsable del equipo de cmputo, la entrega

conveniente de los archivos magnticos de informacin, a quien le suceda
en el cargo.
ARTICULO 26.- Los sistemas de informacin en operacin, como los que
se desarrollen debern contar con sus respectivos manuales. Un manual del
usuario que describa los procedimientos de operacin y el manual tcnico
que describa su estructura interna, programas, catlogos y archivos.
CAPITULO II
FUNCIONAMIENTO
ARTICULO 27.- Es obligacin de la Administracin de Informtica vigilar
que el equipo de cmputo se use bajo las condiciones especificadas por el
proveedor y de acuerdo a las funciones del rea a la que se asigne.
ARTICULO 28.- Los colaboradores de la empresa al usar el equipo de
cmputo, se abstendrn de consumir alimentos, fumar o realizar actos que
perjudiquen el funcionamiento del mismo o deterioren la informacin
almacenada en medios magnticos, pticos, etc.
ARTICULO 29.- Por seguridad de los recursos informticos se deben
establecer seguridades:
Fsicas
Sistema Operativo
Software
Comunicaciones
Base de Datos
Proceso
Aplicaciones
Por ello se establecen los siguientes lineamientos:
Mantener claves de acceso que permitan el uso solamente al personal
autorizado para ello.
Verificar la informacin que provenga de fuentes externas a fin de
corroborar que estn libres de cualquier agente externo que pueda
contaminarla o perjudique el funcionamiento de los equipos.
Mantener plizas de seguros de los recursos informticos en
funcionamiento

ARTICULO 30.- En ningn caso se autorizar la utilizacin de dispositivos

ajenos a los procesos informticos de la unidad administrativa.
Por consiguiente, se prohibe el ingreso y/o instalacin de hardware y
software particular, es decir que no sea propiedad de una unidad
administrativa de la Empresa NN, excepto en casos emergentes que la
Direccin autorice.
CAPITULO III
PLAN DE CONTINGENCIAS
ARTICULO 31.- La Administracin de Informtica crear para las
empresas y departamentos un plan de contingencias informticas que
incluya al menos los siguientes puntos:
a) Continuar con la operacin de la unidad administrativa con
procedimientos informticos alternos;
b) Tener los respaldos de informacin en un lugar seguro, fuera del lugar
en el que se encuentran los equipos.
c) Tener el apoyo por medios magnticos o en forma documental, de las
operaciones necesarias para reconstruir los archivos daados;
d) Contar con un instructivo de operacin para la deteccin de posibles
fallas, para que toda accin correctiva se efecte con la mnima
degradacin posible de los datos;
e) Contar con un directorio del personal interno y del personal externo
de soporte, al cual se pueda recurrir en el momento en que se detecte
cualquier anomala;
f) Ejecutar pruebas de la funcionalidad del plan
f) Mantener revisiones del plan a fin de efectuar las actualizantes
respectivas
CAPITULO IV
ESTRATEGIAS
ARTICULO 32.- La estrategia informtica de la DDT se consolida en el Plan
Maestro de Informtica y est orientada hacia los siguientes puntos:
a) Plataforma de Sistemas Abiertos;
b) Descentralizacin del proceso de informacin
c) Esquemas de operacin bajo el concepto cliente/servidor
d) Estandarizacin de hardware, software base, utilitarios y estructuras
de datos

e) Intercomunicacin entre unidades y equipos mediante protocolos

estndares
f) Intercambio de experiencias entre Departamentos de Informtica.
g) Manejo de proyectos conjuntos con las diferentes unidades
administrativas.
h) Programa de capacitacin permanente para los colaboradores de la
empresa del rea de informtica
i) Integracin de sistemas y bases de datos de la Empresa NN, para
tener como meta final un Sistema Integral de Informacin Corporativo.
j) Programacin con ayudas visuales e interactivas. Facilitando interfases
amigables al usuario final.
k) Integracin de sistemas teleinformticos (Intranet De grupo
empresarial).
ARTICULO 33.- Para la elaboracin de los proyectos informticos y para
la presupuestacin de los mismos, se tomarn en cuentan tanto las
necesidades de hardware y software de la unidad administrativa solicitante,
como la disponibilidad de recursos con que stas cuenten.
DISPOSICIONES TRANSITORIAS
ARTICULO PRIMERO.- Las disposiciones aqu enmarcadas, entrarn en
vigor a partir del da siguiente de su difusin.
ARTICULO SEGUNDO.- Las normas y polticas objeto de este documento,
podrn ser modificadas o adecuadas conforme a las necesidades que se
vayan presentando, mediante acuerdo del Comit Tcnico de Informtica de
la Empresa NN (CTI); una vez aprobadas dichas modificaciones o
adecuaciones, se establecer su vigencia
ARTICULO TERCERO.- Las disposiciones aqu descritas constan de forma
detallada en los manuales de polticas y procedimientos especficos
existentes.
ARTICULO CUARTO.- La falta de desconocimiento de las normas aqu
descritas por parte de los colaboradores no los libera de la aplicacin de
sanciones y/o penalidades por el incumplimiento de las mismas.