Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
El proceso de la administración estratégica La estrategia de una compañía es el “plan de acción” que tiene la administración para posicionar a la empresa en la arena de su mercado, conducir sus operaciones, competir con éxito, atraer y satisfacer a los clientes y lograr los objetivos de la organización. Al crear un curso estratégico, la administración expresa que “entre todas las trayectorias y acciones que habríamos podido elegir, hemos decidido seguir esta dirección, centrarnos en estos mercados y en estas necesidades de los clientes, competir de esta forma, asignar nuestros recursos y energías de estas maneras y confiar en estas formas particulares de hacer negocios”. El modelo de negocio de una empresa tiene que ver con los aspectos económicos de ingreso-costo-beneficio de su estrategia; comprueba si determinada estrategia tiene sentido para una perspectiva de búsqueda de ganancias; es decir, que demuestre viabilidad en los negocios. La creación, la puesta en práctica y la ejecución de la estrategia son esenciales por dos razones: ● La necesidad de modelar en forma proactiva cómo se llevarán a cabo los negocios de una compañía. La falta de una estrategia conscientemente elaborada constituye un elemento infalible para la inercia organizacional, la mediocridad competitiva, círculos viciosos internos y resultados deslustrados. ● La necesidad de modelar las decisiones y acciones independientes iniciadas por las diversas divisiones, departamentos, administradores y grupos de toda la compañía en un plan de acción coordinado completamente compatible. Todas las acciones tomadas en distintas áreas del negocio necesitan apoyarse mutuamente. Administración estratégica El término administración estratégica se refiere al proceso administrativo conformado por las siguientes tareas: 1. Desarrollar una visión estratégica de hacia dónde se dirige la organización. 1 2. Determinar objetivos: convertir la visión estratégica en resultados específicos del desempeño que deberá lograr la compañía. 3. Crear una estrategia, con el fin de lograr los resultados deseados. 4. Poner en práctica y ejecutar la estrategia elegida de una manera eficiente y efectiva. 5. Evaluar el desempeño e iniciar ajustes correctivos en la visión, la dirección a largo plazo, los objetivos, la estrategia o la puesta en práctica en vista de la experiencia real, de las condiciones cambiantes, de las nuevas ideas y de las nuevas oportunidades. Desarrollo de una visión estratégica Una visión estratégica es un mapa del futuro de la empresa que proporciona detalles específicos sobre su tecnología y su enfoque al cliente, la geografía y los mercados de producto que perseguirá, las capacidades que planea desarrollar y el tipo de compañía que la administración está tratando de crear. Es decir, una visión estratégica refleja las aspiraciones de la administración respecto a la empresa y sus negocios al proporcionar una vista panorámica de “hacia dónde vamos” y al suministrar elementos específicos relacionados con sus planes de negocios futuros. Establecimiento de objetivos Los objetivos son las metas de desempeño de una empresa: los resultados y los logros que desea alcanzar. El propósito del establecimiento de objetivos es convertir los lineamientos administrativos de la visión estratégica y de la misión del negocio en indicadores de desempeño específicos. Cada unidad en una compañía necesita objetivos de desempeño concretos y mensurables, que contribuyan de una manera significativa al logro de los objetivos generales de la empresa. Se requieren dos tipos muy diferentes de criterios de desempeño: financiero y estratégico. Sin el logro de resultados financieros aceptables peligra la aspiración de una compañía al logro de su visión, así como su bienestar a largo plazo y su supervivencia. También se debe prestar atención al bienestar estratégico de una compañía, a su competitividad y a su posición de negocios general a largo plazo. Así se plantean: ● Los objetivos financieros se relacionan con los resultados y logros monetarios que los administradores desean que logre la organización. - Aumento de utilidades. - Rendimiento aceptable sobre la inversión o valor económico agregado. - Crecimiento de dividendos. - Incremento en el precio de las acciones o de valor agregado de mercado. - Buen flujo de efectivo y crédito comercial. ● Los objetivos estratégicos dirigen sus esfuerzos hacia mejorar las fortalezas competitivas de la organización, la posición de la compañía y los prospectos de negocios a largo plazo. - Incremento adicional en la participación del mercado. - Adelantarse a los competidores claves con respecto a la calidad del producto, servicio al cliente o innovación. - Incrementar la imagen de la empresa. 2 - Ejercer el liderazgo tecnológico. - Lograr una ventaja competitiva sustentable. - Lograr oportunidades de crecimiento atractivas. Es preciso definir si deben llevarse a cabo a corto o a largo plazo. Los objetivos a corto plazo enfocan la atención organización en la necesidad de mejoramiento y resultados inmediatos del desempeño. Los objetivos a largo plazo sirven para incitar a los administradores a considerar lo que se debe hacer ahora para colocar a la compañía en una posición en la cual se desempeñe bien a largo plazo. Cuando es necesario negociar entre el logro de objetivos a largo plazo y a corto plazo, deben tener preeminencia los objetivos a largo plazo. Creación de una estrategia Una estrategia refleja las elecciones administrativas entre las diversas opciones y es una señal del compromiso organizacional con productos, mercados, enfoques competitivos y formas de operar particulares de la empresa. Los cómo de la estrategia de una compañía por lo común son una mezcla de: - acciones deliberadas e intencionales. - reacciones que se requieran ante desarrollos imprevistos. - el aprendizaje colectivo adquirido sobre la organización a lo largo del tiempo. Las descripciones del contenido de la estrategia de la empresa necesariamente tienen que detallarse en gran medida. La figura describe las clases de acciones y enfoques que reflejan la estrategia general de una compañía. La estrategia actual suele ser una mezcla de enfoques anteriores y de acciones y reacciones novedosas. 3 Auditoría Informática de la Empresa Auditoría informática es el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático con el fin de verificar si sus actividades son correctas de acuerdo a las normativas. Verifica la correcta utilización de los recursos informáticos disponibles o por disponer, en función de la estrategia de la empresa y de los fines que ésta ha fijado. La auditoría informática no aborda otros temas de fraude que aquellos que puedan realizarse directamente desdelos ordenadores y con los ordenadores. El auditor informático ha de velar por la correcta utilización de los recursos de una empresa, así como por el cumplimiento de la misión que la Informática tiene definida en la misma. La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Subsidiariamente, aparecen o pueden aparecer sugerencias y planes de acción para eliminar las disfunciones o debilidades antedichas. Auditoría Informática Interna versus Externa La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la Empresa auditada. Los auditores internos son empleados de la empresa y, por tanto, son remunerados por ella. La existencia del auditor informático interno descansa tan sólo en dos soportes: la independencia y la confianza. Independencia en donde ningún otro órgano de la estructura informática, por importante que sea, tenga poder sobre ella. Confianza en que el auditor se limita a describir hechos y situaciones débiles de la informática y de su entorno inmediato, sin que quepan juicios de valor ni meras opiniones carentes de soportes de prueba. La auditoría externa es realizada por personas ajenas a la empresa auditada. Se presupone una mayor objetividad que en la Interna, apoyada tal presunción en el distanciamiento entre auditores y auditados. Las auditorías informáticas externas e internos no son excluyentes. Una empresa que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen hallarse en: ● Necesidad de auditar una materia de gran especialización para la cual los servicios propios no están suficientemente preparados. ● Contrastar algún informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que choquen con la opinión generalizada de la propia empresa. ● Servir como mecanismo protector de posibles auditorías informáticas externas dictadas por la propia empresa. Habría que restringir la coexistencia de ambas a casos excepcionales, siquiera sea por razones económicas. En ambos casos es fundamental que el auditor interno o externo conozca perfectamente y sin dudas los objetivos a lograr en la realización de la auditoría informática. 4 Objetivo tácito y fundamental de la Auditoría Informática: Operatividad Cualesquiera que sean los objetivos perseguidos por la auditoría informática han de ir acompañados siempre del mantenimiento de la Operatividad de los ordenadores. La operatividad es una función de mínimos consistente en que la organización y las máquinas funcionen, siquiera mínimamente. Para conseguirla hay que acudir a la realización de: - Controles Técnicos Generales. Éstos se realizan para verificar la compatibilidad del funcionamiento simultáneo del sistema Operativo y el software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. - Controles Técnicos Específicos. Son igualmente necesarios para lograr la Operatividad de los Sistemas. A menudo se han encontrado parámetros de asignación automática de espacio en disco que dificultaban o impedían su utilización posterior por una Sección distinta de la que lo generó. Revisión de controles de la gestión informática Una vez conseguida la Operatividad de los Sistemas, lo segundo es la verificación de la coherencia de las normas teóricamente existentes en el departamento de Informática con las del resto de la empresa. Para ello, habrán de revisarse sucesivamente y en este orden: ● Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial registrando las áreas que carezcan de normativa y sobre todo verificando que esta Normativa General Informática no esté en contradicción con alguna Norma General no informática de la empresa. ● Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación. ● Los Procedimientos Específicos Informáticos. Se revisará su existencia en las áreas fundamentales. Así, Explotación no debería explotar una Aplicación sin haber exigido de Desarrollo la pertinente documentación. Deberá comprobarse que los Procedimientos Específicos no se oponen a los Procedimientos Generales. Además de la coherencia, consistencia y compatibilidad de los Procedimientos Informáticos, debe observarse la adecuación de éstos a los de la empresa, e incluso su subordinación si resultara necesario. Lo que se persigue y pretende cuando se realiza una auditoría depende de si ésta es general o parcial de la función y órganos del Departamento de Informática. Los objetivos específicos están casi siempre incluidos en el título de la Auditoría y son sumamente variados: - Auditoría del funcionamiento, eficiencia y eficacia del Centro de Control de Batch del Departamento de Explotación. - Auditoría de verificación de Controles de acceso a las Salas de Ordenadores. 5 Alcance de la auditoría informática El alcance define con precisión el entorno y los límites en que va a desarrollarse la auditoría informática. Complementa el marco expresado en los objetivos de la auditoría. El alcance de la auditoría ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado sino cuáles materias fronterizas han sido omitidas. Características de la Auditoría Informática Utilidad económico-empresarial La mayoría de las empresas son conscientes de la necesidad de invertir en “información” para su compañía, en tanto esta “información” sea susceptible de reportar beneficios. Como Activo Real que es (así como Stocks o materias primas), han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular; a ello se debe la existencia de la Auditoría de Seguridad Informática. Cuando se producen cambios estructurales en la Informática, se está reorganizando de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. Tanto las auditorías informáticas de inversión como las de organización y seguridad, engloban a las actividades auditoras que se realizan en una auditoría parcial. Tendencias Usuario es el destinatario de los resultados que los Ordenadores elaboraban para ellos. Es el receptor de la actividad informática, repartido por toda la empresa y sin conocimientos informáticos (o muy limitados). Por lo que respecta a la auditoría informática, la solución de decidir el Modelo Informático de la Empresa y el Modelo de Sistemade Información pasa por: a. Analizar si el modelo elegido cumple los fines y se acerca a los objetivos de la empresa. b. Analizar el grado de facilidad con que dicho modelo cumple los fines anteriores, si es útil para la consecución de objetivos y fines. c. Analizar la economía del modelo, garantizando en lo posible que el elegido sea el más eficiente y el más eficaz para obtener los resultados que se le exigen, y que cualquier otro resultaría igual o más costoso. Las empresas muestran tendencia a mantener centralizadas las Máquinas y la Administración de sus Datos. La redundancia e inconsistencia de los mismos puede comprometer el propio Sistema de Información de la empresa. Síntomas de necesidad de la Auditoría Informática La Auditoría Informática interna tiene la ventaja de que puede actuar periódicamente realizando revisiones globales. Las empresas acuden a las auditorías informáticas externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas se agrupan en clases: 6 ● Síntomas de descoordinación y desorganización - No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía. Los objetivos informáticos habrán de subordinarse a los generales de la empresa. - Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. ● Síntomas de mala imagen e insatisfacción de los usuarios - No se atienden las peticiones de cambios de los usuarios. Nos referimos a cambios de software en los terminales de usuario, refrescamiento de paneles, etc. - No se reparan las averías Hardware ni se resuelven incidencias en plazos razonables. - No se cumplen en todos los casos los plazos de entrega de resultados periódicos. ● Síntomas de debilidades económico-financieras - Incremento desmesurado de costes. Analizar dónde se han producido o si es un incremento generalizado. - Necesidad de justificación de Inversiones informáticas. La empresa no está absolutamente convencida de tal necesidad y decide “contrastar opiniones”. - Desviaciones Presupuestarias significativas. En ocasiones se interviene más por aspectos cualitativos (desviaciones en partidas muy críticas) que cuantitativos. - Costes y plazos de nuevos proyectos. En estos casos debe auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición. ● Evaluación del Nivel de Riesgos: Síntomas de inseguridad - Seguridad lógica. - Seguridad física. - Confidencialidad. Los datos son propiedad inicialmente de la organización que los genera. - Continuidad del servicio. Establece las estrategias de continuidad ante fallos mediante Planes de Contingencia Totales y Locales. - Centro de Proceso de Datos fuera de Control. Tipos y Clases de Auditorías Informáticas Las cuatro Áreas Generales de la Auditoría Informática más importantes son: ● Auditoría Informática de Usuario. La Informática posee una actividad proyectada al usuario. ● Auditoría Informática de actividades Internas. En la informática interna se hace la informática cotidiana y real. ● Auditoría Informática de Dirección. El engarce del Departamento de Informática con el usuario se realiza por medio de la Dirección, la cual es capaz de interpretar las necesidades de la compañía. ● Auditoría Informática de la Seguridad. Dentro de las áreas generales, es posible establecer las siguientes divisiones: Auditoría Informática de Explotación, de Sistemas, de Comunicaciones, de Desarrollo de Proyectos y de Seguridad. Éstas son las Áreas Específicas de la Auditoría Informática más importantes. 7 Debe resaltarse la dualidad que posee la Seguridad Informática: puede realizarse una Auditoría Informática de la Seguridad del contexto informático globalizado, mientras que en otras ocasiones podrá realizarse una auditoría de una aplicación concreta. Interna Dirección Usuario Seguridad Explotación Desarrollo Sistemas Comunicaciones Seguridad Cada área informática específica puede ser auditada desde los siguientes criterios generales: - Desde su propio funcionamiento interno. - Desde el apoyo que recibe de la dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta. - Desde la perspectiva de los usuarios, destinatarios reales de la informática. - Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada. Auditoría Informática de Explotación La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, órdenes automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la explotación se dispone de una materia prima: los datos, que es necesario transformar y someter previamente a controles de integridad y calidad. La transformación se realiza por medio del Proceso informático. Obtenido el producto final, los resultados son sometidos nuevamente a varios controles. Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones, que son la planificación de la producción y la producción misma de resultados informáticos. Habitualmente, la explotación se divide en tres áreas: planificación, producción y soporte técnico. Cada una de éstas áreas tiene varios grupos. Control de Entrada de Datos Se analizará la captura de información. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a Norma. Planificación y Recepción de Aplicaciones Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarse muestreos selectivos de la documentación de las Aplicaciones explotadas. 8 Centro de Control y Seguimiento de Trabajos Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la explotación informática ejecuta procesos por cadenas o lotes sucesivos (batch) o en tiempo real (teleproceso). Operación. Salas de Ordenadores Se analizan las relaciones personales y la coherencia de cargos y salarios, así como la equidad en la asignación de turnos de trabajo. Se verificará la existencia y grado de uso de los Manuales de Operación. Centro de Control de Red y Centro de Diagnosis Sus funciones se refieren exclusivamente al ámbito de las Comunicaciones. El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averías o incidencias, tanto de software como de hardware. Debe ser auditado desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispensa. Auditoría Informática de Desarrollo de Proyectos La función de Desarrollo es el Análisis y Programación de Sistemas y Aplicaciones. Una aplicaciónrecorre las siguientes fases: - Prerrequisitos del Usuario (único o plural) y del entorno. - Análisis funcional. - Diseño. - Análisis orgánico (preprogramación y programación). - Pruebas. - Entrega a Explotación y alta para el Proceso. El Desarrollo de una Aplicación debe estar sometido a un exigente control interno de todas las fases antes citadas. Una auditoría de aplicaciones pasa por la observación y el análisis de estas tres consideraciones: a. Revisión de las metodologías usadas. Se analizarán éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la aplicación y el fácil mantenimiento de las mismas. b. Control Interno de las Aplicaciones. La auditoría deberá revisar las mismas fases que ha debido seguir Desarrollo: 1. Estudio de Viabilidad de la Aplicación. 2. Definición Lógica de la Aplicación. 3. Desarrollo Técnico de la Aplicación. 4. Diseño de Programas: deberán poseer la máxima modularidad, sencillez y economía de recursos. 5. Métodos de Pruebas: se utilizarán juegos de ensayo de datos, sin que sea permisible el uso de datos reales. 6. Documentación. 7. Equipo de programación. 9 c. Satisfacción de Usuarios. Una aplicación deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó. Debe desarrollarse contando con los puntos de vista del usuario durante todas las etapas del Proyecto. Esto evitará reprogramaciones y disminuirá el mantenimiento de la aplicación. d. Control de Procesos y Ejecuciones de Programas Críticos. El auditor deberá comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y el programa obtenido como resultado de su compilación y su conversión en ejecutable. Algunas consecuencias: errores de bulto que producirían graves retrasos, altos costes de mantenimiento, fraudes de incalculables dimensiones. Auditoría Informática de Sistemas Se encarga de revisar los siguientes grupos. Sistemas Operativos Los proporcionados por el fabricante junto con la máquina. Debe verificarse que los Sistemas están actualizados con las últimas versiones del fabricante. El análisis de las versiones de los sistemas operativos permite descubrir las posibles incompatibilidades entre algunos otros productos de Software Básico. Software Básico Lo constituye el conjunto de productos que, sin pertenecer al Sistema Operativo, configuran completamente los Sistemas Informáticos, haciendo posible la realización de funciones básicas no incluidas en aquél. Para el auditor es fundamental conocer los productos de software básico que han sido facturados aparte del propio ordenador. Ello, por razones económicas y por razones de comprobación de que el ordenador “podría funcionar” sin el producto adquirido por el cliente. Otra parte del Software Básico es el desarrollado e implementado en los Sistemas Informáticos por el personal informático de la empresa. El auditor debe verificar que ese software no agrede ni condiciona al Sistema. Software de Teleproceso Tunning Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los subsistemas y del Sistema en su conjunto. El auditor deberá conocer el número de tunning realizados en el último año, así como sus resultados. Administración de Bases de Datos El auditor de Bases de Datos deberá asegurarse que Explotación conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Revisará la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos. Investigación y Desarrollo Las empresas que necesitan de informáticas desarrolladas han comprendido que sus propios efectivos están desarrollando aplicaciones y utilidades que, concebidas inicialmente 10 para su uso interno, pueden ser susceptibles de adquisición para otras empresas, haciendo la competencia a las Compañías del ramo. Como consecuencia, algunas empresas no dedicadas en principio a la venta de productos informáticos, están potenciando la investigación de sus equipos de Técnica de Sistemas y Desarrollo, de forma que sus productos puedan convertirse en fuentes de ingreso adicionales. La auditoría informática deberá cuidar de que la actividad de I+D de las empresas no vendedoras, no interfiera ni dificulte las tareas fundamentales internas. Técnicas, herramientas y controles de la Auditoría Informática ● Cuestionarios El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo. Para ello se solicita cuestionarios preimpresos que se envían a las personas concretas que el auditor estima adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos preimpresos no se pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación. Se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. ● Entrevistas El auditor comienza a establecer relaciones personales con el auditado. Lo hace de tres formas: a. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. b. Mediante entrevistas en las que no se sigue un plan predeterminado. c. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. En la entrevista el auditor recoge más información y mejor matizada. La misma se basa en el concepto de interrogatorio. El auditor informático experto, entrevista al auditado siguiendo un cuidadoso sistema previamente establecido. En ella se observa si el auditado está preparado. ● Checklists Binarios o de Rango La profesionalidad pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. La profesionalidad pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas reciben el nombre de checklist. Salvo excepciones, deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talento del auditor, el auditado responderá desde posiciones muy distintas y diferente disposición. El auditado, percibe el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer. 11 Algunas de las preguntas de las checklist utilizadas para cada sector, deben ser repetidas. El auditor formulará preguntas equivalentes a las mismas o distintas personas. De este modo se podrá descubrir con mayor facilidad los puntos contradictorios.Los checklist responden a dos tipos de calificaciones: a. Checklist de rango: Contiene preguntas que el auditor debe responder en un rango preestablecido. b. Checklist Binario: Contiene preguntas con respuestas únicas y excluyente. ● Trazas y/o Huellas (logs) Son Paquetes Software especiales para auditorias (Informáticas y no informáticas). No pueden ser agresivos a nivel de Sistema Operativo. Son productos software muy potentes y modulares que rastrean los caminos que siguen los datos para comprobar, sobre todo, la ejecución de validaciones. ● Software de Interrogación En la actualidad, los productos software especiales para auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y base de datos de la empresa auditada. El auditor se halla obligado a recabar información de los usuarios finales ya que poseen información de la compañía. Metodologías de trabajo en la Auditoría Informática Toda la información auditora se compendia en la entrega del mencionado informe a quien lo solicitó. El método de trabajo auditor pasa por las siguientes fases : a. Alcance y Objetivos de la Auditoría Informática. b. Estudio inicial del entorno auditable. c. Determinación de los Recursos necesarios para efectuar la Auditoría. d. Elaboración del Plan y de los Programas de Trabajo. e. Actividades propiamente dichas de la Auditoria (Analisis, entrevistas, etc.). f. Confeccion y Redaccion del Informe Final. g. Redacción de la “Carta de Introducción” o “Carta de Presentación” del Informe Final. Definición de Alcance y Objetivos El alcance es el ámbito o marco (límite) en el que se va a desarrollar la Auditoria Informática. Deben citarse expresamente las excepciones de dicho alcance, es decir, manifestar por escrito cuáles materias o funciones no van a ser auditadas.Debe existir un acuerdo muy preciso entre auditores y clientes sobre la funciones, las materias y las organizaciones a auditar. Tanto el alcance de la auditoría como la excepciones del mismo, han de figurar al comienzo del documento final. Auditoría ha de conocer con la mayor precisión los objetivos que sus acciones pretenden. Debe comprender con exactitud los deseos y pretensiones del cliente, de forma que los objetivos perseguidos sean susceptibles de ser cumplidos. Bien determinado los objetivos, el auditor tendrá siempre presente que estos se añadirán a los dos objetivos generales y comunes a toda auditoría informática: La Operatividad de los Sistemas y los Controles Generales de Gestión Informática 12 Dentro de este apartado de Alcance y Objetivos debe incluirse la fijación de los interlocutores del equipo auditor. El concepto de interlocución comprende la determinación previa de las personas que tienen poder de decisión y de validación dentro de la empresa. Estudio Inicial Para realizar dicho estudio, han de examinarse las funciones y actividades generales de la informática siguientes: a. Organización b. Entorno Operacional c. Aplicaciones Informáticas. Bases de Datos y Ficheros. Organización El auditor no podrá realizar su misión sin conocer con bastante aproximación la estructura organizativa de la Informática sujeta a auditoría. Al menos se deberán fijar los siguientes conceptos: 1. Organigrama: Expresa inicialmente la esructura oficial de la organizacion a auditar.Si el numero de niveles es elevado, se puede fraccionar. Si se descubriera a través de los flujos de la información y de las relaciones funcionales y jerárquicas, que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia y las derivadas de ella. 2. Departamentos: son los órganos que siguen inmediatamente tras la Dirección. El equipo auditor describe breve y claramente las funciones de cada uno de ellas y los que dependen directamente de este. 3. Relaciones jerárquicas y funcionales entre órganos de la Organización: el equipo auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas. Las relaciones de jerarquía implican la correspondiente subordinación, las funcionales por el contrario no son estrictamente subordinados. Las relaciones no jerárquicas deberán restringirse al máximo las “dependencias funcionales”. 4. Flujos de Información: la estructura organizativa, produce corrientes de información horizontales y oblicuas extradepartamentales. Los flujos de información son necesarios y aun imprescindibles para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. Los canales de información alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa. 5. Número de Puestos de Trabajo: el equipo auditor comprobará que los nombres de los puestos de trabajo de la organización auditada corresponden a funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes en los diferentes grupos de la instalación. Esta situación pone de manifiesto deficiencias estructurales, los auditores expresarán el número de puestos de trabajo verdaderamente diferentes. 6. Número de Personas por Puesto de Trabajo: es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal o la falta de plantilla en algunas secciones y la sobrante en otras, determinan qué número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización. Los auditores deberán exponer el número de empleados reales de 13 cada sección audita. De este modo, se pone en manifiesto una distribución ineficiente de recursos o la necesidad de una reorganización de la estructura oficial. Entorno Operacional El equipo de auditoría informática posee referencia del entorno en el que ha de desenvolverse. 1. Situación Geográfica de los Sistemas: se determinará la ubicación geográfica de los Centros de Procesos de Datos distintos de la empresa. De acuerdo con dicha ubicación, se verificará la existencia de responsables por cada uno de ellos, así como el uso de los mismos estándares de trabajo. 2. Arquitectura y Configuración de Hardware y Software: cuando existen varios CPD’S, es fundamental la configuración elegida para cada uno de ellos en tanto deben constituir un Sistema compatible e intercomunicado. La configuración de los Sistemas están muy ligadas a la políticas de Seguridad Lógica Informática de las Compañia. 3. Inventario Hardware y Software: el. equipo auditor recabará información escrita de la empresa, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto al hardware figuran las CPU, procesadores intermedios,etc. El inventario software debe contener todos los productos lógicos del Sistema, suele ser habitual clasificarlosen facturables y no facturables. 4. Comunicación y Redes de Comunicaciones: los auditores dispondrán del número, situación y características principales de las líneas, así como los accesos a la red pública de comunicaciones. Igualmente poseen información de las redes locales de la empresa. Aplicaciones Base de Datos y Ficheros El entorno auditable se pone de manifiesto principalmente por medio de las siguientes características: 1. Volumen, antigüedad y complejidad de las Aplicaciones: Se pondrá especial énfasis en la periodicidad de ejecución de la carga. 2. Metodología del Diseño: Se calificará globalmente la existencia total o parcial de metodologías en el desarrollo de las Aplicaciones. 3. Documentación: la existencia de una adecuada documentación de las Aplicaciones proporciona beneficios tangibles e inmediatos. La documentación de programas disminuye grandemente el mantenimiento de los mismos. 4. Cantidad y complejidad de Bases de Datos y Ficheros: El auditor recabará información de tamaño y características de Base de Datos, clasificándolas en relacionales y jerárquicas. Estos datos proporcionan una visión aceptable de las características de la carga Informática. Determinación de Recursos de la Auditoría Mediante los resultados del estudio inicial realizado, se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría. 14 Recursos Materiales Los recursos materiales del auditor son de dos tipos: a. Recursos materiales Software: Programas Propio de la Auditoría. Se indicó que son muy potentes y flexibles. Monitores. Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes. b. Recursos materiales Hardware: Los recursos hardware el que auditor necesita son proporcionados por el cliente. El auditor deberá calcular con la mayor precisión posible los incrementos de carga por él generados. Recursos Humanos La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado depende de la materia auditable. Perfiles Profesionales de los Auditores Informáticos Profesión Actividades y conocimientos deseables Informático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y Desarrollo de Proyectos. Conocedor de Sistemas. Experto en Desarrollo de Proyectos Amplia experiencia como responsable de Proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes. Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. Experto en BD y administración de las mismas Con experiencia en mantenimiento de BD. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos d explotación. Experto en Software de Comunicaciones Alta especialización dentro de la Técnica de Sistemas. Conocimiento profundo de redes. Muy experto en Subsistemas de Teleproceso. Experto en explotacion y Gestion de CPD’S Responsable de algún centro de Cálculo. Amplia experiencia en Automatización de Trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Tecnico de Organizacion Experto organizador y coordinador. Especialista en análisis de flujos de información. Tecnico de Evaluacion de Costes Economista con conocimiento de informática. 15 Gestión de costes Elaboración del Plan y de los Programas de Trabajo Una vez asignados los recursos se establece un plan de trabajo y luego se procede a la programación del mismo. El plan de auditoría se elabora teniendo en cuenta: a. Si la revisión ha de realizarse por áreas generales o por áreas específicas. b. Si la auditoría es global, de toda la informática, o parcial. ● En el Plan se manejan recursos genéticos y no específicos. ● En el Plan se establece los Recursos y Esfuerzos globales que van a ser necesarios. ● El Plan establece las prioridades de materias auditables. ● El Plan establece la disponibilidad futura del personal y de los demás recursos durante la duración de la Revisión. ● El Plan estructura las tareas a realizar por cada integrantes del equipo. ● En el Plan se expresa todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente flexible como para permitir modificaciones a lo largo del proyecto. Los Programas de Trabajo son cuantificaciones del Plan. En ellos se asignan los recursos humanos y materiales concretos para cada sector del Plan- En Programa de Trabajo se establece el calendario real de actividades a realizar. Actividades de la Auditoría Informática Auditoría por temas generales o por áreas específicas La auditoría informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos. Si se realiza por áreas específicas, se abordan de una vez todas la peculiaridades que afectan a la mismas, de forma que el resultado se obtiene más rápidamente y con menor calidad. Así, cuando se aborda la Auditoría de Desarrollo de las Aplicaciones, se tienen en cuenta todos los factores que la afectan. Técnicas de trabajo - Análisis de la información recabada del auditado. - Análisis de la información propia. - Cruzamiento de las informaciones anteriores. - Entrevistas. - Simulación. - Muestreos. Herramientas - Cuestionario general inicial. - Cuestionarios-Checklist. - Estándares. - Monitores. 16 - Simuladores (generadores de datos). - Paquetes de Auditoría (generadores de programas). - Matrices de riesgo. Informe Final La elaboración del Informe Final es la única referencia constatable de toda auditoría. Resulta evidente la necesidad de redactar borradores e informes parciales y previos al citado informe final, ya que son los elementos de contraste de opiniones entre el auditor y auditado y pueden descubrir fallos de apreciación en el auditor. Estructura del informe final Se inicia con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y todas las personas entrevistadas, con indicación de la responsabilidad o puesto de trabajo que ostente. 1. Definición de objetivos y alcance de la auditoría. 2. Enumeración de temas considerados. Se enumeran lo más exhaustivamente posible todos los temas objeto de la auditoría. 3. Cuerpo expositivo. Para cada tema objeto de auditoría, se sigue el siguiente orden: a. Situación actual. Cuando se trate de una revisiónperiódica, en la que se analiza una situación y su evolución en el tiempo, se expondrá la situación prevista y la situación real. b. Tendencias. Se tratarán de hallar parámetros de correlación que permitan establecer tendencias de situación futura. c. Puntos débiles y amenazas. Deberán explicarse por sí mismos, sin referencias a otros lugares del informe. d. Recomendaciones y planes de acción. Constituyen, junto con la exposición de puntos débiles, el objeto de la auditoría. e. Redacción posterior de la Carta de Introducción o Presentación. Modelo Conceptual de exposición del Informe Final El modelo de Informe final se basa en dos principios: a. El Informe debe incluir solamente hechos importantes. b. El Informe debe consolidar los hechos que se describen en el mismo. El término “hechos consolidados” adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer los siguientes criterios: - El hecho que se incluya debe poder ser sometido a cambio. - Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. - No deben existir alternativas viables que superen al cambio propuesto. - La recomendación del auditor sobre el hecho en cuestión ha de mantener o mejorar las Normas y estándares existentes en la Instalación. La aparición de un hecho en un informe implica necesariamente la existencia de una debilidad que ha de ser corrigida. Veamos el modelo de flujo del hecho o debilidad, y el orden, desde su aparición hasta la recomendación del auditor para eliminarla: 1. Hecho encontrado. - Ha de ser relevante para el auditor y para el cliente. 17 - Ha de ser exacto y convincente. - No deben existir hechos repetidos. Se deben evitar las referencias y alusiones a otros hechos. 2. Consecuencias del hecho. - Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3. Repercusión del hecho. - Se redactará, si existen, las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa auditada. 4. Conclusión del hecho. - No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa y compleja. 5. Recomendación del auditor informático. - Siempre se explicita la palabra “Recomendación”. - Deberá entenderse por sí sola. - Deberá estar suficientemente soportada por el propio texto. - Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y verificada su implementación. - La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. - Deberán evitarse las recomendaciones demasiado generales. Carta de introducción o presentación del informe final La Carta de introducción resume la auditoría realizada en 3 o 4 folios. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargó o contrató la misma. Pueden existir tantas copias del Informe Final como solicite el cliente, siempre que éste especifique los nombres de los destinatarios. La auditoría no hará copias de la Carta de Introducción. Poseerá los siguientes atributos: - Tendrá una longitud máxima de 4 folios, aunque la auditoría tenga centenares de ellos. - Incluirá fecha, naturaleza, objetivos y alcance. - Cuantificará la importancia de las áreas analizadas. - Proporcionará una conclusión general, concretando las áreas de gran debilidad. - Presentará las debilidades en orden de importancia y gravedad, de mayor a menor. - En la Carta de Introducción no se escribirán nunca Recomendaciones. Metodología abreviada de revisión de recursos informáticos a traves del management - CRMR (Computer resource management review) Definición de la Metodología CRMR Esta terminología quiere destacar la posibilidad de realizar una evaluación de eficiencia de utilización de los recursos por medio del management. 18 Proporciona soluciones más rápidas a problemas concretos y notorios. Supuesto de Aplicación La metodología abreviada CRMR es aplicable más a deficiencias organizativas y gerenciales, pero cubre cualquier área de un Centro de Proceso de Datos. El método CRMR puede aplicarse cuando se producen algunas de las siguientes situaciones: - Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. - Los resultados del CPD no están a disposición de los usuarios en el momento oportuno. - Se genera con alguna frecuencia información errónea por fallos de datos o proceso. - Existen sobrecargas frecuentes de capacidad de proceso. - Existen costes excesivos de proceso en el CPD. Areas de Aplicacion Las áreas en el que el método CRMR puede ser aplicado: - Gestión de Datos. - Control de Operaciones. - Control y utilización de recursos materiales y humanos. - Interfaces y relaciones con usuarios. - Planificación - Organizacion y administracion. Objetivos CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y métodos de gestión que se observan. Las recomendaciones que se emitan como resultado de la aplicación del CRMR: - Identificar y fijar las responsabilidades. - Mejorar la flexibilidad de realización de actividades. - Aumentar la productividad. - Disminuir costes. - Mejorar los métodos y procedimientos de Dirección. Alcance Se fijarán con detalle los límites que abarcara el CRMR, antes de comenzar el trabajo. Se establece tres clases: a. Reducido. El resultado consiste en señalar las áreas de actuación con potencialidad inmediata de obtención de beneficios. b. Medio. El CRMR ya establece conclusiones y Recomendaciones, tal y como se hace en un auditoria informatica ordinaria. c. Amplio. El CRMR incluye Planes de Acción, aportando técnicas de implementación de las Recomendaciones, a la par que desarrolla conclusiones. Información necesaria para evaluación del CRMR Se determinan los requisitos necesarios para que esta simbiosis de auditoría y consultoría puede llevarse a cabo con éxito. 19 Integración del auditor en el CPD a revisar No debe olvidarse que están evaluando actividades desde el punto de vista gerencial. El contacto permanente del auditor con el trabajo ordinario del CPD permite a aquel determinar el tipo de esquema organizativo que se sigue. Programa de trabajo clasificado por tareas Todo trabajo habrá de ser descompuesto en tareas. Cada una de ellas se someterá a la siguiente sistemática: - Identificación de la tarea. - Descripción de la tarea. - Descripción de la función de dirección cuando la tarease realiza incorrectamente. - Descripción de ventajas, sugerencias y beneficios que puede originar un cambio o modificación de tarea. - Test para la evaluación de la práctica directiva en relación con la tarea. - Posibilidad de agrupación de tareas. - Ajustes en función de las peculiaridades de un departamento concreto. - Registro de resultados, conclusiones y recomendaciones. Información necesaria para la realización del CRMR El cliente es el que facilita la información que el auditor contrastará con su trabajo de campo. Datos necesarios para confeccionar el CRMR: - Datos de mantenimiento preventivo de Hardware. - Informes de anomalías de los Sistemas. - Procedimientos estándar de actualización. - Procedimientos de emergencia. - Monitorización de los Sistemas. - Informes del rendimiento de los Sistemas. - Mantenimiento de las Librerías de Programas. - Gestión de Espacio en disco. - Documentación de entrega de Aplicaciones a Explotación. - Documentación de alta de cadenas en Explotación. - Utilización de CPU, canales y discos. - Datos de paginación de los Sistemas. - Volumen total y libre de almacenamiento. - Ocupación medio de disco. - Manuales de Procedimientos de Explotación. 20
Compartir