UNIVERSIDAD DE COLIMA ENSAYO

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD DE COLIMA ENSAYO"

Transcripción

1 UNIVERSIDAD DE COLIMA FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA LA AUDITORIA EN LA INFORMÁTICA ENSAYO QUE PARA OBTENER EL GRADO DE: MAESTRA EN CIENCIAS COMPUTACIONALES PRESENTA: LORENA CARMINA MORENO JIMÉNEZ ASESOR: MC. ANDRÉS GERARDO FUENTES COVARRUBIAS COQUIMATLÁN, COLIMA, ABRIL DE 2003

2 UNIVERSIDAD DE COLIMA FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA EXPEDIENTE: 510 NUM MORENO JIMÉNEZ LORENA CARMINA AVE. NIÑOS HÉROES #427 VILLA DE ÁLVAREZ, COLIMA Informo a usted que ha sido APROBADO por el H. CONSEJO TÉCNICO DE LA MAESTRÍA EN COMPUTACIÓN, como tema de titulación para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES. El solicitado por usted bajo el título: Desarrollado bajo los siguientes puntos: "LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)" 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDO FUENTES COVARRUBIAS. En cada uno de los ejemplares de titulación que presente para examen, deberá aparecer en primer termino copia del presente oficio. C.c.p. EXPEDIENTE ALUMNO RFC7AGFC/laal* Km 9 Carretera Colima-Coquimatlán, Colima, Colima, México, Cp Tel. 01 (3) , Ext , Ext Fax 51454

3 H. CONSEJO TÉCNICO DE POSGRADO EN COMPUTACIÓN FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIVERSIDAD DE COLIMA Por medio del presente conducto informo que la C. MORENO JIMÉNEZ LORENA CARMINA, terminó su período de revisión de tesis. El trabajo al cual se hace mención fue denominado: LA AUDITORIA EN LA INFORMÁTICA (ENSAYO) Cuyo contenido es el siguiente: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA El cual cumple con los requisitos necesarios para su aprobación, por lo cual lo autorizo para su impresión. C.c.p. Expediente

4 EXPEDIENTE: 510 FECHA: Acta No. :23 MORENO JIMÉNEZ LORENA CARMINA AVE. NIÑOS HÉROES #427 VILLA DE ÁLVAREZ, COLIMA TEL: En cumplimiento a lo dispuesto por los artículos 13 y 14 del reglamento de titulación vigente, al artículo 40, inciso A del reglamento de estudios de posgrado vigente y al artículo 46 de las normas complementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingeniería Mecánica y Eléctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Técnico su tema de tesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS, 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Así mismo, hacemos de su conocimiento que de acuerdo con la línea de investigación en la cual se enmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDO FUENTES COVARRUBIAS. A partir de la fecha de aprobación tendrá como plazo un año para presentar su examen de grado, en caso contrario tendrá usted derecho a una prorroga única de seis meses so pena de perder el registro de su proyecto, lo anterior bajo la consideración del Consejo Técnico y la aprobación de su director de tesis. Una vez concluidos los tramites de revisión de su documento de tesis e integrado su expediente de titulación deberá recoger el oficio que acompañara el visto bueno de su director de tesis, los cuales encabezarán cada uno de los ejemplares de sus tesis.

5 DEDICATORIA Agradezco, a mi familia por el apoyo incondicional y el aliciente que me proporcionan para seguir adelante, en particular a mi esposo el Dr. Nicandro Farias Mendoza, que formo parte importante en la culminación de mi trabajo. A la Universidad de Colima por brindarme la oportunidad de seguir preparándome. A mis maestros por trasmitir sus conocimientos. Al maestro Andrés Gerardo Fuentes Covarrubias por haberme brindado la oportunidad de trabajar con él en el desarrollo del trabajo.

6 CONTENIDO INTRODUCCIÓN CAPITULO 1 ANTECEDENTES CAPITULO 2 TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 2.1 Informática Auditoria Tareas principales de la auditoria Auditoria en informática 13 CAPITULO 3 AUDITORIA INFORMÁTICA 3.1 Importancia de la auditoria informática Formas de llevar a cabo una auditoria informática Síntomas de necesidad de una auditoría informática Herramientas y técnicas para la auditoría informática Cuestionarios Entrevistas Checklist Trazas y/o huellas Software de interrogación 23 CAPITULO 4 TIPOS DE AUDITORIAS 4.1. Concepto de auditoría en informática Auditoria interna y auditoría contable/financiera Definición de control interno Objetivos del control interno Clases de controles internos Atendiendo al momento que se actúa Controles de supervisión Auditoria administrativa Concepto de auditoría con informática Concepto de auditoría de programas Concepto de auditoria de seguridad Consideraciones inmediatas Consideraciones para elaborar un sistema de seguridad integral Etapas para implementar un sistema de seguridad Etapas para implementar un sistema de seguridad en marcha Beneficios de un sistema de seguridad 51

7 CAPITULO 5 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 5.1 Planeación de la auditoría en informática Investigación preliminar Personal participante 56 CAPITULO 6 AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 6.1 Recopilación de la información organizacional Evaluación de la estructura orgánica Evaluación de los recursos humanos Entrevistas con el personal de informática Situación presupuestal y financiera 80 CAPITULO 7 EVALUACIÓN DE SISTEMAS 7.1 Evaluación de sistemas Evaluación del análisis Evaluación del diseño lógico del sistema Evaluación del desarrollo del sistema Control de proyectos Control de diseño de sistemas de información Instructivos de operación Forma de implantación Equipo y facilidades de programación Entrevistas a usuarios 100 CAPITULO 8 EVALUACIÓN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO 8.1 Controles Controles de los datos fuente y manejo de cifras de control Control de operación Controles de salida Control de asignación de trabajo Control de medios de almacenamiento masivos Control de mantenimiento Orden en el centro de cómputo Evaluación de la configuración del sistema de cómputo Productividad 126

8 CAPITULO 9 EVALUACIÓN DE LA SEGURIDAD 9.1 Seguridad lógica y confidencialidad Seguridad en el personal Seguridad física Seguros Seguridad en la utilización de equipo Procedimiento de respaldo en caso de desastre Condiciones, procedimientos y controles para otorgar soporte a otras instituciones 155 CAPITULO 10 INFORME FINAL 10.1 Técnicas para la interpretación de la información Análisis crítico de los hechos Metodología para obtener el grado de madurez del sistema Uso de diagramas Evaluación de los sistemas Evaluación de los sistemas de información Controles Confección y redacción del informe final 167 CAPITULO 11 DIFERENTES ENFOQUES DE LA AUDITORIA 11.1 Introducción 170 CAPITULO 12 CONCLUSIONES 202 BIBLIOGRAFÍA 206 ANEXOS 207

9 Introducción A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado, como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de, realizarse la auditoría, ya se habían detectado fallas. El concepto de auditoría es mucho más que esto. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia. Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos dice: " La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable." De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una 1

10 Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos. Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos: Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad. Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos. Un Sistema Informático mal diseñado puede convertirse en una herramienta peligrosa para la empresa: como las máquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas. 2

11 1 Antecedentes La información es inherente a la existencia de las personas y de las sociedades. Permite conocer la realidad, interactuar con el medio físico, apoyar en la toma de decisiones, y evaluar las acciones de individuos y grupos el aprovechamiento de la información propicia la mejoría de los niveles de bienestar y permite aumentar la productividad y competitividad de las naciones. El importante aporte de la información se ha visto acrecentado por la posibilidad que ha traído consigo la informática, surgida de la convergencia tecnológica de la computación, la microelectrónica y las telecomunicaciones, para producir información en grandes volúmenes, y para consultarla y transmitirla a través de enormes distancias. De hecho, el mundo de fin de siglo XX esta inmerso en una nueva Revolución tecnológica basada en la informática. Esta encuentra su principal impulso en el acceso expedito y en la capacidad de procesamiento de información sobre prácticamente todos los temas y sectores. La nueva Revolución tecnológica ha contribuido a que culturas y sociedades se transformen aceleradamente, tanto económica como social y políticamente, con el objetivo fundamental de alcanzar la plenitud de sus potencialidades. En el mundo, hoy la informática es de carácter estratégico sus aplicaciones, ya han afectado prácticamente todas las actividades humanas de la manera siguiente: permitiendo la comunicación instantánea de conocimiento a distancia. (por ejemplo permitir integrar grupos de personas que radiquen en distintos sitios, con afinidades o necesidades especifica, para resolver problemas que les son comunes, generando los que se denomina inteligencia colectiva, etc..) ampliando las capacidades intelectuales del hombre. estableciendo al conocimiento como factor productivo. facilitando la generación de nuevas tecnologías y la automatización de procesos. permitiendo la reducción de tiempos y costos de producción. 3

12 impulsando la aparición de nuevos productos. propiciando nuevos servicios y de mejor calidad. (en el sector publico, algunos, como los de salud, enseñanza y seguridad social prestándose en mayor escala y de manera mas eficaz. las computadoras y las telecomunicaciones pueden coadyuvar en el suministro de estos servicios a comunidades marginadas, etc... todo esto se traduce a beneficios tangibles para la población.) generando nuevos empleos, principalmente en los servicios (mantenimiento, instalación y reparación de equipo, capacitación, etc...) modificando la composición y estructuras de los sectores productivos. (se efientizan estructuras, se redefinen responsabilidades de los directivos y trabajadores, etc...) da lugar a la noción del mundo como aldea global. (ya que los avances tecnológicos que se perfilan, hacen posible la transformación de los servicios para acercarlos a las necesidades particulares de las personas. (por ejemplo, la conexión a redes de computadoras nacionales e internacionales.) A estos efectos se están sumando transformaciones igualmente importantes, en el ámbito social, al cambiar la manera en que se llevan a cabo innumerables actividades cotidianas. Por la magnitud de sus efectos, esta Revolución tecnológica es comparable a dos importantes acontecimientos históricos de desarrollo tecnológico estratégico: Imprenta (siglo XV) permitió una mayor comunicación de ideas a distancia en forma impresa. impulso la generación del conocimiento. propicio el surgimiento de la escritura y la lectura como habilidad social. motivo la evolución cultural, social, política y económica. Revolución Industrial (siglo XVIII) Incremento capacidades productivas y la disponibilidad de satisfactores. Amplio opciones de empleo y de organización productiva. Causo desplazamiento del campo a la ciudad. Motivo desarrollo heterogéneo entre las naciones redefiniendo la arquitectura del mundo. En conclusión las sociedades que han incorporado la informática a su forma de vida cuentan con una ventaja económica y social invaluable en el contexto de la globalización debido a ello, múltiples naciones están enfocando sus esfuerzos a diseñar políticas y estrategias en informática. 4

13 El mundo no puede sustraerse de este contexto: los futuros niveles de bienestar y la viabilidad competitiva, dependen en gran medida de una estrategia informática que permita aprovechar el potencial que representa esta tecnología, haciendo de ella un instrumento eficaz que sirva para resolver problemas y para enfrentar con optimismo renovado los retos que el presente y el futuro presenten, por lo que es necesario en definitiva, para obtener un buen aprovechamiento evitar que por una falta de estándares y metodologías, y por una falta de formación y cultura generalizada, sobre todo en los aspectos de control y de seguridad informática, a pesar de los grandes adelantos tecnológicos, se produzca en las áreas de informática islotes de mecanización y de procesos manuales difíciles de controlar y caros de mantener por una falta de asimilación de las nuevas tecnologías, por una infrautilización de los equipos informáticos, por un descontento generalizado de los usuarios, por una obsolescencia de las aplicaciones informáticas actuales, por una falta de planificación de los Sistemas de Información, por falta de seguridad física y lógica y por soluciones planteadas parcialmente que, todo esto puede ser resueltos mediante la auditoría en Informática que es válida para cualquier tamaño de empresa y que teniéndola como un ejercicio práctico y formal, brindará a sus ejecutantes, así como a los negocios, un sentimiento de satisfacción justificado por el entendimiento y compromiso que implica asegurar la utilización correcta de los recursos de informática para lograr los objetivos de la organización. Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo que se relaciona con el hecho de que cualquier organización desea mantener sus activos en las mejores condiciones posibles y salvaguardar su integridad. La función de del auditor en informática no es fungir como capataz o policía del negocio, como tantas veces se ha planteado en forma sarcástica o costumbrista en las organizaciones. Este profesionista se orienta a funcionar como un punto de control y confianza para la alta dirección, además de que se busca ser un facilitador de soluciones. Por analogía el auditor se asemeja al médico que evalúa al paciente y le recomienda el tratamiento idóneo para estar en óptimas condiciones de salud. Según la situación del enfermo, recomendará tratamientos ligeros o fuertes y estrictos. Lo importante es que el paciente sepa que puede mejorar su salud. Esa es la orientación del auditor en informática: conducir a la empresa a la búsqueda permanente de la "salud" de los recursos de informática y de aquellos elementos que se relacionan con ella. No hay que pensar que este proceso cambiará la cultura organizacional de la noche a la mañana, los métodos de trabajo, la mala calidad, ni la improductividad en las áreas relacionadas con la informática; es un elemento estratégico directo que apoya la eliminación de cada una de las debilidades mencionadas. Sin embargo ha de coexistir con el personal responsable y profesional, así como con directores ya accionistas comprometidos con la productividad, calidad y otros factores recomendados para ser empresas de clase mundial. Se espera que cada auditor sea un profesional, un experto, pero sobre todo que sea un ser sensible, humano, que entienda el contesto real del negocio. Su 5

14 principal objetivo es conferir la dimensión justa a cada problemática, convirtiéndola en un área de oportunidad y orientándola hacia la solución del negocio. En los años cuarenta empezaron a presentarse resultados relevantes en el campo de la computación, a raíz de los sistemas de apoyo para estrategias militares; posteriormente se incrementó el uso de las computadoras y sus aplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación, salud, industria, política, banca, aeronáutica, comercio, etc. En aquellos años la seguridad y control de ese medio se limitaba a proporcionar custodia física a los equipos y a permitir la utilización de los mismos al personal altamente calificado (no existía un gran número de usuarios, ya fueran técnicos o administrativos). En el presente, la informática se ha extendido a todas las ramas de la sociedad, es decir, resulta factible controlar un vuelo espacial por medio de una computadora, así como seleccionar las compras del hogar en una computadora personal con acceso a internet, por ejemplo. Esta rapidez en el crecimiento de la informática permite deducir que los beneficios se han incrementado con la misma velocidad, algunos con mediciones tangible -como reducción de costos e incremento porcentual en ventas- y otros con aspectos intangibles -como mejoría en la imagen o satisfacción del cliente-, pero ambos con la misma importancia para seguir impulsando la investigación y actualización constante de la tecnología. La idea de que se obtienen mayores beneficios que antes no se halla muy lejos de la realidad; no obstante, también es válido afirmar que los costos han sido altos y en muchas ocasiones han rebasado los límites esperados, ocasionando grandes pérdidas y decepciones en los negocios. Las empresas y organismos interesados en que la informática continúe creciendo para beneficio de la humanidad (educación, productividad, calidad, ecología, etc.) desean que este incremento se controle y oriente de manera profesional: se debe obtener el resultado planeado y esperado en cada inversión de esta rama. Asegurar que las inversiones y proyectos inherentes a la función de informática sean justificados y brinden los resultados esperados es una responsabilidad de quien administre dicha función y, de igual manera, es responsabilidad de la dirección no aprobar proyectos que no aseguren la rentabilidad de la inversión. Con el paso de los años la informática y los elementos tecnológicos que la rodean han creado necesidades en cada sector social y se han tornado en un requerimiento permanente para alcanzar soluciones. El incremento persistente de las expectativas y necesidades relacionadas con la informática, al igual que la actualización continua de los elementos que componen la tecnología de este campo, obligan a las entidades que la aplican a disponer de controles, políticas y procedimientos que aseguren la alta dirección de los recursos humanos, materiales y financieros involucrados para que se protejan adecuadamente y se oriente a la rentabilidad y competitividad del negocio. Si se pregunta por qué preocuparse de cuidar esa caja etiquetada con el nombre de informática, y la respuesta que brinde a cualquiera de las siguientes preguntas es negativa, le convendría reafirmar o considerar la necesidad de 6

15 asumir la responsabilidad del control y otorgamiento de seguridad permanente a los recursos de informática? Los usuarios y la alta dirección conocen la situación actual de la función de informática en la empresa (organización, políticas, servicios, etc.)? Se aprueba formal y oportunamente el costo / beneficio de cada proyecto relacionado en forma directa con la informática? La informática apoya las áreas críticas del negocio? El responsable de la informática conoce los requerimientos actuales y futuros del negocio que necesitan apoyo de los servicios y productos de su área? Cada uno de los elementos del negocio conoce las políticas y procedimientos inherentes al control y seguridad de la tecnología informática? Existen dichas políticas y procedimientos de manera formal? Hay un plan de seguridad en la informática? Se ha calculado el alcance e impacto de la informática en la empresa? Hay un plan estratégico de informática alineado al negocio? Existen responsables que evalúen formal e imparcialmente la función de informática? Se cuenta con un control formal de cada proyecto relativo al área? Es importante para usted la informática? Evalúa periódica y formalmente dicha función de la informática? Auditan sólo sistemas de información y no otras áreas de la información? Cada una de las preguntas encierra una importancia específica para el buen funcionamiento informático de cualquier negocio; están interrelacionadas y la negación de alguna es una pequeña fuga de gas que, con el tiempo y un pequeño chispazo, puede ocasionar graves daños a los negocios, ya sean fraudes, proyectos cancelados con alto porcentaje de costos no recuperables, rechazo de los servicios de informática por los usuarios clave del negocio, improductividad y baja calidad de los recursos de informática, planes de informática no orientados a las metas y estrategias del negocio, piratería de software, fuga de información hacia la competencia o proveedores, entre otros daños. La improductividad, el mal servicio y la carencia de soluciones totales de la función informática fueron, son y pueden continuar siendo mal de muchas organizaciones. El problema real radica en que los proyectos prioritarios hacen gala del apoyo que obtienen de la informática; entonces, por qué no cuidarla? Algunos de los problemas por las debilidades o fallas de la informática son: Debilidades en la planeación del negocio al no involucrar la informática generan inconsistencias. Resultados negativos (improductividad, duplicidad de funciones, etc.) en el desarrollo, operación y mantenimiento de sistemas de información. Falta de actualización del personal de informática y técnico donde se encuentran instalados los sistemas y las soluciones del negocio. Mínimo o nulo involucramiento de los usuarios en el desarrollo e implantación de soluciones de informática. Capacitación deficiente en el usos de los sistemas de información, el 7

16 software (base de datos, procesadores de palabras, hojas de cálculo, graficadores, etc.) y el hardware (equipos de cómputo, impresoras y otros periféricos, etc.). Administración de proyectos que no es formal ni completa (no se alinea a los objetivos del negocio) Carencia de un proceso de análisis costo / beneficio formal previo al arranque de cada proyecto de informática. Metodologías de planeación y desarrollo de sistemas informales no estandarizadas y en muchos casos inexistentes. Uso y entendimiento mínimo o inexistente de técnicas formales para el desempeño de funciones en las áreas de informática: Análisis y diseño de sistemas de información Entrevistas a usuarios operativos y ejecutivos Cuestionarios Modelación de procesos Modelación de datos Costo / beneficio, etcétera. Control de proyectos. Trabajo en equipo de desempeño. Involucramiento mínimo o informal de la alta dirección en los proyectos de informática. Proyectos de auditoría o evaluación de informática esporádicos e informales y en muchos casos inexistente. Otros. 8

17 2 Terminología de la auditoría en informática 2.1 Informática La informática se desarrolla con base en normas, procedimientos y técnicas definidas por institutos establecidos a nivel nacional e internacional. La informática es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de información por medios electrónicos, el cual comprende las áreas de la tecnología de información orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya(entidades internas y externas de los negocios) de manera oportuna y veraz; además es el proceso metodológico que se desarrolla de manera permanente en las organizaciones para el análisis, evaluación, selección, implantación y actualización de los recursos humanos (conocimientos, habilidades, normas, etc), tecnológicos (hardware, software, etc.) materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones) encaminados al manejo de la información, buscando que no se pierdan los propósitos confiabilidad, oportunidad, integridad y veracidad entre otros propósitos. Hardware se refiere a los componentes físicos y tangibles de las computadoras, generalmente clasificados en cuatro grandes ramas: computadoras personales Redes (locales, abiertas, etc.) Minicomputadoras Supercomputadoras (mainframes) Software implica la parte no física de las computadoras. Esto significa que es la porción intangible de los equipos de cómputo, es decir, programas con 9

18 orientaciones específicas para la administración de la informática y el uso eficiente de los recursos de cómputo. Su clasificación se puede resumir en los siguientes términos: Software de aplicaciones (sistemas de información) Administrativos. Financieros. De manufactura. Otros. Software de paquetes computacionales (paquetería) Hojas electrónicas. Procesadores de palabras. Otros. Software de programación Lenguajes de tercera generación Lenguajes de cuarta generación Software de sistemas operativos Para computadoras personales. Para minicomputadoras. Para supercomputadoras. Productos CASE (ComputerAided Software Enaineering) Para planeación de sistemas de información. Para análisis de sistemas de información. Para diseño de sistemas de información. Para todo ciclo de desarrollo e implantación de sistemas de información (CDISI). Para Propósitos específicos Arquitectura. Auditoría. Ingeniería. Medicina. Otras ciencias. Sistemas de información: Son el conjunto de módulos computacionales o manuales organizados e interrelacionados de manera formal para la administración y uso eficiente de los recursos (humanos, materiales, financieros, tecnológicos, etc.) de un área específica de la empresa (manufactura, administración, dirección, etc.), con la finalidad de representar los procesos reales del negocio y orientar los procedimientos, políticas y funciones inherentes para lograr las metas y objetivos del negocio de forma eficiente. Los sistemas de información pueden orientarse al apoyo de los siguientes aspectos: - Niveles operativos del negocio - Niveles tácticos del negocio - Niveles estratégicos del negocio Sistemas de información estratégica (SIE): Son aquellos que de manera permanente proporcionan a la alta dirección una serie de parámetros y acciones encaminadas a la toma de decisiones que apoyarán al negocio en el seguimiento 10

19 de la rentabilidad y competitividad respecto a la competencia. Metodología: Es un conjunto de etapas (fases o módulos) formalmente estructurados, de manera que brinden a los interesados los siguientes parámetros de acción en el desarrollo de sus proyectos: Plan general y detallado. Tareas y acciones. Tiempos. Aseguramiento de calidad. Involucrados. Etapas (fases o módulos). Revisiones de avance. Recursos requeridos. Otros. Una buena metodología debe responder a los siguientes cuestionamientos: qué hacer?, Dónde debo hacerlo?, cómo plantearlos?, por qué aprobarlo?, cuándo revisarlo?, cuándo empezarlo?, quién debe hacerlo?, por qué debo hacerlo?, cómo aprobarlo?, quiénes deben comprometerse?, por qué revisarlo?, cuándo terminarlo?, cómo justificarlo?, etcétera. Técnicas: Es el conjunto de procedimientos y pasos ordenados que se usan con el desarrollo de un proyecto con el propósito de finalizar las etapas, fases o módulos definidos en el proceso metodológico. Algunas de las técnicas generalmente aceptadas son: Análisis estructurado Diseño estructurado Gráficas de Pert Gráficas de Gantt Documentación Programación estructurada Modulación de datos y procesos Entrevistas Otras Las técnicas son el conjunto de pasos ordenados lógicamente para apoyarse en la terminación (cómo hacerlo) de las acciones o tareas estimadas en el proyecto emanado de la metodología. Herramientas: Es el conjunto de elementos físicos utilizados para llevar a cabo las acciones y pasos definidos en la técnica. Antes del auge de las computadoras, así como de otros elementos tecnológicos relacionados con la ingeniería, arquitectura, etc., dichas herramientas eran simples máquinas o utensilios manuales que apoyaban el desarrollo de las tareas de cada uno de los proyectos. Herramientas de productividad: Ayudan a optimizar el tiempo de los recursos en el desarrollo de un proyecto; así mismo, se encaminan a proporcionar 11

20 resultados de alta calidad para apoyar el logro de las actividades administrativas relacionadas con procesos de información, por ejemplo; Procesadores de palabras (documentación, entrevistas y cuestionarios entre otros) Diagramadores (diagramas de flujo, diagramas organizacionales, etc) Graficadores (estadísticas, estimación de actividades en tiempo, costos, etcétera) Productos CASE (modelación de datos, modelación de procesos, validación de datos y procesos, generadores de diccionarios de datos, por citar algunos casos) Impresoras (láser, por ejemplo) Computadoras personales Otros. Las herramientas de productividad no se asocian necesariamente con inversiones elevadas en la compra de hardware y software especializado; se relacionan con los recursos mecánicos o automatizados que apoyan al personal en la obtención de productos de calidad en niveles de productividad aceptados por los líderes de proyectos, o definidos por los estándares de trabajo del negocio. 2.2 Auditoria Con frecuencia la palabra auditoria se ha empleado incorrectamente y se ha considerado como una valuación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase "tiene auditoria" como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se esta haciendo la auditoria. El concepto de auditoria es más amplio: no sólo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo. La palabra auditoría viene del latín auditorius, y de ésta proviene auditor, que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentas auditor". El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de recursos alternativos de acción, se tome decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad, fuerza, para poder obrar" mientras que eficiencia es: "virtud y facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Boletín "C" de Normas de Auditoria del Instituto Mexicano de Contadores nos dice. "La auditoria no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que debe de seguir y 12

21 estimar los resultados obtenidos". Así como existen normas y procedimientos específicos para la realización de auditorias contables, debe haber también normas y procedimientos para la realización de auditorias en informática como parte de una profesión. Pueden estar basadas en las experiencias de otras profesiones pero con algunas características propias y siempre detección de errores, y además la auditoría debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución. 2.3 Tareas principales de la auditoría Estudiar y actualizar permanentemente las áreas susceptibles de revisión. Apegarse a las tareas que desempeñen las normas, políticas, procedimientos y técnicas de auditoría establecidas por organismos generalmente aceptados a nivel nacional e internacional. Evaluación y verificación de las áreas requeridas por la alta dirección o responsables directos del negocio. Elaboración del informe de auditoría (debilidades y recomendaciones). Otras recomendadas para el desempeño eficiente de la auditoría. 2.4 Auditoría en informática La auditoría en informática se desarrolla en función de normas, procedimientos y técnicas definidas por institutos establecidos a nivel nacional e internacional; por ello, nada más se señalarán algunos aspectos básicos para su entendimiento. Así, la auditoría en informática es: a) Un proceso formal ejecutado por especialistas del área de auditoría y de informática; se orienta a la verificación y aseguramiento para que las políticas y procedimientos en la organización se realicen de una manera oportuna y eficiente. b) Las actividades ejecutadas por profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).dicha evaluación deberá ser la pauta para la entrega del informe de auditoría en informática, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio. c) El conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o 13

22 niveles ejecutivos la certeza de que la información que circula por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etcétera. d) Proceso metodológico que tiene el propósito principal de evaluar los recursos (humanos, materiales, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que a su vez apoyen la productividad y rentabilidad de la organización. 14

23 3 Auditoría informática 3.1 La importancia de la auditoría en informática La tecnología de informática, traducida en hardware, software, sistemas de información, investigación tecnológica, redes locales, base de datos, ingeniería de software, telecomunicaciones, servicios y organización de informática, es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a sus similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado. Para darse cuenta si se está administrando de manera correcta la función de la informática es necesario que se evalúe dicha función mediante evaluaciones oportunas y completas por personal calificado consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática, entre otras estrategias. 3.2 Formas de llevar a cabo una auditoria en informática La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. La auditoría en informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorias convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las auditorias, especialmente cuando las consecuencias de 15

24 las recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costos de tal sistema. Con voz, pero a menudo sin voto, el área de informática trata de satisfacer lo más adecuadamente, posible aquellas necesidades. La empresa necesita controlar su Informática y ésta; necesita que su propia gestión esté sometida a los mismos procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno en informática. En cuanto a empresas se refiere, solamente las más grandes pueden poseer una auditoría propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de control interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. Servir como mecanismo protector de posibles auditorias en informática externas decretadas por la misma empresa. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorias externas como para tener una visión desde afuera de la empresa. La auditoría en informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función de auditoria puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente. 3.3 Síntomas de necesidad de una Auditoria Informática: Las empresas acuden a las auditorias en informática cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases: Síntomas de descoordinación y desorganización: No coinciden los objetivos de la Informática de la empresa y de la propia 16

25 empresa. Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante] Síntomas de mala imagen e insatisfacción de los usuarios: No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financiero: Incremento desmesurado de costos. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). Síntomas de Inseguridad: Evaluación de nivel de riesgos Seguridad Lógica Seguridad Física Confidencial dad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales] Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia' Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, seria prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio. * Planes de Contingencia: Por ejemplo, la empresa sufre un corte total de energía o explota, Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía 17

26 teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando. 3.4 Herramientas y Técnicas para la Auditoria Informática: Cuestionarios: Las auditorias en informática se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la complementación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad, 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del 18

27 auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética. El auditor deberá aplicar el Checklist de modo que el audítado responda 19

I. Introducción: [AUDITORÍA DE SISTEMAS] UNI - RUACS. Unidad I: Auditoría Informática

I. Introducción: [AUDITORÍA DE SISTEMAS] UNI - RUACS. Unidad I: Auditoría Informática Unidad I: Auditoría Informática Tema: Introducción Conceptos de Auditoría Informática Objetivos de la Auditoría Informática Importancia de la Auditoría Informática Reafirmando La Necesidad de Auditar I.

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Calidad. Calidad en procesos y productos

Calidad. Calidad en procesos y productos Calidad Calidad en procesos y productos La calidad es el conjunto de características de un elemento, producto o servicio, que le confieren la aptitud de satisfacer una necesidad implícita y explícita.

Más detalles

ANÁLISIS DE LA ENCUESTA DE SATISFACCIÓN DE USUARIOS FEBRERO 2013

ANÁLISIS DE LA ENCUESTA DE SATISFACCIÓN DE USUARIOS FEBRERO 2013 Oficina de Suministros Universidad de Costa Rica Teléfono: (506) 25112965 Fax: ((506) 25114242 Correo electrónico: antonio.marin@ucr.ac.cr ANÁLISIS DE LA ENCUESTA DE SATISFACCIÓN DE USUARIOS FEBRERO 2013

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

CAPÍTULO I FORMULACIÓN DEL PROBLEMA

CAPÍTULO I FORMULACIÓN DEL PROBLEMA CAPÍTULO I FORMULACIÓN DEL PROBLEMA 1.1 Tema de Investigación Propuesta de auditoría a los sistemas de información para evaluar la calidad del software. Caso de Estudio: Departamento Médico del Hospital

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL EXPOSITOR: C.P. JOSÉ LUIS MUNGUÍA HERNÁNDEZ MUNGUÍA RAMÍREZ Y ASOCIADOS, S. C. mura_sc@prodigy.net.mx teléfonos:

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

LA GESTION DE MANTENIMIENTO: UN ENFOQUE COMPLETO DE CALIDAD

LA GESTION DE MANTENIMIENTO: UN ENFOQUE COMPLETO DE CALIDAD Conferencia Internacional de Ciencias Empresariales LA GESTION DE MANTENIMIENTO: UN ENFOQUE COMPLETO DE CALIDAD Autor: Ing. Adrián Chaves Serrano DEMASA. Costa Rica Sobre la globalización Es común en este

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

Argueta Cortes Jairo I. UNAM Facultad de Ingeniería Administración de Redes Mendoza Gaytan José T. Jueves 20 de Mayo de 2010

Argueta Cortes Jairo I. UNAM Facultad de Ingeniería Administración de Redes Mendoza Gaytan José T. Jueves 20 de Mayo de 2010 ArguetaCortesJairoI.UNAM FacultaddeIngenieríaAdministracióndeRedes MendozaGaytanJoséT.Jueves20deMayode2010 Listadecontroldeacceso UnaListadeControldeAccesooACL(delinglés,AccessControlList)esunconceptodeseguridad

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Guía para implementar mejores prácticas ambientales en organizaciones

Guía para implementar mejores prácticas ambientales en organizaciones Guía para implementar en organizaciones Contenido Presentación... 2 Qué son las Mejores Prácticas Ambientales... 3 Características principales de las MPA... 4 Dimensiones de las Mejores Prácticas Ambientales...

Más detalles

LOS INDICADORES DE GESTIÓN

LOS INDICADORES DE GESTIÓN LOS INDICADORES DE GESTIÓN Autor: Carlos Mario Pérez Jaramillo Todas las actividades pueden medirse con parámetros que enfocados a la toma de decisiones son señales para monitorear la gestión, así se asegura

Más detalles

PERFIL DEL INGENIERO DE SISTEMAS FUSM

PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS DE LA FUSM El perfil del Ingeniero de Sistemas presencial de la Fundación Universitaria San Martín, Bogotá, está en capacidad de modelar

Más detalles

Administración de la calidad del software.

Administración de la calidad del software. UNIVERSIDAD IBEROAMERICANA ESTUDIOS CON RECONOCIMIENTO DE VALIDEZ OFICIAL POR DECRETO PRESIDENCIAL DEL 3 DE ABRIL DE 1981 ADMINISTRACIÓN DE LA CALIDAD DEL SOFTWARE UNA NUEVA FORMA DE TRABAJAR TESIS Que

Más detalles

AUDITORIA QUÉ ES UNA AUDITORIA? TIPOS DE AUDITORIA

AUDITORIA QUÉ ES UNA AUDITORIA? TIPOS DE AUDITORIA QUÉ ES UNA AUDITORIA? AUDITORIA Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM

PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM Eduardo Álvarez, Raúl Blanco, Evelyn Familia y Marta Hernández. Pertenece el sector de la TI Es una de las cinco mayores compañías

Más detalles

IMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA

IMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA V REUNIÓN DE AUDITORES INTERNOS DE BANCA CENTRAL 8 AL 11 DE NOVIEMBRE DE 1999 LIMA - PERÚ IMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA Claudio Urrutia Cea Jefe de Auditoría BANCO CENTRAL DE CHILE

Más detalles

Procedimiento de Sistemas de Información

Procedimiento de Sistemas de Información Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de la República, con sujeción a lo dispuesto en las Leyes 87 de 1993 y 489

Más detalles

LA IMPORTANCIA DE LA ADMINISTRACIÓN PARA LA COMPETITIVIDAD

LA IMPORTANCIA DE LA ADMINISTRACIÓN PARA LA COMPETITIVIDAD LA IMPORTANCIA DE LA ADMINISTRACIÓN PARA LA COMPETITIVIDAD Por Jack Fleitman Actualmente los retos son muy diferentes a los que han enfrentado los profesionistas de la administración en épocas anteriores.

Más detalles

Tema Taller de Simulador de Trabajo Real. (Reality Works) Ámbito de la educación en la que se aplica. Formación para el trabajo Antecedentes Todas

Tema Taller de Simulador de Trabajo Real. (Reality Works) Ámbito de la educación en la que se aplica. Formación para el trabajo Antecedentes Todas Tema Taller de Simulador de Trabajo Real. (Reality Works) Ámbito de la educación en la que se aplica. Formación para el trabajo Antecedentes Todas las escuelas y universidades siempre se han preocupado

Más detalles

Definir el problema/oportunidad. Desarrollar soluciones alternativas. Seleccionar la solución. Desarrollar / Seleccionar-Adquirirconfigurar

Definir el problema/oportunidad. Desarrollar soluciones alternativas. Seleccionar la solución. Desarrollar / Seleccionar-Adquirirconfigurar 1 Definir el problema/oportunidad Definir problema de negocio o la oportunidad de mejora utilizando el pensamiento sistémico. Mapa Conceptual Desarrollar soluciones alternativas Seleccionar la solución

Más detalles

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Convocatoria 2008 Programa Intersectorial para la Difusión de la Cultura Preventiva

Convocatoria 2008 Programa Intersectorial para la Difusión de la Cultura Preventiva 3.4 Comunicación y Actitud del Auditor 3.4.2 Cualidades del Auditor Definición Es aquella persona profesional, que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupación técnica.

Más detalles

DIRECCIÓN EJECUTIVA DE INFORMÁTICA

DIRECCIÓN EJECUTIVA DE INFORMÁTICA NOVIEMBRE 20 ÍNDICE CONTENIDO PÁGINA I.- Introducción 3 II.- Antecedentes 5 III.- Marco Jurídico 8 IV.- Objetivo del Área 9 V.- Estructura Orgánica VI.- Organigrama 12 VII.- Descripción de Funciones 13

Más detalles

Mantenimiento de Sistemas de Información

Mantenimiento de Sistemas de Información de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD

NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD PROYECTO DE NORMA MEXICANA PROY-NMX-R-051-SCFI-2006 AGENCIAS DE PUBLICIDAD SERVICIOS - REQUISITOS 0 INTRODUCCIÓN El mundo actual de los negocios en

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

GUÍA PARA LA ELABORACIÓN E IMPLEMENTACIÓN DEL PLAN DE MEJORA INSTITUCIONAL

GUÍA PARA LA ELABORACIÓN E IMPLEMENTACIÓN DEL PLAN DE MEJORA INSTITUCIONAL GUÍA PARA LA ELABORACIÓN E IMPLEMENTACIÓN DEL PLAN DE MEJORA INSTITUCIONAL DOCUMENTO CONTROLADO Santo Domingo, D. N. 2014 GUÍA PARA LA ELABORACIÓN E IMPLEMENTACIÓN DEL PLAN DE MEJORA INSTITUCIONAL PRIMERA

Más detalles

AUDITORIA. Por Marco Antonio Resendiz Durán*

AUDITORIA. Por Marco Antonio Resendiz Durán* AUDITORIA Por Marco Antonio Resendiz Durán* La Auditoría es un examen sistemático de los estados financieros, registros y operaciones con la finalidad de determinar si están de acuerdo con las NIFS, con

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

MÉTODO PARA EL ANÁLISIS, DISEÑO Y DESARROLLO DE MICROSISTEMAS

MÉTODO PARA EL ANÁLISIS, DISEÑO Y DESARROLLO DE MICROSISTEMAS MÉTODO PARA EL ANÁLISIS, DISEÑO Y DESARROLLO DE MICROSISTEMAS Existen diversos métodos para desarrollar un sistema de información o un microsistema, pero en esencia todos parten de los mismos principios

Más detalles

I. CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA

I. CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA CAPITULO I I. CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA Introducción El concepto de auditoria informática ha estado siempre ligado al de auditoría en general y al de auditoría interna en particular,

Más detalles

ASPECTOS METODOLOGICOS DE LA AUDITORIA INFORMATICA QUIEN, QUE, CUANDO Y COMO?

ASPECTOS METODOLOGICOS DE LA AUDITORIA INFORMATICA QUIEN, QUE, CUANDO Y COMO? ASPECTOS METODOLOGICOS DE LA AUDITORIA INFORMATICA QUIEN, QUE, CUANDO Y COMO? COMO? INFORMACION CHECHKLIST VERBALES CUESTIONARIOS SOFTWARE: TRAZAS: DEBUG,LOG OFIMATICA: WORD,EXCEL CRUZAR INFORMACION INFORME

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

Control interno y control de gestión

Control interno y control de gestión Unidad 2 Control interno y control de gestión 2.1. Estudio y evaluación del sistema de control interno 2.1.1. Definiciones y conceptos básicos En su significado más amplio, control interno comprende la

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

INICIO PLANIFICACIÓN EJECUCIÓN SEGUIMIENTO Y CONTROL CIERRE. Etapas de un proyecto. Conoce las 5 etapas por las que todo proyecto debe pasar.

INICIO PLANIFICACIÓN EJECUCIÓN SEGUIMIENTO Y CONTROL CIERRE. Etapas de un proyecto. Conoce las 5 etapas por las que todo proyecto debe pasar. 1 2 Etapas de un proyecto Conoce las 5 etapas por las que todo proyecto debe pasar. Etapas de un proyecto Todo lo que debes saber INICIO para gestionarlas de manera eficiente PLANIFICACIÓN 3 4 5 EJECUCIÓN

Más detalles

ADMINISTRACIÓN DE PROYECTOS

ADMINISTRACIÓN DE PROYECTOS ADMINISTRACIÓN DE PROYECTOS QUÉ ES LA ADMINISTRACIÓN DE PROYECTOS? Es la planeación, organización, dirección y control de los recursos para lograr un objetivo a corto plazo. También se dice que la administración

Más detalles

ERP. SOLUCIÓN PARA PYMES?

ERP. SOLUCIÓN PARA PYMES? ERP. SOLUCIÓN PARA PYMES? Febrero 2011 Introducción La Planificación de Recursos Empresariales, o simplemente ERP (Enterprise Resourse Planning), es un conjunto de sistemas de información gerencial que

Más detalles

Planificación de Sistemas de Información

Planificación de Sistemas de Información Planificación de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...1 ACTIVIDAD 1: INICIO DEL PLAN DE SISTEMAS DE INFORMACIÓN...4 Tarea 1.1: Análisis de la Necesidad del...4 Tarea 1.2: Identificación

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Planificación de Sistemas de Información

Planificación de Sistemas de Información Planificación de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD 1: INICIO DEL PLAN DE SISTEMAS DE INFORMACIÓN... 4 Tarea 1.1: Análisis de la Necesidad del... 4 Tarea 1.2: Identificación

Más detalles

II NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS

II NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS NORMAS DE AUDITORIA Fernando Poblete. I INTRODUCCIÓN En los países americanos en general los estados financieros se rigen por las normas de auditoría contenida en los SAS (Statement on Auditing Standers).

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

AUDITORÍA INTERNA. Revisó

AUDITORÍA INTERNA. Revisó Elaboró AUDITORÍA INTERNA Revisó P-8314-04 02 Aprobó Faber Andrés Gallego Figueroa Coordinador de Calidad Fecha 26-Ago-2013 1. DEFINICIÓN 1.1 OBJETIVO Alfredo Gómez Cadavid Representante de la Dirección

Más detalles

Iniciando la función de Help Desk en el Área de Sistemas

Iniciando la función de Help Desk en el Área de Sistemas Lic. Juan Carlos Cedillo Tenorio Iniciando la función de Help Desk en el Área de Sistemas Una guía fácil y sencilla para iniciar la función Help Desk en el área de sistemas estableciendo orden y control

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

PROCEDIMIENTO DE AUDITORÍA INTERNA DE LA CALIDAD SGC.AIC

PROCEDIMIENTO DE AUDITORÍA INTERNA DE LA CALIDAD SGC.AIC DE AUDITORÍA INTERNA DE LA CALIDAD SGC.AIC Elaborado por Revisado por Aprobado por Nombre Cargo Fecha Firma Macarena Guzmán Cornejo Paulina Fernández Pérez Jimena Moreno Hernández Analista de Planificación

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla

Más detalles

C/CAR/DCA/13 NI/36 2. 2. Antecedentes

C/CAR/DCA/13 NI/36 2. 2. Antecedentes Organización de Aviación Civil Internacional 27/05/13 Oficina para Norteamérica, Centroamérica y Caribe (NACC) Décimo Tercera Reunión de Directores de Aviación Civil del Caribe Central (C/CAR/DCA/13) La

Más detalles

CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO

CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO I. INTRODUCCIÓN El propósito del presente documento es resumir algunos conceptos básicos sobre el tema de los planes informáticos formales que las organizaciones

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Administración de Centros Informáticos. Prof. Jhoan M. Chourio UNESR

Administración de Centros Informáticos. Prof. Jhoan M. Chourio UNESR Administración de Centros Informáticos Prof. Jhoan M. Chourio UNESR 12 de Marzo de 2014 SISTEMAS DE INFORMACIÓN ESTRATÉGICOS Son aquellos que de manera permanente proporcionan a la alta dirección una serie

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

Qué es la Auditoria en Sistemas de Información?

Qué es la Auditoria en Sistemas de Información? Qué es la Auditoria en Sistemas de Información? Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la administración informática de una organización, con el fin de emitir

Más detalles

MODELOS Y SISTEMAS DE CALIDAD EN LA EDUCACIÓN

MODELOS Y SISTEMAS DE CALIDAD EN LA EDUCACIÓN MODELOS Y SISTEMAS DE CALIDAD EN LA EDUCACIÓN OBJETIVO GENERAL El alumno analizará, la importancia de brindar productos y servicios con calidad; así como estudiar los fundamentos, autores y corrientes

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

Tendencias de mejora de la calidad en la industria de las telecomunicaciones NPR /FRT

Tendencias de mejora de la calidad en la industria de las telecomunicaciones NPR /FRT Tendencias de mejora de la calidad en la industria de las telecomunicaciones NPR /FRT La industria de las tecnologías de la comunicación está creciendo muy rápidamente mientras se adapta a las tecnologías

Más detalles

Consejo Superior Universitario Acuerdo 046 de 2009 página 2

Consejo Superior Universitario Acuerdo 046 de 2009 página 2 CONSEJO SUPERIOR UNIVERSITARIO ACUERDO 046 DE 2009 (Acta 15 del 1 de diciembre) Por el cual se definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la Universidad Nacional

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

AUDITORÍAS DE SISTEMAS DE GESTIÓN AMBIENTAL

AUDITORÍAS DE SISTEMAS DE GESTIÓN AMBIENTAL MÓDULO: GESTIÓN AMBIENTAL AUDITORÍAS DE SISTEMAS DE GESTIÓN AMBIENTAL CRISTINA REY ÍNDICE 1. REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL 2. DEFINICIÓN DE AUDITORÍAS DE SGA. NORMA ISO 19011: DIRECTRICES

Más detalles

5 Sistema de Administración Empresarial

5 Sistema de Administración Empresarial 5 Sistema de Administración Empresarial Los sistemas de planeamiento de la empresa, mejor conocido como ERP por sus siglas en inglés, (Enterprise Resource Planning) es un sistema estructurado que busca

Más detalles

En su Programación para la Formación Gerencial

En su Programación para la Formación Gerencial INSTITUTO BANCARIO INTERNACIONAL Centro de Estudios Superiores Asociación Bancaria de Panamá En su Programación para la Formación Gerencial DENTRO DEL MARCO DE LA GESTIÓN INTEGRAL DE RIESGOS Y DEL GOBIERNO

Más detalles

BREVE CONTENIDO DE LAS NORMAS INTERNACIONALES DE AUDITORIA (NIA)

BREVE CONTENIDO DE LAS NORMAS INTERNACIONALES DE AUDITORIA (NIA) BREVE CONTENIDO DE LAS NORMAS INTERNACIONALES DE AUDITORIA (NIA) EMISIÓN Y DESARROLLO DE NORMAS IFAC ha establecido el Comité Internacional de Prácticas de Auditoría (IAPC) para desarrollar y emitir a

Más detalles

MODELO DE ASESORÍA A DISTANCIA PARA EL DISEÑO DE SISTEMAS DE GESTIÓN DE LA CALIDAD PARA EMPRESAS DEL SECTOR DE SERVICIOS ÁREA TEMÁTICA

MODELO DE ASESORÍA A DISTANCIA PARA EL DISEÑO DE SISTEMAS DE GESTIÓN DE LA CALIDAD PARA EMPRESAS DEL SECTOR DE SERVICIOS ÁREA TEMÁTICA MODELO DE ASESORÍA A DISTANCIA PARA EL DISEÑO DE SISTEMAS DE GESTIÓN DE LA CALIDAD PARA EMPRESAS DEL SECTOR DE SERVICIOS ÁREA TEMÁTICA: Diseño de contenidos educativos y formativos en línea. Isolina del

Más detalles

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO Lima, Noviembre de 2014 CONSTITUCIÓN POLÍTICA DEL ESTADO Artículo

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD

PROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD GG-PRD-007 Página 1 de 9 1. OBJETIVO: Establecer las responsabilidades y los requisitos necesarios para la planeación y ejecución de auditorías internas al sistema de gestión de (S.G.C.) de la Cámara de

Más detalles

Desarrollo de proyectos

Desarrollo de proyectos Desarrollo de proyectos DESARROLLO DE PROYECTOS 1 Sesión No. 1 Nombre: Gestión de proyectos Objetivo: Durante la sesión el participante identificará las principales características de la definición y dirección

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

La auditoría operativa cae dentro de la definición general de auditoría y se define:

La auditoría operativa cae dentro de la definición general de auditoría y se define: AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos

Más detalles

CONDICIONES DE USO DE LOS SERVICIOS DIGITALES PARA MEDICOS COLEGIADOS

CONDICIONES DE USO DE LOS SERVICIOS DIGITALES PARA MEDICOS COLEGIADOS CONDICIONES DE USO DE LOS SERVICIOS DIGITALES PARA MEDICOS COLEGIADOS 1. El proyecto Servicios Digitales para Médicos Colegiados tiene como propósito primordial el "automatizar" la emisión de los certificados

Más detalles

PLANEACIÓN DE SISTEMAS INFORMÁTICOS ING. KARINA RAMÍREZ DURÁN

PLANEACIÓN DE SISTEMAS INFORMÁTICOS ING. KARINA RAMÍREZ DURÁN PLANEACIÓN DE SISTEMAS INFORMÁTICOS ING. KARINA RAMÍREZ DURÁN Principios y criterios para la evaluación del ciclo de vida de desarrollo de sistemas Se pueden enunciar algunos principios para desarrollar

Más detalles

PROCEDIMIENTO AUDITORÍAS INTERNAS

PROCEDIMIENTO AUDITORÍAS INTERNAS P-08-01 Marzo 2009 05 1 de 16 1. OBJETIVO Definir los lineamientos de planeación, documentación, ejecución y seguimiento de las Auditorías Internas de Calidad para determinar que el Sistema de Gestión

Más detalles

MANUAL DE PROCEDIMIENTO

MANUAL DE PROCEDIMIENTO Manual de Procedimiento para el Reconocimiento de las Competencias Profesionales Adquiridas por Experiencia Laboral MANUAL DE PROCEDIMIENTO Manual de Procedimiento 1 Manual de Procedimiento 2 ÍNDICE 1.

Más detalles

Curso. Introducción a la Administracion de Proyectos

Curso. Introducción a la Administracion de Proyectos Curso Introducción a la Administracion de Proyectos Tema 5 Procesos del área de Integración INICIAR PLANEAR EJECUTAR CONTROL CERRAR Desarrollar el Acta de Proyecto Desarrollar el Plan de Proyecto Dirigir

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 YEIMMY JULIETH GARZON CODIGO 2012250071 CLAUDIA MYLENA SUAREZ CODIGO

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Ingeniería del Software III Gabriel Buades 2.002

Ingeniería del Software III Gabriel Buades 2.002 Ingeniería del Software III Gabriel Buades 2.002 Auditoría Informática 1 Concepto de auditoría Auditoría e Informática Auditoría Informática Planificación Organización y Administración Construcción de

Más detalles

ENCARGADO /A AREA DE AUDITORÍA

ENCARGADO /A AREA DE AUDITORÍA ENCARGADO /A AREA DE AUDITORÍA NATURALEZA DEL TRABAJO Participación en la planeación, dirección, coordinación, supervisión y ejecución de labores profesionales, técnicas y administrativas de alguna dificultad

Más detalles