metodos de auditoria y nivel de madurez
TRANSCRIPT
-
METODOLOGIAS PARA LA EVALUACIN DEL NIVEL DE MADUREZ
A inicios de los aos ochenta surgi una problemtica en los proyectos de desarrollo de software, relacionada
con el mal funcionamiento y cumplimiento de expectativas de los programas informticos. Como respuesta a
esta situacin, el Departamento de Defensa de Estados Unidos funda el Software Engineering Institute (SEI) o
Instituto de Ingeniera del Software, en Carnegie Mellon University, donde se estudia este problema de forma
profunda. Como respuesta a esto el SEI publica en 1991 el CMM (Peralta, 2004).
El CMM describe un conjunto de caractersticas, basndose en qu tan bien una organizacin se apega a
procesos comunes y repetibles para realizar el trabajo. Los modelos de madurez del CMM se utilizan para
establecer y mejorar los procesos en una organizacin, midiendo su capacidad, segn una escala de cinco
niveles que indica la madurez de sus procesos. Actualmente la aplicacin de este modelo no slo se limita a
empresas de desarrollo de software, sino tambin a empresas de diversos sectores, como son la manufactura
y los servicios (Presedo y Dolado, 2004).
El CMM se desarrolla a partir de cinco niveles (SEI, 2006):
1. Inicial. Los procesos presentan una alta variabilidad que se refleja en no estar probados y en la
incapacidad de repetir xitos. Se exceden con frecuencia los presupuestos. No existe una planeacin del
producto y el xito depende del esfuerzo individual. No hay documentacin de procesos.
2. Manejado. Los procesos se planean y ejecutan de acuerdo con unas polticas generales y estndares
definidos. Existe una documentacin bsica de los procesos. El estado de los productos est visible a la
direccin en puntos definidos.
3. Definido. Los procesos estn adecuadamente descritos y entendidos en cuanto a normas, procedimientos,
herramientas y mtodos. Cada proceso est caracterizado, es decir, cuenta con objetivo, entradas,
actividades y salidas. Los procesos estn estandarizados y se ejecutan de acuerdo con lo documentado. Esto
es la base de su mejoramiento. Existe un entendimiento de las relaciones mutuas entre actividades y medidas
del proceso.
4. Cuantitativamente manejado. Existen objetivos e indicadores cuantitativos sustentados en las
necesidades de los clientes internos y externos. Hay entendimiento estadstico sobre la calidad y el
desempeo del proceso, lo que apoya la toma de decisiones basada en hechos. Se identifican las causas de
la variacin de procesos.
5. Optimizado. La organizacin continuamente mejora sus procesos basada en un entendimiento cuantitativo
de las causas comunes de variacin de estos. Se establecen y continuamente se revisan los objetivos
cuantitativos de mejora de procesos. Se analizan con detenimiento las causas comunes de variacin del
proceso para mejorar su funcionamiento y alcanzar los objetivos cuantitativos de mejora establecidos. La
organizacin se enfoca en la innovacin y en la implantacin de tecnologa para lograr una ventaja
competitiva.
-
Procesos NIVELES DE MADUREZ
Inicial Manejado Definido Cuantitativamente manejado
Optimizado
Financiero y contable
Produccin/ operaciones
Abastecimiento Mercadeo y v Distribucin Gestin de inventarios Servicio posventa/ servicio al cliente
Gestin de calidad
Tecnologa informtica
Recursos humanos
EVALUACIN DIRECTIVA DE NIVELES DE MADUREZ
La evaluacin directiva es una herramienta diseada para que los directivos de la organizacin (sin tener
conocimientos especficos de calidad, ni de las normas UNE-EN ISO 9000), puedan realizar rpida y
globalmente una evaluacin del Sistema de Gestin de la Calidad (SGC) de su organizacin, conocer el nivel
de madurez de sta, priorizar los requisitos y directrices de la norma UNE-EN ISO 9004 que deben ser
mejorados y establecer polticas y directrices encaminadas a mejorar el nivel de madurez.
Esta evaluacin se ha planteado en cinco etapas o fases acumulativas, que coinciden con los cinco niveles de
madurez establecidos por ISO 9004:2000.
La evaluacin permite visualizar el nuevo escenario o nivel de madurez a alcanzar y establecer o actualizar
las estrategias, polticas y directrices necesarias para lograrlo, as como mejorar el estilo de direccin.
Tambin sirve para establecer objetivos de mejora medibles, ya que los resultados se valoran numricamente,
y para realizar el seguimiento de la evolucin del nivel de madurez.
El tiempo estimado para la realizacin de esta evaluacin puede variar desde 30 minutos hasta 120 minutos
en funcin del tamao y complejidad de la organizacin de transporte y del conocimiento de sta por parte del
directivo o equipo directivo que realiza la evaluacin. Si la evaluacin directiva se realiza por un equipo
directivo en lugar de por un solo individuo puede alcanzar unos resultados ms objetivos, al contar con
diferentes puntos de vista, y ser ms enriquecedora para la Direccin.
Al finalizar la Evaluacin Directiva se tendr una hoja de resultados de la Evaluacin Directiva donde se
podr observar el Nivel de Madurez, como la que se muestra en el grfico adjunto.
HOJA DE RESULTADOS DE LA EVALUACIN DIRECTIVA
-
Adems, cada uno de estos valores est subdivido en tres casillas para que el evaluador se decante por uno
de ellos tal y como muestra el apartado A de la hoja de resultados de la evaluacin directiva:
Para obtener el resultado final (E) de la hoja de resultados de la evaluacin directiva se calcula la media
aritmtica de la suma de los puntos obtenidos. Para ello:
1. Se registra el nmero de casillas puntuadas en cada columna (B)
o Valor inferior: cuando la realidad de la organizacin coincide bsicamente con las
situaciones descritas para ese nivel de madurez.
o Valor intermedio: cuando la realidad de la organizacin se encuentra entre las situaciones
descritas para ese nivel de madurez y el siguiente nivel
o Valor superior: cuando la realidad de la organizacin se encuentra prxima a las
situaciones descritas para el siguiente nivel de madurez pero no lo alcanza en su totalidad
2. Se calculan los puntos obtenidos por cada columna (D=BxC), multiplicando el nmero de casillas
puntuadas (B), por el valor asignado a cada casilla (C).
3. Se suma el total de puntos obtenidos por cada columna (D), y se calcula su media aritmtica dividiendo el
total entre 8 (nmero de principios evaluados), lo que da el resultado final (E).
Llegados a este punto, debemos realizar el anlisis de los resultados obtenidos y elaborar el plan de mejora.
La interpretacin de la puntuacin obtenida se muestra en el cuadro adjunto.
-
MODELO DE MADUREZ SEGN NORMA ISO 9004
Una organizacin madura es aquella que tiene un desempeo eficaz y eficiente, y que logra el xito sostenido.
Esto debera basarse en la capacidad de los lderes de la organizacin para:
comprender y satisfacer las necesidades y expectativas de las partes interesadas,
realizar el seguimiento de los cambios en el entorno de la organizacin,
identificar posibles reas de mejore e innovacin,
definir y desplegar estrategias y polticas,
establecer y desplegar objetivos pertinentes,
gestionar sus procesos y sus recursos,
demostrar confianza en su personal, llevando a una motivacin, un compromiso y una participacin
mayores, y
establecer relaciones mutuamente beneficiosas con los proveedores y otros socios.
Esta herramienta de autoevaluacin utiliza cinco niveles de madurez, que pueden ampliarse para incluir
niveles adicionales o personalizarse segn sea necesario. La figura a continuacin proporciona un ejemplo
genrico de cmo se pueden relacionar en forma de tabla los criterios de desempeo con los niveles de
madurez. La organizacin debera revisar su desempeo frente a criterios especificados, identificar sus
niveles de madurez actuales, y determinar sus fortalezas y debilidades.
EVALUACIN DETALLADA DE NIVELES DE MADUREZ
-
La evaluacin detallada es una herramienta diseada para conocer y medir el nivel de madurez global o de
los requisitos y directrices contenidos en cada apartado de la norma UNE-EN ISO 9004, conocer los puntos
fuertes y las reas de mejora, y establecer prioridades y planes de accin detallados a tomar sobre los
apartados de la norma y las reas detectadas como ms dbiles.
Esta evaluacin est basada en un cuestionario de preguntas que pormenorizan los 27 apartados de la norma
UNE EN ISO 9004, lo que permite no slo obtener un resultado del apartado evaluado, sino tambin los
puntos fuertes y reas de mejora detectados por el evaluador. As mismo, cada pregunta del cuestionario de
evaluacin hace tambin referencia a los requisitos de la norma UNE-EN ISO 9001, ya que sta se encuentra
contenida en la norma UNE-EN ISO 9004:2000. Al final de este documento se muestra el cuestionario para la
evaluacin detallada.
Las preguntas del cuestionario de evaluacin se valoran del 1 al 5 de acuerdo a los criterios de evaluacin
que desarrollan los niveles de desempeo y orientacin descritos en la norma UNE-EN ISO 9004:2000 y que
se muestran en el cuadro adjunto.
La evaluacin detallada no requiere el uso de evaluadores expertos aunque s de cierta familiaridad del
evaluador con las normas ISO 9000 ya que, aunque el cuestionario de evaluacin contiene ejemplos de
evidencias relacionadas con las preguntas, se precisa conocer las normas para contestar a las preguntas con
fiabilidad. Por ello, el perfil del evaluador se corresponde con tcnicos o responsables de procesos.
El mtodo de evaluacin se divide en las 5 fases que se describen a continuacin.
1. Identificar las evidencias existentes en la organizacin que corresponden a cada pregunta del
cuestionario de evaluacin detallada.
Como referencia de las evidencias a encontrar, se pueden utilizar los ejemplos de evidencias facilitados en el
cuestionario. Con objeto de poder analizar posteriormente las causas de las bajas puntuaciones, conviene
-
anotar en el cuaderno del evaluador las evidencias encontradas que responden a cada pregunta. El grfico
adjunto se muestra un ejemplo de formato de cuaderno del evaluador.
2. Valorar los resultados de cada pregunta del cuestionario.
Cada pregunta se valora en funcin de las evidencias obtenidas de acuerdo a los criterios de evaluacin
establecidos y dicho valor se anota mediante una cruz sobre las casillas de la columna "RESULTADO" del
cuestionario para la evaluacin detallada.
3. Calcular el valor final de cada apartado de la norma.
Para obtener el valor final de cada apartado se sigue la misma metodologa descrita en la evaluacin directiva.
4. Calcular el resultado final de la evaluacin detallada.
-
Para obtener el resultado final, se calcula la media aritmtica de la suma de los valores finales obtenidos, y
para ello:
Se trasladan los valores finales de cada apartado de la norma del cuestionario de la evaluacin
detallada, a las casillas correspondientes para cada apartado de la hoja de resultados de la
evaluacin detallada
Se anota la suma de cada columna en la fila "suma columnas".
Se suma el total de puntos obtenidos por cada columna, y se calcula su media aritmtica dividiendo
el total entre el nmero de apartados que apliquen, lo cual da el "resultado final".
El resultado final de la evaluacin detallada puede visualizarse grficamente, uniendo con una lnea continua
las casillas marcadas de la hoja de resultados de la evaluacin detallada y trazando otra lnea vertical sobre el
valor de la media alcanzada. De esta forma quedarn a la izquierda de la media los principios con peor
puntuacin y a su derecha los mejor valorados.
-
5. Identificar los puntos fuertes y las reas de mejora.
Durante la evaluacin pueden detectarse puntos fuertes y reas de mejora que enriquecern el resultado de la
evaluacin y aumentarn su rentabilidad. Por ello, con objeto de organizar la informacin que se va
recogiendo en el transcurso de la evaluacin, conviene referenciar en el cuaderno del evaluador todas
aquellas anotaciones que el evaluador estime oportunas.
Es recomendable que el informe final de resultados de la evaluacin detallada recoja al menos los
siguientes aspectos:
el alcance (qu se ha evaluado);
los criterios de evaluacin;
las fechas de la evaluacin;
la composicin del equipo evaluador;
el resumen de resultados;
la hoja de resultados de la evaluacin detallada; y
los puntos fuertes y reas de mejora detectados.
El contenido del plan de mejora puede incluir los siguientes elementos:
Establecimiento del nuevo nivel de madurez que se desea alcanzar en el rea evaluada, para la
globalidad del SGC o de apartados especficos de la norma.
Acciones de mejora que deben realizarse para alcanzar los nuevos objetivos.
MODELOS DE MADUREZ SEGN COBIT
Cada vez con ms frecuencia, se les pide a los directivos de empresas corporativas y pblicas que consideren
qu tan bien se est administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para
mejorar y alcanzar el nivel apropiado de administracin y control sobre la infraestructura de informacin.
Con los procesos y los objetivos de control de alto nivel de COBIT, el dueo del proceso se debe poder
evaluar de forma progresiva, contra los objetivos de control. Esto responde a tres necesidades:
1. Una medicin relativa de dnde se encuentra la empresa
2. Una manera de decidir hacia dnde ir de forma eficiente
3. Una herramienta para medir el avance contra la meta
El modelo de madurez para la administracin y el control de los procesos de TI se basa en un mtodo de
evaluacin de la organizacin, de tal forma que se pueda evaluar a s misma desde un nivel de no-existente
(0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software
Engineering Institute defini para la madurez de la capacidad del desarrollo de software.
Los niveles de madurez estn diseados como perfiles de procesos de TI que una empresa reconocera como
descripciones de estados posibles actuales y futuros. Con los modelos de madurez de COBIT, a diferencia de
la aproximacin del CMM original de SEI, no hay intencin de medir los niveles de forma precisa o probar a
-
certificar que un nivel se ha conseguido con exactitud. Una evaluacin de la madurez de COBIT resultara en
un perfil donde las condiciones relevantes a diferentes niveles de madurez se han conseguido.
Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la gerencia
podr identificar:
El desempeo real de la empresaDnde se encuentra la empresa hoy
El estatus actual de la industriaLa comparacin
El objetivo de mejora de la empresaDnde desea estar la empresa
El crecimiento requerido entre como es y como ser
Para hacer que los resultados sean utilizables con facilidad en resmenes gerenciales, donde se presentarn
como un medio para dar soporte al caso de negocio para planes futuros, se requiere contar con un mtodo
grfico de presentacin
La capacidad requerida, como se determina en el negocio y en las metas de TI, puede no requerir aplicarse al
mismo nivel en todo el ambiente de TI, es decir, de forma inconsistente o slo a un nmero limitado de
sistemas o unidades. La medicin del desempeo, como se cubre en los prximos prrafos, es esencial para
determinar cul es el desempeo real de la empresa en sus procesos de TI:
0 No Existente- Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido
siquiera que existe un problema a resolver.
1 Inicial- Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser
resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que
tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la
administracin es desorganizado.
2 Repetible- Se han desarrollado los procesos hasta el punto en que se siguen procedimientos
similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin
formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado
de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
3 Definido- Los procedimientos se han estandarizado y documentado, y se han difundido a travs de
entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco
probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan
las prcticas existentes.
-
4 Administrado- Es posible monitorear y medir el cumplimiento de los procedimientos y tomar
medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo
constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una
manera limitada o fragmentada.
5 Optimizado- Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma
integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la
efectividad, haciendo que la empresa se adapte de manera rpida.
METODOLOGAS DE AUDITORA INFORMTICA
Segn PIATTINI, Mario y Emilio del Peso en su libro Auditora Informtica - Un enfoque Prctico. La
auditora Informtica certifica la integridad de los datos informticos.Todas las metodologas existentes
desarrolladas y utilizadas en la auditora y el control informtico, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo, estn
diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por tener
asignados unos valores numricos. Estos valores son datos de probabilidad de ocurrencia de un evento que
se debe extraer de un riesgo de incidencias donde el nmero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para
seleccionar en base a la experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende
de la capacidad del profesional para usar el check-list/gua). Basadas en mtodos estadsticos y lgica
borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas.
Ventajas:
Enfoque lo amplio que se desee.
Plan de trabajo flexible y reactivo.
Se concentra en la identificacin de eventos.
Desventajas
Depende fuertemente de la habilidad y calidad del personal involucrado.
Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades
complejas de calcular.
Dependencia profesional.
Existen dos metodologas de Auditoria Informtica: Auditorias de Controles GeneralesyMetodologas de
Auditores Internos
Auditoras de Controles Generales: Dan una opinin sobre la habilidad de los datos del
computador para la Auditoria financiera, cuyo resultado es un informe donde se destacan las
vulnerabilidades encontradas.
-
Auditoras Internas: Est formada por recomendaciones de Plan de trabajo; deber realizar
cuestionarios y definir cuantas pruebas estime oportunas; adems debe crear sus metodologas
necesarias para auditar reas o aspectos que defina en el plan auditor.
METODOLOGA DE AUDITORIA INFORMTICA DE JOSE ANTONIO ENCHENIQUE GARCIA
Segn describe Jos Antonio Enchenique Garca en su Libro de Auditora Informtica. La auditora en
informtica es el proceso de recoleccin y evaluacin de evidencias para determinar cuando son
salvaguardados los activos de los sistemas computarizados, de qu manera se mantiene la integridad de los
datos y como se logran los objetivos de la organizacin eficazmente y se usan los recursos consumidos
eficientemente.
El autor del libro define 4 fases para la realizacin de la auditora:
FASE 1: Planeacin de la Auditora Informtica:
Para hacer una adecuada planeacin de la auditoria en informtica hay que seguir una serie de pasos previos
que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas,
organizacin y equipo. Dentro de la auditora en general, la planeacin es uno de los pasos as importantes, y
que una inadecuada planeacin provocar una serie de problemas que pueden impedir que se cumpla con la
auditoria o bien hacer que no se efectu con el profesionalismo que debe tener cualquier auditor
El trabajo de auditoria deber incluir la planeacin de la auditora, el examen y la evaluacin de la informacin,
la comunicacin de los resultados y el seguimiento.
La planeacin deber ser documentada e incluir:
El establecimiento de los objetivos y alcance del trabajo.
La Obtencin de informacin y apoyo sobre las actividades que se auditar.
La Determinacin de los recursos necesarios para realizar la auditora.
El Establecimiento de la comunicacin necesaria con todos los que estarn involucrados en la
auditora.
La realizacin, en forma ms apropiada, de una inspeccin fsica para familiarizarse con las
actividades y controles a auditar, as como identificacin de las reas en las que se deber hacer
nfasis al realizar la auditoria y promover comentarios y la promocin de los auditados.
La preparacin por escrito del programa de auditora.
La determinacin de cmo, cundo y a quien se le comunicarn los resultados de la auditoria.
La obtencin de la aprobacin del plan de trabajo de auditoria.
Para lograr una adecuada planeacin lo primero que se requiere es obtener informacin general sobre la
organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin
preliminar y algunas entrevistas previas, y con base a esto plantean el programa de trabajo.
El proceso de planeacin comprende el establecer:
-
Metas.- Se deben establecer de tal manera que se puedan lograr su cumplimiento. Debern
acompaarse de los criterios para medirlas y de fechas lmites para su logro.
Programas de trabajo de auditoria.- Los programas de trabajo de auditora debern incluir: las
actividades que se van a auditar, cuando sern auditadas, el tiempo estimado requerido, tomando en
consideracin el alcance del trabajo de auditora planeado.
Planes de contratacin de personal y presupuesto financiero.- En este punto incluye el nmero
de auditores, su conocimiento, su experiencia y las disciplinas requeridas para realizar su trabajo.
Informe de actividades
FASE 2: Revisin Preliminar
El primer paso en el desarrollo de la auditoria, despus de la planeacin, es la revisin preliminar del rea
informtica. El objetivo de la revisin preliminar es el obtener la informacin necesaria para que el auditor
pueda tomar la decisin de cmo proceder en la auditoria.
La revisin preliminar significa la recoleccin de evidencias por medio de entrevistas con el personal de la
instalacin, la observacin de las actividades en la instalacin y la revisin de la documentacin preliminar.
Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas, o
con documentacin narrativa. Debemos considerar que esta ser solo una informacin inicial que nos
permitir elaborar el plan de trabajo, la cual se profundizar en el desarrollo de la auditoria
FASE 3: Revisin Detallada
Los objetivos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga
profundo entendimiento de los controles usados dentro del rea de informtica.
El auditor debe decidir si debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener
mayor confianza por medio del sistema de control interno, o proceder directamente a la revisin con los
usuarios (pruebas compensatorias), o las pruebas sustantivas. En algunos casos el auditor puede, despus
de hacer un anlisis detallado, decidir que con los controles internos se tiene suficiente confianza, y en otros
casos que los procedimientos alternos de auditora pueden ser ms apropiados.
Al terminar la revisin detallada el auditor debe evaluar en que momento los controles establecidos reduce las
perdidas esperadas a un nivel aceptable. Los mtodos de obtencin de informacin al momento de la
evaluacin detallada son los mismos usados en la investigacin preliminar, y lo nico que difiere es la
profundidad con que se obtiene la informacin y se evala.
METODOLOGA DE AUDITORIA INFORMTICA - UNIVERSIDAD DE BELGRADO, BUENOS AIRES
ARGENTINA
AUDITORIA INFORMTICA GLOBAL
-
La Universidad de Belgrado de Buenos aires argentina, realiz un estudio de las Metodologas utilizadas
dentro de la Auditora Informtica. Donde se indica que el mtodo de trabajo del auditor pasa por las
siguientes etapas:
Alcance y Objetivos de la Auditora Informtica
Estudio inicial del entorno auditable
Determinacin de los recursos necesarios para realizar la auditora
Elaboracin del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditora
Confeccin y redaccin del Informe Final
Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final
Fase 1: Definicin de Alcance y Objetivos
El alcance de la auditora expresa los lmites de la misma. Tanto los alcances como las excepciones deben
figurar al comienzo del Informe Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud posible los objetivos a los que
su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas
puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales y comunes
de a toda auditora Informtica: La operatividad de los Sistemas y los Controles Generales de Gestin
Informtica.
Fase 2: Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informtica.Para su
realizacin el auditor debe conocer lo siguiente:
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para
realizar esto en auditor deber fijarse en:
1) Organigrama.- El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal
circunstancia.
2) Departamentos.-Se entiende como departamento a los rganos que siguen inmediatamente a la
Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin.- El equipo auditor
verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por
el contrario detectar, por ejemplo, si algn empleado tiene dos jefes.
-
4) Flujos de Informacin.- Adems de las corrientes verticales intra-departamentales, la estructura
organizativa cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extra-
departamentales. Los flujos de informacin entre los grupos de una organizacin son necesarios para
su eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama.
5) Nmero de Puestos de trabajo.- El equipo auditor comprobar que los nombres de los Puesto de
los Puestos de Trabajo de la organizacin corresponden a las funciones reales distintas.Es frecuente
que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la existencia de funciones
operativas redundantes.
6) Nmero de personas por Puesto de Trabajo.- Es un parmetro que los auditores informticos
deben considerar. La inadecuacin del personal determina que el nmero de personas que realizan
las mismas funciones rara vez coincida con la estructura oficial de la organizacin.
Fase 3: Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que va a
desenvolverse.Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:
a. Situacin geogrfica de los Sistemas.- Se determinar la ubicacin geogrfica de los distintos
Centros de Proceso de Datos en la empresa. A continuacin, se verificar la existencia de
responsables en cada uno de ellos, as como el uso de los mismos estndares de trabajo.
b. Arquitectura y configuracin de Hardware y Software.- Cuando existen varios equipos, es
fundamental la configuracin elegida para cada uno de ellos, ya que los mismos deben constituir un
sistema compatible e intercomunicado. La configuracin de los sistemas est muy ligada a las
polticas de seguridad lgica de las compaas.
c. Inventario de Hardware y Software.- El auditor recabar informacin escrita, en donde figuren todos
los elementos fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades
de control local y remoto, perifricos de todo tipo, etc.
d. Comunicacin y Redes de Comunicacin.- En el estudio inicial los auditores dispondrn del
nmero, situacin y caractersticas principales de las lneas, as como de los accesos a la red pblica
de comunicaciones.Igualmente, poseern informacin de las Redes Locales de la Empresa.
Fase 4: Determinacin de recursos de la Auditora Informtica
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y
materiales que han de emplearse en la auditora.
- Recursos humanos.- Personal que se requerir para la auditora.
-
- Recursos materiales.- Los recursos materiales del auditor son de dos tipos: Recursos materiales
Software (Programas propios de la auditora, Monitores) y Recursos materiales Hardware (Computadoras
del auditado)
Elaboracin del Plan y de los programas de trabajo
Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de
trabajo, teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es
ms compleja y costosa.
b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de
auditores necesarios, sino las especialidades necesarias del personal.
Fase 5: Actividades de la Auditora Informtica
Auditora por temas generales o por reas especficas:
La auditora Informtica general se realiza por reas generales o por reas especficas. Si se examina por
grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos.
Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que
afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con menor calidad.
Tcnicas de Trabajo:
Anlisis de la informacin recabada del auditado
Anlisis de la informacin propia
Cruzamiento de las informaciones anteriores
Entrevistas
Simulacin
Muestreos
Herramientas:
Cuestionario general inicial
Cuestionario Checklist
Estndares
Monitores
Simuladores (Generadores de datos)
Paquetes de auditora (Generadores de Programas)
Matrices de riesgo
-
Informe Final
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el
exponente de su calidad.
Fase 7: Carta de Introduccin o Presentacin del Informe Final
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se
destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o
contrato la auditora.
METODOLOGA CRMR (Computer Resource Management Review)
La Universidad de Belgrado de Buenos aires argentina, realizo un estudio sobre la metodologa CRMR son las
siglas de Computer resource management review, su traduccin ms adecuada, Evaluacin de la gestin de
recursos informticos. Donde se indica que esta metodologa quiere destacar la posibilidad de realizar una
evaluacin de eficiencia de utilizacin de los recursos por medio del management.
Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora informtica
global, pero proporciona soluciones ms rpidas a problemas concretos y notorios.Identifican las siguientes
fases
1. Supuestos de aplicacin de la Metodologa CRMR
2. reas de aplicacin
3. Objetivos
4. Alcance
5. Informacin necesaria para la evaluacin del CRMR
6. Informacin necesaria para la realizacin del CRMR
1. Supuestos de aplicacinde la Metodologa CRMR
En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a deficiencias
organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de
Procesos de Datos.
El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:
Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.
Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el
momento oportuno
Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso.
Existen sobrecargas frecuentes de capacidad de proceso.
Existen costes excesivos de proceso en el Centro de Proceso de Datos.
-
Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con mayor frecuencia.
Aunque pueden existir factores tcnicos que causen las debilidades descritas, hay que convenir en la mayor
incidencia de fallos de gestin.
2. reas de Aplicacin
Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de
aplicacin sealadas en el punto anterior:
Gestin de Datos
Control de Operaciones
Control y utilizacin de recursos materiales y humanos
Interfaces y relaciones con usuarios
Planificacin
Organizacin y administracin
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de nuevos equipos
(CapacityPlanning) o para revisar muy a fondo los caminos crticos o las holguras de un Proyecto complejo.
3. Objetivos
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y
mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se
emitan como resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan:
Identificar y fijar responsabilidades
Mejorar la flexibilidad de realizacin de actividades
Aumentar la productividad
Disminuir costes
Mejorar los mtodos y procedimientos de Direccin
4. Alcance
Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.
Se establecen tres clases:
1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad inmediata de
obtencin de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se hace
en la auditora informtica ordinaria.
-
3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las
Recomendaciones, a la par que desarrolla las conclusiones.
5. Informacin necesaria para la evaluacin del CRMR
Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditora y consultora
pueda llevarse a cabo con xito.
1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del
Centro de Proceso de Datos del cliente, y con los recursos de ste.
2. Se deber cumplir un detallado programa de trabajo por tareas.
3. El auditor-consultor recabar determinada informacin necesaria del cliente.
6. Informacin necesaria para la realizacin del CRMR
El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de campo.Se exhibe a
continuacin una Checklist completa de los datos necesarios para confeccionar el CRMR:
Datos de mantenimiento preventivo de Hardware
Informes de anomalas de los sistemas
Procedimientos estndar de actualizacin.
Procedimientos de emergencia.
Monitoreo de los Sistemas.
Informes del rendimiento de los Sistemas.
Mantenimiento de las Libreras de Programas.
Gestin de Espacio en disco.
Documentacin de entrega de Aplicaciones a Explotacin.
Documentacin de alta de cadenas en Explotacin.
Utilizacin de CPU, canales y discos.
Datos de paginacin de los Sistemas.
Volumen total y libre de almacenamiento.
Ocupacin media de disco.
Manuales de Procedimientos de Explotacin.
Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el seguimiento de las
Recomendaciones realizadas.
METODOLOGA A APLICAR EN LA AUDITORIA DE LA MESA DE SERVICIOS INFORMTICOS DE
IPLANET BANDA ANCHA
El enfoque metodolgico propuesto integra el conocimiento aportado por los modelos de auditora citados
anteriormente.
-
METODOLOGA
Esta constituye una herramienta de apoyo que permite incorporar el uso del modelo de auditora Cuantitativo
ya que estn diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por
tener asignados unos valores numricos; la auditora se dividir en 3 fases: planeacin, Auditora e Informe
Final.
A continuacin, se presentan las etapas que componen la metodologa:
FASE1: Planeacin
Objetivos de la Auditora Informtica.- El objetivo de la Auditora a la Mesa de Servicios
Informticos es identificar el estado actual de los procesos que se siguen para atender los
requerimientos realizados a travs de esta rea de la empresa IPLANET Banda Ancha, para as
incrementar el rendimiento.
Alcance de la Auditora Informtica.- La auditora solo abarcar nicamente la auditora de los
procesos realizados dentro de la Mesa de Servicios Informticos para la atencin de requerimientos.
Estudio inicial del entorno auditable.- Para el estudio inicial se solicitar el Organigrama
estructural del rea auditada, relaciones Jerrquicas y Funcionales, Diagramas de Flujos de
Informacin del rea, Nmero de Puestos de trabajo, Nmero de personas por Puesto de Trabajo.
Determinacin de los recursos necesarios para realizar la auditora.- Los recursos sern
definidos en base a los resultados del estudio inicial.
Elaboracin del plan y de los Programas de Trabajo.- En este punto se elaborar el plan de
auditora, mismo que incluir objetivos de control.
FASE 2: Auditora
Actividades propiamente dichas de la auditora.- Comprende la ejecucin del plan de auditora,
revisando uno a uno los objetivos de control planteados.
FASE 3: Informe Final
Confeccin y redaccin del Informe Final.- Con los resultados obtenidos en la auditora se
elaborar los borradores del informe final, para revisarlos con las reas auditadas y definir el informe
definitivo.
-
Bibliografa
PIATTINI, Mario y Emilio del Peso. Auditora Informtica. Un enfoque prctico. Editorial RA-MA.
http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm#p2-1-1
ECHENIQUE, Garca Jos Antonio. Auditoria en Informtica. Edit. Mc Graw-Hill. 2001.2 Edicin, Pag 26
http://portfolio.cicei.com/ - sistema de e-portfolio del Centro de Innovacin para la Sociedad
de la Informacin (CICEI) de la Universidad de Las Palmas de Gran Canaria.
http://dialnet.unirioja.es/servlet/articulo?codigo=2933558
http://www.scielo.org.co/ (http://www.scielo.org.co/pdf/inun/v12n2/v12n2a04.pdf) - SciELO
- Scientific Electronic Library Online - es una biblioteca virtual para Latinoamrica, el Caribe,
Espaa y Portugal.
http://ebookbrowsee.net/prod-06-pdf-d651352995 -MODELO QUE IDENTIFICA EL NIVEL DE
MADUREZ DE LOS PROCESOS DE LAS PEQUEAS EMPRESAS DEL SECTOR INDUSTRIAL
http://www.fundacioncetmo.org/DGT%20Mejora%20Continua/pdf/Anexos/VI/VIA3.pdf -
VI.A3 Evaluacin del nivel de madurez
PERALTA, M. Asistente para la evaluacin de CMMI-SW. Tesis de Maestra en Ingeniera del Software.
Buenos Aires: Instituto Tecnolgico, 2004.
PRESEDO, M. y DOLADO, J. Medicin prctica de la coordinacin utilizando GQIM y CMMi
[documento en lnea]. 2004.
SOFTWARE ENGINEERING INSTITUTE (SEI). CMMI for Development, versin 1.2,
improvingprocesses for better products. Carnegie Mellon-SEI, 2006.
ESCALANTE, E. Seis sigma: metodologa y tcnicas. Mxico: Limusa, 2006.
Libro COBIT 4.1