176

CAPITULO IV

DISEÑO DE UN MODELO DE AUDITORÍA TI, COMO HERRAMIENTA DE EVALUACION Y CONTROL PARA LA ADECUADA UTILIZACION DE LOS RECURSOS TECNOLOGICOS EN LAS AREAS FUNCIONALES DE LOS

CENTROS EDUCATIVOS BICULTURALES EN EL SALVADOR

A. Generalidades

El Modelo de Auditoría TI es una propuesta que contribuirá a brindar un servicio más

eficiente, máximo rendimiento del personal en sus actividades asignadas, mejor uso

de los equipos informáticos y mayor compromiso del personal con la Institución.

Este Capítulo contiene los objetivos, justificación, esquema y desarrollo de las cuatro

fases del Modelo de Auditoría TI, mencionadas a continuación:

• Etapa I: Diagnóstico de la situación actual de los Centros Educativos Biculturales.

Comprende el análisis situacional de las áreas funcionales, aplicación de la

Técnica del FODA, herramientas utilizadas para la recolección de la información y

análisis de la situación actual en cuanto a lo financiero, operativo y técnico.

• Etapa II: Planificación del Modelo de Auditoría TI. Se describen las

responsabilidades, funciones y perfil del Auditor Informático.

• Etapa III: Desarrollo del Plan de Aplicación del Modelo de Auditoría TI. Se elabora

el plan de Auditoría, elaboración de manuales tales como: Manual de Auditoría de

Hardware y Software, Manual de Seguridad, Manual de Mantenimiento de

Hardware y Software, Plan de Contingencia y Manual de Políticas.

177

• Etapa IV: Plan de Implantación y Evaluación del Modelo de Auditoría TI.

Comprende aspectos tales como: presentación, revisión, evaluación y autorización

de la propuesta, las condiciones necesarias para implantar el Modelo, el personal

responsable, presupuesto para la ejecución del Modelo y Cronograma de

Actividades.

B. Objetivos del Modelo de Auditoría TI B.1 Objetivo General

Proporcionar a las áreas funcionales de los Centros Educativos Biculturales en El

Salvador un Modelo de Auditoría TI, como herramienta de evaluación y control

para el adecuado uso de los recursos tecnológicos que permita evaluar y prevenir

fallas en los procesos de las áreas administrativa e informática.

B.2 Objetivos Específicos

a) Establecer lineamientos de aplicación de manuales en las áreas funcionales

(Administración e informática) de la Institución.

b) Establecer el perfil que debe poseer la persona especializada en el área de

informática.

c) Presentar políticas de seguridad para el uso del hardware, software y

comunicación de información.

d) Definir responsabilidades del Auditor Informático para garantizar el buen

funcionamiento de los equipos tecnológicos.

e) Elaborar el Plan de Implantación del Modelo que definirá paso a paso el proceso

de su puesta en marcha.

176

C. Justificación del Modelo de Auditoría TI

Desde que la informática se enfocó hacia el apoyo de la sistematización en las áreas

de los negocios, se empezaron a implantar aplicaciones administrativas, como la

contabilidad, el control interno y controles en los procesos de operación, lo cual

origina la Auditoría de la tecnología de información.

Con el paso de los años, la informática y todos los elementos tecnológicos que la

rodean han ido creando necesidades en cada sector social y se han vuelto un

requerimiento permanente para el logro de las soluciones. La sistematización de las

áreas administrativas e informáticas de las Instituciones se conceptualiza en la

disciplina y ordenamiento estructurado y lógico de las actividades necesarias con el

propósito de obtener mayores beneficios aplicados a nuestra realidad.

La función del auditor en tecnología de información, no es ser un capataz o policía de

los procesos que supervisa. Este profesional se orienta a ser un punto de control y

confianza para la Alta Dirección además de ser un facilitador de soluciones.

No hay que pensar que este proceso cambiará de la noche a la mañana la cultura

organizacional, los métodos de trabajo, la mala calidad y la improductividad en las

áreas relacionadas con la informática, es un elemento estratégico directo que apoya

la eliminación de cada una de las debilidades mencionadas se debe contar con el

personal responsable y profesional, así como con directores y accionistas

comprometidos con la productividad, calidad y otros factores recomendados para que

la empresa sea de carácter confiable.

Por esta razón, la presente investigación tiene como finalidad la revisión de los

procesos, procedimientos, funciones y tareas que de alguna manera se utilicen para

realizar Auditoría TI; además, es importante que este Estudio se efectúe totalmente

antes de iniciar cualquier proceso relacionado con el desarrollo del sistema y que las

177

recomendaciones, disposiciones y normativas que emanen de él se pongan a

funcionar antes de iniciar el diseño de la aplicación bajo estudio.

Las áreas administrativas e informáticas de los Centros Educativos Biculturales en El

Salvador, requieren de la realización de una Auditoría que les permita identificar y

verificar cuáles son las debilidades, las fortalezas y las oportunidades que poseen y

con ello aplicar herramientas que los lleven a disminuir significativamente las

amenazas y prestar así un mejor servicio a los estudiantes.

Para lograr cumplir con lo anterior el Modelo de Auditoría TI engloba los siguientes

elementos:

a) La adopción del Modelo de Auditoría TI incluye el desempeño de una persona

especializada en el área de informática.

b) Establecer el perfil idóneo para el puesto del Auditor Informático.

c) La elaboración de un programa de capacitación continuo con el objeto de lograr un

incremento de conocimientos en los empleados de la Institución en todas las

áreas.

d) Creación y divulgación de normas y políticas que regulen el uso adecuado del

hardware y el software.

e) Diseño de manuales de Auditoría y mantenimiento de hardware y software.

D. Beneficios de la Propuesta

Los beneficios de este Trabajo pueden ser múltiples. El simple hecho de crear un

Modelo de Auditoría TI, como herramienta de evaluación y control para el buen uso

de los recursos tecnológicos y crear los diferentes manuales que ayuden al

establecimiento de normas, políticas de acceso, seguridad e implantación de

178

programas; ayudará, en gran medida, a las Instituciones para tomar decisiones y

actuar ante los cambios que se generen en el mercado, y principalmente, poder

adelantarse a los cambios, de tal manera que se puedan obtener ventajas

competitivas, que potencien su desarrollo empresarial.

Entre los beneficios producto de la adquisición e implantación del Modelo de Auditoría

TI se encuentran:

a) Un mejor control y verificación de las necesidades del personal en cuanto al uso

de nuevas tecnologías.

b) Mayor control de los recursos y equipos informáticos para que estos sean

utilizados exclusivamente para realizar actividades laborales y no de índole

personal.

c) Eficiencia en la Administración de los recursos y en el logro de los objetivos de los

Centros Educativos Biculturales.

d) Posibilidad de contar con una persona especializada en el área de informática en

la Institución, que vele por la seguridad de la información y que brinde apoyo

técnico en cuanto al uso, revisión y mantenimiento del equipo informático.

e) Mejorar la eficiencia del recurso humano.

f) Lograr el cumplimiento de normas, políticas y procedimientos previamente

establecidos para las diferentes áreas funcionales de la Institución con la finalidad

de salvaguardar los equipos informáticos e información almacenada en ellos.

179

E. Área de Aplicación del Modelo El Modelo de Auditoría TI, es un Modelo que puede ser implantado con toda facilidad

en los veinte Centros Educativos Biculturales dentro de las áreas administrativa e

Informática, ya que todos estos Centros poseen características similares entre las que

se pueden mencionar:

1. Poseen y utilizan recursos tecnológicos para la realización de sus actividades

laborales.

2. Cuentan con personal que posee conocimientos informáticos.

3. Están regidos por las mismas entidades nacionales entre las que se pueden

mencionar: Ministerio de Educación, Ministerio de Hacienda, Alcaldías.

4. Son auto-sostenibles debido a que los recursos que captan provienen de las

matrículas y colegiaturas pagadas por el alumnado.

F. Diseño de un Modelo de Auditoría TI El Modelo de Auditoría TI, está conformado por cuatro etapas enlazadas, con el

objetivo de proporcionar a los Centros Educativos Biculturales un conjunto de

procedimientos y normas a seguir para garantizar la adecuada utilización de los

recursos, tanto materiales como humanos que interrelacionados entre sí conforman

un elemento clave para el desarrollo de las Instituciones haciendo el uso adecuado de

la tecnología informática. El esquema del Modelo planteado comprende técnicas,

herramientas y manuales que facilitan el desempeño o desarrollo de las actividades

en los Centros Educativos Biculturales.

180

El modelo se ha diseñado de tal manera que su estructura además de ser lógica

facilite la continuidad de cada uno de los procedimientos establecidos en cada una de

las etapas.

A continuación se presentan dos Esquemas del Modelo de Auditoría TI, con el

propósito de representar gráficamente las etapas con las que cuenta el Modelo y

lograr una mejor interpretación mostrando una secuencia lógica de cada una de ellas.

En el primer Esquema se muestra el Modelo con sus cuatro etapas y en el segundo,

se desglosa las actividades a desarrollar en cada una de ellas.

ETAPA IV

Plan de Implantación y Eavaluación del Modelo

de Auditoria TI

MODELO DE AUDITORIA TI

ETAPA I

Diagnostico de la Situación actual de los

Centros Educativos Biculturales

ETAPA II

Planificación del Modelo de Auditoria TI

ETAPA III

Desarrollo del Plan de Aplicación del Modelo de

Auditoria TI

183

ESQUEMA DEL MODELO DE AUDITORÍA TI

1. Objetivo de la Etapa

2. Utilización de la Técnica delFODA

3. Herramientas Utilizadas

4. Informe de la Situación actual de los Centros Educativos Biculturales

ETAPA IDiagnostico de la situaci ón Actual de los Centros Educativos Biculturales

ETAPA IDiagnostico de la Situación Actual dede los Centros Educativos Biculturales

ETAPA IIPlanificaci ón del modelo de Auditoria TI

ETAPA IIPlanificación del Modelo

de Auditoria TI

ETAPA IIIDesarrollo del Plan de Aplicaci ó n

ETAPA IIIDesarrollo del plan de Aplicación del Modelo de Auditoria TI

ETAPA IVPlan de Implementaci ó n del Modelo de Auditoria TI

ETAPA IVPlan de implantación y evaluación del Modelo de Auditoria TI

3 . Perfil del Puesto

2. Asignación de Responsabilidades al Auditor informático

1. Objetivo de la Etapa

7. Plan de Contingencia

2. Descripción de Procedimientos

1. Objetivo de la Etapa

3.Revisión y Autorización de la Propuesta

2. Presentación de la Propuesta

1. Objetivo de la Etapa

5.Presupuesto de Implementación

4. Puesta en marcha del Modelo de Auditoria TI

6.Costo-Beneficio

MEJOR UTILIZACION DE LOS RECURSOS TECNOLOGICOS

MODELO DE AUDITORIA TI

RETROALIMENTACIONRETROALIMENTACION

4. Ubicación dentro de la Estructura Organizativa

4. Manual de Seguridad

5. Manual de Mantenimiento

6. Manual de Políticas

7.Revisión y Evaluación de la Propuesta

8.Seguimiento

8.Cronograma de Actividades

3. Manual de Auditoria de Hardware y Software

176

Etapa I: Diagnóstico de la Situación Actual de los Centros Educativos Biculturales. 1.1 Objetivo de la Etapa Conocer cuál es la situación actual en la que se encuentran los Centros

Educativos Biculturales haciendo uso de la técnica del FODA, en donde se podrán

analizar los diferentes factores que afectan el buen funcionamiento de las

Instituciones mencionadas.

1.2 Utilización de la Técnica del FODA Previamente al desarrollo de las fases del Modelo de Auditoría TI, los Centros

Educativos Biculturales deben hacer un análisis situacional de las áreas

administrativa e informática, mediante el uso de la técnica del FODA.

La técnica del FODA es una herramienta que sirve para identificar las Fortalezas,

Oportunidades, Debilidades y Amenazas que existen dentro de las Instituciones

(para este caso de los Centros Educativos Biculturales). Estos factores pueden ser

internos (fortalezas y debilidades) o externos (oportunidades y amenazas).

Las fortalezas son factores positivos que poseen las áreas administrativa e

informática que constituyen recursos necesarios para alcanzar los objetivos.

Las debilidades son elementos negativos que las áreas administrativa e

informática tienen y que constituyen fuertes barreras para el logro de los objetivos

en dichas áreas.

Las oportunidades son elementos externos a las áreas administrativa e

informática; pero que pueden ser aprovechados o utilizados para el logro de los

objetivos.

177

Las amenazas son elementos externos que influyen negativamente sobre las

áreas administrativa e informática.

La forma de realizar el análisis del FODA será la siguiente:

a. Deberá ser realizado por el encargado de cada área con apoyo del personal

bajo su cargo.

b. El encargado de cada área con apoyo del personal bajo su cargo realizará una

lista identificando las fortalezas, oportunidades, debilidades y amenazas de las

áreas administrativa e informática en donde los factores a considerar son:

b.1) Factores internos: Administración, organización, recursos humanos,

infraestructura, calidad del servicio, finanzas, calidad de dirección, calidad

de empleados.

b.2) Factores externos: económicos, sociales, financieros y tecnológicos.

c. Los factores identificados deberán ser presentados según cuadro que se

muestra a continuación.

Análisis Situacional FODA de las Áreas Administrativa e Informática

Centros Educativos Biculturales en El Salvador Aspectos Internos Aspectos Externos

Fortalezas Oportunidades

Debilidades Amenazas

178

d. Se realizará un análisis de los resultados resumidos en el cuadro y se deberán

buscar lineamientos que permitan:

Convertir las debilidades en fortalezas.

Lograr el aprovechamiento de las oportunidades.

Minimizar las amenazas.

e. Se presentan los resultados a la Junta Directiva (autoridades superiores

competentes) para que se tomen las medidas correctivas pertinentes.

1.3 Herramientas Utilizadas

La recolección de la información se realizó a través de los siguientes medios:

a) Cuestionario: Se elaboró una serie de preguntas relacionadas a la temática en

estudio para cada una de las áreas con el fin de recopilar información que

permitiera conocer la situación actual de los Centros Educativos Biculturales

para tomar referencia de lo que realmente necesitan para mejorar el

desempeño y buen uso de los recursos.

b) Entrevista: Se entrevistó al personal involucrado de las áreas administrativa e

informática, para conocer sus expectativas, necesidades y sugerencias que

permitan el desarrollo de las diferentes fases del Modelo de Auditoría TI.

c) Observación Directa: Se realizaron visitas a los Centros Educativos

Biculturales a través de las cuales se logró visualizar que en el área

administrativa existen deficiencias en cuanto al uso adecuado del equipo

informático y el mantenimiento del mismo; lo cual confirma la necesidad

expresada por el personal a través de las entrevistas de contar con una

persona especializada en el área de informática que pueda brindar soluciones

de manera inmediata a los inconvenientes e imprevistos presentados al

momento de desarrollar sus actividades laborales.

179

1.4 Informe de la Situación Actual de los Centros Educativos Biculturales

a) Financiero: A través de las entrevistas realizadas se pudo conocer que los

Centros Educativos Biculturales poseen solvencia económica para implantar el

Modelo de Auditoría TI. Ya que son Instituciones auto sostenibles (su

financiamiento está basado en el pago mensual de colegiaturas de los

estudiantes).

b) Operativo: El proyecto es factible operacionalmente debido a que el personal

involucrado posee conocimientos informáticos que permiten la fácil aceptación

por parte de los usuarios y el acomodamiento tecnológico. Por otra parte, el

83% del personal administrativo y el 91% del personal informático no cuenta

con herramientas de control y evaluación para el adecuado uso de los recursos

tecnológicos, índices que indican un significativo vacío sobre el cual trabajar.

En la guía de entrevista se pudo observar que las altas autoridades de los

Centros Educativos Biculturales se mostraron interesados en la implantación

del Modelo de Auditoría TI dentro de la Institución, para que contribuya de

manera efectiva a solucionar los problemas encontrados.

c) Técnico: De acuerdo a la investigación de campo realizada a los Centros

Educativos Biculturales se determinó que dichas empresas cuentan con equipo

computacional necesario para realizar las actividades laborales en las áreas

administrativa e informática entre los que se pueden mencionar: computadoras,

impresores, reguladores de voltaje, escáner, cámara web, quemador, unidades

de Zip Drive. Además de poseer herramientas de comunicación tales como

Internet (44% área administrativa y 22% para el área informática) e Intranet

(11% para el área administrativa y 15% para el área informática).

180

2. Etapa II: Planificación del Modelo de Auditoría TI

2.1 Objetivo de la Etapa Establecer las responsabilidades, actitudes, habilidades, preparación académica,

desenvolvimiento profesional, funciones generales y específicas y ubicación

dentro de la estructura organizativa del Auditor Informático.

2.2 Asignación de Responsabilidades al Auditor Informático

2.2.1 Función Principal El Auditor Informático deberá analizar objetivamente los escenarios de la

organización a través de evaluaciones de los procesos, procedimientos y controles

adoptados por la Administración; ya que sus principales funciones están

enfocadas a: un desempeño eficiente de su trabajo, la aplicación de métodos,

técnicas y herramientas comúnmente aceptadas para la informática. Deberá ser

acucioso y observador en cuanto a lo que se encuentre a la vista y tener la

capacidad para la toma de decisiones, con el fin de que la veracidad,

confidencialidad e integridad de la información sea razonable y de acuerdo a las

políticas establecidas por la organización.

2.2.2 Funciones Específicas a) Planear, dirigir y organizar la verificación y evaluación de los recursos

informáticos.

b) Servir de apoyo a la Administración en el proceso de toma de decisiones con el

fin de obtener los resultados esperados.

181

c) Planear y ejecutar proyectos informáticos al cumplimiento formal y oportuno de

las políticas, controles y procedimientos establecidos por la Alta Dirección, así

como del seguimiento permanente de los mismos.

d) Verificar los procesos relacionados con el manejo de los recursos informáticos

de la Institución y recomendar los correctivos que sean necesarios.

e) Asegurar que los recursos informáticos sean orientados al logro de los

objetivos y las estrategias de la Institución.

f) Mantener permanentemente informados a la Administración acerca del estado

del control interno dentro de la Institución, dando cuenta de las debilidades

detectadas y de las fallas en su cumplimiento.

g) Administrar la información obtenida del Administrador y Encargado de

informática para el desarrollo de pruebas de Auditoría.

h) Evaluar las normas definidas para el diseño y desarrollo de sistemas.

i) Evaluar la seguridad física y lógica adoptadas por el Centro Educativo

Bicultural.

j) Elaborar, administrar y ejecutar, de manera eficiente, los proyectos

contemplados en el plan de Auditoría en informática.

k) Evaluación, verificación e implantación oportuna de los controles y

procedimientos que se requieren para el aseguramiento del buen uso y

aprovechamiento de los recursos informáticos.

2.2.3 Personal a Supervisar Recurso humano perteneciente a las áreas administrativa e informática.

182

2.3 Perfil del Puesto

Los Centros Educativos Biculturales requieren de un profesional que evalúe y

controle las funciones de todas las áreas funcionales de la Institución, participando

en la verificación del buen uso de las tecnologías informáticas que se relacionen

con cada departamento y para evaluar los controles existentes. Si es necesario,

realizar recomendaciones para evitar riesgos e irregularidades. También tiene que

verificar que se cumplan las políticas de seguridad de Software y Hardware y

procedimientos relacionados a la Auditoría Informática.

2.3.1 Habilidades

a) Habilidad para tomar decisiones.

b) Interpretar el Control interno para dar recomendaciones.

c) Ser preventivo para detectar fallas de los equipos y sistemas y analizar

las causas que las originan.

d) Capacidad de trabajo bajo presión.

e) Capacidad para trabajar en equipo.

f) Capacidad para motivar al personal.

2.3.2 Actitudes:

a) Responsabilidad.

b) Preparación contínua.

c) Ética profesional.

d) Equitativo para la toma de decisiones.

e) Facilidad de comunicación.

f) Cooperación, disciplina y honradez.

g) Imparcialidad en el desempeño de sus labores.

h) Dinamismo.

i) Discrecionalidad.

183

j) Excelentes relaciones personales.

k) Organización.

l) Creatividad e iniciativa.

2.3.3 Preparación Académica

a) Graduado de Ingeniería en Sistemas o Licenciatura en Computación.

b) Manejo de métodos, técnicas y herramientas de evaluación de sistemas.

c) Conocimiento de normas, políticas y estándares de controles de Auditoría.

d) El Auditor Informático deberá tener conocimientos generales en cuanto a:

d.1) Elementos técnicos de informática, sistemas operativos, bases de

datos, programación, redes, sistemas periféricos, seguridad,

mantenimiento y acceso a los sistemas.

d.2) Aspectos administrativos de manera general en cuanto a:

Administración de personal, Auditoría, implantación de procesos y

evaluación de proyectos.

2.3.4 Desenvolvimiento Profesional

a) Experiencia de tres años como mínimo en puestos similares.

2.4 Ubicación dentro la Estructura Organizativa

Debido a que la función de Auditoría dentro de una Institución es de carácter

independiente al resto de actividades e involucra procesos de verificación y

reportes de fallas de forma imparcial a las Altas Autoridades de los Centros

Educativos Biculturales se propone que el Auditor Informático, se encuentre

ubicado a nivel de Staff o consultoría, será contratado a nivel externo y dependerá

184

directamente de la Administración, de acuerdo a estructura organizativa

presentada. (Ver Anexo 4.1)

Lo que se pretende es que a corto plazo se efectué la Auditoría Informática e

informe de todas las inconsistencias encontradas para su pronta corrección, para

luego evaluar los procedimientos en los períodos acordados entre él y las Altas

Autoridades de estos Centros.

3. Etapa III: Desarrollo del Plan de Aplicación del Modelo de Auditoría TI

3.1 Objetivo de la Etapa Proporcionar al personal de los Centros Educativos Biculturales herramientas que

les ayuden a dar solución a las dificultades precisadas, haciendo uso de los

recursos tecnológicos necesarios.

3.2 Descripción de Procedimientos La etapa preliminar se desarrolla cuando se inicia un plan de Auditoría en

informática y es donde se recopilan aspectos necesarios y generalizados para

entender los puntos débiles y fuertes de la función de informática desde el punto

de vista de los usuarios claves y la Alta Dirección, para lo cual se realiza:

a) Diagnóstico de la Institución

b) Diagnóstico de informática

c) Detectar área de oportunidad

Esta fase es necesaria debido a que todo proceso de revisión de cierto

componente de informática deberá ser analizado con anterioridad en base al

entorno de la Institución y la función de informática y así poder empezar

directamente a auditar aspectos relativos de informática.

185

Cabe destacar que para el universo en estudio el área más afectada, que

demanda procedimientos para el desarrollo de las actividades de una forma más

ordenada y eficiente es el área administrativa; ya que es allí, donde se han

detectado debilidades, tales como: pocos conocimientos en la utilización del

equipo informático y desactualización de programas y manejo de paquetes

utilitarios, se logró detectar el poco conocimiento de políticas y normas que sirven

para regular el uso adecuado de los recursos.

La revisión o evaluación de las áreas o funciones relacionadas con las áreas

administrativa e informática, deben justificarse ante la Alta Dirección como

también ante los involucrados, para lograr que el Plan General del Proyecto de

Auditoría en Informática y, más que eso, el implante del Modelo de Auditoría TI,

como medio de evaluación y control para el adecuado uso de los recursos

tecnológicos, sea aprobado por todos: Alta Dirección, usuarios claves y el

responsable de informática.

Se pretende definir los procedimientos básicos que puedan regular y orientar las

actividades a realizar, a fin de asegurar la estandarización de los procesos de

trabajo de las actividades análogas que realizan los empleados de los Centros

Educativos Biculturales en El Salvador en las áreas administrativa e informática.

A continuación se detalla una serie de procedimientos que ayudarán en el mejor

desempeño de las actividades dentro de los Centros Educativos Biculturales, las

cuales se dividen en Administrativas e Informáticas y se describen seguidamente:

a) Contabilidad a.1) Se deberá contar con un Catálogo de Cuentas, debidamente elaborado que

facilite la preparación de los Estados Financieros de una manera lógica y

adecuada, de acuerdo a las Normas Internacionales de Información

Financiera, que incluya todas las cuentas que sean necesarias para reflejar

de manera exacta los movimientos contables de las cuentas de activo,

186

pasivo, capital, ingresos, costos, y gastos, de tal manera que los resultados

obtenidos sean de utilidad para que la Institución tome las decisiones más

adecuadas.

a.2) Se deberá contar con un Manual de Aplicación de Cuentas a través del cual

se especifique: Contenido, codificación, así como el manejo de cada una de

ellas. Explicando cuando se cargan o se abonan.

a.3) Para el manejo de las diversas operaciones de la Institución, se establecen

varios fondos dependiendo del monto de los mismos, si éstos son mayores

al fondo asignado a caja chica , se procederá a la emisión de cheques, todo

lo demás se hará en efectivo.

a.4) Para el manejo de dichos fondos se contará con una Cuenta Corriente, en un

Banco, la cual será custodiada y manejada por la Administración o la Junta

Directiva de la Institución.

a.5) Las funciones de autorización, ejecución y contabilización de las

transacciones sujetas de este fondo, deberán realizarse por diferentes

personas o puestos de trabajo, de tal manera que ningún empleado tenga la

responsabilidad total de una transacción.

a.6) La Institución limitará el acceso solamente al Administrador o Junta Directiva

los Documentos Financieros de fácil convertibilidad en efectivo como los son

quedan, pagarés, cheques posfechados, letras de cambio, etc., siendo el

responsable de su control, custodia y de hacerlos efectivos en el momento

que corresponda.

a.7) Se establecerá una fecha para la emisión y entrega de los cheques, así como

para la recepción de facturas y entrega de quedan.

187

b) Fondo de Caja Chica

b.1) Se constituirá un Fondo de Caja Chica ( el límite de éste será establecido por

las Altas Autoridades de cada Institución) , el cual sirva para la realización de

compras menores que surjan de manera emergente dentro de dichos límites

b.2) Para usar los mencionados fondos deberá llenarse un formulario

prenumerado en donde se establezca una descripción de los usos para los

que se requieren los fondos, su justificación y deberá contar con la firma del

Administrador de la Institución en señal de aprobación.

b.3) Los fondos serán manejados por el Contador o Auxiliar Contable de la

Institución quien esta más a disposición de la Administración, y solamente

entregará fondos cuando el formulario correspondiente esté debidamente

autorizado por el Administrador. Así mismo una vez utilizados los fondos que

se soliciten se le deberá anexar la correspondiente factura o comprobante de

consumidor final que ampare la compra que se efectuó.

b.4) Periódicamente el Contador o Auxiliar Contable hará las correspondientes

liquidaciones de Caja Chica, de tal forma que el fondo asignado sea igual a

los valores en efectivo con que cuente en determinado momento mas las

facturas que amparen las compras efectuadas. Dicha liquidación deberá

efectuarse previendo no quedarse sin fondos para atender las necesidades

durante el tiempo que dure el reintegro.

b.5) El Contador o Auxiliar Contable posterior a las liquidaciones correspondientes

deberá efectuar los contabilización de los gastos.

c) Proceso de Compras

c.1) Toda compra que exceda de los valores determinados para la Caja Chica,

deberá ser solicitada a través de una requisición de compras.

188

c.2) A fin de efectuar la compra de materiales se deben cumplir con las siguientes

condiciones:

Contar con una lista de proveedores autorizados.

Solicitar siempre cotizaciones cuando menos de tres proveedores.

Verificar siempre la recepción exacta de las mercaderías que se compren.

Presentar al encargado de las compras la factura o comprobante de

Crédito Fiscal, que ampare la transacción realizada.

La Asistente o Secretaria deberá verificar los contenidos de las facturas

contra la documentación justificativa, antes de iniciar el proceso de pago.

En toda requisición de compra tramitada, deberá estamparse el sello y

firma de recibido, así como la fecha de recibido de los materiales en la

Institución.

c.3) Deberá establecerse un local o determinarse un mueble para

depositar y resguardar los materiales o artículos que se obtengan, al

cual sólo tendrá acceso la persona que designe la Administración.

c.4) Toda adquisición de bienes y servicios debe estar considerada en el

Presupuesto de Funcionamiento de la Institución, y la que no lo esté deberá

ser autorizada por la Junta Directiva o Administración.

c.5) Toda requisición de compra que ampare artículos de uso frecuente, debe ser

elaborada en base a la cantidad de existencias y a los lotes máximos y

mínimos de inventarios.

c.6) Toda compra que se efectúe deberá contar con su factura o comprobante de

Crédito Fiscal para anexarlo a la requisición de compras.

c.8) Para la emisión de cheques se deberá presentar la documentación justificativa

y deberá estar autorizada por la Administración.

189

c.9) Las fechas posibles de pago deberán establecerse con la suficiente

anticipación, a fin que se puedan tramitar oportunamente las firmas

correspondientes.

d) Contratación de Servicios d.1) Todo servicio de mantenimiento que se contrate ya sea para fotocopiadora,

fax, computadora, vehículos, etc., será sometido a licitación o concurso

privado, mediante invitación a empresas especializadas previamente

calificadas para ello.

d.2) Para la selección de las empresas que prestarán los servicios mencionados,

se deberá definir el alcance de los mismos, a fin que estos sean prestados de

acuerdo a los requerimientos de la Dirección, Administración o Junta

Directiva.

d.3) Corresponderá a la Administración de la Institución, la selección de las

empresas que presten los servicios demandados, considerando factores

como solvencia económica, experiencia comprobada en el campo y precio.

d.4) Se requerirán como mínimo de tres cotizaciones de proveedores de servicios.

e) Registro Académico e.1) El control de estudiantes de la Institución deberá llevarse de una manera

ordenada tanto físico como electrónico con el objetivo de facilitar el control de

la entrada y salida de los estudiantes ya sea por abandono a la Institución o

por egreso.

e.2) Manejará las agendas o actividades a desarrollar dentro de la Institución con

el objetivo de mantener informada a las personas que formen parte de la

190

Institución y que se hayan unido al esfuerzo para lograr un crecimiento de la

Institución, pues el objetivo sigue siendo formar profesionales competentes.

e.3) Elaborará diplomas y certificados de grados los cuales deberán estar

debidamente archivados en los expedientes por alumno y por año.

e.4) Controlará la diferencia de estudiantes año con año de tal forma que permite

conocer la disponibilidad de cupos para cada período.

e.5) Controlará cuadros de notas por materia de tal forma que pueda sacar un

promedio por período de cada uno de los estudiantes y de cada uno de los

niveles.

e.6) Se encargará de preparar una copia de cada cierre de año para verificaciones

posteriores. En caso de contar con la persona encargada del Departamento

de Auditoría le servirá de apoyo para la creación de copias de respaldo

(backup) y mantenimiento de su equipo que en este caso será la fuente de

información para toda la Institución pues controlara el número de estudiantes

por período lo cual permitirá conocer cuánto será la disponibilidad económica

basándose en las cuotas establecidas mensualmente.

e.7) Con apoyo del encargado del área de Auditoría de informática se logra un

mejor control y se evitará la pérdida masiva de información.

f) Profesor de Computación f.1) Tendrá como responsabilidad principal la administración del hardware y el

software de la institución, velando porque se le de el uso adecuado y el

mantenimiento en el tiempo oportuno.

191

f.2) Velará porque los equipos sean tratados de la forma más adecuada

garantizando un mayor tiempo de vida útil de los mismos.

f.3) Reportará a la administración, fallos y desperfectos que presenten los equipos

tecnológicos con el fin de contratar los servicios de mantenimiento y

reparación en el menor tiempo posible con el propósito de no interrumpir las

actividades diarias en el centro de cómputo.

f.4) Indagará en el conocimiento de nuevos programas que sean de utilidad para

la innovación del programa de estudio del centro educativo.

f.5) Se encargará de planificar previamente los guiones de clases elaborando

guías de estudio para reforzar los conocimientos del alumnado.

g) Contratación de Personal g.1) Para la cobertura de puestos vacantes o creación de puestos nuevos, la

Institución procederá a seguir un proceso de Reclutamiento y Selección.

g.2) Será potestad de la Dirección o Junta Directiva cubrir o no las vacantes que

se presenten u optar por otras opciones de personal que considere

conveniente.

g.3) Será responsabilidad del Director el Reclutamiento y Selección de

personal idóneo para cada una de las plazas.

g.4) La Dirección o Junta Directiva autorizará la contratación de personal, para lo

cual deberá contar con una terna de candidatos.

192

g.5) El contratado deberá cubrir los requisitos establecidos y tener la suficiente

preparación académica para el puesto al que aplica, deberá ser especialista

en la materia o actividad a desarrollar.

g.6) Para ingresar a trabajar a la Institución, todo candidato deberá cumplir los

requisitos de ingreso incluidos en el perfil, los cuales serán comprobados a

través de un proceso de selección que incluirá presentación de Currículum

Vitae con la documentación y atestados que comprueben su experiencia y

estudios realizados, realización de exámenes de idoneidad, entrevistas,

investigación de referencias y exámenes de salud.

g.7) Toda persona que ingrese a trabajar a la Institución deberá firmar un Contrato

Individual de Trabajo, en donde se establezcan todas las condiciones de

contratación, vigencia, tipo de contratación, sueldo, período de prueba, etc.

3.2.1 Procedimiento: Elaboración del Plan de Auditoría en Informática

Objetivo: Definir y formalizar proyectos inmersos a la función de Auditoría en

informática, orientados primordialmente al seguimiento de la calidad y control de

los diferentes elementos relacionados con los recursos de informática.

Puesto: Auditor Informático

Actividades:

a) Determina qué áreas serán auditadas a través de un diagnóstico actualizado

del entorno del negocio y de la función de informática, con el fin de detectar

qué áreas son de riesgo o débiles con respecto a la función de informática.

193

b) Realiza matriz de riesgo según los hallazgos de los cuestionarios, detectando

las áreas de mayor riesgo en relación con informática y que requieren una

revisión formal y oportuna.

c) Desarrolla las siguientes actividades para la elaboración del plan general de

Auditoría en informática:

c.1) Estima tiempo necesario para auditar cada área determinada en la matriz

de riesgo.

c.2) Analiza y define los aspectos o componentes que se evaluarán.

c.3) Verifica la importancia y validez de los puntos mencionados en la actividad

anterior. Ya sea vía telefónica, fax o personalmente.

c.4) Asigna prioridades a cada área con los involucrados en el proyecto.

c.5) Define fechas estimadas de inicio y terminación por área de revisión.

c.6) Establecer fechas de revisión (firmas de aprobación).

c.7) Define responsables e involucrados por etapas del proyecto.

d) Elabora el “Plan de Auditoría en Informática”. Determina las áreas a ser auditadas, aspectos del área por auditar, las fechas

y períodos en que se auditarán las áreas, etc. La prioridad de las áreas a

auditar se determina tomando en cuenta que pueda obedecer a la solicitud

efectuada por la Alta Dirección, y al requerimiento de los involucrados en cada

una de las áreas.

e) Presenta “Plan de Auditoría en Informática” a la Alta Dirección para que sea

autorizado formalmente y de esta manera se comprometa dando apoyo a los

diferentes Proyectos que conforman el Plan.

f) Pone en marcha el Plan y lo ejecuta.

194

3.3 Elaboración de Manuales. La Auditoría es una herramienta útil para efectuar la revisión y evaluación de los

controles, determina el estado de seguridad de la información, verifica los

procedimientos de informática con el objetivo de lograr una utilización más

eficiente y segura de la información que servirá para una adecuada toma de

decisiones.

Toda organización para desarrollar eficazmente sus actividades, necesita utilizar

instrumentos y herramientas técnico-administrativas que le permitan alcanzar los

objetivos y las metas propuestas.

Con base en lo anterior se propone a los Centros Educativos Biculturales en El

Salvador la elaboración de una serie de manuales que les permitirán desarrollar

de manera efectiva las actividades descritas en el numeral anterior (Descripción

de Procedimientos), que serán elaborados dando cumplimiento a los

requerimientos obtenidos a través de la información recabada por medio de los

cuestionarios distribuidos al personal clave dentro de las Instituciones, como

también a través de las entrevistas.

Estos instrumentos servirán de guía para la contratación de los servicios de

Auditoría informática externa, del mismo modo proporcionarán una base sobre la

cual las diferentes áreas puedan funcionar con mayor eficiencia buscando la

mejor coordinación de las funciones de los mismos a fin de viabilizar el alcance de

los objetivos.

A continuación se presentan los Manuales que deben ser tomados en

consideración para la implantación del Modelo de Auditoría TI.

195

MANUAL DE AUDITORÍA DE HARDWARE Y SOFTWARE

a) AUDITORÍA DE LA ADMINISTRACION DEL HARDWARE

b) AUDITORÍA DE HARDWARE INSTALADO

c) AUDITORÍA DE LA OPERACIÓN DEL HARDWARE

d) AUDITORÍA DE LA ADMINISTRACION DEL SOFTWARE

e) EVALUACION DE SISTEMAS DE INFORMACION DURANTE EL CICLO DE

DESARROLLO E IMPLANTACION

f) DIAGNOSTICO DE LA SITUACION ACTUAL DE LOS SISTEMAS DE

INFORMACION EN OPERACIÓN

g) EVALUACION SOBRE LA LEGALIZACION DEL SOFTWARE

196

A) AUDITORÍA DE LA ADMINISTRACIÓN DEL HARDWARE

Objetivo: Asegurar la existencia de una administración formal de la

Administración del hardware.

Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría

Informática” (Ver Anexo 4.2)

2. Consulta al personal de la empresa si realiza una Administración formal de

Hardware que dé seguimiento a:

• Planeación de nueva tecnología (hardware / software).

• Operación y mantenimiento del equipo.

• Control y seguridad del equipo.

• Aspectos legales y seguridad del equipo.

• Otros Nota: Esta evaluación se hará a través del “Cuestionario

Administración del Hardware”. (Ver Anexo 4.3) 3. De no contar el personal de la empresa con una Administración formal del

hardware, verifica cuáles son las actividades que realizan para tal función y

cómo les dan seguimiento.

4. Comprueba la existencia de documentación que especifique cada una de las

funciones de Administración del hardware solicitándola a los responsables del

área de informática para su conocimiento.

5. De existir documentación, verifica que las funciones especificadas en el

documento concuerde con la realidad. Para ello, utiliza la “Guía de Observación de Administración del Hardware” para su respectiva

verificación. (Ver Anexo 4.4)

6. De no contar el personal de la empresa con documentación, les consulta

cómo se dan a conocer a los responsables del equipo y al usuario las

funciones de Administración de hardware, por ejemplo:

Análisis y evaluación del equipo.

197

Análisis de número de equipo, características usuario, etc.

Análisis y diagnóstico del software instalado en los equipos de cómputo.

Cantidad de licencias, copias piratas, versiones, número de usuarios, etc.

Otros.

De tal manera, que se brinde un adecuado servicio a los usuarios del equipo

en el uso de sistemas y software al que tiene acceso.

7. Ordena la información recopilada en la evaluación de la Administración del

hardware.

8. Después de recopilar la información necesaria realiza la elaboración del “Informe Final de Auditoría en Informática”. (Ver Anexo 4.5 y 4.5A)

Nota: Es importante aclarar que el orden y forma de este informe puede variar

de acuerdo con la creatividad y estilo de los autores en informática y de los

estándares establecidos por el responsable de la función.

B) AUDITORÍA DE HARDWARE INSTALADO Objetivo: Evaluar si se cuenta con el equipo suficiente, actualizado y compatible

que responda a las necesidades de la Institución.

Responsable: Auditor Informático

1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría Informática” (Ver Anexo 4.2)

2. Comprueba qué el personal encargado de compras lleva a cabo una

planeación y evaluación formal de compras de equipos, así como de su

instalación y verifica que se esté cumpliendo; para lo cual solicita dicho plan y

lo revisa.

3. Consulta al responsable de informática si cuentan con procedimientos que les

faciliten una adecuada instalación del equipo. Para la evaluación hará uso del

“Cuestionario Instalación del Hardware”. (Ver Anexo 4.6)

198

4. Solicita procedimientos para el proceso de instalación del equipo, corrobora

que vayan acorde a la realidad y que se estén cumpliendo, de tal manera que

les permita lo siguiente:

Descripción del equipo adquirido.

Dónde se ha instalado.

Metodología de instalación del equipo y normativa de instalación.

5. Verifica quiénes son los responsables de ejecutar las diferentes actividades

que se realizan durante el proceso de instalación del equipo, como los

responsables del seguimiento del mismo, con el fin que estén cumpliendo

dichas actividades y que estén considerando la metodología y normativa de

instalación.

6. En caso de que personal externo lleve a cabo la instalación del equipo,

verifica que dicha instalación ya sea parcial o total, se realice en base a

políticas de la Institución. Para ello, solicita dichas políticas y realiza

entrevistas al personal externo para chequear cómo están antes de la entrega

y luego compara con las modificaciones que según el personal externo se han

realizado.

7. Ordena toda la información recopilada en la “Evaluación e Instalación del Hardware”. (Ver Anexo 4.7)

8. Desarrolla la elaboración del “Informe Final de Auditoría en Informática”. (Ver Anexo 4.5 y 4.5A)

C) AUDITORÍA DE LA OPERACIÓN DEL HARDWARE

Objetivo: Asegurar que se lleven a cabo controles y procedimientos en la

operación del hardware.

Responsable: Auditor Informático

1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría Informática” (Ver Anexo 4.2)

199

2. Consulta a responsable de operación del hardware si cuentan con manuales

de operación de equipo o alguna documentación que muestre los

procedimientos relativos a esta función. Para la evaluación hace uso de

“Cuestionario Operación del Hardware”. (Ver Anexo 4.8)

3. De existir manuales, los solicita para verificar si el personal responsable de

administrar y operar el equipo fue capacitado y si estos se están aplicando en

la realidad.

4. De no contar con manuales, consulta a responsables de administrar u operar el

equipo, como procede para tal actividad y luego verifica si en realidad se

trabaja como lo ha expuesto.

5. Recopila información acerca de la operación del equipo de cómputo como:

Usuarios que accesaron diferentes equipos de cómputo.

Operaciones realizadas en el equipo.

Tiempos de utilización.

Interrupciones durante el uso del equipo y causas.

Tiempo para reiniciar cada interrupción.

Accesos inválidos a los diferentes equipos.

Otros.

Debe especificar si esta información es generada por algún software o se

produce de manera independiente.

6. Verifica si los equipos poseen controles de acceso a personas no autorizadas y

si estos están diseñados para prevenir, detectar o corregir el acceso no

autorizado a los equipos, además de identificar los responsables de darles

seguimiento.

7. Verifica a través de una guía que los controles contemplen:

Protección de archivos.

Protección a programas de las aplicaciones que estén en los equipos.

Protección a otro software alojado en los equipos.

Métodos para prevenir el monitoreo no autorizado del equipo.

Detección inmediata y automatizada de acceso no autorizado a los

equipos.

200

Contraseñas que autoricen el acceso a los equipos, sin permitir la

entrada en archivos no autorizados.

Otros.

8. Ordena información recabada en la evaluación y desarrolla el “Informe Final de Auditoría en Informática”. (Ver Anexo 4.5 y 4.5A)

D) AUDITORÍA DE LA ADMINISTRACION DEL SOFTWARE Objetivo: Asegurar que exista una Administración formal del software.

Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría

Informática” (Ver Anexo 4.2) 2. Se presenta a las diferentes áreas para identificar el software existente

(paquetes, lenguajes, sistemas de información, sistemas operativos, etc.), con

sus versiones, recopilando la información en “Control del Software Instalado” (Ver Anexo 4.9)

3. Verifica si existe una Administración formal del software, de ser así, solicita

documentación formal que especifique las funciones de Administración del

software. El Auditor Informático revisa la documentación y lleva “Control de Funciones de Administración del Software” detallando las tareas que se

efectúan para cada función y los responsables de efectuarlas. (Ver Anexo 4.10)

4. Revisa la documentación y verifica si las funciones desarrolladas en la

realidad, concuerdan con las funciones documentadas. En caso de no existir

Administración del software, cuestiona al encargado de informática cómo se

realizan las actividades respectivas a esta Administración, auxiliándose del

“Cuestionario de Administración del Software” Indica al personal

responsable y usuarios sobre, qué hacer y cómo llevar a cabo cada una de las

funciones de Administración del software. (Ver Anexo 4.11)

201

5. Verifica si existe personal externo interviniendo en las funciones de

Administración del software y solicita información sobre la especialización de

dicho personal y la razón por la que está participando.

6. Solicita el procedimiento que se utiliza para canalizar dudas, sugerencias y

compromisos entre los usuarios y los responsables de Administración del

software.

7. Cuestiona a la Administración acerca de cómo garantizar que el software que

se está utilizando es el idóneo para el desarrollo de las actividades.

8. Después de recopilar toda la información, desarrolla el “Informe Final de Auditoría Informática” (Ver Anexo 4.5 y 4.5A)

E) EVALUACIÓN DE SISTEMAS DE INFORMACIÓN DURANTE EL CICLO DE

DESARROLLO E IMPLANTACIÓN

Objetivo: Confirmar que el personal de desarrollo de sistemas de información

ejecuten el ciclo de vida de desarrollo e implantación, con el fin de que se asegure

calidad y productividad durante el desarrollo de dichos sistemas.

Responsable: Auditor Informático

1. Efectúa: “Procedimiento Básico para el Desarrollo de una Auditoría en Informática” (Ver Anexo 4.2)

2. Solicita el plan del proyecto del sistema de información, y verifica que las

fechas de realización del proyecto coincidan con la información proporcionada

en los planes.

3. Revisa en la documentación relativa al proyecto: objetivos, requisitos

generales, metodología, responsables y las restricciones de los recursos

(técnicos, humanos, presupuesto y otros). Recopila información, sobre:

descripción del proyecto, necesidad del proyecto, áreas afectadas, riesgos,

costos, ventajas que aporta, adaptación a los planes de la Institución. Solicita

información a la Administración o Encargado de Informática.

202

4. Revisa el plan del proyecto de desarrollo del sistema de información,

verificando que este se encuentre debidamente aprobado por la Alta

Dirección, la Administración y las áreas afectadas. En caso de no existir un

plan del proyecto, se solicita el procedimiento realizado para estudiar la

justificación, llevar a cabo el estudio de viabilidad del proyecto y quién tiene la

capacidad de aprobar formalmente la realización y prioridad del proyecto. Pide

información documentada existente a la Administración.

5. Investiga si existen procedimientos formales para asignar el personal y los

recursos materiales para el desarrollo de sistemas de información en el

proyecto y comprueba si estos son respetados. Si además existe contratación

de servicios externos, se debe comprobar que esté aprobado y se haga uso de

él, así como revisar que en dicho contrato se contemplen los riesgos más

frecuentes como la compatibilidad con los estándares establecidos en el área

de desarrollo y, en todo caso, revisar que se incorporen penalizaciones a

causa de incumplimiento de dicho contrato.

6. Verifica que las áreas afectadas con el proyecto participen en el desarrollo del

mismo, comprobando que los usuarios estén incluidos en un comité, el cual

realizará las siguientes actividades:

Periodicidad de reuniones mínimas y en cualquier caso que lo exija el

desarrollo del proyecto.

Revisar la marcha del proyecto

Asignar los recursos

Modificar la marcha del proyecto en caso de ser necesario.

7. Controla que sigan las etapas del ciclo de vida del proyecto y que se generen

todos los documentos asociados a la metodología usada, verificando que

antes de comenzar una nueva etapa se haya documentado la etapa previa,

haya sido revisada y aceptada. Además verifica que se esté respetando el plan

establecido y, en caso contrario, tomar las medidas oportunas o proceder a la

aprobación de una modificación del plan; así también, verifica que se respete el

uso de los recursos establecidos.

203

8. Revisa las pruebas del sistema de información y verifica que este cumpla con

las especificaciones establecidas en la etapa de análisis.

9. Verifica que los usuarios y la Alta Dirección aprueben formalmente el sistema

durante las pruebas, firmando y aceptando de conformidad el sistema, la

documentación respectiva (pedirá copia de dicha documentación).

10. Presencia la instalación del sistema y verifica que los usuarios reciban la

formación necesaria (fundamentalmente, manuales de usuario).

11. En caso de que existiera un sistema antiguo, verifica que el nuevo sistema

desarrollado se implante de forma coordinada con el retiro del antiguo sistema.

Para lo cual hay un periodo de funcionamiento en paralelo de ambos sistemas.

12. Verifica la consistencia de la información entre el sistema nuevo y el antiguo

durante la conversión de datos. Si el sistema antiguo se va a mantener para

obtener información, se dejará en operación en modo de sólo lectura.

13. Confirma la aceptación del sistema por parte de la Alta Dirección y usuarios a

través de documentación que ha sido firmada, la cual contendrá de forma

explicita la aceptación de la implantación correcta del sistema.

14. Realiza “Informe Final de Auditoría Informática” (Ver Anexo 4.5 y 4.5A)

F) DIAGNOSTICO DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE

INFORMACIÓN EN OPERACIÓN

Objetivo: Llevar un control de evaluación de los sistemas de información, ya que

son un elemento primordial de la organización (manejo de datos en las áreas

Financieras, Registro Académico, Compras, Informática, y administrativas para la

toma de decisiones).

Responsable: Auditor Informático

1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría Informática” (Ver Anexo 4.2)

2. Consulta a los usuarios de los diferentes sistemas de información en

operación y elabora una “Lista de Principales Sistemas de información y

204

Usuarios”, Determina cuáles fueron desarrollados por la empresa y cuáles

comprados a terceros, para saber cuál será la fuente principal de estudio, si

alguno requiere mayor evaluación. (Ver Anexo 4.12)

3. Se presenta donde los principales usuarios de cada sistema que se encuentran

en operación, toma como base los comentarios positivos o negativos de los

mismos con el fin de establecer los volúmenes de transacciones promedio.

4. Registra en formulario “Registro de Fallas o Regularidades de los Sistemas

o Equipo de Computo” todas las fallas y prioridades de operación (Ver

Anexo 4.13).

5. Solicita los informes de desempeño de los sistemas hechos con anterioridad a

los usuarios principales y si los sistemas son confiables, de calidad y

oportunos.

6. Anota la fecha de liberación de los sistemas y la última vez que se auditaron en

el formulario “Registro de Fallas o Regularidades de los Sistemas o Equipo de Computo”. Esto permite valorar la posibilidad y grado de riesgo.

(Ver Anexo 4.13)

7. Solicita se le proporcione una maquina para revisar la configuración del

equipo donde se encuentran instalados los sistemas y estudia la integración a

otros sistemas de información. Los hallazgos encontrados en la revisión del

equipo se detallan en “Registro de Fallas o Regularidades de los Sistemas

o Equipo de Cómputo”

8. Corrobora información recabada, De no existir observaciones, ordena la

información recopilada en dicha evaluación, caso contrario, verifica

observaciones y realiza correcciones.

9. Elabora “Informe Final de Auditoría Informática” (Ver Anexo 4.5 y 4.5A)

G) EVALUACIÓN SOBRE LA LEGALIZACIÓN DEL SOFTWARE Objetivo: Asegurar que la Institución mantenga software debidamente autorizado

y evitar las sanciones que corresponden a este tipo de infracciones, minorizando

riesgos.

205

Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría

Informática” (Ver Anexo 4.2) 2. Realiza procedimientos de adquisición de software y revisa si en dichos

procedimientos se contempla que cada programa de software adquirido posea

su respectiva autorización de uso.

3. Solicita documentación sobre autorización de uso del software adquirido; es

decir, contratos o licencias que autorizan legalmente la utilización del software.

4. Revisa los tipos de contratos que posee la Institución y las condiciones (quién

/ como) bajo las cuales se puede utilizar el software. El auditor informático

realiza su propio “Control de Legalización de Software” (Ver Anexo 4.14).

5. Verifica que se estén cumpliendo las condiciones de utilización del software

que establecen los contratos, a través de la comparación del uso actual del

software y el estipulado en el contrato.

6. Analiza de acuerdo a la información recopilada, si la Institución se encuentra

expuesta a sanciones y riesgos, como:

Virus.

Discos dañados.

Software defectuoso.

Documentación inadecuada.

Imposibilidad de beneficiarse con ofertas o actualizaciones del software.

7. Elaboración “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y

4.5A)

206

MANUAL DE SEGURIDAD

A. AUDITORÍA DE SEGURIDAD DE LOS RECURSOS INFORMATICOS

B. AUDITORÍA DE SEGURIDAD DEL AREA DE INFORMATICA

C. AUDITORÍA DE SEGURIDAD FISICA Y DE HARDWARE

D. AUDITORÍA DE SEGURIDAD DE APLICACIONES DEL SOFTWARE

207

A) AUDITORÍA DE SEGURIDAD DEL AREA DE INFORMATICA

Objetivo: Verificar que existan políticas y procedimientos relativos a la seguridad

del área de informática.

Responsable: Auditor Informático

1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría Informática”. (Ver Anexo 4.2)

2. Verifica si se han adoptado medidas de seguridad en el área de informática,

tomando como referencia las políticas de seguridad establecidas para el uso

adecuado de los equipos.

3. De existir medidas de seguridad verifica qué operaciones han sido cubiertas.

4. Corrobora que los controles establecidos para el acceso a los equipos

informáticos sean los adecuados y se estén cumpliendo para tal caso, se

apoya en información obtenida.

5. Verifica el tipo de protección física que se le ha dado a los archivos

magnéticos, que garantice su integridad en caso de algún desastre (incendio,

inundaciones, etc.)

6. Comprueba que la operación del equipo de computación se esté realizando

basándose en procedimientos de operación establecidos.

7. Consulta al Administrador y Encargado de Informática si cuentan con contratos

de seguros contra robos e incendios que garanticen la operatividad del las

áreas.

8. Ordena toda la información recabada en la evaluación.

9. Elaborar “Informe Final de Auditoría Informática” (Ver Anexo 4.5 y 4.5A)

B) AUDITORÍA DE SEGURIDAD FISICA Y DE HARDWARE

Objetivo: Verificar que existan planes, políticas y procedimientos relacionados a la

seguridad física y del hardware de la Institución.

208

Responsable: Auditor Informático 1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría

Informática” (Ver Anexo 4.2) 2. Consulta al Administrador y Encargado de informática si cuentan con

procedimientos que describan el uso y protección del hardware así como de la

seguridad física. 3. De contar con procedimientos, los solicita para verificar que se estén aplicando

adecuadamente. 4. De no contar con procedimientos consulta al Administrador o Encargado de

Informática cómo lo realizan.

5. Verifica la ubicación del Equipo Informático especialmente los que están en

zona de paso, de acceso público, etc.

6. Consulta a Administrador y Encargado de Informática si cuentan con controles

de accesos físicos para agentes externos o casuales.

7. Verifica que haya protección de los soportes magnéticos en cuanto a acceso, a

almacenamiento y posibles transportes.

8. Comprueba si cuentan con un sistema de inventario y protección de

documentos impresos.

9. Ordena la información recopilada en la evaluación.

10. Elabora “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)

C) AUDITORÍA DE SEGURIDAD DE APLICACIONES DEL SOFTWARE

Objetivo: Identificar que técnicas se emplean para restringir el acceso a

programas de aplicación y la documentación relacionada.

Responsable: Auditor Informático 1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría

Informática” (Ver Anexo 4.2)

209

2. Consulta a Administrador y Encargado de Informática si cuentan con

procedimientos de uso y protección de software. De contar con dichos

procedimientos, los solicita y verifica si se están aplicando de acuerdo a lo

establecido en ellos y que estén tomando en cuenta lo siguiente:

Administración de software Cuantificación del software (original y copia) Uso del software Acceso al software Autorización del software

3. De no contar con procedimientos de uso y protección del software, consulta al

Administrador y Encargado de Informática, cuáles son las actividades que

realiza para tal función y cómo las dan a conocer a los usuarios de

aplicaciones del software.

4. Verifica que la salida e ingreso del software sea controlado a través de

políticas, las cuales solicita, para corroborar si se están cumpliendo y que al

menos abarquen:

Revisión (contenido, cantidad, destino)

Registro formal en la Institución

Aprobación por el Responsable de Informática y Administrador

Registro de quién y a qué hora lo extrajo.

Revisión si fue devuelto en las mismas condiciones que salió.

5. Corrobora que los sistemas de información cuenten con la seguridad mínima

requerida a través de procedimientos y controles que contemplen al menos:

Procedimiento de uso de la computadora

Niveles de acceso (perfil de usuarios).

Procedimiento de uso de los módulos de los sistemas.

Para tal evaluación solicita dichos procedimientos al Administrador y

Encargado de Informática.

6. Si existieran Manuales de Usuarios, los solicita, para verificar que cumplan

con los estándares establecidos por la Institución.

210

7. Verifica que se cuente con un procedimiento formal para asegurar que los

cambios efectuados en los sistemas sean al menos:

Justificados, es decir por requerimientos de usuarios.

Probados antes de trasladarlos operación

Revisados por la Auditoría.

Aprobados por los responsables correspondientes.

8. Consulta al Administrador y Encargado de Informática, si tienen definidos los

responsables de modificar los programas fuente de los sistemas y que técnicas

utilizan para asegurar que sólo ellos tienen acceso a dichos programas, ya que

de ello depende la integridad de los mismos.

9. Solicita al Administrador, los procedimientos de respaldo de los programas

fuentes, documentación y archivos de operación para corroborar que se estén

aplicando adecuadamente.

10. Elabora “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)

211

MANUAL DE MANTENIMIENTO DE HARDWARE Y SOFTWARE

A) AUDITORÍA AL MANTENIMIENTO DE LOS SISTEMAS DE

INFORMACION

B) AUDITORÍA AL MANTENIMIENTO DEL HARDWARE

212

A. AUDITORÍA AL MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION

Objetivo: Preservar los sistemas desarrollados, así como prevenir la pérdida o

destrucción accidental de programas o la introducción intencional de cambios no

autorizados a los programas de los sistemas.

Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de Auditoría

Informática” (Ver Anexo 4.2)

2. Identifica las técnicas que se emplean para asegurar razonablemente que los

cambios a programas de los sistemas de aplicaciones sean autorizados y

aprobados.

3. Identifica, a través de los procedimientos, quién puede iniciar una solicitud de

modificación a los sistemas, así como de quién puede autorizarlos. 4. Verifica que la petición de cambio a los sistemas de información esté

debidamente documentada, aprobada y autorizada para todos los cambios en

las aplicaciones del sistema que sufrirá modificaciones. Además, revisa que la

documentación muestre las razones de los cambios.

5. Revisa que las modificaciones realizadas estén documentadas detallando los

cambios realizados y en proceso.

6. Revisa que los cambios en aplicaciones de sistemas se sometan a las pruebas

correspondientes y que estas sean aprobadas.

7. Verifica que toda la documentación revisada se archive a fin de proveer un

registro de cambios a programas. Se debe tener en cuenta que, el

mantenimiento de sistemas se basa en tres actividades principales, las cuales

son:

Comprensión del cambio a realizar.

Modificación o realización del cambio.

Prueba de corrección del cambio realizado.

213

8. Una vez recopilada la información requerida, elabora el “Informe Final de

Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)

B) AUDITORÍA AL MANTENIMIENTO DEL HARDWARE

Objetivo: Comprobar que se cuente con políticas y procedimientos formales

relativos al mantenimiento preventivo y correctivo del hardware.

Responsable: Auditor Informático 1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría

Informática” (Ver Anexo 4.2) 2. Consulta al Administrador y Encargado de Informática, sobre los

procedimientos para el manejo adecuado del equipo. 3. Consulta si se cuenta con un inventario del hardware tanto del área de

informática como de áreas usuarias.

4. De contar con inventario, valida que este sea real comparándolo con el

inventario físico.

5. De no contar con inventario, consulta al Administrador y Encargado de

Informática cómo controlan la existencia del mismo. Investigar si lo hacen con

inventario automatizado (software) o en base a las compras.

6. Verifica que los procedimientos para dar mantenimiento al hardware,

contemplen como mínimo:

Desarrollo de las actividades de mantenimiento preventivo / correctivo.

Responsables de la ejecución, seguimiento y autorización del

mantenimiento.

Identificación de los recursos de hardware que recibirán mantenimiento.

Permitiendo que el equipo brinde un mejor rendimiento a los usuarios y evitar

en gran medida los problemas del mantenimiento.

7. Verifica si la actualización del hardware es porque las áreas administrativa o

informática lo solicitan (mal desempeño, capacidad de memoria, etc.) o porque

214

los proveedores lo sugieren, con el fin de corroborar que dicha actualización no

sea innecesaria o redunden en costo para la Institución.

8. Elabora el “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y

4.5A)

215

MANUAL DE POLÍTICAS

A) PARA LA ADMINISTRACION DE LA AUDITORIA INFORMATICA.

B) RELATIVAS AL SOFTWARE.

C) RELATIVAS A SEGURIDAD.

D) RELATIVAS AL HARDWARE.

E) RELATIVAS AL MANTENIMIENTO.

216

A) POLÍTICAS PARA LA ADMINISTRACIÓN DE LA AUDITORÍA INFORMATICA

Objetivo: Mostrar los lineamientos a ser cumplidos por el Auditor Informático,

permitiendo conocer las normas a las cuales estarán sometidos los diferentes

usuarios de los equipos informáticos.

A.1 Elementos de la Administración de la función de Auditoría Informática.

1. Planeación 1.1 La Administración de la función de Auditoría informática, deberá coordinarse

con la Administración para observar, comentar, definir y programar los planes

de Auditoría informática conjuntos.

1.2 Establecer fechas de reuniones formales e informales para dar seguimiento

a los planes de compromiso conjunto.

1.3 Será necesario para toda planeación de la Auditoría informática que el

personal que intervenga sea multidisciplinario, al cual se le exija la

optimización de recursos (eficiencia) y se le retribuya o compense justamente

por su trabajo.

1.4 Toda planeación de Auditoría informática deberá contar con los siguientes

elementos:

a) Etapa

b) Tareas

c) Actividades

d) Costo / beneficio

e) Responsables de cada actividad

f) Revisiones formales e informales

g) Técnicas para ejecutar actividades

h) Herramientas para realizar las actividades del proyecto

217

2. Recurso Humano 2.1 Relacionado al Trabajo

⇒ El personal que realice la Auditoría informática no deberá realizar

actividades ajenas al servicio de la Institución durante la jornada de trabajo.

⇒ El auditor debe realizar y preparar el informe de Auditoría con el debido

cuidado y diligencia, sin omitir ningún aspecto que luego pueda desvirtuar

los resultados de la Auditoría. También, debe expresar juicios razonables,

valederos y debidamente sustentados en una labor técnica.

⇒ Todo trabajo de Auditoría informática debe ser desarrollado por personas

que posean en su conjunto competencia técnica, entrenamiento,

capacitación, y experiencia suficiente para aplicar en forma debida y

adecuada las técnicas y procedimientos de Auditorías.

⇒ Seleccionar una contraseña difícil de descifrar, que no tenga relación obvia

con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones

parecidas.

⇒ Proteger meticulosamente su contraseña y evitar que sea vista por otros en

forma inadvertida.

⇒ Reportar a su jefe inmediato cualquier evento que pueda comprometer la

seguridad de la Institución y sus recursos informáticos, como por ejemplo

contagio de virus, intrusos, modificación o pérdida de datos y otras

actividades poco usuales.

2.2 Relacionado al Comportamiento

⇒ El Auditor Informático no deberá proporcionar, salvo autorización expresa,

información concerniente a asuntos de su labor, especialmente la que sea

de naturaleza reservada y cuya divulgación pueda ocasionar perjuicios a la

Institución.

218

⇒ No permitir y no facilitar el uso de los sistemas informáticos de la Institución

a personas no autorizadas.

⇒ El auditor externo debe mantener y mostrar en todo momento una actitud

mental independiente en relación con el personal, las actividades y

operaciones de la Institución auditada.

2.3 Relacionado al Control

⇒ Toda labor de Auditoría en informática deberá planearse de manera

adecuada desde la formulación del programa de trabajo hasta la redacción

del Informe Final, incluyendo la información por recopilar, desarrollo de

cuestionarios, las técnicas, distribución de trabajo y los procedimientos que

se han de aplicar en la ejecución de la Auditoría y la comunicación de

resultados a los directivos. Desde luego estableciendo un nivel de

supervisión permanente y adecuado para revisar el trabajo encomendado a

los integrantes de la Auditoría informática por parte del encargado de la

misma.

⇒ Se deberá contar con un comité de control y seguimiento integrado por la

alta dirección, responsables directos de la Auditoría y encargados de las

áreas funcionales.

B) POLÍTICAS RELATIVAS AL SOFTWARE 1. Será necesario que para la elaboración de los sistemas de información se

cuente con un plan estratégico y con el adecuado señalamiento de prioridades

y de sus objetivos.

2. En todo proceso de planeación de sistemas de información, deberá asegurarse

de que todos los recursos (hardware, software, comunicaciones, etc.)

requeridos estén claramente identificados en el plan de desarrollo de

aplicaciones y que sean compatibles con la arquitectura y la tecnología con

que se cuenta actualmente en la Institución.

219

3. Los sistemas de información deben ser desarrollados de acuerdo al ciclo de

vida de los sistemas.

4. Se debe analizar si los sistemas de información son factibles de realizar, cuál

es su relación costo / beneficio y si es recomendable elaborarlos.

5. Será necesario que se investiguen el costo de desarrollar un sistema,

considerando el costo de los programas, uso de los equipos (pruebas,

paralelos, comparaciones), tiempos, personal y operación.

6. Para todo diseño lógico, se deberá comparar lo planeado contra lo que

realmente se está obteniendo.

7. Verificar que todo sistema de información debe proporcionar información para

planear, organizar y controlar de manera eficaz y oportuna, para reducir la

duplicidad de datos, reportes y obtener una mayor seguridad en la forma más

económica.

8. Los sistemas de información deben ser:

a) Dinámicos (susceptibles para ser modificados)

b) Estructurados (los componentes o subsistemas deben actuar como un

todo)

c) Integrados (un solo objetivo)

d) Accesibles (disponibles)

e) Necesarios (que se pruebe su utilización)

f) Comprensibles (que contenga todos los atributos)

g) Oportunos (la información esté en el momento que se requiere)

h) Funcionales (que proporcionen la información adecuada a cada nivel)

i) Estándares (que la información tenga la misma interpretación en los

distintos niveles)

j) Modulares (facilidad para ser expandidos o reducidos)

k) Seguros (que sólo las personas autorizadas tengan acceso)

l) Jerárquicos (por niveles funcionales)

m) Únicos (que no duplique información)

220

9. Será necesaria una comunicación completa entre usuarios y responsables del

desarrollo de los sistemas de información, para que éste cumpla con los

requerimientos.

C) POLÍTICAS RELATIVAS A SEGURIDAD

C.1 SEGURIDAD DEL SOFTWARE 1. Existencia de sistemas simultáneos (paralelos) que permitan pasar de un

equipo a otro en forma instantánea y tener así sistemas no interrumpibles.

2. Monitorear la protección de los sistemas de información a través de paquetes

de control contra accesos no autorizados.

C.2 SEGURIDAD EN EL PERSONAL 1. Se deberá evaluar que las áreas funcionales cuenten con políticas adecuadas

de vacaciones y de reemplazo, que eviten dependencias con algunas personas

sin arriesgar el funcionamiento de la Institución.

2. Será necesario contar con políticas de rotación de personal que disminuya la

posibilidad de fraude.

3. Se deberá procurar evaluar la motivación del personal, ya que un empleado

motivado normalmente tiene un alto grado tanto de lealtad como de

rendimiento y disminuirá la posibilidad de ataques intencionados a la

Institución.

4. Contratar personal debidamente investigado.

C.3 SEGURIDAD FÍSICA 1. Se deberá evaluar que toda la Institución cuente con detectores de humo que

indiquen la posible presencia de fuego y mantener limpios los ductos de aire

acondicionado evitando el polvo.

221

2. Velar porque los extintores se estén revisando para poder ser utilizados; es

decir, estén recargados, de fácil acceso y de buena calidad.

3. Velar porque se estén realizando capacitaciones al personal para el uso de los

equipos contra incendio y realizar prácticas en cuanto a su uso.

4. Se deberá verificar que la Institución cuente con suficientes salidas de

emergencia señaladas y que estén debidamente controladas para evitar robos.

5. Realizar simulacros.

C.4 SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO 1. Los computadores de la Institución sólo deben usarse en un ambiente seguro.

Se considera que un ambiente es seguro cuando se han implantado las

medidas de control apropiadas para proteger el software, el hardware y los

datos. Esas medidas deben estar acorde a la importancia de los datos y la

naturaleza de riesgos previsibles.

2. Los equipos de la Compañía sólo deben usarse para actividades de trabajo y

no para otros fines, tales como juegos y pasatiempos.

3. Será necesario que se restrinja el acceso a los programas y a los archivos de

la Institución.

4. Toda transferencia de información entre las diferentes funciones de un sistema

deberá ser registrada.

5. Contar con copias de los archivos y programas en diferentes lugares y sean

ubicados en instalaciones seguras.

6. Será necesario que se cuente con un estricto control sobre la entrada y salida

de equipo.

7. Debe respetarse y no modificar la configuración de hardware y software

establecida por la Institución

8. No se permite fumar, comer o beber mientras se está usando una PC.

9. Deben protegerse los equipos de riesgos del medioambiente (por ejemplo,

polvo, incendio y agua).

222

10. Deben usarse protectores contra transitorios de energía eléctrica y en los

servidores deben usarse fuentes de poder ininterrumpibles (UPS).

11. Cualquier falla en los computadores o en la red debe reportarse

inmediatamente ya que podría causar problemas serios como pérdida de la

información o indisponibilidad de los servicios.

12. Deben protegerse los equipos para disminuir el riesgo de robo, destrucción, y

mal uso. Las medidas que se recomiendan incluyen el uso de vigilantes y

cerradura con llave.

13. Los equipos deben marcarse para su identificación y control de inventario. Los

registros de inventario deben mantenerse actualizados.

14. No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un

equipo fuera de la Institución se requiere una autorización escrita.

15. La pérdida o robo de cualquier componente de hardware o programa de

software debe ser reportada inmediatamente.

16. Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser

vistos por otras personas mediante disposición apropiada del mobiliario de la

oficina y protector de pantalla. Cuando ya no se necesiten o no sean de

utilidad, los datos confidenciales se deben borrar.

17. Debe implantarse un sistema de autorización y control de acceso con el fin de

restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o

borrar datos importantes. Estos privilegios deben definirse de una manera

consistente con las funciones que desempeña cada usuario.

18. No está permitido llevar al sitio de trabajo computadores portátiles (laptop) y en

caso de ser necesario se requiere solicitar la autorización correspondiente.

19. A menos que se indique lo contrario, los usuarios deben asumir que todo el

software la Compañía está protegido por derechos de autor y requiere licencia

de uso. Por tal razón es ilegal y está terminantemente prohibido hacer copias o

usar ese software para fines personales..

20. Los usuarios no deben copiar a un medio removible (como un diskette), el

software o los datos residentes en las computadoras de la Institución, sin la

aprobación previa de la Administración.

223

21. Sólo pueden bajarse archivos de redes externas de acuerdo a los

procedimientos establecidos. Debe utilizarse un programa antivirus para

examinar todo software que venga de afuera o inclusive de otros

departamentos de la Institución.

22. No debe utilizarse software bajado de Internet y en general software que

provenga de una fuente no confiable, a menos que se haya sido comprobado

en forma rigurosa y que esté aprobado su uso por la Administración.

23. No deben usarse diskettes u otros medios de almacenamiento en cualquier

computadora de la Institución a menos que se haya previamente verificado que

están libres de virus u otros agentes dañinos.

24. La información de la Institución clasificada como confidencial o de uso

restringido, debe guardarse y transmitirse en forma cifrada, utilizando

herramientas de encriptado robustas y que hayan sido aprobadas por la

Administración.

25. Siempre que sea posible, debe eliminarse información confidencial de los

computadores y unidades de disco duro antes de que les mande a reparar. Si

esto no es posible, se debe asegurar que la reparación sea efectuada por

empresas responsables, con las cuales se haya firmado un contrato de

confidencialidad. Alternativamente, debe efectuarse la reparación bajo la

supervisión de una representante de la Institución.

D) POLÍTICAS RELATIVAS AL HARDWARE 1. Todo equipo deberá ser ubicado en un lugar que no esté expuesto a la luz

directa del sol.

2. Será necesario que se mantenga limpia y ordenada el área donde se

encuentra ubicado el equipo

3. Verificar que todo equipo no sea desarmado, ni abierto por personal no

autorizado

224

4. Deberá verificarse que las armaduras eléctricas de los toma corrientes, estén

polarizados (que tengan tierra física) para evitar que la variación en el voltaje

dañe el equipo.

5. Será necesario que se realice servicio preventivo al equipo de cómputo por lo

menos tres veces al año.

6. Para toda adquisición de equipo de computación se deberá solicitar por escrito

a la autoridad superior y deberá verificar la razón de dicho requerimiento.

7. Se tendrá que considerar la asignación presupuestaria que permita cubrir el

pago del bien a adquirir y Auditoría velará porque se cumpla dicho

presupuesto.

8. Para toda compra de equipo de cómputo se deberá verificar el lapso de tiempo

que cubre la garantía, servicio técnico, cotizaciones con el IVA incluido y

asesoramiento, así como el precio en plaza.

E) POLÍTICAS RELATIVAS AL MANTENIMIENTO

1. Para cualquier tipo de contrato de mantenimiento se deberá analizar cuál es el

que más conviene a la Institución y revisar con detalle que las cláusulas del

contrato estén perfectamente definidas en las cuales se elimine toda

subjetividad y con señalización en caso de incumplimiento para evitar contratos

que sean parciales.

2. Deberá definirse un plan de mantenimiento acorde de antemano, entre el

usuario y el responsable, considerando lo siguiente:

a) Alcances del mantenimiento

b) Identificación del estado inicial del producto

c) Actividades de mantenimiento

d) Registros y reportes de mantenimiento

El auditor deberá verificar que se cumpla.

3. Deberá efectuarse un mantenimiento periódico a los recursos informáticos que

garantice la continuidad de las operaciones de la Institución; con un debido

monitoreo por parte del auditor.

225

4. Será necesario que el auditor asegure a traves de evaluaciones que el

mantenimiento sea preventivo, más que correctivo.

3.4 Plan de Contingencia

Para las instituciones es importante contar con una seria de lineamientos que le

faciliten dar solución a las dificultades que se presenten en un futuro. Para lo cual

se vuelve necesario contar con un plan de contingencia que les permita tomar

decisiones oportunas de acuerdo a la situación acaecida.

A. AUDITORÍA DE SEGURIDAD DEL PLAN DE CONTINGENCIAS Y DE RECUPERACION

Objetivo: Asegurar que existan planes, políticas y procedimientos relativos a la

seguridad de contingencias para el funcionamiento continuo de las operaciones de

la Institución.

Responsable: Auditor Informático 1. Realiza “Procedimiento Básico para el Desarrollo de una Auditoría

informática” (Ver Anexo 4.2)

2. Consulta a Encargado de Informática si cuentan con planes de contingencias y

de recuperación de operaciones en casos de desastres. 3. De contar con planes, los solicita para verificar que los recursos considerados

básicos importantes o necesarios tengan los métodos de seguridad para

prevenir y enfrentar contingencias.

4. De no contar con planes de contingencias y de recuperación de operaciones, le

consulta a Administrador y Encargado de Informática, que método utilizarían o

cómo considerarían ellos enfrentar dicha situación en dado caso se diera y

quiénes son los responsables. 5. Corrobora a través de entrevista que el plan haya sido difundido formalmente

en toda la organización y que se haya elaborado junto con todo el personal.

226

6. Consulta al Administrador y Encargado de Informática si se ha capacitado al

personal en cuanto a la aplicación de los procedimientos y si se han llevado a

cabo simulaciones de dicho plan. De tal manera que el plan de contingencia y

recuperación cumpla con las necesidades y vaya acorde a lo real.

7. Una vez evaluada la seguridad de contingencias y recuperación de

operaciones, ordena la información recabada.

8. Elabora “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)

B. AUDITORÍA AL RECURSO HUMANO

Objetivo: Determina si se cuenta con el personal adecuado para ejecutar las

funciones del área de informática, con el fin de mantener calidad en el servicio que

esta ofrece a la Institución.

Responsable: Auditor Informático

1. Lleva a cabo “Procedimiento Básico para el Desarrollo de una Auditoría informática” (Ver Anexo 4.2)

2. Revisa “Cuestionario Evaluación al Recurso Humano” y posteriormente

confirma entrevista con el personal a entrevistar. (Ver Anexo 4.15)

3. Se presenta a las áreas para conocer los procedimientos utilizados para cubrir

vacantes, ya sea por promoción interna, búsqueda directa de personal externo,

utilización de empresas de selección de personal, etc.

4. Evalúa si la selección del personal se basa en criterios objetivos, tomando en

cuenta: formación profesional, experiencia y niveles de responsabilidades

anteriores.

5. Realiza “Entrevista Evaluación al Recurso Humano” al personal de las

áreas para determinar sus conocimientos acerca de sus responsabilidades

asociadas a su puesto y los estándares de rendimiento.

6. Solicita los procesos de identificación de las necesidades de formación para los

empleados.

227

7. Determina necesidades de formación de los empleados en base a puesto de

trabajo, experiencia, responsabilidad y desarrollo, así como, sí las

capacitaciones que son impartidas, son de acuerdo con la tecnología de los

sistemas de información de la Institución.

8. Después de recopilar la información necesaria elabora “Informe Final de Auditoría en Informática” (Ver Anexo 4.5 y 4.5A)

4 Etapa IV: Plan de Implantación y Evaluación del Modelo de Auditoría TI 4.1 Objetivos 4.1.1 Objetivo General

Orientar e indicar a los Centros Educativos Biculturales de El Salvador sobre

cuáles son las instrucciones que se deben de seguir para llevar a cabo la puesta

en marcha (implantación) del Modelo de Auditoría TI, en las áreas funcionales.

4.1.2 Objetivo Específico

a) Que los Centros Educativos Biculturales de El Salvador, cuenten con un

Modelo de Auditoría TI que les ayude a evaluar y controlar el buen uso de los

recursos tecnológicos.

b) Poseer una herramienta que les permita detectar fallas o irregularidades en el

uso de la tecnología y procesamiento de la información.

c) Proporcionar una serie de políticas y procedimientos que les permitan regular

las diferentes actividades relacionadas con el uso de la tecnología.

4.2 Presentación de la Propuesta

Se efectuará la presentación del Modelo de Auditoría TI, a las Altas Autoridades

de los Centros Educativos Biculturales, donde se le les notificará sobre todas las

irregularidades que se han encontrado en el interior de los Centros Educativos

228

Biculturales después de realizada la investigación de campo, las cuales pueden

ocasionar la pérdida de información y el mal uso de los recursos tecnológicos.

Adicionalmente, se les hará conciencia en aspectos tales como:

• Casos actuales de Fraude Computacional

• Casos de sanciones por trabajar con programas no autorizados (no cuentan

con una licencia que respalde su uso).

• La importancia de contar con personal capacitado en el buen uso y manejo de

los recursos informáticos.

• La importancia de contar con un plan de capacitación continúa para los

empleados.

4.3 Revisión y Autorización de la Propuesta

Presentado el Modelo de Auditoría TI y habiendo realizado un análisis del mismo y

concientes que este ayudará a mejorar el uso de los equipos informáticos y un

buen desempeño por parte de los empleados en su actividades, el Administrador

y/o Junta Directiva estarán a cargo de la autorización para desarrollar el Plan de

Implementación en las áreas funcionales (administrativa e informática) de los

Centros Educativos Biculturales de El Salvador.

4.4 Puesta en Marcha del Modelo de Auditoría TI Para la realización de la puesta en marcha del Modelo de Auditoría TI se

efectuarán las siguientes actividades:

4.4.1 Divulgación del Modelo La divulgación del Modelo se realizará mediante una sesión donde se les

informará a los encargados de las áreas funcionales (administrativa e informática)

sobre la aplicación del Modelo. Posteriormente, se les notificará a los empleados

229

mediante comunicaciones internas donde a la vez se les solicitará la colaboración

para que se integren.

4.4.2 Capacitación Se capacitará al personal de las áreas funcionales de los Centros Educativos

Biculturales en cuanto a:

• Buen uso de los recursos tecnológicos.

• Forma de realizar actualizaciones de software.

• Realización de copias de respaldo.

• Medidas de protección de los recursos tecnológicos.

• En las sub-áreas que el Informe de Auditoría reporte deficiencias, se

brindará asesoría con el propósito de solventarlas.

4.4.3 Condiciones para Implantar el Modelo

Entre las condiciones básicas requeridas para la implantación del Modelo de

Auditoría TI se pueden mencionar:

a) Se requiere de la existencia de una persona encargada para realizar la

Auditoría.

b) Se requiere que el personal encargado cumpla con el perfil establecido dentro

de la Propuesta.

c) Revisar periódicamente cuáles son las necesidades de conocimiento de los

empleados involucrados.

d) Existencia de un plan de retroalimentación para los empleados referente al

Modelo.

e) Capacitar al personal involucrado sobre la forma de trabajo del Modelo.

f) Orientar al cumplimiento de las estrategias y responsabilidades dentro del

Modelo.

g) Realizar validaciones de condiciones para la asignación de trabajo.

230

4.4.4 Responsables de la Implantación

La implantación será responsabilidad del Administrador de cada uno de los

Centros Educativos Biculturales con el apoyo del encargado de informática

(profesor de computación) y en presencia del auditor, de tal forma que el proceso

sea más seguro y se pueda dar cumplimiento a los lineamientos establecidos.

4.4.5 Acciones para la Implantación del Modelo de Auditoría TI

Las acciones para la implantación son presentadas para facilitar la puesta en

marcha del Modelo de Auditoría TI y son detalladas a continuación:

1. Informar a los empleados de los Centros Educativos Biculturales de El

Salvador sobre la forma de trabajar del Modelo.

2. Realizar reuniones con el personal involucrado y con el auditor para definir las

actividades a desarrollar de acuerdo al Modelo. Para la realización de las

reuniones se recomienda utilizar el “Organizador de Reuniones”. (Ver Anexo

4.16).

3. Evaluar los conocimientos del personal de las áreas funcionales (administrativa

e informática) acerca del software, hardware y seguridad que serán el soporte

para la adecuada implantación del Modelo.

4. Realizar una prueba piloto para anticipar errores o aspectos no considerados

para la puesta en marcha del Modelo de Auditoría TI.

4.5 Presupuesto de Implantación del Modelo de Auditoria TI

A continuación se presenta en el cuadro los recursos, humanos, materiales y

financieros para la implantación del Modelo de Auditoría TI en las áreas

231

funcionales (área administrativa y área informática) de los Centros Educativos

Biculturales.

DESCRIPCION CANTIDAD VALOR A PAGAR INVERSION

Recurso Humano

Auditor 1 $ 964.11 $ 1,928.22

Capacitador 1 $ 409.71 $ 819.42

Recursos Materiales

Licencias de Windows XP 7 $ 400.00 $ 2,800.00

Licencias de Office 7 $ 550.00 $ 3,850.00

Otros

Papelería y Útiles

Resma papel bond carta 2 3.04 $ 6.08

Boligrafos 10 0.1 $ 1.00

Folders Carta 10 0.04 $ 0.40

Tinta para impresor Canon BC-02 2 20.91 $ 41.82

Viñetas (paquete) 1 0.94 $ 0.94

Caja de Fasteners 1 0.99 $ 0.99

Engrapadoras 1 4.95 $ 4.95

Perforadora 1 4.3 $ 4.30

$ 60.48

Equipo Tecnológico para Presentación

Laptop, proyector de multimedia. $ 700.00

SUB-TOTAL $ 10,158.12

Imprevistos (10%) $ 1,015.81

TOTAL $ 11,173.93

Tabla No. 1: Presupuesto de Implantación del Modelo de Auditoria TI

NOTA: Los salarios de auditor y capacitador son mensuales, y los datos fueron adquiridos de la tabla

de Remuneraciones promedio mensuales de FUSADE.

232

4.6 Análisis COSTO-BENEFICIO El Analisis Costo –Beneficio es un procedimiento que se utiliza para formular y

evaluar programas o proyectos, consistente en la comparación de costos y

beneficios, con el propósito de que estos últimos excedan a los primeros pudiendo

ser de tipo monetario o social, directo o indirecto. El objetivo consiste en identificar

y medir las pérdidas y las ganancias en el bienestar económico que recibe la

sociedad en su conjunto.

FORMA DE FINANCIAR EL PROYECTO

COSTOS Inversión Inicial $ 11,173.93

Propuesta de Recuperación: 1.Mantener como mínimo una población estudiantil de 300 alumnos; pagando una

matrícula de $480.00

2. Dividir la Inversión inicial entre la población estudiantil y aplicar el incremento

en la matricula. ( La matrícula se realiza durante los meses de mayo a junio)

3. El incremento sería de $37.25; este resultado se obtiene de dividir:

INV.INICIAL / Nº ALUMNOS= $11,173.93 / 300

4. PERIODO DE RECUPERACION: 2 meses

Esto debido a que en los Centros Educativos Biculturales el periodo estipulado

Para realizar la matricula es de 2 meses. BENEFICIOS: 1.Mejor uso del Recurso Informatico

2. Mejor control y seguridad de la informacion

3. Mejor calidad de trabajo de los empleados

4. Evita riesgos de multas y sanciones por no estar legales

233

4.7 Revisión y Evaluación de la Propuesta

Después de implantado el Modelo de Auditoría TI, el Auditor deberá evaluar en

forma periódica la eficiencia de las políticas y normas de control relativas al

Modelo; debe reagrupar todos los datos recopilados durante la verificación, a fin

de obtener una panorámica de todas las actividades relacionadas a la informática

y conducir a buen término las diversas etapas del Modelo de Auditoría TI. Cabe

mencionar que el Auditor puede auxiliarse de los formatos presentados en los

anexos y hacer uso de sus conocimientos profesionales para diseñar otros

formatos que le faciliten la fácil recolección de información con el fin de mejorar

día con día los procesos relacionados con la Auditoría Informática.

4.8 Seguimiento

El seguimiento se realizará tomando en cuenta las recomendaciones o

información recabada en los informes de Auditoría que se realicen, con el fin de:

a) Determinar el grado de cumplimiento de las recomendaciones

proporcionadas a través de los informes de Auditoría.

b) Realizar una presentación uniforme de todos los resultados obtenidos cada

vez que se realice el seguimiento de las actividades que se deben llevar a

cabo.

242

4.8 Cronograma de actividades

PRIMER MES SEGUNDO MES Semana 1 Semana 2 Semana 3 Semana 4 Semana 1 Semana 2 Semana 3 Semana 4

1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5

ETAPA I: Diagnostico.

Objetivo de la Etapa.

A. General.

Utilización de la Técnica del FODA. Análisis Situacional de las áreas funcionales

Descripción del análisis del FODA

Formas de realizar el análisis del FODA

Herramientas a Utilizar.

Cuestionario

Entrevistas

Observación directa.

Análisis de la Situación Actual de los Centros Educativos Biculturales.

Función Principal

Funciones especificas Personal a supervisar

ETAPA II: Planificación.

Objetivos de la Etapa.

Asignación de Responsabilidades. Financiero Operativo Técnico

Perfil del Puesto. Habilidades

Actitudes

Educación

DIAS ACTIVIDADES

243

PRIMER MES SEGUNDO MES Semana 1 Semana 2 Semana 3 Semana 4 Semana 1 Semana 2 Semana 3 Semana 4

1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 Conocimientos especiales.

Experiencia

Ubicación de la Auditoria dentro de la Estructura Organizativa de los Centros Educativos Biculturales en El Salvador.

ETAPA III: Desarrollo.

Objetivos de la Etapa.

General.

Descripción de Procedimientos. Objetivo

Normas Especificas:

Área Administrativa

Fondo de caja Chica

Proceso de Compras

Contratación de servicios

Registro Académico

Contratación de Personal

Área Informática,

Etapa Preliminar y de Justificación

Procedimiento 1: Elaboración del Plan de

Auditoria en Informática.

Elaboración de Manuales.

Introducción

Manual de Auditoria de Hardware y Software.

a) Auditoria de la Administración del Hardware.

b) Auditoria de Hardware Instalado.

DIAS ACTIVIDADES

244

PRIMER MES SEGUNDO MES Semana 1 Semana 2 Semana 3 Semana 4 Semana 1 Semana 2 Semana 3 Semana 4

1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 c) Auditoria de la Operación del Hardware.

d) Auditoria de la Administración del Software.

e) Evaluación de sistemas de información

durante el ciclo de desarrollo e Implantación.

f) Diagnostico de la situación actual de los

sistemas de información en operación.

g) Evaluación sobre la legalización del

software.

Manual de Seguridad.

a) Auditoria de Seguridad del área de informática.

b) Auditoria de Seguridad Física y de Hardware.

c) Auditoria de Seguridad de aplicaciones

del Software.

Manual de Mantenimiento de Hardware y de

Software.

a) Auditoria al Mantenimiento de los sistemas

de informática.

b) Auditoria del Mantenimiento del Hardware.

Manual de Políticas.

Políticas para la Administración de la función

de la auditoria en informática.

Políticas relativas al software.

Políticas relativas a seguridad.

Políticas relativas al Hardware.

Plan de Contingencia.

DIAS ACTIVIDADES

245

PRIMER MES SEGUNDO MES Semana 1 Semana 2 Semana 3 Semana 4 Semana 1 Semana 2 Semana 3 Semana 4

1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 A. Auditoria de seguridad del plan de

contingencias y de recuperación.

B. Auditoria del recurso humano.

C. Elaboración del informe final de

auditoria en informática.

ETAPA IV: Implantación. Objetivos del plan de Implantación.

A) General

B) Especifico.

Presentación de la Propuesta.

Revisión y Autorización de la Propuesta en marcha. Puesta en Marcha del Modelo de Auditoria TI.

a) Divulgación del modelo.

b) Capacitación.

c) Condiciones para implementar el modelo.

e) Acciones para la Implantación del Modelo

de Auditoria TI.

d) Responsables de la Implementación.

f) Presupuesto de Implementación del modelo

de auditoria TI.

g) Analisis COSTO - BENEFICIO.

h) Revisión y evaluación de la propuesta.

i) Seguimiento del Modelo.

DIAS ACTIVIDADES

246

CONCLUSIONES Después de haber realizado la investigación para la realización de la Tesis en los

Centros Educativos Biculturales se concluye lo siguiente:

1. Los Centros Educativos Biculturales están conformados por Medianas y Gran

empresa, lo cual facilita la implantación del Modelo de Auditoria TI, ya que

cuentan con el recurso financiero y humano necesario para adoptar e Implantar

el Modelo.

2. Los Centros Educativos Biculturales están divididos organizacionalmente en

dos áreas: La Docente y la Administrativa.

3. Los Centros Educativos Biculturales han incorporado a sus actividades tanto

administrativas como educativas la tecnología como herramienta de trabajo, la

cual consideran necesaria para el desarrollo de sus actividades diarias.

4. Los Centros Educativos Biculturales cuentan con equipos informáticos para la

realización de sus actividades , por lo que se considera que la Implantación del

Modelo de Auditoria TI, les servirá para controlar el buen uso de éstos y su

aprovechamiento optimo.

5. Los Centros Educativos Biculturales no tienen como política interna la mejora

continua en cuanto a recurso informático, lo que favorece la Implantación del

Modelo de Auditoria Ti; ya que éste puede convertirse en una guía a seguir

cuando se deseen hacer nuevas adquisiciones de equipo.

6. En los Centros Educativos Biculturales, el área Administrativa es la que

presenta deficiencia en cuanto al aprovechamiento óptimo de los recursos

tecnológicos y esto se debe a que el personal que labora dentro de estas áreas

no posee sólidos conocimientos informáticos.

7. La incorporación de la Auditoria dentro de los Centros Educativos Biculturales,

ayudara a la buena administración de los recursos; ya que ésta es una

herramienta importante dentro de las Instituciones. Puesto que permite

detectar fallas y proporciona soluciones o lineamientos con los cuales pueden

corregirse.

247

RECOMENDACIONES

Se recomienda a los Centros Educativos Biculturales:

1. La Implantación del Modelo de Auditoria TI, ya que este les servirá de ayuda

para aprovechar al máximo el recurso tecnológico con el que cuentan dentro

de sus instalaciones.

2. Crear conciencia en la Administración de los Centros Educativos Biculturales el

hecho de controlar, monitorear y mejorar continuamente la tecnología

informática que utilizan para la realización de sus actividades diarias.

3. Crear un programa de capacitación continua para el recurso humano, ya que

esta es de suma importancia y más cuando se trata de tecnología. Puesto que

ésta evoluciona aceleradamente.

4. Se considera importante el hecho de asignar la realización de la auditoria a una

entidad capacitada y sobre todo confiable. Ya que la información que se

procesa en Los Centros Educativos Biculturales se considera de mucha

importancia.

5. Que la Administración de los Centros Educativos Biculturales se interesen por

incorporar a sus procesos administrativos el Modelo de Auditoria TI, ya que

este les ayudara a controlar y regular todas las actividades relacionadas con la

tecnología.