El documento describe el Sistema de Gestión de Calidad implementado en las entidades públicas colombianas. La ley 872 de 2003 estableció la Norma Técnica de Calidad NTCGP 1000:2004 que determina los requisitos para este sistema. El Departamento Administrativo de la Función Pública brinda apoyo a las entidades en el diseño e implementación del sistema a través de guías y publicaciones. El sistema busca evaluar el desempeño institucional en términos de calidad y satisfacción ciudadana.
1. 22/06/2013
SISTEMA DE GESTIÓN DE CALIDAD
Normalización Sistema
El Sistema de Gestión de la Calidad es una filosofía adoptada por las
organizaciones para dirigir y evaluar el desempeño institucional orientado al
mejoramiento de los productos que se ofrecen al ciudadano.
El estado colombiano a través de la Ley 872 de 2003 dio origen a la Norma
Técnica de Calidad NTCGP 1000:2004, que determina los requisitos que las
entidades públicas deben cumplir para implementar el Sistema de Gestión de la
Calidad (SGC).
El Departamento Administrativo de la Función Pública, como ente facultado por la
Ley brinda apoyo y asesoría a las entidades de la administración pública, en el
diseño e implementación del Sistema de Gestión de la Calidad, a través de la
instrumentalización difusión y asesoría.
Dentro de las publicaciones que se pueden encontrar en el Departamento como
apoyo al proceso de implementación de este sistema, se pueden encontrar:
Norma Técnica de la Calidad en la Gestión Pública NTCGP 1000:2004,
actualizada a Versión NTCGP 1000:2009
Guía de Diagnóstico para la Implementar el Sistema de Gestión de la
Calidad en la Gestión Pública.
Guía de Planeación para Implementar el Sistema de Gestión de la
Calidad en la Gestión Pública.
Guía de Diseño para Implementar el Sistema de Gestión de la Calidad.
Guía de Evaluación NTCGP 1000:2004
2. Guía de implementación NTCGP 1000:2004
Armonización SGC-MECI
Normalización de Calidad en la Gestión
Dentro de la normatividad frente a este Sistema se encuentra, la Ley 872 de 2003,
mediante la cual crea el Sistema de Gestión de la Calidad en la Rama
Ejecutiva del Poder Público y en otras entidades prestadoras de servicios, como
una herramienta de gestión sistemática y transparente que permita evaluar el
desempeño institucional en términos de calidad y satisfacción social en la
prestación de servicios a cargo de las entidades y agentes obligados.
A través del Decreto 4110 de 2004, el Gobierno Nacional adoptó la Norma
Técnica de Calidad en la Gestión Pública NTCGP 1000:2004, mediante la cual se
determinan las generalidades y los requisitos mínimos para establecer,
documentar, implementar y mantener un Sistema de Gestión de la Calidad.
Está norma es de obligatoria aplicación y cumplimiento por parte de las entidades
y organismos de la Rama Ejecutiva del Poder y de otras entidades prestadoras de
servicios.
Aspectos Relacionados con la Certificación del SGC
Sello de Calidad: Con el fin de dar cumplimiento al Decreto 2375 de 2006,
el Departamento Administrativo de la Función Pública – DAFP, diseñó el
logotipo o Sello Oficial de Gestión de la Calidad NTCGP 1000:2004 Sector
Público, en el Estado Colombiano, para identificar las entidades que se
encuentran acreditadas por la Superintendencia de Industria y Comercio
bajo la Norma Técnica NTCGP 1000:2004 y las certificadas por dichos
entes acreditados.
3. Un sistema de gestión de la calidad es una estructura operacional de trabajo, bien
documentada e integrada a los procedimientos técnicos y gerenciales, para guiar
las acciones de la fuerza de trabajo, la maquinaria o equipos, y la información de
la organización de manera práctica y coordinada y que asegure la satisfacción del
cliente y bajos costos para la calidad.
En otras palabras, un Sistema de Gestión de la Calidad es una serie de
actividades coordinadas que se llevan a cabo sobre un conjunto de elementos
(Recursos, Procedimientos, Documentos, Estructura organizacional y Estrategias)
para lograr la calidad de los productos o servicios que se ofrecen al cliente, es
decir, planear, controlar y mejorar aquellos elementos de una organización que
influyen en satisfacción del cliente y en el logro de los resultados deseados por la
organización.
Si bien el concepto de Sistema de Gestión de la Calidad nace en la industria de
manufactura, estos pueden ser aplicados en cualquier sector tales como los de
Servicios y Gubernamentales.
IMPLEMENTACIÓN
Una organización debe de tomar en cuenta la siguiente estructura
Estrategias: Definir políticas, objetivos y lineamientos para el logro de la
calidad y satisfacción del cliente. Estas políticas y objetivos deben de estar
alineados a los resultados que la organización desee obtener.
Procesos: Se deben de determinar, analizar e implementar los procesos,
actividades y procedimientos requeridos para la realización del producto o
servicio, y a su vez, que se encuentren alineados al logro de los objetivos
planteados. También se deben definir las actividades de seguimiento y
control para la operación eficaz de los procesos.
Recursos: Definir asignaciones claras del personal, Equipo y/o maquinarias
necesarias para la producción o prestación del servicio, el ambiente de
trabajo y el recurso financiero necesario para apoyar las actividades de la
calidad.
Estructura Organizacional: Definir y establecer una estructura de
responsabilidades, autoridades y de flujo de la comunicación dentro de la
organización.
Documentos: Establecer los procedimientos documentos, formularios,
registros y cualquier otra documentación para la operación eficaz y eficiente
de los procesos y por ende de la organización
4. También existen varias normativas estandarizadas que establecen requisitos para
la implementación de un Sistema de Gestión de la Calidad, y que son emitidas por
organismos normalizadores como la ISO, DIS, entre otros.
Ejemplos de estas normativas están:
ISO 9001 - Requisitos para un Sistema de Gestión de la Calidad (Aplicable
a cualquier organización, sin importar tamaño o sector).4 . BSI fue pionera
con el desarrollo de la BS 5750 en 1979, norma en la que se basó la ISO
900.
ISO 10015 - Directrices para la Formación.
ISO 15189 - Requisitos para un Sistema de Gestión de la Calidad en
Laboratorios Clínicos.
ISO 17025 - Requisitos para un Sistema de Gestión de la Calidad en
Laboratorios de Ensayos y Calibración.
OHSAS 18001 - Sistemas de Gestión de la Seguridad y Salud en el
Trabajo. BSI fue pionera con el desarrollo de la BS 8800 en 1996, norma en
la que se basó la OHSAS 18001.
ISO 20000-1 - Requisitos para un Sistema de Gestión de (la Calidad de) los
Servicios. BSI fue pionera con el desarrollo de la BS 15000 en 2002, norma
en la que se basó la ISO 20000.
En la actualidad estamos frente a un mundo competitivo, donde encontramos
nuevas tecnologías que nos sorprenden día a día, los clientes son cada vez más
exigentes, requieren productos o servicios con características que satisfagan sus
necesidades y expectativas. Es por ello que las organizaciones deben trabajar en
pro de la satisfacción total de sus clientes, mediante un proceso de mejora
continua e implementar normas estandarizadas para lograr la calidad máxima de
los productos o servicios que ofrecen. Es importante la plena colaboración de todo
el personal de la organización o empresa, para que sea efectivo el servicio
realizado, y que de esta manera se obtengan excelentes resultados para la
empresa.
CIRCULO DEMING
5. El ciclo de Deming, también conocido como círculo PDCA (de Edwards Deming),
es una estrategia de mejora continua de la calidad de la gestión de
una organización. Está basada en un concepto ideado por Walter A. Shewhart.
También se denomina espiral de mejora continua. Es muy utilizado por los sistema
de gestión de la calidad.
Las siglas, PDCA son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar), los cuatro pasos de la estrategia.
Los resultados de la implementación de este ciclo permiten a las empresas una
mejora integral de la competitividad, de los productos y servicios, mejorando
continuamente la calidad, reduciendo los costes, optimizando la productividad,
reduciendo los precios, incrementando la participación del mercado y aumentando
la rentabilidad de la empresa u organización.
IMPORTANCIA DE LA INFORMACIÓN
Cuando se habla de la función informática generalmente se tiende a hablar
de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos hardware,
nuevas formas de elaborar información más consistente, etc.
6. Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace
posible la existencia de los anteriores elementos. Esta base es la información.
Es muy importante conocer su significado dentro la función informática, de forma
esencial cuando su manejo está basado en tecnología moderna, para esto se
debe conocer que la información:
esta almacenada y procesada en computadoras
puede ser confidencial para algunas personas o a escala institucional
puede ser mal utilizada o divulgada
puede estar sujeta a robos, sabotaje o fraudes
Los primeros puntos nos muestran que la información está centralizada y que
puede tener un alto valor y los últimos puntos nos muestran que se puede
provocar la destrucción total o parcial de la información, que incurre directamente
en su disponibilidad que puede causar retrasos de alto costo.
Aprovechar plenamente el potencial de una computadora involucra riesgos de
seguridad del propio equipo y de los datos. Pero utilizarla íntegramente es un
desperdicio; así que no hay escapatoria. Sin embargo, los riesgos son controlables
siempre que se tomen las medidas adecuadas de protección.
Para continuar es muy importante conocer el significado de dos palabras, que
son riesgo y seguridad.
Riesgo
Proximidad o posibilidad de un daño, peligro, etc.
Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir
un seguro.
Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.
Seguridad
Cualidad o estado de seguro
7. Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de
algo.
Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que
contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de
seguridad, cinturón de seguridad.
Con estos conceptos claros podemos avanzar y hablar la criminología ya ha
calificado los "delitos hechos mediante computadora “o por "sistemas de
información" en el grupo de delitos de cuello blanco.
Delitos accidentales e incidentales
Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y
variedad.
En la actualidad (1994) los delitos cometidos tienen la peculiaridad de ser
descubiertos en un 95% de forma casual. Podemos citar a los principales delitos
hechos por computadora o por medio de computadoras estos son:
fraudes
falsificación
venta de información
Virus informático
Entre los hechos criminales más famosos en los E.E.U.U. están:
El caso del Banco Wells Fargo donde se evidencio que la protección
de archivos era inadecuada, cuyo error costo USD 21.3 millones.
El caso de la NASA donde dos alemanes ingresaron en archivos
confidenciales.
El caso de un muchacho de 15 años que entrando a la computadora de
la Universidad de Berkeley en California destruyo gran cantidad de archivos.
También se menciona el caso de un estudiante de una escuela que ingreso
a una red canadiense con un procedimiento de admirable sencillez,
otorgándose una identificación como un usuario de alta prioridad, y tomo
el control de una embotelladora de Canadá.
8. También el caso del empleado que vendió la lista de clientes de una compañía
de venta de libros, lo que causo una pérdida de USD 3 millones.
Virus informáticos
Los virus informáticos son pequeños programas de cómputo que se auto-replican,
especializados en llevar a cabo diversas acciones que interfieren de alguna forma
con el funcionamiento normal de una computadora. Este funcionamiento anormal
puede ser algo muy simple, y que no afecte ni al hardware ni al software, ni a los
datos del usuario; un buen ejemplo de esto sería el virus”Pong”, popular en los
años 80, y el cual únicamente producía una “carita feliz” que rebotaba por toda la
superficie de la pantalla, sin impedir que el usuario siguiera trabajando, ni
afectando al equipo de alguna otra forma. Estos virus tan solo eran molestos, pero
en realidad no representaban un peligro.
Sin embargo existen otros virus cuya acción dañina puede ser mucho más
peligrosa. Algunos impiden el acceso al disco duro, así el usuario no puede
guardar el archivo que se encuentre trabajando; incluso hay otros virus poco
selectivos, que simplemente formatean el disco duro, eliminando toda la
información e impidiendo el trabajo con todo el equipo.
Resumiendo, los virus informáticos son programas específicamente diseñados
para afectar en pequeña o gran medida el comportamiento de la computadora.
Precauciones Para Evitar Contagio De Virus Informáticos:
Recurso
Informático
Precaución
Correos electrónicos
Nunca abra archivos anexos de correos
electrónicos que provengan de personas
desconocidas; e incluso aquellos que vienen
de amigos o familiares, trátelos con extremo
cuidado.
Y nunca abra directamente el archivo; en todo
caso, pida que se guarde en su disco duro, y
una vez guardado revíselo con algún programa
especializado.
Mensajería Instantánea
Lo mismo se aplica a archivos que traten de
enviarle de los programas de mensajería,
9. como Messenger, facebook.
Antes de abrirlos, revíselos con la herramienta
adecuada.
Descargas de Software
Procure no descargar software de sitios de
dudosa reputación, como los “almacenes de
software” que abundan en internet. Este tipo de
programas en ocasiones viene con algún virus
adherido, de tal forma que al instalar dicho
programa en la computadora, ésta queda
infectada.
Sitios de Internet Evite también frecuentar sitios de internet poco
recomendables, como aquellos relacionados
con la piratería, la pornografía, el correo-
basura, etc.
COSTO DE LA INFORMACION
Dados los riegos de seguridad, para un consumidor común, el costo
aparentemente bajo de obtener y utilizar una copia de software falsificada o
pirateada puede incluir en realidad el costo de una o más visitas del servicio
técnico para limpiar el sistema, la perdida de la información valiosa, o un sistema
infectado que necesita que reformateen su disco duro, o el costo, mucho más alto,
del robo de identidad para las empresas, este costo puede ser aún mayor.
En Colombia existe una ley, que tiene por objeto desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bases de datos o archivo, y
los demás derechos, libertades y garantías constitucionales. Lo que le brinda a la
persona la capacidad de determinar que se hace con su información personal.
Esta ley vincula a todas las personas naturales y jurídicas, de naturaleza pública o
privada, que administren bases de datos que contenga datos personales.
Las sanciones que recibiría una empresa por violar esta ley son:
Multas que llegan hasta 2.000 salarios mínimos, es decir, $ 1.170 millones.
Suspensión de las actividades de los establecimientos o cierre temporal de las
operaciones.
Cierres inmediatos y definitivos, cuando hay tratamientos de datos sensibles
(datos que afecten la intimidad o cuyo uso genere discriminación).
10. Seguridad en la información
¿Qué es?
La seguridad en la información es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnológicos que permitan
resguardar y proteger la información buscando mantener la confidencialidad,
la disponibilidad e integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el
de seguridad informática, ya que este último sólo se encarga de la seguridad en el
medio informático, pero la información puede encontrarse en diferentes medios o
formas, y no solo en medios informáticos.
Para el hombre como individuo, la seguridad de la información tiene un efecto
significativo respecto a su privacidad, la que puede cobrar distintas dimensiones
dependiendo de la cultura del mismo.
El campo de la seguridad de la información ha crecido y evolucionado
considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una
carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de
especialización, incluidos la auditoría de sistemas de información, planificación de
la continuidad del negocio, ciencia forense digital y administración de sistemas de
gestión de seguridad, entre otros.
11. Perspectiva de la seguridad en la información
En la seguridad de la información es importante señalar que su manejo está
basado en la tecnología y debemos de saber que puede ser confidencial: la
información está centralizada y puede tener un alto valor. Puede ser divulgada,
mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la
pone en riesgo. La información es poder, y según las posibilidades estratégicas
que ofrece tener acceso a cierta información, ésta se clasifica como:
Crítica: Es indispensable para la operación de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo
aviso y producir numerosas pérdidas para las empresas. Los riesgos más
perjudiciales son a las tecnologías de información y comunicaciones.
Seguridad: Es una forma de protección contra los riesgos.
12. La seguridad de la información comprende diversos aspectos entre ellos la
disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la
integridad, confidencialidad, recuperación de los riesgos.
Planificación de la seguridad
Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones
adopten un conjunto mínimo de controles de seguridad para proteger su
información y sistemas de información. El propósito del plan de seguridad del
sistema es proporcionar una visión general de los requisitos de seguridad del
sistema y se describen los controles en el lugar o los previstos para cumplir esos
requisitos. El plan de seguridad del sistema también delinea las responsabilidades
y el comportamiento esperado de todos los individuos que acceden al sistema.
Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el
sistema, incluidos los propietarios de la información, el propietario de la red, y el
alto funcionario de la agencia de información de seguridad (SAISO).
Los administradores de programas, los propietarios del sistema, y personal de
seguridad en la organización debe entender el sistema de seguridad en el proceso
de planificación. Los responsables de la ejecución y gestión de sistemas de
información deben participar en el tratamiento de los controles de seguridad que
deben aplicarse a sus
sistemas.
Creación de un plan de
respuesta a incidentes
Es importante formular un
plan de respuestas a
incidentes, soportarlo a lo
largo de la organización y
probarlo regularmente. Un
buen plan de respuestas a
incidentes puede no sólo
minimizar los efectos de una
violación sino también, reducir
la publicidad negativa.
Desde la perspectiva del equipo de seguridad, no importa si ocurre una violación o
abertura (pues tales eventos son una parte eventual de cuando se hacen negocios
usando un método de poca confianza como lo es Internet), si no más bien cuando
ocurre. El aspecto positivo de entender la inevitabilidad de una violación a los
sistemas (cualquier sistema donde se procese información confidencial, no esta
limitado a servicios informáticos) es que permite al equipo de seguridad desarrollar
un curso de acciones para minimizar los daños potenciales. Combinando un curso
de acciones con la experiencia le permite al equipo responder a condiciones
adversas de una manera formal y oportuna.
13. El plan de respuesta a incidentes puede ser dividido en cuatro fases:
Acción inmediata para detener o minimizar el incidente
Investigación del incidente
Restauración de los recursos afectados
Reporte del incidente a los canales apropiados
Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a
que hay muy poco espacio para errores, es crítico que se efectúen prácticas de
emergencias y se midan los tiempos de respuesta. De esta forma, es posible
desarrollar una metodología que fomenta la velocidad y la precisión, minimizando
el impacto de la indisponibilidad de los recursos y el daño potencial causado por el
sistema en peligro.
Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo:
Un equipo de expertos locales (un Equipo de respuesta a emergencias de
computación)
Una estrategia legal revisada y aprobada
Soporte financiero de la compañía
Soporte ejecutivo de la gerencia superior
Un plan de acción factible y probado
Recursos físicos, tal como almacenamiento redundante, sistemas en stand by
y servicios de respaldo
Consideraciones legales
Otros aspectos importantes a considerar en una respuesta a incidentes son las
ramificaciones legales. Los planes de seguridad deberían ser desarrollados con
miembros del equipo de asesoría jurídica o alguna forma de consultoría general.
De la misma forma en que cada compañía debería tener su propia política de
seguridad corporativa, cada compañía tiene su forma particular de manejar
incidentes desde la perspectiva legal. Las regulaciones locales, de estado o
federales están más allá del ámbito de este documento, pero se mencionan
debido a que la metodología para llevar a cabo el análisis post-mortem, será
dictado, al menos en parte, por la consultoría jurídica. La consultoría general
puede alertar al personal técnico de las ramificaciones legales de una violación;
los peligros de que se escape información personal de un cliente, registros
médicos o financieros; y la importancia de restaurar el servicio en ambientes de
misión crítica tales como hospitales y bancos.
Planes de acción
14. Una vez creado un plan de acción, este debe ser aceptado e implementado
activamente. Cualquier aspecto del plan que sea cuestionado durante la
implementación activa lo más seguro es que resulte en un tiempo de respuesta
pobre y tiempo fuera de servicio en el evento de una violación. Aquí es donde los
ejercicios prácticos son invalorables. La implementación del plan debería ser
acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos
que se llame la atención con respecto a algo antes de que el plan sea colocado en
producción.
La respuesta a incidentes debe ir acompañada con recolección de información
siempre que esto sea posible. Los procesos en ejecución, conexiones de red,
archivos, directorios y mucho más debería ser auditado activamente en tiempo
real. Puede ser muy útil tener una toma instantánea de los recursos de producción
al hacer un seguimiento de servicios o procesos maliciosos. Los miembros de
CERT y los expertos internos serán recursos excelentes para seguir tales
anomalías en un sistema.
AUDITORIA DE SITEMAS
CONCEPTOS DE AUDITORÍA DE SISTEMAS
La palabra Auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y
revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia
y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de
acción, se tomen decisiones que permitan corregir los errores, en caso de que existan.
Auditoria de sistemas de información, es un examen de los controles dentro de una tecnología de la
información (TI).
Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión,
evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el
ambiente computacional y los sistemas.
A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:
15. Auditoría de Sistemas es:
La actividad dirigida a verificar y juzgar información.
El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y
de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de
eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
La naturaleza especializada de la auditoria de los sistemas de información y las
habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y
la promulgación de Normas Generales para la auditoria de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoria que abarca
la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento de la información, incluidos los procedimientos
no automáticos relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una
serie de pasos previos que permitirán dimensionar el tamaño y características de área
dentro del organismo a auditar, sus sistemas, organización y equipo.
A continuación, la descripción de los dos principales objetivos de una auditoria de
sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de
cómputo, con controles, tipos y seguridad.
¿QUE ES AUDITORIA DE SISTEMAS?
La auditoria en informática es la revisión y la evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participan en el procesamiento de la información, a fin
de que por medio del señalamiento de cursos alternativos se logre una utilización más
eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar
los sistemas de información en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtención de información.
La auditoría en informática es de vital importancia para el buen desempeño de los
sistemas de información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo
(informática, organización de centros de información, hardware y software).
16. PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una
serie de pasos previos que permitirán dimensionar el tamaño y características de área
dentro del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que
hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información
general sobre la organización y sobre la función de informática a evaluar. Para ello es
preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto
planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado general del área, su situación dentro de la organización, si
existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada
una de las áreas basándose en los siguientes puntos:
ADMINISTRACIÓN
Se recopila la información para obtener una visión general del departamento por medio de
observaciones, entrevistas preliminares y solicitud de documentos para poder definir el
objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de
informática
Objetivos a corto y largo plazo.
Recursos materiales y técnicos
Solicitar documentos sobre los equipos, número de ellos, localización y características.
Estudios de viabilidad.
Número de equipos, localización y las características (de los equipos instalados y por
instalar y programados)
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Planes de expansión.
Ubicación general de los equipos.
17. Políticas de operación.
Políticas de uso de los equipos.
SISTEMAS
Descripción general de los sistemas instalados y de los que estén por instalarse que
contengan volúmenes de información.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.
En el momento de hacer la planeación de la auditoria o bien su realización, debemos
evaluar que pueden presentarse las siguientes situaciones.
Se solicita la información y se ve que:
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la información pero:
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y está completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es
necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se
elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de
que se tenga la información pero no se utilice, se debe analizar por que no se usa. En
caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es
la adecuada y si está completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin
fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.
PERSONAL PARTICIPANTE
18. Una de las partes más importantes dentro de la planeación de la auditoria en informática
es el personal que deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al
cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense
justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica
profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En
primer lugar se debe pensar que hay personal asignado por la organización, con el
suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la
información que se solicite y programar las reuniones y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni
contar con un grupo multidisciplinario en el cual estén presentes una o varias personas
del área a auditar, sería casi imposible obtener información en el momento y con las
características deseadas.
También se debe contar con personas asignadas por los usuarios para que en el
momento que se solicite información o bien se efectúe alguna entrevista de comprobación
de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo
multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de
informática, sino también el del usuario del sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoria se
deben tener personas con las siguientes características:
Técnico en informática.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con conocimientos y
experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa
que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben
intervenir una o varias personas con las características apuntadas.
Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo
1, el figura el organismo, las fases y subfases que comprenden la descripción de la
actividad, el número de personas participantes, las fechas estimadas de inicio y
terminación, el número de días hábiles y el número de días/hombre estimado. El control
del avance de la auditoria lo podemos llevar mediante el anexo 2, el cual nos permite
cumplir con los procedimientos de control y asegurarnos que el trabajo se está llevando a
19. cabo de acuerdo con el programa de auditoria, con los recursos estimados y en el tiempo
señalado en la planeación.
El hecho de contar con la información del avance nos permite revisar el trabajo elaborado
por cualquiera de los asistentes.
PASOS A SEGUIR
Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar
los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos
de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso
de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y
debilidades de los controles existentes basado en la evidencia recopilada, y que prepare
un informe de auditoria que presente esos temas en forma objetiva a la gerencia.
Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación
adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de
seguimiento sobre las acciones correctivas emprendidas por la gerencia.
INFORME
En si todos los encuestados respondieron la totalidad de las preguntas. Todos tienen la
misma respuesta en la pregunta sobre la inteligencia artificial, todos dicen prácticamente
lo mismo acerca de lo que es la auditoria de sistemas en que es un sistema de revisión,
evaluación, verificación y evalúa la eficiencia y eficacia con que se está operando los
sistemas y corregir los errores de dicho sistema. Todos los encuestados mostraron una
características muy similares de las personas que van a realizan la auditoria; debe haber
un contador, un ingeniero de sistemas, un técnico y que debe tener conocimientos,
práctica profesional y capacitación para poder realizar la auditoria.
Todos los encuestados conocen los mismos tipos de auditoria, Económica, Sistemas,
Fiscal, Administrativa.
Para los encuestados el principal objetivo de la auditoria de sistemas es Asegurar una
mayor integridad, confidencialidad y confiabilidad de la información mediante la
recomendación de seguridades y controles.
Mirando en general a todos los encuestados se puede ver que para ellos la auditoria de
sistemas es muy importante porque en los sistemas esta toda la información de la
empresa y del buen funcionamiento de esta depende gran parte del funcionamiento de
una empresa y que no solo se debe comprender los equipos de computo sino también
todos los sistemas de información desde sus entradas, procedimientos, controles,
archivos, seguridad y obtención de información.
La auditoria de los sistemas de informática es de mucha importancia ya que para el buen
desempeño de los sistemas de información, ya que proporciona los controles necesarios
para que los sistemas sean confiables y con un buen nivel de seguridad.