El documento describe varios controles y políticas importantes para la evaluación del proceso de datos y equipos de computo de una organización. Entre ellos se incluyen controles de datos, políticas de respaldos, políticas y procedimientos generales, políticas de revisión de bitácoras, control de licencias de software, políticas de seguridad física, y controles de operación, asignación de trabajo, medios de almacenamiento masivo y orden en el centro de computo. También se propone el uso de cuestionarios para evaluar la implementación de estas políticas y

1. CAP 5
EVALUACION DEL PROCESO DE
DATOS Y DE LOS EQUIPOS DE
COMPUTO
HASLEYDI ACOSTA R.
JOHAIRA PINZON C.
BRIAN ALBERTO SEMA.

2. CONTROLES
Se debe tener presente:
 Los datos deberán tener una clasificación
estándar y un mecanismo de
identificación que permita detectar
duplicidad.
 La responsabilidad de los datos es
compartida conjuntamente por alguna
función determinada de la organización
y de la dirección de informática.

3. POLITICAS DE RESPALDOS
La información debe realizarse mensual,
semana o diario y debe observar los siguientes
puntos:
 Debe tenerse acceso restringido al área
donde se tienen almacenados los medios
magnéticos.
 Se debe contar con una política que indique
los procedimientos a seguir en cuanto al
almacenamiento de las cintas de respaldo
en un lugar diferente al de la ubicación del
site.

4. POLITICAS Y PROCEDIMIENTOS
 Deben incluir los siguientes puntos:
 Seguridad de la información (física y
lógica)
 Adquisición de hardware y software
 Operación de centro de centro de
computo.
Es recomendable que se documenten
todos los procesos de las diversas
actividades.

5. POLITICA DE REVISION DE
BITACORA (SOPORTE
TECNICO)
Deben existir bitácoras de operación en las que se
registren los procesos realizados, los resultados de su
ejecución, lo s procesos ejecutados en el equipo y
en la manera en que concluyeron.
No contar con una política de revisión de bitácora
puede ocasionar problemas como:
 Carecer de bases para el rastreo de errores de
procesamiento;
 Dependencia de personal para solicitud de
errores;
 Ausencia de controles en cuanto a registro de
seguimiento de problemas.

6. CONTROL DE LA LICENCIA DE
SOFTWARE
Todas las organizaciones deben tener un inventario
de las licencias del software actualizada. Al no
contar con las licencias correspondientes, no se le
puede exigir al proveedor el servicio de soporte o
actualización del software.
Por ello es muy importante:
 Elaborar un plan verificador de software
 Actualizar el inventario de hardware y software
 Designar a una persona responsable del área de
informática.

7. POLITICAS DE SEGURIDAD
FISICA DEL SITE
Deben existir políticas y procedimientos que
describan los aspectos de seguridad físico mínimos
que deben de regir dentro del depto. de sistemas.
Durante la visita a las instalaciones se deben
observar los siguientes puntos:
 Se debe tener protección en lo servidores para
que no puedan ser desconectados accidental o
intencionalmente
 No debe tenerse papel para impresión dentro del
site.
 El personal operativo no debe permitir el acceso a
personal ajeno al depto.

8. Hay que elaborar políticas formales de seguridad y diseñar
las características para el site. se recomienda lo siguiente:
 Seguridad física del centro del computo
 Acceso al centro de computo
 Plan de contingencia.
Se sugiere la revisión del plan de contingencia para que
contenga los siguientes controles:
 Delegación de funciones y entrenamiento de personal
 Proveer los lineamientos necesarios para el
restablecimiento de operaciones a partir de los
respaldos de información
 Establecer procedimientos y responsabilidades o para
mantener el plan de contingencias.

9. CONTROL DE DATOS FUENTE Y
MENEJO DE CIFRAS DE CONTROL
 Se presentan diferentes delitos por
computadora que son cometidos por
modificaciones de datos fuente al:
• Suprimir u omitir datos
• Adicionar datos
• Alterar datos
• Duplicar procesos

10.  Lo anterior es muy importante en el caso de
sistemas en línea, ya los usuarios son responsables
dela captura y modificación de información. Por
esto se debe tener un adecuado control con
claves de acceso de acuerdo a niveles.
 El primero nivel es donde se pueden hacer solo
consultas.
 El segundo, es donde se pueden hacer captura,
modificaciones y consultas.
 El tercer, es en el que se pueden hacer las
anteriores y dar de baja

11. CONTROL DE OPERACIÓN
 La eficiencia y costo de la operación de un
sistema de computo se ven afectadas por la
calidad e integridad dela documentación
requerida para el proceso de la computadora.
 Los instructivos dan al operador información sobre
los procedimientos que debe tener en casos
normales y anormales del procesamiento y si la
documentación esta incompleta o inadecuada
lo obliga a improvisar o suspender los procesos
mientras investiga lo conducente generando
probablemente errores y demás.

12.  La operación de los sistemas en línea deben estar
residentes en todo momento con su
correspondiente sistema de comunicación mientras
que los sistemas en lote se debe planear y
programar su operación.
 Existen sistemas de computo y de comunicación
dedicados a los sistemas en línea y así mismo otros
dedicados únicamente al proceso en lote.

13. El de instructivo de operación debe verificar los
siguientes datos:
 Diagramas
 Mensajes
 Parámetros
 Formulas de verificación
 Observaciones e instrucciones en caso de error
 Calendario de proceso y de entrega de resultados

14. CONTROL DE ASIGNACION DE
TRABAJO
Este relaciona la dirección de las operaciones
de la computadora en términos de eficiencia y
satisfacción del usuario. Esta debe ser
comparada con la opinión del usuario, son de
gran importancia los siguientes aspectos:
 Satisfacer las necesidades de tiempo del
usuario.
 Ser compatible con los programas de
recepción y transcripción de datos.

15.  Permitir niveles efectivos de utilización de los
equipos y sistemas de operación.
 Volver la utilización de los equipos en línea.
 Entregar a tiempo y correctamente los procesos
en lotes.
Los mejores resultados se logran en organizaciones
que utilizan sistemas formales de programación de
actividades los cuales balancean los factores y miden
resultados.

16. Los procedimientos de programación de carga de
maquinaria se deben evaluar para determinar si se
ha considerado atenuar los picos de los procesos
generados por cierres mensuales, o bien los picos de
los sistemas en línea y poder balancear las cargas de
trabajo de lotes y línea

17. CONTROL DE MEDIOS DE
ALMACENAMIENTO MASIVO
Representan para cualquier centro de
computo archivos extremadamente
importantes cuya perdida total o parcial
tendría repercusiones muy serias.
Una dirección de información bien
administrada debe tener protegidos estos
dispositivos de almacenamiento y tener
registros sistemáticos de la utilización de
estos archivos.

18.  El manejo adecuado de estos dispositivos
permitirá una operación mas eficiente y
segura, mejorando también los tiempos
de proceso

19. Control de asignación de
trabajo
 Esta directamente relacionada con la dirección
de las operaciones de la computadora en
términos de eficiencia y satisfacción del usuario;
en donde la función clave del personal de cargas
de maquina tiene que ver con el logro eficiente y
efectivo de varios aspectos como:
• Volver la utilización de los equipos en línea
• Entregar a tiempo y correctamente los procesos
en lotes
• Satisfacer las necesidades de tiempo del usuario

20. Se deben evaluar los procedimientos de
Programación de cargas de maquina para
determinar si se ha considerado atenuar los
picos de los procesos generados por cierres
mensuales, o bien los picos de los sistemas en
línea, y poder balancear las cargas de trabajo
de lotes y línea, dando prioridad a los procesos
en línea, o contar con equipos que permitan
en forma independiente cumplir con las
necesidades de procesos en línea con su
comunicación y con sus procesos en lote.

21. En lo que respecta a los programas de trabajo se propone
Un resumen de un cuestionario de forma que se utilice como
guía:
1. ¿opera la sala de maquinas sobre la base de programas de
trabajo?
• SI
• NO
2. ¿Se cambian frecuentemente los programas de trabajo?
• SI
• NO
3. ¿Se comunica oportunamente a los usuarios las
modificaciones a los
programas de trabajo?
• SI
• NO
4. especifique los elementos que sirven como base para
programar
las cargas de maquina
Se deberá procurar que la distribución física del equipo sea
funcional.

22. CONTROL DE MEDIOS DE
ALMACENAMIENTO MASIVO
 Estos dispositivos, representan para
cualquier centro de computo, archivos
extremadamente importantes, cuya
perdida parcial o total podría tener
repercusiones muy serias, no solo en la
unidad de informática, sino en la
dependencia en la cual se presta el
servicio.

23. A manera de quía se establece un resumen de un cuestionario a pregunta cerrada
Como ejemplo de formato para el análisis de archivos:
1. ¿tienen el almacén de archivos protección automática contra el fuego?
• Si
• No
2.¿ se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?
• Si
• No
3. en caso de existir discrepancia entre archivos y su contenido, ¿se resuelven y
explican satisfactoriamente las discrepancias?
• Si
• No
4. ¿se tienen procedimientos que permitan la reconstrucción de un archivo en
cinta o disco, el cual Fue inadvertidamente destruido?
• Si
• No
5. ¿existe un control estricto de las copias de estos archivos
• Si
• No

24. 6. ¿se certifica la destrucción o baja de los archivos defectuosos?
• Si
• No
7.¿ se tiene un responsable, por turno, de los archivos magnéticos?
• Si
• No
8. ¿se lleva control sobre los archivos prestados por la instalación?
• Si
• No
El objetivo del cuestionario es evaluar la forma como se administran
los
Dispositivos de almacenamiento básico dela dirección.

25. ORDEN EN EL CENTRO DE
COMPUTO
Los dispositivos del sistema de computo y los
archivos magnéticos pueden ser dañados si se
manejan de forma inadecuada.
Unas posibles preguntas que ayuda evaluar el
orden que existe en la sala de maquinas son:
 Existe un lugar asignado a las cintas y discos
magnéticos?.
 Son funcionales los muebles asignados para
la cintoteca y discoteca?
 Se cuenta con carteles en lugares visibles que
recuerden dicha prohibición?.

26. EVALUACION DE LA
CONFIGURACION DEL SISTEMA
DE COMPUTO
 Esta sección esta orientada:
 Evaluar las posibilidades de modificar el equipo
para reducir el costo o bien el estado del proceso.
 Evaluar posibles cambios en el hardware a fin de
nivelar el sistema de ´computo con la carga de
trabajo de actual.
 Para hacer una evaluacion se puede utilizar
preguntas como:
 El sistema de computo tiene capacidad de red?
 Se ha investigado si el tiempo de respuesta
satisface a los usuarios?.

27. PRODUCTIVIDAD
 Se puede formular preguntas para evaluar la
eficiencia con que opera el área de
captación y producción como son:
 Se tiene una programación de
mantenimiento previo?
 Se revisa el cumplimiento de los programas
de producción establecidas?
 Existe índices de error aceptables para cada
tipo de trabajo?
 Se tiene incentivos para el personal que
tenga un rendimiento superior al estándar?

28. PUNTOS A EVALUAR EN LOS
EQUIPOS
Se debe tener equipos estándares dentro de la
organización, a menos que por requerimientos
específicos se necesite un equipo con características
distintas.
Si no se tiene políticas y estándares de compra de
equipo de computo, cada departamento o
empleado puede decidir el adquirir diferentes
equipos.
Se deberá evaluar la ventaja de adquirir lio ultimo en
tecnología contra el costo que esto representa, así
como el tener equipos muy baratos pero con baja
confianza en el proveedor.

29. Renta, renta con opción a compra o compra:
El software y las computadoras pueden rentarse, rentarse
con opción a compra y o comprarse.
El auditor deberá evaluar:
 Quien participar en el comité?.
 Como se determinar el proveedor del equipo?.
Ventajas:
 Compromiso a corto plazo(renta)
 Se puede ejercer la opción de compra(renta con
opción de compra)
 Se puede tener valor de recuperación (compra)
Desventajas:
 El equipo puede ser usado(renta)
 Es mas caro que compra(renta con opción de compra)
 Amarra al comprador a su decisión (compra)

30. Centralización vs descentralización
El audito debera evaluar a la organización y la
justificacion que se tiene para que en una
determinada organización se tengan equipos de
formas centralizadas y descentralizadas.
Centralización
Ventajas:
 Economía de escala
 Control de los gastos de informática
 acceso a grandes capacidades
Desventajas:
 Falta de control de los usuarios sobre el desarrollo y
operación de los sistemas.

31. Descentralización de procesamiento de datos
Ventajas:
 Mayor responsabilidad ante la necesidad de los
usuarios,
 Acceso inmediato a las bases de datos
descentralizadas
 reducción de los costos de telecomunicación.
Desventajas:
 Posibilidad de incompatibilidad de datos, equipos y
software
 Duplicación de personal y de esfuerzo.