Conceptos de la Auditora de Sistemas CONTROL informatico

TABLA DE CONTENIDO
I. Introduccin
I. 1 Conceptos de Auditora de Sistemas
I.2 Tipos de Auditora
I.3 O!eti"os #enera$es de una Auditora de Sistemas
I.% &usti'icati"os para e'ectuar una Auditora de Sistemas
II. Contro$es
II.1 C$asi'icacin (enera$ de $os contro$es
II.2 Contro$es 'sicos
II.3 Contro$es $(icos
II.% Contro$es administrati"os en un amiente de
)rocesamiento de Datos
6. Contro$es de )reinsta$acin
Contro$es de or(ani*acin + )$ani'icacin
Contro$es de Sistema en Desarro$$o + )roduccin
Contro$es de )rocesamiento
Contro$es de Operacin
Contro$es en e$ uso de$ ,icrocomputador
III. An-$isis de Casos de Contro$es Administrati"os
I.. ,etodo$o(a de una Auditora de Sistemas
.. Caso )r-ctico
I. Introduccin
I. 1 Conceptos de Auditora de Sistemas
La palabra auditora viene del latn auditorius y de esta proviene
auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar
encaminado a un obetivo especfico que es el de evaluar la
eficiencia y eficacia con que se est! operando para que, por medio
del se"alamiento de cursos alternativos de acci#n, se tomen
decisiones que permitan corre$ir los errores, en caso de que e%istan,
o bien meorar la forma de actuaci#n&
Al$unos autores proporcionan otros conceptos pero todos coinciden
en 'acer (nfasis en la revisi#n, evaluaci#n y elaboraci#n de un
informe para el eecutivo encaminado a un obetivo especfico en el
ambiente computacional y los sistemas&
A continuaci#n se detallan al$unos conceptos reco$idos de al$unos
e%pertos en la materia)
Auditora de Sistemas es
*+ La verificaci#n de controles en el procesamiento de la informaci#n,
desarrollo de sistemas e instalaci#n con el obetivo de evaluar su
efectividad y presentar recomendaciones a la ,erencia&
-+ La actividad diri$ida a verificar y u.$ar informaci#n&
/+ 0l e%amen y evaluaci#n de los procesos del Area de
1rocesamiento autom!tico de 2atos 31A2+ y de la utili.aci#n de los
recursos que en ellos intervienen, para lle$ar a establecer el $rado
de eficiencia, efectividad y economa de los sistemas computari.ados
en una empresa y presentar conclusiones y recomendaciones
encaminadas a corre$ir las deficiencias e%istentes y meorarlas&
4+ 0l proceso de recolecci#n y evaluaci#n de evidencia para
determinar si un sistema automati.ado) 2a"os, Salva$uarda activos
2estrucci#n, 5so no autori.ado, Robo, 6antiene 7nte$ridad de
7nformaci#n 1recisa, los datos Completa, Oportuna, Confiable,
Alcan.a metas or$ani.acionales, Contribuci#n de la funci#n
inform!tica, Consume recursos 5tili.a los recursos adecuadamente
eficientemente en el procesamiento de la informaci#n
8+ 0s el e%amen o revisi#n de car!cter obetivo 3independiente+,
crtico3evidencia+, sistem!tico 3normas+, selectivo 3muestras+ de las
polticas, normas, pr!cticas, funciones, procesos, procedimientos e
informes relacionados con los sistemas de informaci#n
computari.ados, con el fin de emitir una opini#n profesional
3imparcial+ con respecto a)
a+ 0ficiencia en el uso de los recursos inform!ticos
b+ 9alide. de la informaci#n
c+ 0fectividad de los controles establecidos
I. 2 Tipos de Auditora
0%isten al$unos tipos de auditora entre las que la Auditora de
Sistemas inte$ra un mundo paralelo pero diferente y peculiar
resaltando su enfoque a la funci#n inform!tica&
*+ 0s necesario recalcar como an!lisis de este cuadro que Auditora
de Sistemas no es lo mismo que Auditora :inanciera) 0ntre los
principales enfoques de Auditora tenemos los si$uientes)
a+ :inanciera 9eracidad de estados financieros
b+ 1reparaci#n de informes de acuerdo a principios contables
c+ 0val;a la eficiencia, Operacional 0ficacia 0conoma de los
m(todos y procedimientos que ri$en un proceso de una empresa
-+ Sistemas Se preocupa de la funci#n inform!tica
/+ :iscal Se dedica a observar el cumplimiento de las leyes
fiscales
4+ Administrativa Anali.a)
a+ Lo$ros de los obetivos de la Administraci#n
b+ 2esempe"o de funciones administrativas
c+ 0val;a) Calidad 6(todos,,6ediciones,Controles de los bienes y
servicios
d+ Revisa la contribuci#n a la sociedad Social as como la
participaci#n en actividades socialmente orientadas
I.3 O!eti"os #enera$es de una Auditora de Sistemas
*+ <uscar una meor relaci#n costo=beneficio de los sistemas
autom!ticos o computari.ados dise"ados e implantados por el
1A2
-+ 7ncrementar la satisfacci#n de los usuarios de los sistemas
computari.ados
/+ Ase$urar una mayor inte$ridad, confidencialidad y confiabilidad
de la informaci#n mediante la recomendaci#n de se$uridades y
controles&
4+ Conocer la situaci#n actual del !rea inform!tica y las
actividades y esfuer.os necesarios para lo$rar los obetivos
propuestos&
8+ Se$uridad de personal, datos, 'ard>are, soft>are e
instalaciones
?+ Apoyo de funci#n inform!tica a las metas y obetivos de la
or$ani.aci#n
@+ Se$uridad, utilidad, confian.a, privacidad y disponibilidad en el
ambiente inform!tico
A+ 6inimi.ar e%istencias de ries$os en el uso de Tecnolo$a de
informaci#n
B+ 2ecisiones de inversi#n y $astos innecesarios
*C+ Capacitaci#n y educaci#n sobre controles en los Sistemas de
7nformaci#n
I.% &usti'icati"os para e'ectuar una Auditora de Sistemas
*+ Aumento considerable e inustificado del presupuesto del 1A2
32epartamento de 1rocesamiento de 2atos+
-+ 2esconocimiento en el nivel directivo de la situaci#n inform!tica
de la empresa
/+ :alta total o parcial de se$uridades l#$icas y fisicas que
$aranticen la inte$ridad del personal, equipos e informaci#n&
4+ 2escubrimiento de fraudes efectuados con el computador
8+ :alta de una planificaci#n inform!tica
?+ Or$ani.aci#n que no funciona correctamente, falta de polticas,
obetivos, normas, metodolo$a, asi$naci#n de tareas y adecuada
administraci#n del Recurso Dumano
@+ 2escontento $eneral de los usuarios por incumplimiento de
pla.os y mala calidad de los resultados
A+ :alta de documentaci#n o documentaci#n incompleta de
sistemas que revela la dificultad de efectuar el mantenimiento de los
sistemas en producci#n
II. Contro$es
Conunto de disposiciones met#dicas, cuyo fin es vi$ilar las funciones
y actitudes de las empresas y para ello permite verificar si todo se
reali.a conforme a los pro$ramas adoptados, ordenes impartidas y
principios admitidos&
II.1 C$asi'icacin (enera$ de $os contro$es
*+ Controles 1reventivos& Son aquellos que reducen la frecuencia
con que ocurren las causas del ries$o, permitiendo cierto mar$en
de violaciones &
0emplos) Letrero ENo fumarE para salva$uardar las
instalaciones
Sistemas de claves de acceso
-+ Controles detectivos& Son aquellos que no evitan que ocurran las
causas del ries$o sino que los detecta lue$o de ocurridos& Son los
mas importantes para el auditor& 0n cierta forma sirven para
evaluar la eficiencia de los controles preventivos&
0emplo) Arc'ivos y procesos que sirvan como pistas de
auditora
1rocedimientos de validaci#n
/+ Controles Correctivos& Ayudan a la investi$aci#n y correcci#n de
las causas del ries$o& La correcci#n adecuada puede resultar
dificil e ineficiente, siendo necesaria la implantaci#n de controles
detectivos sobre los controles correctivos, debido a que la
correcci#n de errores es en si una actividad altamente propensa a
errores&
II.2. Contro$es 'sicos
*+ Autenticidad& 1ermiten verificar la identidad) 1ass>ords, :irmas
di$itales,
-+ 0%actitud& Ase$uran la co'erencia de los datos) 9alidaci#n de
campos, 9alidaci#n de e%cesos
/+ Totalidad& 0vitan la omisi#n de re$istros as como $aranti.an la
conclusi#n de un proceso de envo) Cont0o de re$istros, Cifras de
control
4+ Redundancia& 0vitan la duplicidad de datos) Cancelaci#n de
lotes, 9erificaci#n de secuencias
8+ 1rivacidad) Ase$uran la protecci#n de los datos) Compactaci#n,
0ncriptaci#n
?+ 0%istencia& Ase$uran la disponibilidad de los datos) <it!cora de
estados, 6antenimiento de activos, 1rotecci#n de Activos,
2estrucci#n o corrupci#n de informaci#n o del 'ard>are, 0%tintores,
1ass>ords
@+ 0fectividad& Ase$uran el lo$ro de los obetivos) 0ncuestas de
satisfacci#n, 6edici#n de niveles de servicio,
A+ 0ficiencia& Ase$uran el uso #ptimo de los recursos) 1ro$ramas
monitores,,An!lisis costo=beneficio
II.3 Contro$es $(icos
*+ 1eriodicidad de cambio de claves de acceso
a+ Los cambios de las claves de acceso a los pro$ramas se
deben reali.ar peri#dicamente& Normalmente los usuarios se
acostumbran a conservar la misma clave que le asi$naron
inicialmente&
b+ 0l no cambiar las claves peri#dicamente aumenta la posibilidad
de que personas no autori.adas cono.can y utilicen claves de
usuarios del sistema de computaci#n&
c+ 1or lo tanto se recomienda cambiar claves por lo menos
trimestralmente&
-+ Combinaci#n de alfanum(ricos en claves de acceso
a+ No es conveniente que la clave este compuesta por c#di$os de
empleados, ya que una persona no autori.ada a trav(s de
pruebas simples o de deducciones puede dar con dic'a clave&
b+ 1ara redefinir claves es necesario considerar los tipos de
claves que e%isten)
i+ 7ndividuales&1ertenecen a un solo usuario, por tanto es
individual y personal& 0sta clave permite al momento de
efectuar las transacciones re$istrar a los responsables de
cualquier cambio&
ii+ Confidenciales& 2e forma confidencial los usuarios deber!n ser
instruidos formalmente respecto al uso de las claves&
iii+ No si$nificativas Las claves no deben corresponder a n;meros
secuenciales ni a nombres o fec'as&
/+ 9erificaci#n de datos de entrada& 7ncluir rutinas que verifiquen la
compatibilidad de los datos mas no su e%actitud o precisi#nF tal es
el caso de la validaci#n del tipo de datos que contienen los
campos o verificar si se encuentran dentro de un ran$o&
4+ Conteo de re$istros& Consiste en crear campos de memoria
para ir acumulando cada re$istro que se in$resa y verificar con los
totales ya re$istrados&
8+ Totales de Control& Se reali.a mediante la creaci#n de totales
de linea, columnas, cantidad de formularios, cifras de control, etc& , y
autom!ticamente verificar con un campo en el cual se van
acumulando los re$istros, separando solo aquellos formularios o
re$istros con diferencias&
?+ 9erficaci#n de limites& Consiste en la verificaci#n autom!tica de
tablas, c#di$os, limites mnimos y m!%imos o bao determinadas
condiciones dadas previamente&
@+ 9erificaci#n de secuencias& 0n ciertos procesos los re$istros
deben observar cierta secuencia numerica o alfabetica, ascendente o
descendente, esta verificacion debe 'acerse mediante rutinas
independientes del pro$rama en si&
A+ 2$ito autoerificador& Consiste en incluir un d$ito adicional a
una codificaci#n, el mismo que es resultado de la aplicaci#n de un
al$oritmo o formula, conocido como 6O25LOS, que detecta la
correcci#n o no del c#di$o& Tal es el caso por eemplo del decimo
d$ito de la c(dula de identidad, calculado con el modulo *C o el
ultimo d$ito del R5C calculado con el m#dulo **&
B+ 5tili.ar soft>are de se$uridad en los microcomputadores&
a+ 0l soft>are de se$uridad permite restrin$ir el acceso al
microcomputador, de tal modo que solo el personal autori.ado
pueda utili.arlo&
b+ Adicionalmente, este soft>are permite refor.ar la se$re$aci#n
de funciones y la confidencialidad de la informaci#n mediante
controles para que los usuarios puedan accesar solo a los pro$ramas
y datos para los que est!n autori.ados&
c+ 1ro$ramas de este tipo son) GACD2O,, LATT7C0,S0CR0T
27SH, entre otros&
II.% Contro$es administrati"os en un amiente de )rocesamiento
de Datos
La m!%ima autoridad del Area de 7nform!tica de una empresa o
instituci#n debe implantar los si$uientes controles que se a$ruparan
de la si$uiente forma)
*+ Controles de 1reinstalaci#n
-+ Controles de Or$ani.aci#n y 1lanificaci#n
/+ Controles de Sistemas en 2esarrollo y 1roducci#n
4+ Controles de 1rocesamiento
8+ Controles de Operaci#n
?+ Controles de uso de 6icrocomputadores
Contro$es de )reinsta$acin& Dacen referencia a procesos y
actividades previas a la adquisici#n e instalaci#n de un equipo de
computaci#n y obviamente a la automati.aci#n de los sistemas
e%istentes&
Obetivos)
*+ ,aranti.ar que el 'ard>are y soft>are se adquieran siempre y
cuando ten$an la se$uridad de que los sistemas computari.ados
proporcionaran mayores beneficios que cualquier otra alternativa&
-+ ,aranti.ar la selecci#n adecuada de equipos y sistemas de
computaci#n
/+ Ase$urar la elaboraci#n de un plan de actividades previo a la
instalaci#n
Acciones a se$uir)
*+ 0laboraci#n de un informe t(cnico en el que se ustifique la
adquisici#n del equipo, soft>are y servicios de computaci#n,
incluyendo un estudio costo=beneficio&
-+ :ormaci#n de un comit( que coordine y se responsabilice de
todo el proceso de adquisici#n e instalaci#n
/+ 0laborar un plan de instalaci#n de equipo y soft>are 3fec'as,
actividades, responsables+ el mismo que debe contar con la
aprobaci#n de los proveedores del equipo&
4+ 0laborar un instructivo con procedimientos a se$uir para la
selecci#n y adquisici#n de equipos, pro$ramas y servicios
computacionales& 0ste proceso debe enmarcarse en normas y
disposiciones le$ales&
8+ 0fectuar las acciones necesarias para una mayor participaci#n
de proveedores&
?+ Ase$urar respaldo de mantenimiento y asistencia t(cnica&
Contro$es de or(ani*acin + )$ani'icacin. Se refiere a la
definici#n clara de funciones, linea de autoridad y responsabilidad de
las diferentes unidades del !rea 1A2, en labores tales como) 2ise"ar
un sistema, 0laborar los pro$ramas, Operar el sistema, Control de
calidad& Se debe evitar que una misma persona ten$a el control de
toda una operaci#n& 0s importante la utili.aci#n #ptima de recursos
en el 1A2 mediante la preparaci#n de planes a ser evaluados
continuamente
Acciones a se$uir
*+ La unidad inform!tica debe estar al mas alto nivel de la pir!mide
administrativa de manera que cumpla con sus obetivos, cuente
con el apoyo necesario y la direcci#n efectiva&
-+ Las funciones de operaci#n, pro$ramaci#n y dise"o de
sistemas deben estar claramente delimitadas&
/+ 2eben e%istir mecanismos necesarios a fin de ase$urar que los
pro$ramadores y analistas no ten$an acceso a la operaci#n del
computador y los operadores a su ve. no cono.can la
documentaci#n de pro$ramas y sistemas&
4+ 2ebe e%istir una unidad de control de calidad, tanto de datos de
entrada como de los resultado del procesamiento&
8+ 0l maneo y custodia de dispositivos y arc'ivos ma$n(ticos
deben estar e%presamente definidos por escrito&
?+ Las actividades del 1A2 deben obedecer a planificaciones a
corto, mediano y lar$o pla.o suetos a evaluaci#n y austes
peri#dicos E1lan 6aestro de 7nform!ticaE
@+ 2ebe e%istir una participaci#n efectiva de directivos, usuarios y
personal del 1A2 en la planificaci#n y evaluaci#n del cumplimiento
del plan&
A+ Las instrucciones deben impartirse por escrito&
Contro$es de Sistema en Desarro$$o + )roduccin Se debe
ustificar que los sistemas 'an sido la meor opci#n para la empresa,
bao una relaci#n costo=beneficio que proporcionen oportuna y
efectiva informaci#n, que los sistemas se 'an desarrollado bao un
proceso planificado y se encuentren debidamente documentados&
Acciones a se$uir)
*+ Los usuarios deben participar en el dise"o e implantaci#n de los
sistemas pues aportan conocimiento y e%periencia de su !rea y
esta actividad facilita el proceso de cambio
-+ 0l personal de auditora internaIcontrol debe formar parte del
$rupo de dise"o para su$erir y solicitar la implantaci#n de rutinas de
control
/+ 0l desarrollo, dise"o y mantenimiento de sistemas obedece a
planes especficos, metodolo$as est!ndares, procedimientos y en
$eneral a normatividad escrita y aprobada&
4+ Cada fase concluida debe ser aprobada documentadamente
por los usuarios mediante actas u otros mecanismos a fin de evitar
reclamos posteriores&
8+ Los pro$ramas antes de pasar a 1roducci#n deben ser
probados con datos que a$oten todas las e%cepciones posibles&
?+ Todos los sistemas deben estar debidamente documentados y
actuali.ados& La documentaci#n deber! contener)
a+ 7nforme de factibilidad
b+ 2ia$rama de bloque
c+ 2ia$rama de l#$ica del pro$rama
d+ Obetivos del pro$rama
e+ Listado ori$inal del pro$rama y versiones que incluyan los
cambios efectuados con antecedentes de pedido y aprobaci#n de
modificaciones
f+ :ormatos de salida
$+ Resultados de pruebas reali.adas
@+ 7mplantar procedimientos de solicitud, aprobaci#n y eecuci#n de
cambios a pro$ramas, formatos de los sistemas en desarrollo&
A+ 0l sistema concluido sera entre$ado al usuario previo
entrenamiento y elaboraci#n de los manuales de operaci#n
respectivos
Contro$es de )rocesamiento
Los controles de procesamiento se refieren al ciclo que si$ue la
informaci#n desde la entrada 'asta la salida de la informaci#n, lo que
conlleva al establecimiento de una serie de se$uridades para)
*+ Ase$urar que todos los datos sean procesados
-+ ,aranti.ar la e%actitud de los datos procesados
/+ ,aranti.ar que se $rabe un arc'ivo para uso de la $erencia y
con fines de auditora
4+ Ase$urar que los resultados sean entre$ados a los usuarios en
forma oportuna y en las meores condiciones&
Acciones a se$uir)
*+ 9alidaci#n de datos de entrada previo procesamiento debe ser
reali.ada en forma autom!tica) clave, d$ito autoverificador,
totales de lotes, etc&
-+ 1reparaci#n de datos de entrada debe ser responsabilidad de
usuarios y consecuentemente su correcci#n&
/+ Recepci#n de datos de entrada y distribuci#n de informaci#n de
salida debe obedecer a un 'orario elaborado en coordinaci#n con el
usuario, reali.ando un debido control de calidad&
4+ Adoptar acciones necesaria para correcciones de errores&
8+ Anali.ar conveniencia costo=beneficio de estandari.aci#n de
formularios, fuente para a$ilitar la captura de datos y minimi.ar
errores&
?+ Los procesos interactivos deben $aranti.ar una adecuada
interrelaci#n entre usuario y sistema&
@+ 1lanificar el mantenimiento del 'ard>are y soft>are, tomando
todas las se$uridades para $aranti.ar la inte$ridad de la informaci#n
y el buen servicio a usuarios&
Contro$es de Operacin Abarcan todo el ambiente de la operaci#n
del equipo central de computaci#n y dispositivos de almacenamiento,
la administraci#n de la cintoteca y la operaci#n de terminales y
equipos de comunicaci#n por parte de los usuarios de sistemas on
line&
Los controles tienen como fin)
*+ 1revenir o detectar errores accidentales que puedan ocurrir en el
Centro de C#mputo durante un proceso
-+ 0vitar o detectar el maneo de datos con fines fraudulentos por
parte de funcionarios del 1A2
/+ ,aranti.ar la inte$ridad de los recursos inform!ticos&
4+ Ase$urar la utili.aci#n adecuada de equipos acorde a planes y
obetivos, Recursos 7nform!ticos
Acciones a se$uir)
*+ 0l acceso al centro de computo debe contar con las se$uridades
necesarias para reservar el in$reso al personal autori.ado
-+ 7mplantar claves o pass>ord para $aranti.ar operaci#n de
consola y equipo central 3mainframe+, a personal autori.ado&
/+ :ormular polticas respecto a se$uridad, privacidad y
protecci#n de las facilidades de procesamiento ante eventos como)
incendio, vandalismo, robo y uso indebido, intentos de violaci#n y
como responder ante esos eventos&
4+ 6antener un re$istro permanente 3bit!cora+ de todos los
procesos reali.ados, deando constancia de suspensiones o
cancelaciones de procesos&
8+ Los operadores del equipo central deben estar entrenados para
recuperar o restaurar informaci#n en caso de destrucci#n de
arc'ivos&
?+ Los bacJups no deben ser menores de dos 3padres e 'ios+ y
deben $uardarse en lu$ares se$uros y adecuados, preferentemente
en b#vedas de bancos&
@+ Se deben implantar calendarios de operaci#n a fin de
establecer prioridades de proceso&
A+ Todas las actividades del Centro de Computo deben normarse
mediante manuales, instructivos, normas, re$lamentos, etc&
B+ 0l proveedor de 'ard>are y soft>are deber! proporcionar lo
si$uiente)
a+ 6anual de operaci#n de equipos
b+ 6anual de len$uae de pro$ramaci#n
c+ 6anual de utilitarios disponibles
d+ 6anual de Sistemas operativos
*C+ Las instalaciones deben contar con sistema de alarma por
presencia de fue$o, 'umo, asi como e%tintores de incendio,
cone%iones el(ctricas se$uras, entre otras&
**+ 7nstalar equipos que protean la informaci#n y los dispositivos
en caso de variaci#n de voltae como) re$uladores de voltae,
supresores pico, 51S, $eneradores de ener$a&
*-+ Contratar p#li.as de se$uros para prote$er la informaci#n,
equipos, personal y todo ries$o que se produ.ca por casos fortuitos o
mala operaci#n&
Contro$es en e$ uso de$ ,icrocomputador 0s la tarea mas difcil
pues son equipos mas vulnerables, de f!cil acceso, de f!cil
e%plotaci#n pero los controles que se implanten ayudaran a
$aranti.ar la inte$ridad y confidencialidad de la informaci#n&
Acciones a se$uir)
*+ Adquisicion de equipos de protecci#n como supresores de pico,
re$uladores de voltae y de ser posible 51S previo a la
adquisici#n del equipo
-+ 9encida la $aranta de mantenimiento del proveedor se debe
contratar mantenimiento preventivo y correctivo&
/+ 0stablecer procedimientos para obtenci#n de bacJups de
paquetes y de arc'ivos de datos&
4+ Revisi#n peri#dica y sorpresiva del contenido del disco para
verificar la instalaci#n de aplicaciones no relacionadas a la $esti#n de
la empresa&
8+ 6antener pro$ramas y procedimientos de detecci#n e
inmuni.aci#n de virus en copias no autori.adas o datos procesados
en otros equipos&
?+ 1ropender a la estandari.aci#n del Sistema Operativo, soft>are
utili.ado como procesadores de palabras, 'oas electr#nicas,
maneadores de base de datos y mantener actuali.adas las
versiones y la capacitaci#n sobre modificaciones incluidas&
@+ Anali.ados los distintos tipos de controles que se aplican en la
Auditora de Sistemas efectuaremos a continuaci#n el an!lisis de
casos de situaciones 'ipot(ticas planteadas como problem!ticas en
distintas empresas , con la finalidad de efectuar el an!lisis del caso e
identificar las acciones que se deberan implementar &
III. An-$isis de Casos de Contro$es Administrati"os
Controles sobre datos fios
Lea cada situaci#n atentamente y en"a$o como tarea&
*&= 0nuncie un control que 'ubiera prevenido el problema o
posibilitado su detecci#n&
-&= 7dentifique uno o m!s controles alternativos que 'ubieran
ayudado a prevenir o a detectar el problema&
Situacin 1
5n empleado del $rupo de control de datos obtuvo un formulario para
modificaciones al arc'ivo maestro de proveedores 3en blanco+ y lo
completo con el c#di$o y nombre de un proveedor ficticio,
asi$n!ndole como domicilio el numero de una casilla de correo que
previamente 'aba abierto a su nombre&
Su obetivo era que el sistema emitiera c'eques a la orden del
referido proveedor, y fueran lue$o remitidos a la citada casilla de
correo&
Cuando el listado de modificaciones al arc'ivo maestro de
proveedores 3impreso por esta ;nica modificaci#n procesada en la
oportunidad + le fue enviado para su verificaci#n con los datos de
entrada, procedi# a destruirlo&
Alternativas de Soluci#n
*+ Los formularios para modificarse a los arc'ivos maestros deberan
ser prenumeradosF el departamento usuario respectivo debera
controlar su secuencia num(rica&
-+ Los listados de modificaciones a los arc'ivos maestros no s#lo
deberan listar los cambios recientemente procesados, sino tambi(n
contener totales de control de los campos importantes,3n;mero de
re$istros, suma de campos importantes, fec'a de la ;ltima
modificaci#n ,etc&+ que deberan ser reconciliados por los
departamentos usuarios con los listados anteriores&
Situacin 2
Al reali.ar una prueba de facturaci#n los auditores observaron que
los precios facturados en al$unos casos no coincidan con los
indicados en las listas de precios vi$ente& 1osteriormente se
comprob# que ciertos cambios en las listas de precios no 'aban sido
procesados, ra.#n por la cual el arc'ivo maestro de precios estaba
desactuali.ado&
Alternativas de Soluci#n
*+ 5so de formularios prenumerados para modificaciones y controles
pro$ramados dise"ado para detectar alteraciones en la secuencia
num(rica de los mismos&
-+ Creaci#n de totales de control por lotes de formularios de
modificaciones y su posterior reconciliaci#n con un listado de las
modificaciones procesadas&
/+ Conciliaci#n de totales de control de campos si$nificativos con
los acumulados por el computador&
4+ ,eneraci#n y revisi#n de los listados de modificaciones
procesadas por un dele$ado responsable&
8+ Revisi#n de listados peri#dicos del contenido del arc'ivo
maestro de precios&

Situacin 3
0l operador del turno de la noc'e, cuyos conocimientos de
pro$ramaci#n eran mayores de los que los dem!s suponan,
modifico 3por consola+ al arc'ivo maestro de remuneraciones a
efectos de lo$rar que se abonara a una remuneraci#n m!s elevada a
un operario del !rea de producci#n con el cual estaba emparentado&
0l fraude fue descubierto accidentalmente varios meses despu(s&
Alternativas de Soluci#n
*+ 1reparaci#n de totales de control del usuario y reconciliaci#n con
los acumulados del campo remuneraciones, por el computador&
-+ Aplicaci#n de control de lmites de ra.onabilidad&

Situacin %
KK 7nc& 0s un mayorista de equipos de radio que comerciali.a sus
equipos a trav(s de una vasta red de representantes& Sus clientes
son minoristas locales y del e%teriorF al$unos son considerados E
clientes especialesE, debido al volumen de sus compras, y los
mismos son atendidos directamente por los supervisores de ventas&
Los clientes especiales no se incrementan por lo $eneral, en la
misma proporci#n que aquellas facturadas a los clientes especiales&
Al incrementarse los precios, el arc'ivo maestro de precios y
condiciones de venta a clientes especiales no es autom!ticamente
actuali.adoF los propios supervisores estipulan qu( porci#n del
incremento se aplica a cada uno de los clientes especiales&
0l - de mayo de *BA/ la compa"a increment# sus precios de venta
en un -/LF el arc'ivo maestro de precios y condiciones de venta a
clientes comunes fue actuali.ado en dic'o porcentae&
0n lo que ata"e a los clientes especiales, al$unos supervisores
incrementaron los precios en el referido porcentae, en tanto que
otros =por ra.ones comerciales= recomendaron incrementos
inferiores que oscilaron entre un *CL y un -CL& 0stos nuevos
precios de venta fueron informados a la oficina central por medio de
formularios de datos de entrada, dise"ados al efecto, procedi(ndose
a la actuali.aci#n del arc'ivo maestro&
0n la oportunidad, uno de los supervisores acord# con uno de sus
clientes especiales no incrementar los precios de venta 3omiti# remitir
el citado formulario para su procesamiento+ a cambio de una
Ecomisi#nMM del 8L de las ventas&
Nin$;n funcionario en la oficina central detect# la no actuali.aci#n de
los precios facturados a referido cliente ra.#n por la cual la compa"a
se vio perudicada por el equivalente a 5SN 8C&CCC& 0l fraude fue
descubierto accidentalmente, despidi(ndose al involucrado, pero no
se interrumpi# la relaci#n comercial&
Alternativas de Soluci#n
*+ La empresa debera actuali.ar el arc'ivo maestro de precios y
condiciones de venta aplicando la totalidad del porcentae de
incremento&
-+ Los supervisores de venta deberan remitir formularios de
entrada de datos transcribiendo los descuentos propuestos para
clientes especiales&
/+ Los formularios deberan ser prenumerados, controlados y
aprobados, antes de su procesamiento, por funcionarios
competentes en la oficina central&
4+ 2ebe reali.arse una revisi#n critica de listados de e%cepci#n
emitidos con la n#mina de aquellos clientes cuyos precios de venta
se 'ubiesen incrementado en menos de un determinado porcentae&
Situacin /
5n empleado del almac(n de productos terminados in$resos al
computador ordenes de despac'o ficticias, como resultado de las
cuales se despac'aron mercaderas a clientes ine%istentes&
0sta situaci#n fue descubierta 'asta que los auditores reali.aron
pruebas de cumplimientos y comprobaron que e%istan al$unos
despac'os no autori.ados&
Alternativas de Soluci#n
*+ 5n empleado independiente de la custodia de los inventarios
debera reconciliar diariamente la informaci#n sobre despac'os
$enerada como resultado del procesamiento de las #rdenes de
despac'o, con documentaci#n procesada independientemente,
por eemplo, notas de pedido aprobadas por la $erencia de
ventas&
-+ 2e esta manera se detectaran los despac'os ficticios&
Situacin 0
Al reali.ar una prueba de facturaci#n, los auditores observaron que
los precios facturados en al$unos casos no coincidan con los
indicados en las listas de precios vi$entes& 1osteriormente se
comprob# que ciertos cambios en las listas de precios no 'aban sido
procesados, ra.#n por la cual el arc'ivo maestro de precios estaba
desactuali.ado&
Alternativas de Soluci#n
*+ Creaci#n de totales de control por lotes de formularios de
modificaciones y su posterior reconciliaci#n con un listado de las
modificaciones procesadas&
-+ Conciliaci#n de totales de control con los acumulados por el
computador referentes al contenido de campos si$nificativos&
/+ ,eneraci#n y revisi#n, por un funcionario responsable, de los
listados de modificaciones procesadas&
4+ ,eneraci#n y revisi#n de listados peri#dicos del contenido del
arc'ivo maestro de precios&
Situacin 1
5na cobran.a en efectivo a un cliente re$istrada claramente en el
correspondiente recibo como de N *A,C*, fue in$resada al
computador por N *&AC* se$;n sur$e del listado diario de cobran.as
en efectivo&
Alternativas de Soluci#n
*+ ContraloraIAuditora debera preparar y conservar totales de
control de los lotes de recibos por cobran.as en efectivo& 0stos
totales deberian ser lue$o comparados con los totales se$;n el
listado diario de cobran.as en efectivo&
-+ 5n test de ra.onabilidad asumiendo que un pa$o de N/?*&/CC
est! definido como no ra.onable&
/+ Comparaci#n autom!tica de los pa$os recibidos con las
facturas pendientes por el n;mero de factura y rec'a.ar o imprimir
aquellas discrepancias si$nificativas o no ra.onables&
4+ 0fectuar la 2oble di$itaci#n de campos criticos tales como valor
o importe&

I.. ,etodo$o(a de una Auditora de Sistemas
0%isten al$unas metodolo$as de Auditoras de Sistemas y todas
depende de lo que se pretenda revisar o anali.ar, pero como
est!ndar anali.aremos las cuatro fases b!sicas de un proceso de
revisi#n)
*+ 0studio preliminar
-+ Revisi#n y evaluaci#n de controles y se$uridades
/+ 0%amen detallado de !reas criticas
4+ Comunicaci#n de resultados
Estudio pre$iminar&7ncluye definir el $rupo de trabao, el pro$rama
de auditora, efectuar visitas a la unidad inform!tica para conocer
detalles de la misma, elaborar un cuestionario para la obtenci#n de
informaci#n para evaluar preliminarmente el control interno, solicitud
de plan de actividades, 6anuales de polticas, re$lamentos,
0ntrevistas con los principales funcionarios del 1A2&
2e"isin + e"a$uacin de contro$es + se(uridades& Consiste de la
revisi#n de los dia$ramas de fluo de procesos, reali.aci#n de
pruebas de cumplimiento de las se$uridades, revisi#n de
aplicaciones de las !reas criticas, Revisi#n de procesos 'ist#ricos
3bacJups+, Revisi#n de documentaci#n y arc'ivos, entre otras
actividades&
E3amen deta$$ado de -reas criticas&Con las fases anteriores el
auditor descubre las !reas criticas y sobre ellas 'ace un estudio y
an!lisis profundo en los que definir! concretamente su $rupo de
trabao y la distribuci#n de car$a del mismo, establecer! los motivos,
obetivos, alcance Recursos que usara, definir! la metodolo$a de
trabao, la duraci#n de la auditora, 1resentar! el plan de trabao y
anali.ara detalladamente cada problema encontrado con todo lo
anteriormente anali.ado en este folleto&
Comunicacin de resu$tados& Se elaborara el borrador del informe
a ser discutido con los eecutivos de la empresa 'asta lle$ar al
informe definitivo, el cual presentara esquem!ticamente en forma de
matri., cuadros o redacci#n simple y concisa que destaque los
problemas encontrados , los efectos y las recomendaciones de la
Auditora&
0l informe debe contener lo si$uiente)
*+ 6otivos de la Auditora
-+ Obetivos
/+ Alcance
4+ 0structura Or$!nico=:uncional del !rea 7nform!tica
8+ Confi$uraci#n del Dard>are y Soft>are instalado
?+ Control 7nterno
@+ Resultados de la Auditora
.. Caso )r-ctico

*+ A continuaci#n se presenta una poltica en 7nform!tica establecida
como propuesta a fin de ilustrar el trabao reali.ado de una
auditora de sistemas enfocada en los controles de Or$ani.aci#n y
planificaci#n&
-+ 0sta poltica fue creada con la finalidad de que satisfa$a a un
$rupo de empresas urdicamente establecidas con una estructura
departamental del Area de Sistemas inte$rada por) 2irecci#n ,
Subdirecci#n, Oefes 2epartamentales del Area de Sistemas en cada
una de las empresas que pertenecen al $rupo&
/+ As mismo los 2epartamentos que la componen son)
2epartamento de 2esarrollo de Sistemas y 1roducci#n,
2epartamento de Soporte T(cnico y 2epartamento de RedesI
Comunicaciones, 2epartamento de 2esarrollo de 1royectos&
4+ 1ara el efecto se 'a creado una Administraci#n de Sistemas
que efect;a reuniones peri#dicas a fin de re$ular y normar el
funcionamiento del !rea de Sistemas y un Comit( en el que
participan personal del !rea de Sistemas y personal administrativo&
1OLPT7CAS 0N 7N:OR6QT7CA
T7T5LO 7
27S1OS7C7ON0S ,0N0RAL0S
ART7C5LO *R&= 0l presente ordenamiento tiene por obeto
estandari.ar y contribuir al desarrollo inform!tico de las diferentes
unidades administrativas de la 0mpresa NN&
ART7C5LO -R&= 1ara los efectos de este instrumento se entender!
por)
Comit() Al equipo inte$rado por la 2irecci#n , Subdirecci#n, los Oefes
departamentales y el personal administrativo de las diferentes
unidades administrativas 3Ocasionalmente+ convocado para fines
especficos como)
*+ Adquisiciones de Dard>are y soft>are
-+ 0stablecimiento de est!ndares de la 0mpresa NN tanto de
'ard>are como de soft>are
/+ 0stablecimiento de la Arquitectura tecnol#$ica de $rupo&
4+ 0stablecimiento de lineamientos para concursos de ofertas
Administraci#n de 7nform!tica) 0st! inte$rada por la 2irecci#n,
Subdirecci#n y Oefes 2epartamentales, las cuales son responsables
de)
*+ 9elar por el funcionamiento de la tecnolo$a inform!tica que se
utilice en las diferentes unidades administrativas
-+ 0laborar y efectuar se$uimiento del 1lan 6aestro de
7nform!tica
/+ 2efinir estrate$ias y obetivos a corto, mediano y lar$o pla.o
4+ 6antener la Arquitectura tecnol#$ica
8+ Controlar la calidad del servicio brindado
?+ 6antener el 7nventario actuali.ado de los recursos inform!ticos
@+ 9elar por el cumplimiento de las 1olticas y 1rocedimientos
establecidos&
ART7C5LO /R&= 1ara los efectos de este documento, se entiende por
1olticas en 7nform!tica, al conunto de re$las obli$atorias, que deben
observar los Oefes de Sistemas responsables del 'ard>are y
soft>are e%istente en la 0mpresa NN, siendo responsabilidad de la
Administraci#n de 7nform!tica, vi$ilar su estricta observancia en el
!mbito de su competencia, tomando las medidas preventivas y
correctivas para que se cumplan&
ART7C5LO 4R&= Las 1olticas en 7nform!tica son el conunto de
ordenamientos y lineamientos enmarcados en el !mbito urdico y
administrativo de la 0mpresa NN& 0stas normas inciden en la
adquisici#n y el uso de los <ienes y Servicios 7nform!ticos en la
0mpresa NN, las cuales se deber!n de acatar invariablemente, por
aquellas instancias que interven$an directa yIo indirectamente en
ello&
ART7C5LO 8R&= La instancia rectora de los sistemas de inform!tica
de la 0mpresa NN es la Administraci#n, y el or$anismo competente
para la aplicaci#n de este ordenamiento, es el Comit(&
ART7C5LO ?R&= Las presentes 1olticas aqu contenidas, son de
observancia para la adquisici#n y uso de bienes y servicios
inform!ticos, en la 0mpresa NN, cuyo incumplimiento $enerar! que
se incurra en responsabilidad administrativaF suet!ndose a lo
dispuesto en la secci#n Responsabilidades Administrativas de
Sistemas&
ART7C5LO @R&= Las empresas de la 0mpresa NN deber!n contar con
un Oefe o responsable del Area de Sistemas, en el que recai$a la
administraci#n de los <ienes y Servicios, que vi$ilar! la correcta
aplicaci#n de los ordenamientos establecidos por el Comit( y dem!s
disposiciones aplicables&
T7T5LO 77
L7N0A670NTOS 1ARA LA A2S57S7C7ON 20 <70N0S 20
7N:OR6AT7CA
ART7C5LO AR&= Toda adquisici#n de tecnolo$a inform!tica se
efect;a a trav(s del Comit(, que est! conformado por el personal de
la Administraci#n de 7nform!tica y ,erente Administrativo de la
unidad solicitante de bienes o servicios inform!ticos&
ART7C5LO BR&= La adquisici#n de <ienes de 7nform!tica en la
0mpresa NN, quedar! sueta a los lineamientos establecidos en este
documento&
ART7C5LO *CR&= La Administraci#n de 7nform!tica, al planear las
operaciones relativas a la adquisici#n de <ienes inform!ticos,
establecer! prioridades y en su selecci#n deber! tomar en cuenta)
estudio t(cnico, precio, calidad, e%periencia, desarrollo tecnol#$ico,
est!ndares y capacidad, entendi(ndose por)
*+ 1recio&= Costo inicial, costo de mantenimiento y consumibles por
el perodo estimado de uso de los equiposF
-+ Calidad&= 1ar!metro cualitativo que especifica las
caractersticas t(cnicas de los recursos inform!ticos&
/+ 0%periencia&= 1resencia en el mercado nacional e internacional,
estructura de servicio, la confiabilidad de los bienes y certificados de
calidad con los que se cuenteF
4+ 2esarrollo Tecnol#$ico&= Se deber! anali.ar su $rado de
obsolescencia, su nivel tecnol#$ico con respecto a la oferta e%istente
y su permanencia en el mercadoF
8+ 0st!ndares&= Toda adquisici#n se basa en los est!ndares, es
decir la arquitectura de $rupo empresarial establecida por el Comit(&
0sta arquitectura tiene una permanencia mnima de dos a cinco
a"os&
?+ Capacidades&= Se deber! anali.ar si satisface la demanda
actual con un mar$en de 'ol$ura y capacidad de crecimiento para
soportar la car$a de trabao del !rea&
ART7C5LO **R&= 1ara la adquisici#n de Dard>are se observar! lo
si$uiente)
a+ 0l equipo que se desee adquirir deber! estar dentro de las listas
de ventas vi$entes de los fabricantes yIo distribuidores del mismo y
dentro de los est!ndares de la 0mpresa NN&
b+ 2eber!n tener un a"o de $aranta como mnimo
c+ 2eber!n ser equipos inte$rados de f!brica o ensamblados con
componentes previamente evaluados por el Comit(&
d+ La marca de los equipos o componentes deber! contar con
presencia y permanencia demostrada en el mercado nacional e
internacional, as como con asistencia t(cnica y refaccionaria local&
e+ Trat!ndose de equipos microcomputadoras, a fin de mantener
actuali.ado la arquitectura inform!tico de la 0mpresa NN, el Comit(
emitir! peri#dicamente las especificaciones t(cnicas mnimas para
su adquisici#n&
f+ Los dispositivos de almacenamiento, as como las interfaces de
entradaIsalida, deber!n estar acordes con la tecnolo$a de punta
vi$ente, tanto en velocidad de transferencia de datos, como en el
ciclo del proceso&
$+ Las impresoras deber!n ape$arse a los est!ndares de Dard>are y
Soft>are vi$entes en el mercado y la 0mpresa NN, corroborando que
los suministros 3cintas, papel, etc&+ se consi$an f!cilmente en el
mercado y no est(n suetas a un solo proveedor&
'+ Conuntamente con los equipos, se deber! adquirir el equipo
complementario adecuado para su correcto funcionamiento de
acuerdo con las especificaciones de los fabricantes, y que esta
adquisici#n se manifieste en el costo de la partida inicial&
i+Los equipos complementarios deber!n tener una $aranta mnima
de un a"o y deber!n contar con el servicio t(cnico correspondiente
en el pas&
+ Los equipos adquiridos deben contar, de preferencia con asistencia
t(cnica durante la instalaci#n de los mismos&
J+ 0n lo que se refiere a los computadores denominados servidores,
equipo de comunicaciones como enrutadores y concentradores de
medios, y otros que se ustifiquen por ser de operaci#n crtica yIo de
alto costoF al vencer su perodo de $aranta, deben de contar con un
pro$rama de mantenimiento preventivo y correctivo que incluya el
suministro de refacciones&
l+ 0n lo que se refiere a los computadores denominados personales,
al vencer su $aranta por adquisici#n, deben de contar por lo menos
con un pro$rama de servicio de mantenimiento correctivo que incluya
el suministro de refacciones&
Todo proyecto de adquisici#n de bienes de inform!tica, debe
suetarse al an!lisis, aprobaci#n y autori.aci#n del Comit(&
ART7C5LO *-R) 0n la adquisici#n de 0quipo de c#mputo se deber!
incluir el Soft>are vi$ente precar$ado con su licencia
correspondiente considerando las disposiciones del artculo
si$uiente&
ART7C5LO */R&= 1ara la adquisici#n de Soft>are base y utilitarios, el
Comit( dar! a conocer peri#dicamente las tendencias con tecnolo$a
de punta vi$ente, siendo la lista de productos autori.ados la
si$uiente)
*+ 1lataformas de Sistemas Operativos) 6S=2OS, 6S= Gindo>s B8
0spa"ol, Gindo>s NT, Novell Net>are, 5ni%3Automotri.+&
-+ <ases de 2atos) :o%pro, 7nformi%
/+ 6aneadores de bases de datos) :o%pro para 2OS, 9isual:o%,
Access
4+ Len$uaes de pro$ramaci#n) Los len$uaes de pro$ramaci#n que
se utilicen deben ser compatibles con las plataformas enlistadas&
SSL Gindo>s, 9isual <asic, 9isual:o%, CenturaGeb, Notes
2esi$ner
8+ Doas de c!lculo) 0%cel
?+ 1rocesadores de palabras) Gord
@+ 2ise"o ,r!fico) 1a$e 6aJer, Corel 2ra>
A+ 1ro$ramas antivirus)& :=prot, Command Antivirus, Norton Antivirus
B+ Correo electr#nico) Notes 6ail
*C+ <ro>ser de 7nternet) Netscape
0n la $eneralidad de los casos, s#lo se adquirir!n las ;ltimas
versiones liberadas de los productos seleccionados, salvo
situaciones especficas que se deber!n ustificar ante el Comit(&
Todos los productos de Soft>are que se adquieran deber!n contar
con su licencia de uso, documentaci#n y $aranta respectivas&
ART7C5LO *4R&= Todos los productos de Soft>are que se utilicen a
partir de la fec'a en que entre en vi$or el presente ordenamiento,
deber!n contar con su licencia de uso respectivaF por lo que se
promover! la re$ulari.aci#n o eliminaci#n de los productos ya
instalados que no cuenten con la licencia respectiva&
ART7C5LO *8R&= 1ara la operaci#n del soft>are de red se debe tener
en consideraci#n lo si$uiente)
a+ Toda la informaci#n institucional debe invariablemente ser operada
a trav(s de un mismo tipo de sistema maneador de base de datos
para beneficiarse de los mecanismos de inte$ridad, se$uridad y
recuperaci#n de informaci#n en caso de falla del sistema de
c#mputo&
b+ 0l acceso a los sistemas de informaci#n, debe contar con los
privile$ios # niveles de se$uridad de acceso suficientes para
$aranti.ar la se$uridad total de la informaci#n institucional& Los
niveles de se$uridad de acceso deber!n controlarse por un
administrador ;nico y poder ser manipulado por soft>are& Se deben
delimitar las responsabilidades en cuanto a qui(n est! autori.ado a
consultar yIo modificar en cada caso la informaci#n, tomando las
medidas de se$uridad pertinentes para cada caso&
c+ 0l titular de la unidad administrativa responsable del sistema de
informaci#n debe autori.ar y solicitar la asi$naci#n de clave de
acceso al titular de la 5nidad de 7nform!tica&
d+ Los datos de los sistemas de informaci#n, deben ser respaldados
de acuerdo a la frecuencia de actuali.aci#n de sus datos, rotando los
dispositivos de respaldo y $uardando respaldos 'ist#ricos
peri#dicamente& 0s indispensable llevar una bit!cora oficial de los
respaldos reali.ados, asimismo, las cintas de respaldo deber!n
$uardarse en un lu$ar de acceso restrin$ido con condiciones
ambientales suficientes para $aranti.ar su conservaci#n& 2etalle
e%plicativo se aprecia en la 1oltica de respaldos en vi$encia&
e+ 0n cuanto a la informaci#n de los equipos de c#mputo personales,
la 5nidad de 7nform!tica recomienda a los usuarios que realicen sus
propios respaldos en la red o en medios de almacenamiento
alternos&
f+ Todos los sistemas de informaci#n que se ten$an en operaci#n,
deben contar con sus respectivos manuales actuali.ados& 5no
t(cnico que describa la estructura interna del sistema as como los
pro$ramas,
cat!lo$os y arc'ivos que lo conforman y otro que describa a los
usuarios del sistema, los procedimientos para su utili.aci#n&
'+ Los sistemas de informaci#n, deben contemplar el re$istro
'ist#rico de las transacciones sobre datos relevantes, as como la
clave del usuario y fec'a en que se reali.# 3Normas <!sicas de
Auditora y Control+&
i +Se deben implantar rutinas peri#dicas de auditora a la inte$ridad
de los datos y de los pro$ramas de c#mputo, para $aranti.ar su
confiabilidad&
ART7C5LO *?R&= 1ara la contrataci#n del servicio de desarrollo o
construcci#n de Soft>are aplicativo se observar! lo si$uiente)
Todo proyecto de contrataci#n de desarrollo o construcci#n de
soft>are requiere de un estudio de factibilidad que permita establecer
la rentabilidad del proyecto as como los beneficios que se obtendr!n
del mismo&
Todo proyecto deber! ser aprobado por el Comit( en base a un
informe t(cnico que conten$a lo si$uiente)
<ases del concurso 3Requerimientos claramente especificados+
An!lisis de ofertas 3Tres oferentes como mnimo+ y Selecci#n de
oferta $anadora
<ases del Concurso
Las bases del concurso especifican claramente los obetivos del
trabao, delimita las responsabilidades de la empresa oferente y la
contratante&
2e las empresas oferentes)
*+ Los requisitos que se deben solicitar a las empresas oferentes
son)
-+ Copia de la C(dula de 7dentidad del o los representantes de la
compa"a
/+ Copia de los nombramientos actuali.ados de los
representantes le$ales de la compa"a
4+ Copia de los 0statutos de la empresa, en que apare.ca
claramente definido el obeto de la compa"a, esto es para
determinar si est! o no facultada para reali.ar la obra
8+ Copia del R5C de la compa"a
?+ Referencias de clientes 36nimo /+
@+ La carta con la oferta definitiva del contratista debe estar
firmada por el representante le$al de la compa"a oferente&
2e la contratante
Las responsabilidades de la contratante son)
*+ 2elinear adecuadamente los obetivos y alcance del aplicativo&
-+ 0stablecer los requerimientos del aplicativo
/+ 2efinir responsabilidades de la contratista y contratante
4+ 0stablecer campos de acci#n
An!lisis de ofertas y Selecci#n de oferta $anadora)
1ara definir la empresa oferente $anadora del concurso, el Comit(
establecer! una reuni#n en la que se debe considerar los si$uientes
factores)
*+ Costo
-+ Calidad
/+ Tiempo de permanencia en el mercado de la empresa oferente
4+ 0%periencia en el desarrollo de aplicativos
8+ Referencias comprobadas de Clientes
?+ Cumplimiento en la entre$a de los requisitos
Aprobada la oferta se debe considerar los si$uientes lineamientos en
la elaboraci#n de contratos)
Todo contrato debe incluir lo si$uiente)
*+ Antecedentes, obeto del contrato, precio, forma de pa$o, pla.o,
obli$aciones del contratista, responsabilidades, fiscali.ador de la
obra, $arantas, entre$a recepci#n de obra provisional y definitiva,
sanciones por incumplimientos, rescisi#n del contrato,
disposiciones supletorias, documentos incorporados, soluci#n de
controversias, entre otros aspectos&
-+ Las $arantas necesarias para cada contrato deben ser
includas en forma conunta con el 2epartamento Le$al, quienes
deben asesorar el tipo de $aranta necesaria en la elaboraci#n de
cada contrato&
/+ Las $arantas que se deben aplicar de acuerdo al tipo de
contrato son)
4+ 5na $aranta bancaria o una p#li.a de se$uros, incondicional,
irrevocable y de cobro inmediato por el 8L del monto total del
contrato para ase$urar su fiel cumplimiento, la cual se mantendr!
vi$ente durante todo el tiempo que subsista la obli$aci#n motivo de la
$aranta&
8+ 5na $aranta bancaria o una p#li.a de se$uros, incondicional,
irrevocable y de cobro inmediato equivalente al *CC L 3ciento por
ciento+ del anticipo& 0sta $aranta se devolver! en su inte$ridad una
ve. que el anticipo se 'aya amorti.ado en la forma de pa$o
estipulada en el contrato&
?+ 5n fondo de $aranta que ser! retenido de cada planilla en un
porcentae del 8 L&
Ounto al contrato se deber! mantener la 'istoria respectiva del mismo
que se compone de la si$uiente documentaci#n soporte)
*+ 0studio de factibilidad
-+ <ases del concurso
/+ Ofertas presentadas
4+ Acta de aceptaci#n de oferta firmada por los inte$rantes del
Comit(
8+ 7nformes de fiscali.aci#n
?+ Acta de entre$a provisional y definitiva
T7T5LO 777
7NSTALAC7ON0S
ART7C5LO *@R&= La instalaci#n del equipo de c#mputo, quedar!
sueta a los si$uientes lineamientos)
a+ Los equipos para uso interno se instalar!n en lu$ares adecuados,
leos de polvo y tr!fico de personas&
0n las !reas de atenci#n directa al p;blico los equipos se instalar!n
en lu$ares adecuados&
b+ La Administraci#n de 7nform!tica, as como las !reas operativas
deber!n contar con un croquis actuali.ado de las instalaciones
el(ctricas y de comunicaciones del equipo de c#mputo en red&
c+ Las instalaciones el(ctricas y de comunicaciones, estar!n de
preferencia fias o en su defecto res$uardadas del paso de personas
o m!quinas, y libres de cualquier interferencia el(ctrica o ma$n(tica&
d+ Las instalaciones se ape$ar!n estrictamente a los requerimientos
de los equipos, cuidando las especificaciones del cableado y de los
circuitos de protecci#n necesariosF
e+ 0n nin$;n caso se permitir!n instalaciones improvisadas o
sobrecar$adas&
f+ Cuando en la instalaci#n se alimenten elevadores, motores y
maquinaria pesada, se deber! tener un circuito independiente,
e%clusivo para el equipo yIo red de c#mputo&
ART7C5LO *AR&= La supervisi#n y control de las instalaciones se
llevar! a cabo en los pla.os y mediante los mecanismos que
estable.ca el Comit(&
T7T5LO 79
L7N0A670NTOS 0N 7N:OR6AT7CA
CA17T5LO 7
7N:OR6AC7ON
ART7C5LO *BR&= Los arc'ivos ma$n(ticos de informaci#n se deber!n
inventariar, ane%ando la descripci#n y las especificaciones de los
mismos, clasificando la informaci#n en tres cate$oras)
*+ 7nformaci#n 'ist#rica para auditoras
-+ 7nformaci#n de inter(s de la 0mpresa NN
/+ 7nformaci#n de inter(s e%clusivo de al$;n !rea en particular&
ART7C5LO -CR&= Los efes de sistemas responsables del equipo de
c#mputo y de la informaci#n contenida en los centros de c#mputo a
su car$o, delimitar!n las responsabilidades de sus subordinados y
determinar!n quien est! autori.ado a efectuar operaciones
emer$entes con dic'a informaci#n tomando las medidas de
se$uridad pertinentes&
ART7C5LO -*R&= Se establecen tres tipos de prioridad para la
informaci#n)
*+ 7nformaci#n vital para el funcionamiento de la unidad
administrativaF
-+ 7nformaci#n necesaria, pero no indispensable en la unidad
administrativaF
/+ 7nformaci#n ocasional o eventual&
ART7C5LO --R&= 0n caso de informaci#n vital para el funcionamiento
de la unidad administrativa, se deber!n tener procesos
concomitantes, as como tener el respaldo diario de las
modificaciones efectuadas, rotando los dispositivos de respaldo y
$uardando respaldos 'ist#ricos semanalmente&
ART7C5LO -/R&= La informaci#n necesaria pero no indispensable,
deber! ser respaldada con una frecuencia mnima de una semana,
rotando los dispositivos de respaldo y $uardando respaldos 'ist#ricos
mensualmente&
ART7C5LO -4R&= 0l respaldo de la informaci#n ocasional o eventual
queda a criterio de la unidad administrativa&
ART7C5LO -8R&= Los arc'ivos ma$n(ticos de informaci#n, de
car!cter 'ist#rico quedar!n documentados como activos de la unidad
acad(mica y estar!n debidamente res$uardados en su lu$ar de
almacenamiento&
0s obli$aci#n del responsable del equipo de c#mputo, la entre$a
conveniente de los arc'ivos ma$n(ticos de informaci#n, a quien le
suceda en el car$o&
ART7C5LO -?R&= Los sistemas de informaci#n en operaci#n, como
los que se desarrollen deber!n contar con sus respectivos manuales&
5n manual del usuario que describa los procedimientos de operaci#n
y el manual t(cnico que describa su estructura interna, pro$ramas,
cat!lo$os y arc'ivos&
CA17T5LO 77
:5NC7ONA670NTO
ART7C5LO -@R&= 0s obli$aci#n de la Administraci#n de 7nform!tica
vi$ilar que el equipo de c#mputo se use bao las condiciones
especificadas por el proveedor y de acuerdo a las funciones del !rea
a la que se asi$ne&
ART7C5LO -AR&= Los colaboradores de la empresa al usar el equipo
de c#mputo, se abstendr!n de consumir alimentos, fumar o reali.ar
actos que perudiquen el funcionamiento del mismo o deterioren la
informaci#n almacenada en medios ma$n(ticos, #pticos, etc&
ART7C5LO -BR&= 1or se$uridad de los recursos inform!ticos se
deben establecer se$uridades)
*+ :sicas
-+ Sistema Operativo
/+ Soft>are
4+ Comunicaciones
8+ <ase de 2atos
?+ 1roceso
@+ Aplicaciones
1or ello se establecen los si$uientes lineamientos)
*+ 6antener claves de acceso que permitan el uso solamente al
personal autori.ado para ello&
-+ 9erificar la informaci#n que proven$a de fuentes e%ternas a fin
de corroborar que est(n libres de cualquier a$ente e%terno que
pueda contaminarla o perudique el funcionamiento de los equipos&
/+ 6antener p#li.as de se$uros de los recursos inform!ticos en
funcionamiento
ART7C5LO /CR&= 0n nin$;n caso se autori.ar! la utili.aci#n de
dispositivos aenos a los procesos inform!ticos de la unidad
administrativa&
1or consi$uiente, se pro'ibe el in$reso yIo instalaci#n de 'ard>are y
soft>are particular, es decir que no sea propiedad de una unidad
administrativa de la 0mpresa NN, e%cepto en casos emer$entes que
la 2irecci#n autorice&
CA17T5LO 777
1LAN 20 CONT7N,0NC7AS
ART7C5LO /*R&= La Administraci#n de 7nform!tica crear! para las
empresas y departamentos un plan de contin$encias inform!ticas
que incluya al menos los si$uientes puntos)
a+ Continuar con la operaci#n de la unidad administrativa con
procedimientos inform!ticos alternosF
b+ Tener los respaldos de informaci#n en un lu$ar se$uro, fuera del
lu$ar en el que se encuentran los equipos&
c+ Tener el apoyo por medios ma$n(ticos o en forma documental, de
las operaciones necesarias para reconstruir los arc'ivos da"adosF
d+ Contar con un instructivo de operaci#n para la detecci#n de
posibles fallas, para que toda acci#n correctiva se efect;e con la
mnima de$radaci#n posible de los datosF
e+ Contar con un directorio del personal interno y del personal
e%terno de soporte, al cual se pueda recurrir en el momento en que
se detecte cualquier anomalaF
f+ 0ecutar pruebas de la funcionalidad del plan
f+ 6antener revisiones del plan a fin de efectuar las actuali.antes
respectivas
CA17T5LO 79
0STRAT0,7AS
ART7C5LO /-&= La estrate$ia inform!tica de la 22T se consolida en
el 1lan 6aestro de 7nform!tica y est! orientada 'acia los si$uientes
puntos)
a+ 1lataforma de Sistemas AbiertosF
b+ 2escentrali.aci#n del proceso de informaci#n
c+ 0squemas de operaci#n bao el concepto clienteIservidor
d+ 0standari.aci#n de 'ard>are, soft>are base, utilitarios y
estructuras de datos
e+ 7ntercomunicaci#n entre unidades y equipos mediante protocolos
est!ndares
f+ 7ntercambio de e%periencias entre 2epartamentos de 7nform!tica&
$+ 6aneo de proyectos conuntos con las diferentes unidades
administrativas&
'+ 1ro$rama de capacitaci#n permanente para los colaboradores de
la empresa del !rea de inform!tica
i+ 7nte$raci#n de sistemas y bases de datos de la 0mpresa NN, para
tener como meta final un Sistema 7nte$ral de 7nformaci#n
Corporativo&
+ 1ro$ramaci#n con ayudas visuales e interactivas& :acilitando
interfases ami$ables al usuario final&
J+ 7nte$raci#n de sistemas teleinform!ticos 37ntranet 2e $rupo
empresarial+&
ART7C5LO //R&= 1ara la elaboraci#n de los proyectos inform!ticos y
para la presupuestaci#n de los mismos, se tomar!n en cuentan tanto
las necesidades de 'ard>are y soft>are de la unidad administrativa
solicitante, como la disponibilidad de recursos con que (stas
cuenten&
27S1OS7C7ON0S TRANS7TOR7AS
ART7C5LO 1R760RO&= Las disposiciones aqu enmarcadas,
entrar!n en vi$or a partir del da si$uiente de su difusi#n&
ART7C5LO S0,5N2O&= Las normas y polticas obeto de este
documento, podr!n ser modificadas o adecuadas conforme a las
necesidades que se vayan presentando, mediante acuerdo del
Comit( T(cnico de 7nform!tica de la 0mpresa NN 3CT7+F una ve.
aprobadas dic'as modificaciones o adecuaciones, se establecer! su
vi$encia&
ART7C5LO T0RC0RO&= Las disposiciones aqu descritas constan de
forma detallada en los manuales de polticas y procedimientos
especficos e%istentes&
ART7C5LO C5ARTO&= La falta de desconocimiento de las normas
aqu descritas por parte de los colaboradores no los libera de la
aplicaci#n de sanciones yIo penalidades por el incumplimiento de las
mismas&