AUDITORIA DE SISTEMAS

Presentacin
1. EVALUACIONES Y CONTROLES
Sistemas
Aspectos a Controlar
2. INSTRUMENTOS DE CONTROL
Documentacin de las Sub Etapas del Desarrollo e Implantacin de Sistemas
Reuniones de Revisin Tcnica
Benchmark o Pruebas del Sistema
Formularios de Control
3. CONTROL DE SISTEMAS EN FUNCIONAMIENTO
3.1 Plan de Trabajo
3.2 Aspectos a Revisar
4. METODOLOGIA DE PRUEBAS DEL SISTEMA
4.1 Modalidad de Pruebas
4.2 Niveles de Prueba
4.3 Pruebas Especiales del Sistema
4.4 Tipos de Datos de Prueba
5. CONTROL INTERNO DEL SERVICIO INFORMATICA
5.1 Evaluacin y Control de la Organizacin
5.2 Evaluacin Funcional
5.3 Procedimientos
5.4 Metodologas
5.5 Recursos Humanos
5.6 Seguridad
6. DE LOS SERVICIOS EXTERNOS DE COMPUTACION
6.1 Planeamiento de Sistemas
6.2 Definicin de Requerimientos
6.3 Definicin de Especificaciones
6.4 Elaboracin de los Trminos de Referencia de Sub-Contratacin
6.5 Control de los Servicios Externos
6.6 Control de Sistemas
GLOSARIO DE TERMINOS

PRESENTACION

El Instituto Nacional de Estadstica e Inform tica (INEI), en su

calidad de ente central y rector de los Sistemas Nacionales de
Estadstica e Inform tica y , como tal responsable de que las
actividades inform ticas oficiales se desarrollen bajo una normatividad tcnica comn,
se complace
en
presentar el manual
"Auditora de Sistemas".
El objetivo del presente manual es colaborar al establecimiento
y/o implantacin y documentacin de los procedimientos y normas de
control que permitan el uso correcto de los equipos de procesamiento autom tico de datos, tratando de que el Servicio Inform tico
sea lo adecuado, coherente, continuo y confiable que se espera.
El presente manual consta de seis Captulos: el Captulo I, Evaluaciones y Controles, presenta una visin integral de los aspectos
a controlar en una Auditora de Sistemas. En el Captulo II,
Instrumentos de Control, se realiza una descripcin de los formularios de control a utilizar en la Evaluacin del sistema. El
Captulo III, trata sobre el Control de Sistemas en funcionamiento
y describe el plan de trabajo para la evaluacin de los Sistemas
en Operacin.
En el Captulo IV, Metodologa de Pruebas del Sistema se detallan
las modalidades b sicas de pruebas y las consideraciones a tomarse
en cuenta para su ejecucin. El Captulo V, Control Interno al
Servicio Inform tico, evala la organizacin del Area de Servicio
Inform tico y su entorno organizacional y el efecto sobre el
Sistema en si. Finalmente en el Captulo VI, De los Servicios
Externos
de Computacin, se dan
los lineamientos para la
evaluacin del desempeo de los servicios contratados a terceros
para la ejecucin de funciones del Area de Sistemas.
Asimismo, el documento presenta un Glosario de Trminos, para
guiar y orientar al lector en los conceptos y terminologa empleados en este Manual.
El INEI, con el fin de apoyar a una mejor gestin de los servicios
Inform ticos, pone a disposicin de las Entidades Pblicas,
Privadas, estudiantes y pblico en general, este Manual, agradeciendo a los Integrantes del Sistema Nacional de Inform tica, as
como a todas las personas que han contribuido de alguna manera a
la realizacin de la presente edicin.

Lima, Abril de 1996

INSTITUTO NACIONAL DE ESTADISTICA E INFORMATICA

Econ. FELIX MURILLO ALFARO

JEFE


EVALUACIONES Y CONTROLES

AUDITORIA DE SISTEMAS
La Auditora de Sistemas es el conjunto de tcnicas que permiten
detectar deficiencias en las organizaciones de inform tica y en
los sistemas que se desarrollan u operan en ellas, incluyendo
los servicios externos de computacin, que permitan efectuar
acciones preventivas y correctivas para eliminar las fallas y
carencias que se detecten.
Se verifica la existencia y aplicacin de todas las normas y
procedimientos requeridos para minimizar las posibles causas de
riesgos tanto en las instalaciones y equipos, como en los
programas computacionales y los datos, en todo el mbito del
Sistema: usuarios, instalaciones, equipos.
Las Instituciones efectan Auditoras de Sistemas, con la
finalidad de asegurar la eficiencia de las organizaciones de
inform tica, as como la confiabilidad y seguridad de sus
sistemas.

ASPECTOS

A CONTROLAR

Para lograr desarrollar e implantar un Sistema con Calidad,

dentro de los plazos y costos previstos, cuyos beneficios sean
los planificados, es necesario controlar que:
-

El Proyecto de Desarrollo de Sistemas est enmarcado

Plan General de Sistemas.

El Cronograma del Proyecto sea realista y el Sistema est

operativo en forma oportuna, de acuerdo a las necesidades de la
Institucin.

Se aplique la Metodologa de Desarrollo de Sistemas.

Exista un control permanente de la consistencia

de los Sistemas Inform ticos.

La
Calidad
del
Sistema
operatividad del mismo.

La tecnologa utilizada sea la m s adecuada a los fines del

sistema y permita una vida til satisfactoria para la inversin
realizada.

Los Costos, tanto del desarrollo como de

su operacin y
mantenimiento, sean los planificados y exista un retorno de la
inversin.

Se hayan logrado los beneficios esperados.

producido,

dentro del

y confiabilidad

permita

una

ptima

1.1 El Proyecto de Desarrollo de Sistemas est enmarcado dentro

del Plan General de Sistemas.
Para asegurar que el Sistema a desarrollar o desarrollado logre
estar integrado y tenga todas las interfases con los dem s
sistemas, es necesario
se
compruebe
que
es uno de los
componentes del Sistema Global de Informacin de la Institucin
y est
interrelacionado con otros
sistemas, a travs del
intercambio de informacin o acceso a informacin comn.
1.2 El Cronograma del Proyecto permita o haya permitido que el
Sistema est operativo oportunamente.
Debe verificarse que exista un Cronograma del Desarrollo del
Sistema, usando el mtodo de Gantt como mnimo, siendo ideal
utilizar adicionalmente el PERT-CPM.
Se evaluar , de acuerdo a la estacionalidad del ciclo operativo
del sistema, si el inicio de la implantacin y puesta en marcha
es acorde con las necesidades de la Institucin, debiendo
empezar, de ser factible, simult neamente al comenzar el ciclo
administrativo, de tal forma que se evite la puesta al da de
informacin
1.3 Se aplique la Metodologa de Desarrollo de Sistemas.
La forma m s
adecuada
para
asegurar que el Sistema se
desarrolle de acuerdo a una metodologa, consiste en verificar
dos aspectos:
-

Que cuente con toda la

Implantacin del Sistema.

documentacin

del An lisis, Diseo e

Que se hayan aplicado correctamente las tcnicas de

diseo de Sistemas.

an lisis y

Documentacin de Sistemas:
Si el control es realizado preventivamente, la documentacin
deber
ser
revisada al finalizar cada sub-etapa,
siendo
recomendable que se revise internamente en la Direccin de
Inform tica, previa a la entrega del mismo al Comit del Sistema.
Deber
llevarse un Registro de la Documentacin generada, para
efectos de seguimiento permanente y control posterior.
Deber contarse con la firma de conformidad del usuario de la
documentacin que ste deba aprobar.
Si el control es realizado posteriormente, deber verificarse la
existencia de toda la documentacin y la aprobacin del usuario.
Con la documentacin de sistemas generada, se debe verificar
que todas las etapas y sub-etapas de la Metodologa de An lisis,
Diseo, Programacin
e Implantacin de Sistemas se
hayan
ejecutado, con resultados satisfactorios.
Aplicacin de Tcnicas :
Se deber
verificar que se hayan
utilizado las tcnicas
adecuadas para cada etapa y sub-etapas del desarrollo
e
implantacin del Sistema.

Para cada etapa se aplicar n las siguientes tcnicas :

An lisis de Sistemas :
-

Entrevistas.
Diagrama de Flujo de Datos (D.F.D.).
Modelizacin de Datos.
Diagrama de Estructura de Datos (D.E.D.).
Historia de Vida de la Entidad (H.E.V.).
An lisis de Costo-Beneficio (A.C.B.).
Prototipeo.
Diseo de Sistemas :

Diseo Estructurado.
Diagrama de Estructura de Cuadros.
Optimizacin del Diseo Fsico.
Diseo de Pruebas.
Prototipeo.
Programacin :

Programacin Estructurada.
Pruebas Unitarias.
Pruebas de Integracin.
Prueba del Sistema.
Implantacin de Sistemas :

- Capacitacin.
- Creacin de archivos iniciales.
- Proceso en paralelo.
1.4 Exista un control permanente de la consistencia y confiabilidad
de los Sistemas Inform ticos.
Deben existir los controles especficos de :
- Deteccin de errores.
- Prevencin de acceso no autorizado y mal uso de la informacin y
del equipo.
- Controles ambientales y seguridad.
1.5 La Calidad del Sistema producido sea tal que permita una ptima
operatividad del mismo.
Este aspecto, adem s de ser evaluado
por un especialista en
Sistemas, debe tambin ser verificado con el
rea usuaria, ya que
ella puede dar su apreciacin del sistema, en forma real y
responsable, porque se encargar de operarlo y administrarlo. La
informacin garantizar que:
- Cumpla con los requerimientos del usuario,
fase de An lisis y Diseo del Sistema.

establecido

en

la

- La secuencia de trabajo u operacin del sistema, sea el mismo

que el de proceso real.
- El sistema sea totalmente operado con:

. Gua al usuario.
. Ayudas permanentes en lnea.
- El tiempo
datos.

de

respuesta

sea adecuado

para el volumen real de

- El consumo de recursos de cmputo sea razonable y est dentro de

lo previsto.
- Responda a todas las bifurcaciones posibles
sistema.
- La
interfase-usuario
comprensin

sea

adecuada

en la operacin del

de

f cil

manejo

- Se
disponga
de
todas
las
facilidades
utilitarias
reorganizacin de archivos y copias de respaldo.
- Se disponga
sistema.

de

procedimientos

de

respaldo

ante

cadas

y
de
del

1.6 La tecnologa utilizada sea la m s adecuada a los fines del

sistema, y permita una vida til satisfactoria para la inversin
realizada.
Se debe
verificar
adecuados:
-

que

los

siguientes

elementos sean los m s

Equipos.
Sistema de Red.
Sistema de Base de Datos.
Sistema de Comunicaciones.
Lenguaje de Programacin.

Es conveniente indicar que en algunas organizaciones se define en

forma global toda la plataforma de Hardware y Software a utilizar
como standard para la Institucin, quedando en este caso tratar de
aprovecharla al m ximo.
Sin embargo, existen organizaciones en la que se dan soluciones
departamentalizadas con interfases entre ellas, manteniendo cierta
independencia
entre
si. A
continuacin mencionamos algunas
consideraciones que se deben tener en cuenta para evaluar si el
equipamiento y software es adecuado para el sistema.
Equipos :
Se deber utilizar los equipos adecuados, de acuerdo al tipo
de
sistema desarrollado. Si la aplicacin es monousuaria, se requerir
un equipo que tenga independencia de operacin, debiendo contar
individualmente con la potencia del caso para soportar todo el
procesamiento.
En caso de que el sistema sea multiusuario, deben utilizarse
equipos terminales conectados a un servidor, debiendo
estar
balanceados adecuadamente los recursos entre ambos, de tal forma
de contar con el tiempo de respuesta requerido.
Sistema de Red :
Dependiendo del tipo de Sistema, se deber utilizar el tipo de
plataforma de Red que m s convenga. Si el sistema es cerrado y

netamente operativo con un criterio de procesamiento centralizado,

pueden utilizarse los Sistemas orientados a la centralizacin y si
el sistema es de filosofa abierta y descentralizada, se
deben
utilizar redes de este tipo.
Sistema de Base de Datos :
En funcin a las necesidades del sistema se debe utilizar la
plataforma
necesaria
de
Base de Datos. Para
aplicaciones
sencillas e independientes, se utiliza el manejador de base de
datos del lenguaje. Sin embargo, para aplicaciones corporativas, se
utilizan manejadores de base de datos relacionales de nivel, as
como para aplicaciones de tipo cliente-servidor.
Sistema de Comunicaciones :
Este es un factor importante
a
evaluar
en funcin a la
naturaleza del sistema. Muchas veces el sistema debe instalarse en
una tipologa de comunicaciones pre-establecida y hay que tratar
de aprovecharla al m ximo. Sin embargo, si el diseo de las
comunicaciones pudiera estar correlacionado
con
el sistema,
permitira un mejor desempeo de las mismas.
Se debe evaluar si el lenguaje a utilizar o ya utilizado es el m s
conveniente, dependiendo de las necesidades de eficiencia
y
facilidad de desarrollo y explotacin, por lo que deben evaluarse
los siguientes factores :
- Tiempos de procesamiento y respuesta.
- Facilidades en tiempos de programacin y mantenimiento de
sistemas.
- Rapidez en el desarrollo de sistemas a travs de generadores de
programas.
- Ambientes gr ficos.
1.7 Que los Costos, tanto del desarrollo as como de su operacin
y mantenimiento, sean los planificados y que exista un retorno
de la inversin.
El proyecto
general, el
Sistemas.

para
cual

ser aprobado debe contar con un presupuesto

debe ser detallado en la fase de An lisis de

Los componentes de costos deben ser :

. Costos de Personal de Sistemas y del Usuario.
.
.
.
.
.
.
.
.
.
.

Costo de Supervisin.
Costos de Equipamiento.
Costos de Originales de Software de Base.
Costos de Instalaciones y Servicios.
Costo de Relevamiento de Datos.
Costo de Capacitacin.
Costo de Creacin de Archivos Maestros.
Costo de Procesamiento en Paralelo.
Costo de Produccin.
Costo de Mantenimiento.

El control de costos debe efectuarse por etapas :

.
.
.
.
1.8

An lisis y Diseo del sistema.

Programacin del sistema.
Implantacin del sistema.
Operacin del sistema.

Se hayan logrado

los beneficios esperados.

Una vez puesto en operacin el sistema, se debe esperar que

transcurran por lo menos dos perodos de procesamiento para
evaluar si los beneficios del sistema se han logrado, tanto en las
ventajas esperadas por su implantacin, como los beneficios
econmicos que estaban planificados.

INSTRUMENTOS DE CONTROL

Los Elementos e Instrumentos de Control

individual o en forma conjunta son :
-

a utilizar en forma

Documentacin de las Sub-etapas del Desarrollo e Implantacin de

Sistemas.
Reuniones de Revisin Tcnica.
Benchmark o pruebas del sistema.
Formularios de Control.

LA DOCUMENTACION DE LAS SUB-ETAPAS DEL DESARROLLO E IMPLANTACION

DEL SISTEMA
La primera informacin que debe servir de base
an lisis para el control del
sistema lo
documentacin generada en las diferentes fases
implantacin del sistema.

para efectuar un
constituye
la
de desarrollo e

La documentacin debe leerse detenidamente con la finalidad de:

.
.
.
.
.

Comprender la concepcin del sistema.

Planificar el contenido de las reuniones de revisin tcnica.
Determinar los vacios o carencias de informacin.
Elaborar los cuestionarios de consultas.
Efectuar el control del Sistema, con un conocimiento slido del
mismo.
El tcnico que efecte el control del sistema debe tomar conocimiento completo de la documentacin escrita existente, de tal forma de
reducir el tiempo del proceso de auditora del sistema y brindar
resultados en corto plazo.

REUNIONES DE REVISION TECNICA

Un aspecto fundamemental para efectuar un buen control del sistema

son las Entrevistas de Revisin Tcnica, ya que la documentacin en
la mayora de los casos es muy escasa y deficiente y generalmente
cubre solo una parte de la informacin y las entrevistas permiten
complementar la informacin tcnica y recabar opiniones sobre
deficiencias del sistema.
Las reuniones
de
Revisin Tcnica, debe estar
debidamente
planificadas y contar con formularios de los temas y consultas a
tratar, para evitar olvidar cualquier aspecto fundamental para el
an lisis y la investigacin.
Las reuniones de Revisin Tcnica deben efectuarse con todas las
personas que participaron en el desarrollo e implantacin del
sistema, as como los que operan y utilizan el sistema.
Deben
efectuarse
reuniones de Revisin
Tcnica
con
cada
participante en forma separada para lograr informacin y opiniones
libres e independientes de cada uno de ellos, despus de las
reuniones individuales puede efectuarse una reunin global
para
determinar las conclusiones de consenso.
Las Entrevistas de Revisin Tcnica deben efectuarse con la o las
siguientes personas que llevaron o llevan a cabo las siguientes
funciones:
.
.
.
.
.
.

El Analista de Sistemas.
El Programador.
El Implementador.
El/los Operadores del Sistema.
Los Usuarios Operativos que utilizan el Sistema.
Los Usuarios que utilizan la informacin para la toma de decisiones.

En todo caso deben consultarse los factores que limitaron el desarrollo, implantacin, operacin y uso del sistema, as como las
deficiencias, aspectos de confiabilidad y seguridad, en funcin de
cada persona.

BENCHMARK O PRUEBAS DEL SISTEMA

Instrumento vital para evaluar la confiabilidad
del Sistema es lo
que se denomina Benchmark o Pruebas del Sistema.
No basta con evaluar el sistema tomando
conocimiento de su
documentacin y sosteniendo reuniones de revisin
tcnica con el
personal
involucrado, lo fundamental que
demuestra la buena
funcionalidad y confiabilidad del sistema es
efectuar procesos de
prueba simulando situaciones extremas de tal forma
de determinar si
el
sistema
responde a lo especificado
y
es
confiable
produciendo resultados correctos en los tiempos

esperados.
Es por eso que se deben realizar Benchmark
procesos de prueba
especiales tales como:
.
.
.
.

Prueba
Prueba
Prueba
Prueba

de
de
de
de

carga m xima.
almacenamiento.
tiempo de ejecucin.
recuperacin.

FORMULARIOS DE CONTROL
Para efectos de registrar y controlar preventivamente el desarrollo
e implantacin del Sistema o evaluarlo posteriormente, es necesario
utilizar formularios denominados de control, cuya relacin se
indica a continuacin:
.
.
.
.
.
.

Control de Cronograma del Proyecto.

Control de Documentacin de Sistemas.
Control Tcnico del An lisisdel Sistema.
Control Tcnico del Diseo del Sistema.
Benchmark o Prueba real del Sistema.
Control de la Implantacin.

En las siguientes p ginas se incluyen los diseos de los Formularios de Control.

2.1

Control de Cronograma del Proyecto :

Para efectos de controlar o evaluar el cumplimiento de los plazos y

la duracin de las etapas del sistema y por razones de sencillez se
recomienda utilizar el diagrama de GANTT, debiendo en el mismo
cuadro registrar lo planeado y lo ejecutado con dos smbolos
diferentes.
Se recomienda
formulacin y
PERT-PCM.

que se
control

utilicen herramientas computarizadas de

de
proyectos que permiten utilizar el

Utilizar el diagrama N 1.

CONTROL DE CONOGRAMA DE PROYECTO

CONTROL DEL DESARROLLO

SISTEMA
:

E IMPLANTACION DE SISTEMA
JEFE DE PROYECTO:


PERIODO : EMANAS / MESES

ETAPAS/SUB-ETAPAS

1. PROYECTO

1.1 Definicin del Proyecto

1.2 Conograma del Proyecto

2. ANALISIS DE SISTEMA

2.1 An lisis requisitos Sistema

2.2 Especificacin Funcional

2.3 Interfase del Sistema

3. DISEO DEL SISTEMA

3.1 Diseo Fisico del Sistema

3.2 Especific. Complementaria

4. PROGRAMACION

4.1 Programacin del Sistema

4.2 Pruebas del Sistema

5. IMPLANTACION DE SISTEMAS

 5.1 Capacitacin

5.2 Benchmark del Sistema

5.3 Creacin de Archivos

5.4 Proceso en Paralelo

6. PRODUCCION

7. EVALUACION

2.2 Control de Documentacin de Sistemas

Este formulario permite verificar la aplicacin de la metodologa
de desarrollo e implantacin de sistemas, mediante el registro de
la documentacin que se debe haber generado para cada etapa y
sub-etapa.
Deber
contarse con la firma de conformidad del usuario de la
documentacin que ste deba aprobar.
Utilizar el diagrama N 2.
2.3 Control Tcnico del An lisis
Para verificar que el Control del An lisis se haya efectuado
adecuadamente, se debe utilizar el Formulario de Registro de
Tcnicas Utilizadas y se deben realizar estudios de gabinete de
la documentacin generada, as como efectuar reuniones de revisin
tcnica, conjuntamente con el personal de analistas del proyecto.
En caso de verificarse la falta de aplicacin de las tcnicas o
errores en el trabajo de an lisis, stas se registrar n en un
acta, para que sean superadas.
Es mejor efectuar el control en forma permanente, apenas se
finaliza una sub-etapa y antes de proceder a la prxima, pues
hacerlo en forma posterior, es m s costoso y requiere de mayor
tiempo, teniendo mayores implicancias.
Las tcnicas que se deben haber utilizado son :
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D).
- Modelizacin de Datos.
- Diagrama de Estructura de Datos (D.E.D).
- Historia de Vida de la Entidad (H.E.V).
- An lisis de Costo-Beneficio (A.C.B).

- Prototipeo.
Se utilizar
el diagrama N 3 para facilitar el registro de las
tcnicas que se han utilizado para cada etapa o sub-etapa,
marc ndolas con asterisco (*)
2.4

Control Tcnico del Diseo

Para verificar que el Control Tcnico del Diseo se ha efectuado

adecuadamente, se debe utilizar el Formulario de Registro de
Tcnicas Diseo y se deben realizar estudios de gabinete de la
documentacin generada, as como efectuar reuniones de
revisin
tcnica, conjuntamente con el personal de analistas del proyecto.
En caso de verificarse la falta de aplicacin de las tcnicas o
errores en el trabajo de diseo, stas se registrar n en un acta,
para que sean superadas.
En este caso tambin es mejor
efectuar el control en forma
permanente, apenas se finaliza una sub-etapa y antes de proceder a
la prxima, pues hacerlo en forma posterior es m s costoso y
requiere de mayor tiempo, teniendo mayores implicancias.
Las tcnicas que se deben haber utilizado son :
-

Diseo Estructurado.
Diagrama de Estructura de Cuadros.
Optimizacin del Diseo Fsico.
Diseo de Pruebas.
Prototipeo.

Se utilizar
el diagrama N 4 para facilitar el registro de las
tcnicas que se han utilizado para cada etapa o sub-etapa, marc ndolas con asterisco (*)
Diagrama N 2.
CONTROL DE DOCUMENTACION DE SISTEMAS

CONTROL DE DESARROLLO
SISTEMA
:

E IMPLANTACION DE SISTEMAS
JEFE DE PROYECTO :

FECHA DE
FECHA DE
APROBACION

DOCUMENTACION
EMISION
INFORMATICA
USUARIO

1. ETAPA:ANALISIS DEL SISTEMA

1.1 Definicin del Proyecto

1.2 Conograma de Proyecto

1.3 Analisis del Sistema Actual

1.3.1 Descripcin del Sist. Actual

1.3.2 Cat logo Requisitos Sist.

1.3.3 Analisis de Alternativas

1.4 Especificacin Funcional

1.4.1 Especific. Sistema

1.4.2 Especific. Sub-Sistemas

1.4.3 Modelo de Datos Sistema

1.4.4 Modelo Eventos Sistema

1.5 Interfase del Sistema

1.5.1 Interface con Usuario

1.5.2 Seguridad y control

1.5.3 Especific. de Entrega

 2. DISEO DEL SISTEMA

2.1 Diseo Fisico del Sistema

2.1.1 Arquitectura Fisica Sist.

2.1.2 Estructura de Datos

2.1.3 Entorno Tecnologico

2.2 Especif. Complementarias

2.2.1 Plan Pruebas del Sistema

2.2.2 Especific. Diseo

3. PROGRAMACION DE SISTEMA

3.1 Manual de Programacin

4. IMPLANTACION DEL SISTEMA

4.1 Manual: Operacin y Usuario

DIAGRAMA N 3
CONTROL TECNICO DEL ANALISIS DEL SISTEMA

ENTRE
Modelo

An lisis Proto-
ETAPA/SUB-ETAPA
VISTAS DFD Datos DED HVE
C.B
tipeo

1. ANALISIS REQUISISTOS

DEL SISTEMA

1.1 Identificacin

de Requisitos

1.2 Diseo del Modelo

Lgico Actual

*
*

1.3 Estudios Alternativas

*
*

2. ESPECIFICACION

FUNCIONAL SISTEMA

2.1 Modelo de proceso

*
*

2.2 Modelo de Datos

*
*

2.3 An lisis detallado

3. INTERFASES DEL SISTEMA

3.1 Interfase con usuario

3.2 Complementar Especifi-

caciones Sistema

3.3 Complementar Especifi-

caciones de Entrega

DIAGRAMA N4

CONTROL TECNICO DEL DISEO DEL SISTEMA

Diseo
Optimi
Diseo Prototipeo

Estruct. DEC Diseo

Pruebas

Fisico

1. DISEO FISICO DEL SISTEMA

1.1 ARQUITECTURA FISICA DEL SISTEMA

*

1.2 ESTRUCTURA DE DATOS

1.3 ENTORNO TECNOLOGICO

1.4 ESTUDIOS ALTERNATIVAS

2. ESPECIFICACION

COMPLEMENTARIAS

2.1 PLAN DE PRUEBAS SISTEMAS

2.2 ESPECIFICACIONES SISTEMAS

INSTRUMENTOS DE CONTROL

3.1 PLAN DE TRABAJO

Para efectuar el Control, el Especialista deber establecer su
plan
de trabajo, el cual debe basarse en pasos y etapas a ejecutar en
un
plazo determinado y deber contemplar las etapas siguientes:
a)
b)
c)
d)
e)
f)
g)
h)

Planeamiento del Trabajo a Realizar.

Investigacin Preliminar.
Evaluacin del Sistema.
Planeamiento y Diseo de las Pruebas de Control.
Ejecucin y Evaluacin de los Resultados de las Pruebas.
Confeccin del Informe de Auditora del Sistema.
Revisin y Opinin del Informe.
Seguimiento de las Recomendaciones de Auditora.

a. Planeamiento del trabajo a realizar

Consiste en la estrategia que conduzca al logro de los
objetivos
concretos y a las expectativas de la Alta Direccin en el
menor
tiempo posible, para lo cual se elaborar
el plan de trabajo
que
permita medir el avance del trabajo en puntos claves y
administrar
eficientemente los recursos de tiempo y personal que sean
asignados.
En el documento de planeacin se debe considerar lo siguiente:
.
se

plantea los objetivos del trabajo.

.

de
ser
.

riesgos

pudiendo

que

ser n examinados en

Puntos

de

inters

para

el trabajo,

este

antecedentes que se conozcan

otras

trabajo.

Se

registran

de

la

aplicacin

de

similares y de la informacin que se procesa con ella.

.

en

escenarios

aspectos que requieren especial atencin, de acuerdo con

los

Alcances del trabajo a realizar. Se marcan los

todos o solamente algunos.

los

se

Objetivo general del trabajo a realizar. En forma concreta

Auditores asignados. Un grupo se encarga de verificar

cumplan

con

los

est ndares

de

calidad

las

que

normas

directivas que ha emitido la Institucin y el ente rector

Inform tica.
el

Otro

grupo

se

encarga

de

verificar

funcionamiento de los sistemas.

.
Duracin estimada. Comprende la suma de los tiempos
estimados
asignados a cada una de las etapas desde la b) hasta la h).
.
completo

Fechas de iniciacin/terminacin. Para el desarrollo

de las actividades del proyecto.

Diagrama de actividades.

va

Se coloca el tiempo estimado que

a durar cada una de las actividades.

.

Entrevista de iniciacin de auditora. Se realiza una reuni

con el personal directivo

plantean

los

se

objetivos

establecen

el

los

el

de Sistemas en la cual se
enfoque

mecanismos

de

de

trabajo a realizar y

comunicacin a emplear en

desarrollo del trabajo.

.

Puede utilizar el formato de Plan

el

de

Trabajo indicado en

diagrama No. 5.
b. Investigacin Preliminar
Se

la
y

el

las

caractersticas

tcnicas

operativas de

aplicacin objeto del trabajo y su importancia para los objetivos

metas de la Institucin.
Se

el

determinan

deber

trabajo

conseguir
de

gabinete

la

documentacin del sistema, para que en

pueda

investigarse

en

forma

preliminar

Sistema, con la siguiente informacin :

. Dependencias involucradas en el manejo de la aplicacin.

. Inventario de documentos fuentes.
. Inventario de informe que produce.
. Normas legales e institucionales que rigen el
funcionamiento de
la aplicacin.
. Interfases de la aplicacin con otros sistemas.
. Procesos manuales y automatizados que realiza la aplicaci
n.
. Perfil tcnico de la aplicacin.
. Personal clave para el manejo de la aplicacin en cada
dependencia involucrada.
. Inventario de manuales de documentacin existente.
. Informacin sobre fraudes que se hayan cometido.
(Diagrama 5)

c. Evaluacin del Sistema

Se

el

deber

efectuar la

revisin de los 10 aspectos indicados en

punto 3.2.
Al evaluar el sistema tambin debe considerarse los riesgos
determin ndose cu les son las situaciones
de riesgo y cu les
sus
causas.
las

Para evaluar los controles existentes se deben utilizar una de

dos alternativas, o ambas :
- An lisis de Riesgo.
- Cuestionarios de Control.
Riesgos:
. Riesgos Accidentales
Ingreso accidental va en apertura.
Falla imprevista que anula seguridad.
Error en sistema de comunicacin.

CONTROL DE SISTEMAS
SISTEMA :

RESPONSA :

EN FUNCIONAMIENTO
AUDITOR :

ACTIVIDADES

PEDIDOS: DIAS O
SEMANAS

1. PLANEAMIENTO

1.1 Elaboracin del Plan

1.2 Aprobacin del Plan

2. INVESTIGACION PRELIMINAR

 2.1 Relevamiento de informacin

2.3 Analisis de Informacin

3. EVALUACION

3.1 Documentacin del Sistema

3.2 Procesamiento del Sistema

3.3 Operatividad del Sistema

3.4 Controles del Sistema

3.5 Integridad de Datos

3.6 Validez de Resultado

3.7 Seguridad del Sistema

3.8 Sistema de Respaldo

3.9 Auditabilidad del Sistema

3.10 Efectividad del Sistema

4. DISEO DE PRUEBAS DE CONTROL

5. EJECUCION-EVALUACION RESULTADOS

6. ELABORACION INFORME DE AUDITORIA

7. REVISION OPINIONES DEL INFORME

8. EMISION DE INFORME FINAL

9. SEGUIMIENTO DE RECOMENDACIONES

. Riesgos Pasivos
Captacin electromagntica de transmisin de microondas.
Intercepcin por alambres o cables coaxiales.
Acceso va procedimientos tcnicos avanzados.
. Amenazas Activas
Otorgamiento de clave de seguridad a usuario realmente no
autorizado.
Ingresar al sistema cuando
su

el

usuario

autorizado

ha

dejado

terminal abierto, sin salir del sistema.

Ingreso por personas expertas.
d. Planeamiento y diseo de las pruebas de control
De

del

acuerdo

la metodologa indicada en el ac pite V (Pruebas

Sistema) se deber n disear los juegos de datos de pruebas, los

cuales deben asegurar que se investigue totalmente la confiabilidad
del
sistema y los controles que poseen.
En esta se debe considerar :
. Naturaleza y extensin de las pruebas de auditora.
. Plan de las pruebas a ejecutar.
. Diseo de las pruebas de auditora.
e. Ejecucin y Evalucin de los resultados de las pruebas
de
y

Una vez, ejecutadas las pruebas se deber

las mismas y determinar en qu mdulos

evaluar

los resultados

el Sistema no es confiable

controles que no posee, que deban ser imprescindibles.

f. Confeccin del Informe de Auditora del Sistema

Producto de la revisin del Sistema se deber

de

preparar el Informe

Auditora y Control del Sistema.

El informe preliminar debe ser opinado y recibirse los

comentarios
del caso para recin emitir el informe final
g. Revisin y Opinin del Informe
Tanto el
o

rea usuaria, como el

administra la operacin

del

rea de Inform tica

Sistema,

que desarroll

debe tener la oportunidad

de

revisar y opinar sobre el informe preliminar, de tal forma de

asegurar que se est n aceptando las observaciones indicadas.
h. Seguimiento de las Recomendaciones de Auditora
Siendo el objetivo de este trabajo que se mejore el sistema y se
su-

peren sus deficiencias para beneficio de la Institucin, se

deber ,
a travs de un Registro de Seguimiento, efectuar el control de
las
acciones tomadas y las observaciones superadas.

3.2

ASPECTOS A REVISAR
Los aspectos que deben ser revisados son :
12345678910-

La documentacin del sistema.

El procedimiento del sistema.
La operatividad del sistema.
Controles del sistema.
Integridad de los datos.
Validez de los resultados.
Seguridad del sistema.
Sistema de Respaldo.
Auditabilidad del sistema.
Efectividad del sistema.

3.2.1 DOCUMENTACION DEL SISTEMA

Como paso inicial del proceso de control de una aplicacin en
funcionamiento, deber ser revisada la documentacin existente, la
cual
permitir adem s de tomar conocimiento escrito del mismo, revisar
si
se ha cumplido con la metodologa y est ndares establecidos para
el
desarrollo de sistemas, anotando las falencias para su evaluacin
en

los pasos

siguientes,

ya que podran

ser

causa

de problemas

del

sistema en operacin.
3.2.2 PROCEDIMIENTO DEL SISTEMA

Todo sistema es un conjunto de procesos manuales y

automatizados,
cuya operativizacin debe estar definida en un Procedimiento
del
Sistema. Es imprescindible la existencia del procedimiento
formal
para efectos de poder operativizar eficientemente y con eficacia
el
sistema.
3.2.3 OPERATIVIDAD DEL SISTEMA
Una vez revisada la documentacin del Sistema, se deber
a

proceder

revisar su operatividad.
Se revisar
.
.
.
.
.
.

todo el ciclo del sistema :

Generacin del Dato.

Ingreso del Dato al sistema.
Transmisin del Dato.
Procesamiento del Dato.
Actualizacin de Archivos.
Emisin de Reportes y Consultas.

Se debe verificar que el sistema efecte en cada etapa de su

ciclo
las especificaciones establecidas en el An lisis y Diseo y
se
cumpla con el procedimiento aprobado para el sistema.
Debe
de

analizarse

observar

si

realmente tiene los requisitos

operatividad que hagan al sistema eficiente y eficaz.

3.2.4

CONTROLES DEL SISTEMA

3.2.4.1 Generacin del Dato

Debe

verificarse

las

condiciones en que se genera el dato, ya

sea

ste, externo o interno a la Institucin, revisando que sea veraz

y
Se
su

consistente y que refleje exactamente

la

podr

para

tomar

una

muestra

de

datos

operacin

realizada.

efectos de verificar

exactitud.

El sistema debe contemplar como uno

efectuar

de

sus controles

el

muestreos
de
calidad
frecuencia
pre-establecida.

de

los

datos

con

una

3.2.4.2 Ingreso del Dato

Debe revisarse que el ingreso o transcripcin de los datos se
efecte cumpliendo con controles b sicos, tal como se indica :
a.
Si
ingresado
por
sobre
la
la
que
misma.

el

sistema es descentralizado, que el dato sea

el mismo que lo genera, para tener un mayor control

calidad

del ingreso del dato, ya que dicha persona es

m s conoce la informacin y es la responsable de la

En el caso de que sean varias personas

que

las

que

tengan

ingresar datos por que la organizacin establece

responsabilidades diferenciadas, debe constatarse que el sistema
registre de alguna forma el cdigo del ingresador del dato,
para
los controles del caso.
Si el Sistema es centralizado en un

del

centro

de

cmputo

rea usuaria o de la Direccin de Servicios Inform ticos,

los

datos

de

deber n

ser

recepcionados

por

control que indiquen el total de datos

de

control, que

al
datos.

lotes y con hojas

lotizado y totales

permitan validar la completitud de los datos

ingresar la informacin por personas transcriptoras de

b.
Que los programas de ingreso de datos tengan
consistencia
fsica y lgica de datos.
La consistencia fsica debe ser sobre el registro de datos
en

s,

donde

debe

existir

datos obligatorios y opcionales

rangos de valores de los datos.

La consistencia lgica debe ser contra los archivos

maestros
deba

de

validacin cruzadas que

cumplir la informacin.
c.

del

del sistema y contra reglas

Que los datos ingresados deban imprimirse como validacin

ingreso de datos, de la forma m s conveniente

de

dependiendo

la naturaleza del sistema.

Si el ingreso de datos es desde terminales y en

ventanillas
de atencin al pblico, debe efectuarse una revisin
visual
previa y debe imprimirse el comprobante producto del
ingreso
del conjunto de datos y al final del turno o da de
trabajo,
debe emitirse un parte diario de comprobacin y cuadre.
Si el ingreso de datos es desde terminales,
de

proceso en lotes, al final

un

listado

ser

de

revisin

de

visual

cada
y

de

pero en forma

lote debe imprimirse

cuadre

para

poder

el

volumen

revisado con todos los documentos fuentes, si

de

registros

cuando

es

manejable,

por tcnica de muestreo,

existe una cantidad considerable de registros. Al

del

da debe adicionalmente imprimirse un parte

los

final

diario

de

lotes ingresados.
3.2.4.3

La Transmisin del Dato

En un sistema en lnea la transmisin del dato desde el

terminal

la Base de Datos Central es manejado por el Software de

Comunicaciones, Software de Red y Software de Base de Datos, debiendo en
este
caso :
El Sistema aplicativo debe tener
controlen
la ltima transaccin procesada
un
programa alternativo de captura
el
terminal, si su configuracin de
transmisin y registro en la base de

rutinas programadas
en

que

caso de cadas del sistema y

descentralizada

del

dato

en

equipo lo permite y posterior

datos central.

En un sistema de proceso en lotes, la transmisin del dato puede

ser

va diskettes o modems. En este caso debe verificarse:

Que los diskettes sean probados previamente antes de

su

remisin

que quede un medio de respaldo en el centro de ingreso de

datos.
Asimismo se les coloque en modo protegido contra escritura y
est

claramente identificado en su etiqueta el nmero o nmeros de lote

y

la cantidad de registros que contiene.

Que

Para

el

transmitir

caso

debe

de transmisin de datos va modem, el archivo

poseer

un

registro

de encabezado de control

que

indique el nmero o nmeros de lote y la cantidad

que

contiene,

debiendo

el

aplicativo

que

leer

dicha

efectuar la verificacin de la informacin del

encabezado
con los registros ledos.
3.2.4.4

de registros
informaci

registro

El Procesamiento del Dato

Comprende los procesos manuales y automatizados que se realizan

para
producir los resultados previstos en las diferentes funciones
que
satisface el sistema.
Se da especial nfasis a los controles incluidos
de

en

el software

las aplicaciones para lograr exactitud y confiabilidad del proceso

de los resultados que produce.

Debe verificarse que el sistema tenga registros y rutinas de

control
que permitan que ante una cada del sistema pueda reiniciarse
el
procesamiento desde la ltima transaccin procesada, ya sea
el
sistema en lnea o en lotes.
Para asegurar la integridad

del

procesamiento de los datos, en

los

sistemas en lnea debe contarse con las seguridades fsicas

tales
como UPS y equipos de respaldo de energa elctrica de tal forma
que
evite el truncamiento del procesamiento y desincronizacin de
su
operacin.
En los casos de los sistemas de procesamiento en lotes debe
existir
procedimientos computarizados para que los programas se ejecuten
en
la secuencia prevista y de acuerdo a las bifurcaciones
establecidas.
Tambin

ser
de

deben

consistenciados

datos,
bien

que

establecerse
fsica

condiciones de error que no puedan

lgicamente

en

la

no deben paralizar el procesamiento,

etapa de ingreso
sino

m s

reportar
en

las

ocurrencias

para accin inmediata en los sistemas

lnea o acciones posteriores en los sistemas de procesos de lotes.

3.2.4.5

Actualizacin de Archivos

Debe verificarse que existan registros y rutinas

de control que

con

cierta frecuencia de tiempo o de perodo, determine si

existe
coherencia entre la cantidad de registros y valores de los
totales
de los archivos. Por ejemplo, si se ha producido una
cantidad
de
nuevas entidades debe reflejarse sto en un incremento del nmero
de
registros del archivo principal. Al final del da debera
producirse
un reporte de integridad de archivos.
3.2.4.6

Emisin de Reportes y Consultas.

Deben existir rutinas de control

al

final de un perodo

procedimientos

cuadrar cifras entre reportes

que permitan
y consultas,

que

aseguren la integridad de los resultados emitidos. Cada

sistema,
segn su naturaleza, tiene una lgica de cuadre entre reportes,
la
cual debe estar claramente definida en el procedimiento.
3.2.5

INTEGRIDAD DE LOS DATOS

Adicionalmente a los controles anteriormente mencionados, para

fines
de asegurar la integridad de los datos en cuanto a su completitud
y
confiabilidad, el sistema debe poseer programas que rastreen
los
archivos y determinen incongruencias y falta de cuadre de
la
informacin.
Debe

asimismo,

en forma externa, establecerse

procedimientos

de

comparacin de la informacin producida por el sistema contra

otras
informaciones disponibles, para efectos de determinar la
confiabilidad de la informacin. Dentro de este aspecto est n las
circularizaciones de comprobacin de la informacin del computador con
las
reas o personas involucradas.
3.2.6

VALIDEZ DE LOS RESULTADOS

El aspecto m s importante de todo el sistema son los resultados,

por

lo que al revisar el sistema debe verificarse que los

resultados
cumplan con las especificaciones del diseo del sistema, lo
cual
debe comprobarse mediante juegos de datos de pruebas
especialmente
preparados, y que prueben todas las posibilidades de las
entidades,
datos y situaciones.
En
la

el

ac pite

siguiente

Pruebas

del

Sistema

se detalla

metodologa que puede utilizarse.

3.2.7

SEGURIDAD DEL SISTEMA

Debe comprobarse que el Sistema cuente con los siguientes

de

tipos

seguridad :
- Seguridad en el acceso a la informacin.
- Seguridad del sistema.
- Seguridades Fsicas.
3.2.7.1

Seguridad de acceso a la informacin :

Debe existir a nivel Institucin, un esquema global de

seguridad

de

acceso a la informacin, donde deben existir para cada rea y

para
cada funcionario Perfiles de Acceso a los Sistemas,
a
las
funciones dentro de cada sistema y a la Base de Datos,
constituyendo
una matriz de accesos usuario versus sistemas-funciones donde
el
nivel de usuario es el cdigo de cada funcionario.
El sistema debe tener claves de seguridad discriminadas donde
cada
usuario tiene un acceso basado en las siguientes opciones :
.
.
.
.

Ingreso de datos.
Procesamiento de los datos.
Consultas por niveles.
Emisin de Reportes.

Asimismo

por

el

sistema

debe

mantener

un log de uso del sistema

sesin de trabajo.
Los niveles de acceso a la informacin pueden ser :
.
.
.
.

Nivel
Nivel
Nivel
Nivel

3.2.7.2

de
de
de
de

consulta de informacin no restringida.

mantenimiento de la informacin no restringida.
consulta incluyendo la informacin restringida.
mantenimiento de la informacin restringida.

Seguridad del sistema

Acceso y Seguridad a los Programas

El Area de Servicio inform tico debe ser la nica que debe tener

ac-

ceso sobre los programas

fuentes,

bibliotecas

bajo

en
de

especiales,

que

deber n estar archivados

control

de

un

Administrador

Sistemas.
Asimismo,

los

programas

conocidos

por

el

lo
los

objetos

administrador

tambin deben tener nombres s

del

nombres claves una vez recibidos los

sistema, quien le coloca

programas fuentes y stos

son

compilados.
En

del

la

medida

de

lo

posible,

dependiendo

de la envergadura

Servicio Inform tico y de la naturaleza de los sistemas, se

debera
tratar de utilizar un Software de Resguardo Autom tico de Redes.
Cambios a los Programas de Aplicacin :
Debe existir una solicitud con la autorizacin
para
proceder a realizar los cambios a los programas.

respectiva

El control sobre los programas objetos debe tenerlo el

Administrador
de Sistemas, y cualquier cambio a los programas deben ser probados
y
slo reemplazados, despus de demostrarse la confiabilidad del
mismo.
Cuando se cambien los programas fuentes deben documentarse en el
pr-

ograma con comentarios y registrar las modificaciones en el

Registro
de Control de Cambios.
Asimismo el sistema debe contar con los elementos necesarios
para
poder darle mantenimiento, por lo que debe disponer de :
.
.
.
.
.

Manuales de An lisis y Diseo.

Manual de Programacin.
Programas Fuentes.
Originales de Software de Base.
Personal de programacin que conozca el sistema.

Seguridades Fsicas
Los
un
a

ambientes

suministro

de

donde
energa

se

procesan los sistemas deben contar con

elctrica

de

tierra, estabilizadores, UPS, equipos

energa
elctrica, y extintores contra incendio.

calidad, con pozo de lnea

de

reemplazo

de

Debe
tambin,
en
la
medida de lo posible, disponer el
acceso
restringido al rea donde se procesa la informacin, sea al
ambiente
de los terminalistas o al centro de cmputo.
Seguridad

ante contaminacin de Virus

Ante la creciente proliferacin de virus, debe existir

en

instalado

el equipo central y equipos descentralizados sistemas

antivirus,
para prevenir la contaminacin y afeccin de virus.
Deben, establecerse disposiciones especficas que prohiban al
personal de sistemas o usuarios, utilicen diskettes externos a la
institucin, para evitar la introduccin de virus. En caso de
recibir
diskettes externos de trabajo oficial, stos de todas
maneras,
deber n ser desinfectados antes de ser ledos por los equipos
de
cmputo.
Cuando sea factible, tal es el caso de sistemas

que

lo

requieren s

terminales, es preferible que stos no tengan unidad de

diskette
para evitar la contaminacin o infeccin.
En lo posible tambin deber tratarse de utilizar Sistemas
Operativos, que eviten la contaminacin por virus.
3.2.8

SISTEMA DE RESPALDO

Previendo posibles problemas con el hardware o el software es

necesario que el equipo central cuente con caractersticas tcnicas
de
respaldo tales como :
- Sistema tolerante a fallas.
- Tape-backup.
- Equipo de capacidad similar de respaldo.
Asimismo, debe contarse con elementos para ser cargados
otro
equipo de respaldo:

en

el

- Instalador del Sistema o Backup del Sistema.

- Backup de la Base de Datos por lo menos del turno anterior.
En
de
n

muchas

atencin

oportunidades
al

pblico,

es

conveniente,

disponer

para

reas crticas

de listados diarios de informaci

resumen para poder seguir operando por lo menos manualmente en

casos
extremos.
Los backups de la Base de Datos deben

efectuarse por cada cambio

de

turno de trabajo o como mnimo al final del da, debiendo

inclusive
el sistema haber sido programado para que exija efectuar el
backup
respectivo.
Una

copia

de

respaldo de los programas fuentes y objetos

de

las

aplicaciones, de la plataforma de software y de las bases de

datos
completas de la Institucin (hasta de tres perodos anteriores)
y
debe guardarse una copia en el local ad-hoc de la Institucin
e
inclusive una copia adicional en otro local para afrontar
siniestros
o desastres que pudieran ocurrir.
3.2.9

AUDITABILIDAD DEL SISTEMA

Todo Sistema debe tener la capacidad de poder ser

lo

auditado, para

cual debe reunir una serie de caractersticas que lo permitan :

. Contar con la documentacin completa.

. Disponer de una biblioteca de pruebas.
. Disponer de Log del Sistema.
. Contar con reportes de auditora del sistema.
. Contar con reporteadores de base de datos para producir
reportes
de cruce de informacin.
Por

lo

los

tanto

elementos

en

antes

deber

verificarse

indicados

para

que

el sistema disponga de

poder facilitar su auditora y

caso de no contar con ellos exigir se disponga de ellos.

3.2.10

EFECTIVIDAD DEL SISTEMA

Uno de los aspectos m s importante del sistema, por ser

de

ser, es que sea efectivo en conseguir

beneficios
esperados, por lo que se deber :

los

su razn

objetivos y

. Efectuar visitas a los usuarios e indagar sobre su opinin

resp-

ecto a :
- su satisfaccin de los resultados del sistema.
- el grado de confiabilidad que le dan al sistema.

. Evaluar en forma independiente en qu magnitud los

beneficios
han sido conseguidos y cu les son las razones o limitaciones
que
impiden que stos se logren.
. Determinar si los costos de operacin del sistema se
encuentran
dentro de lo planificado y si son actualmente razonables
para
los beneficios tangible e intangibles obtenidos.
Se deben evaluar aspectos tales como :
. Qu
de

mejoras

se han obtenido

en

la

reduccin

de

costos

operacin.
. Qu mejoras se han obtenido en las operaciones de la Instituci

n.

. Cu nto ha mejorado la precisin de la informacin obtenida.

. Qu mejoras se han obtenido en disponer de la informacin
comp-

leta requerida.
. Qu mejoras se han obtenido respecto a incluir controles

las

en

operaciones de la Institucin.
. Qu incremento se han obtenido en el nmero de operaciones
aten-

didas, mejorando el tiempo de atencin a los usuarios.

. Qu incremento de productividad de la institucin se ha
obtenido.
. Qu mejoras se han producido en la organizacin del rea
involucrada en el sistema.

4.1

MODALIDADES DE PRUEBAS
Existen dos modalidades de pruebas que se deben hacer al sistema
- Pruebas de Rutas.
- Pruebas de especificacin.
Pruebas de Rutas :
Tambin

es

conocida

como

prueba de cdigo. Examina la lgica

del

programa, para lo cual se desarrollan casos de prueba que fuercen

probar la ejecucin de todas las instrucciones de cada mdulo o

ruta
de un programa.
Como un sistema puede tener cientos de mdulos, debe priorizarse
cu-

les
poder

son los m s crticos de ser probados, de tal forma

de

probar

dentro

de

plazos

costos

razonables las rutas

m s

importantes del sistema.

Pruebas de Especificacin :

En sta, se examina el sistema bajo diferentes situaciones. Que

ejecute lo que indican las especificaciones, bajo casos de
pruebas
preparados para dicho fin. En este caso se tratan a los
programas
como si fueran cajas negras, slo siendo de inters de que si
se
cumplen siempre las especificaciones, el sistema no falla.

4.2

NIVELES DE PRUEBA

Existen 2 niveles :
- Pruebas parciales.
- Pruebas de sistemas.
PRUEBAS PARCIALES:
Este consiste en probar independientemente los mdulos de un
sistema
que llevan a cabo una funcin especfica.
A su vez existen dos mtodos para llevar a cabo estas pruebas :
. Mtodo ascendente : Van de los mdulos inferiores a los
superiores.
. Mtodo descendente : Van de los mdulos superiores a los
inferiores.
PRUEBAS DEL SISTEMA :
No prueba el detalle de cada mdulo, sino m s bien
de

la

integracin

cada mdulo en el sistema, buscando las discrepancias que ocurran y

la

falta de compatibilidad entre ellos.

4.3

PRUEBAS ESPECIALES DE SISTEMA

Existen 6 pruebas b sicas :
-

Prueba
Prueba
Prueba
Prueba
Prueba
Prueba

de
de
de
de
de
de

carga m xima.
almacenamiento.
tiempo de ejecucin.
recuperacin.
procedimientos.
recursos humanos.

Prueba de Carga M xima :

Consiste en probar si el sistema puede manejar el volumen de
actividades que ocurren cuando el Sistema est en el punto m s alto de
su
demanda de procesamiento, tanto en nmero de transacciones, nmero
de
terminales y magnitud de los valores.
Prueba de Almacenamiento :
Determinar si el sistema puede almacenar una alta cantidad
proyectada
de datos tanto en sus dispositivos de discos fijos y removibles,
y
segn el diseo y configuracin de los archivos.
Prueba de Tiempo de Ejecucin :
Determina el tiempo de m quina que el Sistema necesita para
procesar
los datos de una transaccin, si en su m xima carga
(volumen
de
informacin y nmero de terminales simult neos) el tiempo de
respuesta
es adecuado para las funciones de :
.
.
.
.
.
.
.

Ingreso de Datos.
Actualizacin.
Transmisin.
Proceso.
Reordenamiento e indexacin de archivos.
Consultas.
Impresiones de comprobantes y listados.

Pruebas de Recuperacin
Probar la capacidad del sistema para recuperar datos y
restablecerse
despus de una falla. Para efectuar estas pruebas se deben
previamente
sacar copias de respaldo de los archivos reales.
Prueba de Procedimientos
Evaluar la claridad, validez seguridad as como su facilidad de
uso y
sencillez de los manuales de procedimientos y operacin respecto a
la
operacin real del Sistema, haciendo que los usuarios lleven a
cabo
exactamente lo que el manual pide.
Los manuales deben contener una gua de respuestas
de

mensajes

advertencia, error, o contingencia.

Asimismo

la

ante

se

debe

verificar su actualizacin

versin del software aplicativo al cual pertenecen.

concordancia con

Prueba de Factores Humanos

Se determina cmo utilizar n los usuarios el sistema al procesar
datos
o preparar informes.
Respecto al sistema : debe ser amigable y de f cil operacin, con
gua
interactiva de orientacin al usuario y mensajes indicativos de
ocurrencias del sistema.
Evaluar, respecto a los usuarios : el nivel de capacitacin, el
grado
de utilizacin del sistema, su correcta aplicacin o uso.
Evaluar, respecto al personal de inform tica : el nivel tecnol
gico
para operar el sistema y la disponibilidad de tcnicos con
capacidad
de mantener el sistema.

4.4

TIPOS DE DATOS DE PRUEBA

Datos reales : los cuales permiten probar ocurrencias y casos

reales
que se presentan en la Institucin, aunque no permiten probar
otras
rutas programadas pero que no han sido alcanzados por los
usuarios
para las pruebas en el caso de sistemas en desarrollo, o que
no
ocurren actualmente en el perodo de prueba de los sistemas en
funcionamiento.
Datos artificiales : Son los que
de
lo

considerar todas

las

se crean artificialmente tratando

combinaciones

y rutas posibles, debiendo en

posible ser preparados por personas distintas de las

programaron
el sistema.

que

Se recomienda contar con una Biblioteca de Pruebas que es un

conjunto
de datos preparados para probar todo el sistema en su conjunto y
que
se utiliza tanto cuando se desarrolla el sistema, como
cuando
se
audita y se hace modificaciones al software, debiendo archivarse
en
una biblioteca especialmente organizada para tal fin. Esto
tambin
permite que con la misma biblioteca puedan probarse
los
sistemas
interrelacionados.

CONTROL INTERNO AL

SERVICIO INFORMATICO

La evaluacin de un Sistema no slo depende del Sistema en s, sino

del entorno en la que se desenvuelve, es decir el sistema puede
haber sido diseado correctamente, pero el Area de Servicio Informtico puede tener problemas que afectan al Sistema, por lo que tambin debe hacerse un "Control Interno al Servicio de Inform tica".
El Control Interno al Servicio de Inform tica debe contemplar:
.
.
.
.
.

5.1

La Organizacin.
Los Procedimientos Generales.
Metodologas Utilizadas.
Recursos Humanos.
Seguridad.

EVALUACION Y CONTROL DE LA ORGANIZACION

Se deber verificar que por un concepto de integralidad, existan
funciones
claramente
definidas
que
obligatoriamente deben
efectuarse y que existan grupos de trabajo diferenciados, que permita
delimitar
responsabilidades y dinamizar
la
gestin
de
inform tica. Las funciones que deben existir son :
-

Desarrollo de Sistemas.
Operacin de Sistemas.
Mantenimiento de Sistemas.
Soporte Tcnico.
Soporte a equipos.
Control de Sistemas.

La magnitud de la organizacin del servicio inform tico, depende

tambin de la envergadura de la Institucin. Sin embargo, debe existir la divisin funcional que permita su adecuado
desenvolvimiento.

5.2

EVALUACION

FUNCIONAL

Desarrollo de Sistemas
Debe estar claramente diferenciada la funcin del "Desarrollo de Sistemas" de "Operacin de los Sistemas", de tal forma de permitir
dos grupos de personal con funciones que puedan desarrollarse
independientemente
y en forma permanente, sin restringir la
capacidad de desarrollo por razones de carga operativa de trabajo.
Operacin de Sistemas
Esta ser

efectuada por personal operativo, encargado

de

que

los

sistemas operen adecuadamente, tanto en el Centro de cmputo como

en las reas usuarias descentralizadas.
Para la realizacin de esta funcin deben existir para cada sistema
los Manuales de Operacin respectivos, los cuales deben contener:
.
.
.
.
.

El proceso normal.
Mensajes de advertencia y error.
Recomendaciones para la solucin a los mensajes presentados.
Puntos de reinicio.
Comunicacin de Problemas.

Mantenimiento de Sistemas
La ubicacin de la funcin de mantenimiento de sistemas, depende
del estado evolutivo del rea de servicio inform tico, es as que
si recin se inicia un plan ambicioso de desarrollo de sistemas, es
preferible no distraerlo en funciones de mantenimiento de sistemas
y ubicarla como una unidad del Area de Operacin de Sistemas. Sin
embargo si gran parte del desarrollo del sistema ya ha sido
efectuado, es conveniente ubicar la funcin de mantenimiento
de
sistemas dentro del Area de Desarrollo de Sistemas.
En todo caso siempre debe existir un control de cambios y la obligatoriedad de que los cambios sean autorizados.
Soporte Tcnico
Todo Servicio de Inform tica debe tambin desarrollar funciones de
soporte tcnico, por el continuo avance tecnolgico. Dependiendo de
la magnitud de la Institucin esta puede ser desarrollada desde un
solo especialista hasta contar con una unidad especializada, donde
se d soporte a las plataformas que se utilicen o que se tengan que
implementar en la Institucin en el mbito de Sistema Operativo,
Base de Datos, Comunicaciones y equipos de cmputo.
Para fines de soporte tcnico es muy importante que exista un
registro de fallas y solicitudes, as como de atenciones de
soportes tcnicos brindados.
Soporte a Equipos de Cmputo
Dependiendo tambin de la envergadura de la Institucin
deber
realizarse la funcin de atencin a los problemas de los equipos de
cmputo, donde debe existir una persona o una unidad que se
encargue de dicho aspecto, ya sea dando atencin directa o
administrando un servicio externo de mantenimiento y solucin de
problemas de los equipos de cmputo.
Debe existir Registros de :
. Equipos existentes.
. Softwares instalados en cada equipo.
. Mantenimientos realizados a cada equipo firmados por el
proveedor, soporte tcnico y usuario.
Control de Sistemas
Debe existir una funcin de Control de Sistemas que pueda efectuar
control preventivo durante el desarrollo de sistemas y correctivo
durante su funcionamiento. Que efecte coordinaciones para evaluar
la satisfaccin del usuario, control a los planes y presupuestos y

seguimiento de las observaciones a los sistemas.

En pequeas Instituciones puede ser llevado a cabo por la Jefatura
del Servicio Inform tico. En medianas,
por
un Especialista
Contralor, o una unidad para los casos de Instituciones de
envergadura.

5.3

PROCEDIMIENTOS
Debe verificarse que existan normas y procedimientos precisos para
la realizacin de sus funciones, de tal forma de asegurar que se
aplican est ndares y metodologas comunes que den integralidad a
las actividades que realicen.
Las normas que deberan disponer son :
.
.
.
.
.
.
.

Norma
Norma
Norma
Norma
Norma
Norma
Norma

de
de
de
de
de
de
de

An lisis de Sistemas.
Diseo de Sistemas.
Programacin de Sistemas.
Implantacin de Sistemas.
Operacin de Sistemas.
Mantenimiento de Sistemas.
Control de Sistemas.

Los procedimientos que debieran estar disponibles son :

.
.
.
.
.

5.4

Procedimientos de Operacin de todos los Sistemas.

Procedimiento General de Seguridad.
Procedimiento General de Respaldo de la Informacin.
Procedimientos ante Contingencias.
Procedimientos de Administracin de Bibliotecas de Software.

METODOLOGIAS
El nivel y la calidad del Servicio Inform tico depender del uso de
metodologas modernas, entre las que podemos mencionar :
Planeamiento de Sistema :
. Planeamiento Estratgico de Sistemas de Informacin
An lisis de Sistemas :
-

Entrevistas.
Diagrama de Flujo de Datos (D.F.D.).
Modelizacin de Datos.
Diagrama de Estructura de Datos (D.E.D.).
Historia de Vida de la Entidad (H.E.V.).
An lisis de Costo-Beneficio (A.C.B.).
Prototipeo.

Diseo de Sistemas :
- Diseo Estructurado.
- Diagrama de Estructura de Cuadros.

- Optimizacin del Diseo Fsico.

- Diseo de Pruebas.
- Prototipeo.
Programacin :
-

Programacin Estructurada.
Pruebas Unitarias.
Pruebas de Integracin.
Prueba del Sistema.

Implantacin de Sistemas :
- Capacitacin.
- Creacin de archivos iniciales.
- Proceso en paralelo.

5.5

RECURSOS HUMANOS
Debe evaluarse que la formacin y experiencia de los recursos
humanos, asignados a cada Area para el desempeo de sus funciones,
sean las adecuadas.
Se debe analizar tambin el balance de la cantidad de recursos
humanos por Area, de tal forma que no existan desequilibrios que
afecten el desempeo del Servicio Inform tico en su conjunto.
Debe analizarse si los tiempos utilizados para la obtencin de
resultados
en
cada
uno
de los tipos de actividades son los
adecuados y se efectan dentro de los plazos razonables.

5.6

SEGURIDAD
Debe comprobarse que el Area de Servicios Inform ticos
los siguientes tipos de seguridad :

cuente

con

- Seguridad en el acceso a la informacin.

- Seguridad de los Sistemas.
- Seguridades Fsicas.

DE LOS SERVICIOS EXTERNOS

DE COMPUTACION

Dependiendo de la poltica de la Institucin puede ser encargado el

desarrollo, la implantacin y la operacin de uno o varios sistemas
a Servicios Externos de Computacin.

En estos casos tambin deben aplicarse los mismos controles y verificaciones indicados en la presente norma, donde el Area de Informtica de la Institucin deber efectuar permanentemente la tarea de
fiscalizacin de los Servicios Externos de Computacin.
En estos casos se debe reforzar en el Area de Inform tica las siguientes funciones :
- Planeamiento de Sistemas.
- Definicin de Requerimientos de Sistemas.
- Especificacin de Requerimientos.
- Elaboracin de Trminos de Referencia de
Servicios Externos de Computacin.

Sub-Contratacin

de

- Control de los Servicios Externos.

- Control de Sistemas.
Cuando se realice actividades de auditora del Area de Inform tica
deber evaluarse el desempeo de las funciones antes mencionadas ya
que son de primordial importancia cuando se trabaja bajo sub-contrataciones.

6.1

PLANEAMIENTO DE SISTEMAS
Es preferible que el Planeamiento de Sistemas lo realice el Area de
Inform tica de la propia Institucin, ya que el personal se encuentra involucrado con sus objetivos y metas, as como experimenta permanentemente las vivencias de su organizacin.
Sin embargo, muchas veces el trabajo Planeamiento de Sistemas es encargado a un Servicio Externo, en todo caso, ste debe tomarse
como una Asesora y la participacin del Area de Inform tica
es
fundamental.

6.2

DEFINICION DE REQUERIMIENTOS DE SISTEMA

Es conveniente que la definicin de requerimientos de sistema por

parte de las diferentes reas de la Institucin, sea determinado
por el Area de Inform tica, ya que permitir efectuar una priorizacin del desarrollo y mantenimiento de sistemas desde el punto de
vista institucional, y plantear la sub-contratacin de los servicios externos de computacin en la medida de las necesidades.

6.3

DEFINICION DE ESPECIFICACIONES DE REQUERIMIENTOS

Esta funcin, de preferencia, deber ser efectuada por el Area de

Inform tica de la Institucin, lo cual servir de base para la con-

feccin de los trminos de referencia de las Sub-Contrataciones de

Servicios Externos de Computacin.

6.4

ELABORACION DE TERMINOS DE REFERENCIA DE

DE SERVICIOS EXTERNOS DE COMPUTACION

LA

SUB-CONTRATACION

En los Trminos de Referencia de Sub-Contratacin de Servicios

Externos de Computacin, deber establecerse claramente las normas,
metodologas y plataformas que se utilizar n
para
mantener
est ndares e integralidad dentro de la Institucin. Tambin debe
quedar claramente especificado que estar n sujetos a los mecanismos
de control establecidos en las presentes normas, tanto durante el
desarrollo de sistemas, as como durante su funcionamiento si as
fuera el caso.

6.5

Control de los Servicios Externos

Los Servicios Externos de Computacin deben ser controlados en base
a la funcin Sub-Contratada, aplicando para cada caso la parte correspondiente de las normas y controles establecidos en el presente
documento.

6.6

Control de Sistemas
Si es poltica de la Institucin la Sub-Contratacin de Servicios
Externos de Computacin, se hace m s prioritario e importante fortalecer la funcin de Control de Sistemas. En ese sentido se deber
efectuar
permanentemente
controles preventivos
durante
el
desarrollo de sistemas y correctivos durante su funcionamiento,
efectuar coordinaciones para evaluar la satisfaccin del usuario,
controlar los planes y presupuestos y hacer seguimiento de las observaciones a los sistemas.

GLOSARIO DE TERMINOS

ANALISIS DE COSTO BENEFICIO

Es una tcnica utilizada en el An lisis de Sistemas que tiene
como objetivo fundamental proporcionar una medida de los
costos en que se incurren en la realizacin de un proyecto
inform tico y, a su vez, comparar dichos costos previstos con
los beneficios esperados en la realizacin de dicho proyecto.
ANALISIS DE SISTEMAS
Es el proceso mediante el cual se estudian e interpretan los
hechos del sistema actual, con el fin de especificar los
requerimientos
y
especificaciones funcionales del nuevo
sistema a desarrollar.

CONFIABILIDAD DEL SISTEMA

Se define que un sistema es confiable cuando posee los controles y las seguridades del caso, permitiendo que sus resultados sean exactos y que su operacin sea estable y segura.
DISEO ESTRUCTURADO
Es una tcnica utilizada en el Diseo de Sistemas, para obtener la estructura modular y los detalles de proceso del sistema, partiendo solamente de la informacin obtenida
en
la fase de an lisis de sistemas En sta se define cmo debe
estructurarse el sistema utilizando herramientas gr ficas.
DIAGRAMA DE ESTRUCTURA DE CUADROS
Es
una tcnica
utilizada en el Diseo de Sistemas para
modelar el sistema computarizado, visualizando modularmente
el sistema, la conexin y comunicacin entre los mismos,
dando una visin integral de la Arquitectura del Sistema.
DIAGRAMA DE ESTRUCTURA DE DATOS (DED)
Es una tcnica utilizada en el An lisis de Sistemas para la
modelizacin de datos, la cual representa un conjunto de
datos relacionados entre s y describen en forma colectiva un
componente del sistema.
DIAGRAMA DE FLUJO DE DATOS (DFD)
Proporciona una representacin del sistema a nivel lgico y
conceptual, describiendo el movimiento de los datos en
el
sistema, ya sea manual o autom tico, incluyendo procesos y
lugares para almacenar datos.
DIAGRAMAS DE GANTT
Son herramientas que se utilizan en la planificacin de un
proyecto o etapas del mismo, y que consiste en el registro de
lo planificado y de lo ejecutado a travs de barras de diferente diseo en dos ejes, una de actividades y la otra de la
variable tiempo.
DISEO DE PRUEBAS
Es una tcnica utilizada en el Diseo de Sistemasque consiste
en definir un programa de pruebas, para asegurar la confiabilidad del diseo y de que no existen errores en los programas
que se especifiquen.
DISEO DE SISTEMAS
Es el proceso de definicin de la arquitectura de software:
componentes, mdulos, interfaces, procedimientos de pruebas y
datos de un Sistema que se crean para satisfacer unos requerimientos especficos.
ENTREVISTAS
Es una tcnica que se utiliza en el An lisis de Sistemas para

recabar la informacin verbal, a travs de una serie de

preguntas que propone el analista. Esta a su vez es imprescindible para obtener informacin cualitativa, relacionarse
con los usuarios y recoger un conjunto de hechos y/o requerimientos de informacin necesaria para el estudio.
HISTORIA DE VIDA DE LA ENTIDAD
Es una tcnica utilizada en el An lisis de Sistemas que permite describir la evolucin de las entidades de datos del sistema. Esta tcnica utiliza las entidades de datos identificados y descritas en los Diagramas de Estructura de Datos
(DED) y en las transacciones o eventos del sistema identificado en el Diagrama de Flujo de Datos (DFD). Tambin constituye un poderoso instrumento para verificar la exactitud
de los dos modelos antes mencionados y garantizar la coherencia entre las tres versiones del sistema.
IMPLANTACION DE SISTEMAS
Es el proceso por el cual se instala un sistema, se crean los
archivos maestros, se capacita al personal involucrado, se
procesa un perodo de informacin, se efectan ajustes al sistema y se inicia la produccin del sistema.
INTEGRACION DE SISTEMAS
Es el proceso por el cual se analiza, disea y programa las
interfases entre diferentes aplicaciones, sub-sistemas y sistemas, de tal forma que no se desarrollen sistemas aislados,
sino m s bien interconectados que compartan archivo y base de
datos comunes y se transfieran informacin entre ellos.
INTEGRIDAD DE LA INFORMACION
Consiste en que los valores de los datos se mantengan tal
como fueron puestos intencionalmente en el Sistema. Las tcnicas de integridad sirven para prevenir que existan valores
errados en los datos provocados por el software de la Base de
Datos o por fallas de programas o del sistema.
El concepto de integridad abarca la precisin y la fiabilidad
de los datos, as como la discrecin que se debe tener con
ellos.
INTEGRIDAD DEL SISTEMA
Es una caracterstica que deben poseer los sistemas computarizados . Consiste en que se deben tener las seguridades de
que el software no puede ser alterado ni la informacin producida puede ser accesada por personas no autorizadas, para lo
cual deben existir los controles y seguridades del caso.
MODELIZACION DE DATOS
Es una tcnica utilizada en el An lisis de Sistemas para conseguir estructuras de datos no redundantes, sin inconsistencias, seguras e ntegras, utilizando representaciones gr ficas.
OPTIMIZACION DEL DISEO FISICO

Es una tcnica utilizada en el Diseo de Sistemas para optimizar el modelo de datos elaborado en la fase de An lisis de
Sistemas, permitiendo
obtener la
estructura fsica del
sistema, as como la representacin ptima de la informacin.
PERT-CPM
Es una tcnica que se utiliza en la planificacin de proyectos o etapas del mismo, y que consiste en el registro de las
actividades, recursos y costos planificados, as como
los
ejecutados realmente
mediante
representacin gr fica de
nodos y fechas de dependencia de actividades.
PLATAFORMA DE HARDWARE
Es el conjunto de equipos que se utiliza para desarrollar y
operar un sistema o todos los sistemas de una organizacin,
com prendiendo el Computador Central, las estaciones de
trabajo tales como terminales, equipos de microcomputacin,
impresoras, as como equipos de comunicacin local en Red o
remotas.
PLATAFORMA DE SOFTWARE
Es el conjunto de Software de Base y Aplicativos de uso
general que se utiliza para un sistema determinado o para
toda la organizacin, consistente de los sistemas operativos,
sistemas de bases de datos, sistemas de redes, sistemas de
comunicaciones y sistemas generales de automatizacin de
oficinas.
PROCESO EN PARALELO
Es una tcnica utilizada en la implantacin de sistemas, que
consiste en permitir que se siga utilizando el sistema anterior, mientras se procesa paralelamente el nuevo sistema, de
tal forma de comparar resultados y efectuar el reemplazo
necesario con la seguridad de la correcta operatividad y confiabilidad del nuevo sistema.
PROGRAMACION ESTRUCTURADA
Es una tcnica utilizada en la Programacin de Sistemas, y
que consiste en llevar a cabo la programacin en forma modular y utilizar sub-funciones para ser utilizadas en forma
comn.
PROGRAMACION DE SISTEMAS
Es el proceso por el cual el diseo de un sistema se transcribe a un lenguaje de programacin que pueda ser interpretado
por el computador, para que ste ejecute instrucciones que
realicen las funciones, especificados para el nuevo sistema.
PROTOTIPEO
Es una tcnica utilizada en el An lisis de Sistemas y Diseo
de Sistemas, que permite desarrollar con rapidez un sistema
de trabajo computarizado, para posibilitar probar el diseo

ante el usuario en un software provisional que permite analizar en forma fsica el ingreso de los datos, el procesamiento
y la emisin de resultados, y poder efectuar los ajustes necesarios para el diseo definitivo.
PRUEBAS DE INTEGRACION
Son las que deben realizarse para probar la integracin entre
los componentes del sistema y asegurarse que encajen correctamente.
PRUEBAS DEL SISTEMA
Son las que deben realizarse para probar el sistema globalmente.
PRUEBAS UNITARIAS
Son las que deben realizarse para probar todos los componentes del sistema que se desarrollan individualmente.
RESPALDO DE LA INFORMACION
Es la informacin que se archiva en un medio alternativo al
del almacenamiento de un computador con fines de disponer de
una copia de seguridad por si ocurriese prdidas del sistema
o la informacin.