REVISTA INFORMÁTICA 01

ADMINISTRACION Y AUDITORIA DE CENTROS DE DATOS

MIGUEL ANGEL PEREZ LOPEZ PLANTEL CONALEP 021 MATERIA: ADMINISTRACION Y AUDITORIA DE CENTRO DE DATOS

"Los ordenadores son buenos siguiendo instrucciones, no leyendo tu mente"

IDENTIFICACIÓN DE REVISIONES

DE

AUDITORÍA

El proceso de implementar un Sistema de Gestión de Calidad. I PASO: DIAGNÓSTICO Y PLANIFICACIÓN: Análisis de la SituaciónActual: En esta etapa se plantean algunas preguntas que nos indicarán el estado actual de la empresa para poder planear la implantación. Es muy importante conocer dónde se encuentra la empresa para establecer un punto de partida, y planear hacia dónde quiere llegar, estableciendo los objetivos de calidad y metas para el Sistema de Gestión de Calidad. PASO II: DISEÑO DEL SISTEMA DE GESTIÓN DE CALIDAD: 1. Mapeo de Procesos: En esta etapa se establecen y registran los procesos actuales de la empresa para tener una mejor visión de estos y así conocer su interacción con otros departamentos y áreas, para saber qué tipo de información fluye entre ellos. Estos son analizados para que posteriormente sean modificados y adaptados a las mejores prácticas conocidas en el giro y para el bien común de la organización. Los procesos permiten tener una visión clara de lo que se quiere hacer para establecer sistemas, controles e indicadores de calidad para el óptimo funcionamiento de cada parte del Sistema de Gestión de Calidad. 2. Documentación de Política y Plan de Calidad: Sin un Plan y sin una Política de Calidad no se puede implementar un Sistema de Gestión de Calidad. El plan y la política se documentan. El Plan de Calidad es un documento que especifica qué procedimientos y recursos asociados deben aplicarse, quién debe aplicarlos y cuándo deben aplicarse a un proyecto, proceso, producto o contrato específico. La Política de Calidad debe incluir el objetivo de calidad principal, el compromiso que existe con el cliente, y de qué manera se va a lograr a través de una mejora continua.

3. Elaboración de Procedimientos e Instrucciones de Trabajo: La documentación de los procesos y procedimientos se llevan a cabo en esta etapa y es donde se plasma el quehacer, cómo se hace, los alcances y quiénes son los responsables de cada actividad. PASO III: IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE CALIDAD. Implementación: Una vez creado, desarrollado y estructurado todo lo anterior, además de la capacitación al personal, llega la etapa de la implementación, en donde se pone en marcha todo el sistema y el personal comienza con el uso de esta herramienta. Lo que antes se hacía de una manera, en esta etapa se deja de hacer como antes, y se comienza con la nueva estructura.

i

PASO IV : AUDITORÍAS 1.- Auditoria Interna. Primera Auditoria Interna: En un Sistema de Gestión de Calidad existen revisiones cuyo objetivo es analizar la operatividad, observar las fallas para corregirlas y detectar oportunidades de mejoras. * Se deben realizar auditorías internas periódicamente. * El objetivo de la primera, es para verificar si realmente se ha implementado el sistema y detectar posibles fallas para corregirlas. * Esla revisión previa, que una vez corregida las desviaciones, permite a la organización someterse a la autoría externa y a la certificación. Revisión General: Es necesario hacer una revisión general de cómo está resultando la implementación y de cómo está funcionando el nuevo sistema. Es necesario revisar las fallas encontradas y realizar acciones correctivas y preventivas dependiendo del caso. Acciones Correctivas y Preventivas: Es necesario implementar las acciones correctivas y preventivas de los resultados de la primera auditoría interna y la revisión general, para comenzar a trabajar sobre las observaciones y/o No Conformidades encontradas en el SGC. Segunda Auditoria Interna (Opcional):

Para asegurar que todo esté marchando de la mejor manera antes de la preauditoriaexterna, y que las acciones correctivas y preventivas resultantes de la primera auditoría interna se estén resolviendo desde su causa raíz y en tiempo, una segunda auditoria interna se puede llevar a cabo.

2. Auditoría externa: PreAuditoría Externa:

Esta pre-auditoríatiene por

objetivo: conocer el grado de preparación antes de la auditoria externa, para estar preparados para la certificación por parte del organismo certificador. Auditoría Interna: Al término de esta, al igual que la preauditoría, se hacen las solicitudes de acciones correctivas y preventivas que se requieran según lo que los auditores externos hayan encontrado como No Conformidades Mayores y/o No Conformidades Menores.

PASO V: CERTIFICACIÓN: En caso de encontrar No Conformidades, el organismo auditor da un plazo de 30 días para que la empresa trabaje sobre estas No Conformidades soluciónándolas desde la causa raíz. Existen 2 escenarios: *La empresa no cierra la No Conformidad en el tiempo estipulado, la certificación es rechazada por el organismo certificador, y la empresa tendría que pasar nuevamente por todo el proceso. *La empresa cierra sus No Conformidades a tiempo, el organismo certificador aprueba la certificación y envía el certificado a la empresa en un plazo no mayor a 60 días.

HERRAMIENTAS DE AUDITORÍA INFORMÁTICA LAS HERRAMIENTAS SON EL CONJUNTO DE ELEMENTOS QUE PERMITEN LLEVAR A CABO LAS ACCIONES DEFINIDAS EN LAS TÉCNICAS. LAS HERRAMIENTAS UTILIZADAS SON: CUESTIONARIOS, ENTREVISTAS, CHECKLIST, TRAZAS Y SOFTWARE DE INTERROGACIÓN.

>> Los cuestionarios es la herramienta punto de partida que permiten obtener información y documentación de todo el proceso de una organización, que piensa ser auditado. El auditor debe realizar una tarea de campo para obtener la información necesaria, basado en evidencias o hechos demostrables. Inicia su trabajo solicitando que se cumplimenten los cuestionarios enviados a las personas correspondientes, marcadas por el auditor. Los cuestionarios no tienen que ser los mismos en caso de organizaciones distintas, ya que deben ser específicos para cada situación. La fase de cuestionarios puede omitirse si el auditor ha podido recabar la información por otro medio. >> La segunda herramienta a utilizar es la entrevista, en la que llega a obtener información más específica que la obtenida mediante cuestionarios, utilizando el método del interrogatorio, con preguntas variadas y sencillas, pero que han sido convenientemente elaboradas. >> La tercera herramienta que se utiliza es el checklist, conjunto de preguntas respondidas en la mayoría de las veces oralmente, destinados principalmente a personal técnico. Por estos motivos deben ser realizadas en un orden determinado, muy sistematizadas, coherentes y clasificadas por materias, permitiendo que el auditado responda claramente.

Existen dos tipos de filosofía en la generación de checklists: De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo de 1 a 5, siendo 1 la respuesta más negativa y 5 la más positiva) Binaria: las respuestas sólo tienen dos valores (de ahí su nombre) cuya respuesta puede ser Si o No.

i La primera filosofía permite una mayor precisión en la evaluación, aunque depende, claro está, del equipo auditor. Los binarios, con una elaboración más compleja, deben ser más precisos. No existen checklists estándares, ya que cada organización y su auditoría tienen sus peculiaridades. La siguiente herramienta que se utiliza, las trazas, se basa en el uso de software, que permiten conocer todos los pasos seguidos por la información, sin interferir el sistema. Además del uso de las trazas, el auditor utilizará, los ficheros que el próximo sistema genera y que recoge todas las actividades que se realizan y la modificación de los datos, que se conoce con el nombre de log. El log almacena toda aquella información que ha ido cambiando y como ha ido cambiando, de forma cronológica.

En los últimos años se ha utilizado el software de interrogación para auditar ficheros y bases de datos de la organización.

LAS HERRAMIENTAS DE PRODUCTIVIDAD: Cuestionario: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Se suele solicitar la completación de cuestionarios que se envían a las personas concretas que el auditor cree adecuadas.

Entrevista: El auditor comienza a continuación las relaciones personales con el auditado. La entrevista es una de las actividades personales más importante del auditor; recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. Checklist: Tener claro lo que se necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior. Muestreo estadístico: Al realizar cualquier investigación social o de mercados, la mayor parte de las veces se rebasa la capacidad de los investigadores/as para llegar a toda la población o universo de estudio, por lo que se suele optar por métodos de muestreo que sirvan para acotar ese universo y así poder realizar la investigación dentro de nuestras posibilidades. Observación: Es la observación del hecho (gestión informática) o fenómeno (sistema) en estudio, pero sin que el observador (auditor) entre en contacto directo con el aspecto observado, sino que lo examina por medios indirectos, ya sea por referencias o comparaciones; para lograr lo anterior, el auditor se vale de observaciones Flujogramas: El diagrama de flujo o flujograma o diagrama de actividades es la representación gráfica de un algoritmo o proceso. Se utiliza en disciplinas como programación, economía, procesos industriales y psicología cognitiva.

C. APLICACIÓN DE LA METODOLOGÍA DE AUDITORÍA. 001

La metodología de la auditoría administrativa tiene el propósito de servir como marco de actuación para que las acciones en sus diferentes fases de ejecución se conduzcan en forma programada y sistemática, se unifiquen criterios y se delimite la profundidad con que se revisarán y aplicarán los enfoques de análisis

AUDITORÍA INFORMÁTICA También cumple la función de facilitar al auditor la identificación y ordenamiento de la información correspondiente al registro de hechos, hallazgos, evidencias, transacciones, situaciones, argumentos y observaciones para su posterior examen, informe y seguimiento. Para utilizarla de manera lógica y accesible se ha dividido en etapas, en cada una de las cuales se brindan los criterios y lineamientos que deben observarse para que las iniciativas guarden correspondencia con los planes. De conformidad con lo que se ha explicado hasta aquí, las etapas que integran la metodología son: Planeación. Instrumentación. Examen. Informe. Seguimiento. Planeación. Se refiere a los lineamientos de carácter general que regulan la aplicación de la auditoría administrativa para garantizar la cobertura de los factores prioritarios. ¿Qué cubre la planeación? 1. Objetivo. 2. Factores a revisar. 3. Fuentes de información. 4. Investigación preliminar. 5. Preparación del proyecto de auditoría. 6. Diagnóstico preliminar.

C. APLICACIÓN DE LA METODOLOGÍA DE AUDITORÍA.

001

La metodología de la auditoría administrativa tiene el propósito de servir como marco de actuación para que las acciones en sus diferentes fases de ejecución se conduzcan en forma programada y sistemática, se unifiquen criterios y se delimite la profundidad con que se revisarán y aplicarán los enfoques de análisis

Objetivo. En esta etapa se define el propósito de la auditoría. Se establecen las acciones que se deben desarrollar para instrumentar la auditoría en forma secuencial y ordenada tomando en cuenta las condiciones para lograrlo en tiempo y forma. Factores a revisar. Como primera medida es necesario determinar los factores que se consideran fundamentales para el estudio de la organización en función de dos vertientes: a) El proceso administrativo b) Los elementos específicos que forman parte de su funcionamiento. El proceso administrativo: se incorporan las etapas de su proceso y se definen los componentes que lo fundamentan, los cuales permiten realizar un análisis lógico de la organización. Fuentes de Información. Las fuentes de información representan las instancias internas y externas a las que se puede recurrir para captar la información que se registra en los papeles de trabajo del auditor. • Estas pueden ser Internas o Externas Fuentes de información Internas • Órganos de gobierno • Órganos de control interno • Socios • Niveles de la organización • Unidades estratégicas de negocio• Sistemas de información Fuentes de información externas. • Competidores actuales y potenciales • Proveedores actuales y potenciales • Clientes/usuarios actuales y potenciales • Grupos de interés • Organismos nacionales e internacionales que dicten lineamientos o normas regulatorias y de calidad. • Organizaciones líderes en el mismo giro industrial o en otro. Investigación Preliminar. El siguiente paso lógico es realizar un “reconocimiento” o investigación preliminar para determinar la situación de la organización. Esta etapa implica la necesidad de revisar la literatura técnica y legal y toda clase de documentos relacionados y de interés. Este procedimiento puede provocar una reformulación de objetivos, estrategias, acciones o tiempos de ejecución. Para realizar esta tarea en forma adecuada es conveniente tomar en cuenta lo siguientes criterios: • Determinar las necesidades específicas. • Identificar los factores que requieren atención. • Definir estrategias de acción. • Jerarquizar prioridades en función del fin que se persigue• Describir la ubicación, la naturaleza y extensión de los factores.

• Especificar el perfil del auditor. • Estimar el tiempo y recursos necesarios para cumplir con el objetivo definido. Preparación del Proyecto Con base en la información preliminar se debe proceder a preparar la información necesaria para instrumentar la auditoría, la cual incluye dos apartados: Propuesta Técnica Programa de Trabajo

i Propuesta técnica: Tipo de auditoría que se pretende realizar. Alcance: Áreas de aplicación. Antecedentes: Recuento de auditorías administrativas y estudios de mejoramientos previos. Objetivos: Logros que se pretenden alcanzar con la aplicación de la auditoría administrativa. Estrategia: Ruta fundamental para orientar el curso de acción y asignación d recursos. Justificación: Demostración de la necesidad de instrumentarla. Acciones: Iniciativas o actividades necesarias para su ejecución. Recursos: Requerimientos humanos, materiales y tecnológicos. Costo: Estimación global y específica de recursos financieros necesarios. Resultados: Beneficios que se espera lograr. Información complementaria: Material e investigaciones que pueden servir como elementos de apoyo. Programa de trabajo. Identificación: Nombre de la auditoría. Responsable(s): Auditor a cargo de su implementación. Area(s) Universo bajo estudio. Clave: Número progresivo de las actividades estimadas. Actividades: Pasos específicos para captar y examinar la información. Fases: Definición del orden secuencial para realizar las actividades. Calendario. Fechas asignadas para el inicio y término de cada fase. Representación gráfica: Descripción de las acciones en cuadros e imágenes. Formato: Presentación y resguardo de avances, Reportes de avance: Seguimiento de las acciones. Periodicidad: Tiempo dispuesto para informar avances. >Identificación de la auditoría.

El proyecto de auditoría Índices, cuestionarios, cedulas y resúmenes del trabajo realizado. Indicaciones de las observaciones recibidas durante la aplicación de la auditoría Observaciones acerca del desarrollo de su trabajo Anotaciones sobre información relevante Ajustes realizados durante su ejecución Reporte de posibles Irregularidades Lineamientos recibidos por área o fase de la aplicación Propósito Aplicar las técnicas de análisis procedentes para lograr los fines propuestos con la oportunidad, extensión y profundidad que requiere el universo sujeto a examen, y las circunstancias específicas del trabajo, a fin de reunir los elementos de decisión óptimos. Procedimiento El examen provee de una clasificación e interpretación de hechos, diagnóstico de problemas, así como los elementos para evaluar y racionalizar los efectos de un cambio. El procedimiento de examen consta de los siguientes pasos: - Conocer el hecho que se analiza - Describir ese hecho - Descomponerlo para percibir todos sus hechos y detalles. - Revisarlo críticamente para comprender mejor cada elemento - Ordenar cada elemento de acuerdo con el criterio de clasificación, seleccionado, haciendo comparaciones y buscando analogías y discrepancias. - Definir las relaciones que operan entre cada elemento considerado individualmente y enconjunto. - Identificar y explicar su comportamiento con el fin de entender las causas que lo originaron y el camino para su atención. Un enfoque muy eficaz para consolidar el examen consiste en adoptar una actitud interrogativa y formular de manera sistemática seis cuestionamientos: - ¿Que trabajo se hace? Naturaleza o tipo de labores que realizan. - ¿Porque se hace? propósitos que se pretende alcanzar. - ¿Quién lo hace? Personal que interviene. - ¿Cómo se hace? Métodos y técnicas que se aplican. - ¿Con que se hace? Equipos e instrumentos que se utilizan - ¿Cuándo se hace? Estacionalidad, secuencia y tiempos requeridos.

Presentación del informe Un vez que el informe ha quedado debidamente estructurado, el responsable de auditoría convocará al grupo auditor para efectuar la revisión de su contenido; en caso de detectar algún aspecto susceptible de enriquecer o aclarar, realizará los ajustes necesarios para depurarlos. Cuando ya se cuente con el informe final, se procederá a su entrega y presentación a: - Titular de la organización - Órgano de gobierno - Niveles directivos - Mandos medios y nivel operativo.

- Grupos de filiación, corporativos o sectoriales La presentación del informe puede realizarse con el apoyo de equipos de computación, láminas o material audiovisual. En el informe se registran los resultados de la auditoría, los aspectos operativos acordados para orientar su ejecución y los lineamientos generales para su preparación.

END

Con este tema, la primordial conclusión a la que se llega, es que toda empresa, que posea sistemas de información medianamente complejos, debe ser sometida a un control detallado con una evaluación eficiente y eficaz