QU ES EL INFORME DE AUDITORA?

Es el resultado de la informacin, estudios, investigacin y anlisis

efectuados por los auditores durante la realizacin de una auditora, que
de forma normalizada expresa por escrito su opinin sobre el rea o
actividad auditada en relacin con los objetivos fijados, sealan las
debilidades de control interno, si las ha habido, y formula
recomendaciones pertinentes para eliminar las causas de tales
deficiencias y establecer las medidas correctoras adecuadas.
IMPORTANCIA Y RELEVANCIA DEL INFORME
El producto que vende Auditora son sus informes.
Se remiten a las ms altas autoridades de la organizacin.
Es el medio de que se vale Auditora para dar a conocer su opinin. Es su
vehculo de comunicacin.
Ponen de manifiesto si los auditores tienen una visin gerencial de las
reas auditadas o carecen de ella. Si estn realmente capacitados.
Son representativos de la calidad de la Auditora Interna en cuanto a:
formacin profesional, cultura, estilo, correccin en el lenguaje escrito,
etc.
Cada informe es una carta de presentacin de la Auditora, los errores de
concepto, la falta de oportunidad de las recomendaciones y la deficiente
redaccin pueden producirse en cualquier auditora y es algo que debe
evitarse.
PRECAUCIONES BSICAS
La minuciosidad y el examen de los informes de auditora una vez
redactados y listos para ser distribuidos, exigen un cuidadoso
procedimiento de CONTROL DE CALIDAD que elimine errores y fallos de
cualquier clase y evite apresuramientos e improvisaciones.

Precauciones bsica.
Revisar cifras y datos detenidamente.
Corregir estilo y eliminacin de faltas de ortografa, de impresin, etc.
Leerlo por auditores que no hayan intervenido en la auditora.
Comprobar la pertinencia de las opiniones y recomendaciones.
Verificar su fundamentacin documental y racional.
Para tener en cuenta
El informe de Auditora refleja, condensa y divulga la opinin de los
Auditores y sus recomendaciones y es la prueba elocuente de su calidad
y de su acierto o de sus carencias en el trabajo realizado.
El concepto de informe, deriva del verbo informar, consiste en un texto o
una declaracin que describe las cualidades de un hecho y de los eventos
que lo rodean, Sin embargo, los informes pueden incluir elementos
persuasivos, tales como recomendaciones, sugerencia su
otras conclusiones motivacionales que indican posibles acciones futuras
que el lector del informe pudiera adoptar. Los informes pueden ser
pblicos o privados y tratan a menudo sobre preguntas planteadas por
individuos del gobierno, los negocios, la educacin o la ciencia.
Tanto el informe como otros medios de comunicacin poseen sus
respectivas partes las cuales son:
Portada: Datos personales del escritor o autor
ndice: En esta parte van sealadas todas las partes del informe y el total
de pginas que contiene.
Introduccin: Es una breve resea de lo que trata el tema que vamos a
estudiar.
Cuerpo: Es la informacin principal y completa del tema.
Conclusiones: Se incluyen los resultados ms importantes que permiten
responder las interrogantes planteadas.

Bibliografa: Es el ordenamiento alfabtico y por fecha de la literatura

ocupada para responder todas las inquietudes y plantear las ideas del
trabajo.
TIPOS DE INFORMES:
INFORME TCNICO:
Es un tipo de informe dirigido a personal con capacitacin
suficiente como para entender el vocabulario especfico de
investigacin comercial.
INFORME DIVULGATIVO:
Es un informe dirigido a personal de la empresa que no
tiene las capacidades propias de la investigacin comercial, por lo
que se debe intentar dejar una idea clara y concisa de los resultados
obtenidos, as como de la imagen y capacidad de la empresa.
ADEMS SE CLASIFICAN EN:
A. INFORMES CIENTFICOS:
Van destinados a hombres de ciencia, consecuentemente competentes en
el tema que trata la investigacin; en este caso, el lenguaje es riguroso y
no hay limitaciones en el uso de tecnicismos; estos informes pertenecen a
la categora de memorias cientficas.
B. INFORMES TCNICOS:
Destinados a las organizaciones pblicas o privadas que han encargado
el estudio o investigacin; en este caso, manteniendo el mximo rigor, se
procurar que el informe sea accesible a los destinatarios, que no siempre
dominan toda la jerga propia de la sociologa, antropologa, psicologa
social, etc.

C. INFORMES DE DIVULGACIN:
Se trata de estudios destinados al pblico en general; por consiguiente,
deben ser escritos en un lenguaje accesible a una persona de mediana
cultura.
D. Informes Mixtos:
Suelen estar destinados a una organizacin, al mismo tiempo que se dan
a conocer al pblico en general.
Por la extensin que tienen pueden ser:
Breves
Extensos
POR LAS CARACTERSTICAS TEXTUALES (EL INFORME) SE
CLASIFICAN EN:
Expositivos: contienen una informacin o una descripcin del tema o
unas instrucciones. No es necesario incluir conclusiones, de interpretacin
o evaluacin; a veces, reciben el nombre de dossier.
Analticos: tienen como objetivo justificar una decisin o accin ya
realizada o, al menos, proyectada. (Ibdem). Se denominan
Tambin propuesta o proyecto.
Persuasivos: pretenden convencer al destinatario para que tome una
decisin en la lnea de lo que se expone en el informe.(Ibdem).
Proponen un plan de accin (es el informe ms utilizado en consultora).
Metodologa: es una palabra compuesta por tres vocablos griegos: met
(ms all), ods (camino) y logos (estudio). El concepto hace
referencia a los mtodos de investigacin que permiten lograr ciertos
objetivos en una ciencia. La metodologa tambin puede ser aplicada al
arte, cuando se efecta una observacin rigurosa. Por lo tanto, la

metodologa es el conjunto de mtodos que rigen una investigacin

cientfica o en una exposicin doctrinal.
DEFINICIN DE LA METODOLOGA CRMR
CRMR son las siglas de Computer resource Management review
Su traduccin ms adecuada es, Evaluacin de la gestin de recursos
informticos. En cualquier caso, esta terminologa quiere destacar la
posibilidad de realizar una evaluacin de eficiencia de utilizacin de los
recursos por medio del Management. (GESTION).
Una revisin de esta naturaleza no tiene en s misma el grado de
profundidad de una auditora informtica global, pero proporciona
soluciones ms rpidas a problemas concretos y notorios.
Supuestos de aplicacin
En funcin de la definicin dada, la metodologa abreviada CRMR es
aplicable ms a deficiencias organizativas y gerenciales que a problemas
de tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos
de Datos.
EL MTODO CRMR puede aplicarse cuando se producen algunas de las
situaciones que se citan:
Se detecta una mala respuesta a las peticiones y necesidades de los
usuarios.
Los resultados del Centro de Procesos de Datos no estn a
disposicin de los usuarios en el momento oportuno
Se genera con alguna frecuencia informacin errnea por fallos de
datos o proceso.
Existen sobrecargas frecuentes de capacidad de proceso.
Existen costes excesivos de proceso en el Centro de Proceso de
Datos.

Efectivamente, son stas y no otras las situaciones que el auditor

informtico encuentra con mayor frecuencia. Aunque pueden existir
factores tcnicos que causen las debilidades descritas, hay que convenir
en la mayor incidencia de fallos de gestin.
reas de Aplicacin
Las reas en que el mtodo CRMR puede ser aplicado se
corresponden con las sujetas a las condiciones de aplicacin sealadas
en punto anteriores:
Gestin de Datos
Control de Operaciones
Control y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de
adquisicin de nuevos equipos (Capacity Planning) o para revisar muy a
fondo los caminos crticos o las holguras de un Proyecto complejo.
Objetivos:
CRMR tiene como objetivo fundamental evaluar el grado de bondad o
ineficiencia de los procedimientos y mtodos de gestin que se observan
en un Centro de Proceso de Datos. Brinda la posibilidad de realizar una
evaluacin de eficiencia de utilizacin de los recursos Informticos por
medio del Management. Las Recomendaciones que se emitan como
resultado de la Aplicacin del CRMR, tendrn como finalidad algunas
de las que se relacionan:
Identificar y fijas responsabilidades.
Mejorar la flexibilidad de realizacin de actividades.
Aumentar la productividad.
Disminuir costes
Mejorar los mtodos y procedimientos de Direccin.

Alcance:
El alcance de la auditora expresa los lmites de la misma. Debe existir un
acuerdo muy preciso entre auditores y clientes sobre las funciones, las
materias y las organizaciones a auditar. Se fijarn los lmites que abarcar
el CRMR, antes de comenzar el trabajo. Proporciona soluciones rpidas a
problemas concretos y notorios, que surgen del uso de recursos.
Se establecen tres clases:
1. Reducido. El resultado consiste en sealar las reas de actuacin
con potencialidad inmediata de obtencin de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y
Recomendaciones, tal y como se hace en la auditora informtica
ordinaria.
3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de
implementacin de las Recomendaciones, a la par que desarrolla las
conclusiones.
Caso Prctico de una Auditora de Seguridad Informtica "Ciclo de
Seguridad"
A continuacin, un caso de auditora de rea general para proporcionar
una visin ms desarrollada y amplia de la funcin auditora.
Es una auditora de Seguridad Informtica que tiene como misin revisar
tanto la seguridad fsica del Centro de Proceso de Datos en su sentido
ms amplio, como la seguridad lgica de datos, procesos y funciones
informticas ms importantes de aqul.
Ciclo de Seguridad
El objetivo de esta auditora de seguridad es revisar la situacin y las
cuotas de eficiencia de la misma en los rganos ms importantes de la
estructura informtica.
Para ello, se fijan los supuestos de partida:
El rea auditada es la Seguridad. El rea a auditar se divide
en: Segmentos.

Los segmentos se dividen en: Secciones.

Las secciones se dividen en: Subsecciones.
De este modo la auditora se realizara en 3 niveles.
Los segmentos a auditar, son:
Segmento 1: Seguridad de cumplimiento de normas y estndares
Segmento 2: Seguridad de Sistema operativo
Segmento 3: Seguridad de Software.
Segmento 4: Seguridad de Comunicaciones.
Segmento 5: Seguridad de Base de Datos.
Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de Aplicaciones.
Segmento 8: Seguridad Fsica.
Se darn los resultados globales de todos los segmentos y se realizar un
tratamiento exhaustivo del Segmento 8, a nivel de seccin y subseccin.
El siguiente ejemplo se puede desarrollar en 4 fases bien diferenciadas:
Fase 0. Causas de la realizacin del ciclo de seguridad.
Fase 1. Estrategia y logstica del ciclo de seguridad.
Fase 2. Clculos y resultados del ciclo de seguridad.
Fase 3. Confeccin del informe del ciclo de seguridad.
A su vez, las actividades auditoras se realizan en el orden siguiente:
1.

Comienzo del proyecto de Auditora Informtica

2. Asignacin del equipo auditor

3. Asignacin del equipo interlocutor del cliente.
4. Cumplimentacin de formularios globales y parciales por parte del
cliente.
5. Asignacin de pesos tcnicos por parte del equipo auditor.
6. Asignacin de pesos polticos por parte del cliente.

7. Asignacin de pesos finales a segmentos y secciones.

8. Preparacin y confirmacin de entrevistas.
9. Entrevistas, confrontaciones y anlisis y repaso de documentacin.
10. Clculo y ponderacin de subsecciones, secciones y segmentos.
11. Identificacin de reas mejorables.
12. Eleccin de las reas de actuacin prioritaria.
13. Preparacin de recomendaciones y borrador de informe
14. Discusin de borrador con cliente.
15. Entrega del informe.
Fase 0: Causas de realizacin de una Auditora de Seguridad
Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la
misma.
El equipo auditor debe conocer las razones por las cuales el cliente
desea realizar el Ciclo de Seguridad.
Puede haber muchas causas: Reglas internas del cliente, incrementos
no previstos de costes, obligaciones legales, situacin de ineficiencia
global notoria, etc.
Por orden de direccin general: esta revisin se realiza por orden
directa de quien ejerce la mxima autoridad en la empresa, la cual puede
abarcar varios motivos como evaluacin peridica, desconfianza de
dirigentes, verificar el cumplimiento de actividades, etc.
Por orden de gerencia o departamentos del nivel superior: esta
peticin se origina por mando superior de la empresa segn su estructura
organizacional y funciones.
Por mandato de autoridad judicial: es uno de los ms comunes por
que deriva de autoridades judiciales, las cuales, por algn motivo imponen
la realizacin de la auditoria

De esta manera el auditor conocer el entorno inicial. As, el equipo

auditor elaborar el Plan de Trabajo.
Fase 1: Estrategia y logstica del ciclo de Seguridad
Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las
actividades 1, 2 y 3:
Fase 1. Estrategia y logstica del ciclo de seguridad
1. Designacin del equipo auditor.
2. Asignacin de interlocutores, validadores y decisores del cliente
3. Cumplimentacin de un formulario general por parte del cliente,
para la realizacin del estudio inicial
Con las razones por las cuales va a ser realizada la auditora (Fase 0), el
equipo auditor disea el proyecto de Ciclo de Seguridad con arreglo a una
estrategia definida en funcin del volumen y complejidad del trabajo a
realizar, que constituye la Fase 1 del punto anterior.
Para desarrollar la estrategia, el equipo auditor necesita recursos
materiales y humanos. La adecuacin de estos se realiza mediante un
desarrollo logstico, en el que los mismos deben ser determinados con
exactitud. La cantidad, calidad, coordinacin y distribucin de los
mencionados recursos, determina a su vez la eficiencia y la economa del
Proyecto.
Los planes del equipo auditor se desarrollan de la siguiente manera:
1.

Eligiendo el responsable de la auditora su propio equipo de

trabajo. Este ha de ser heterogneo en cuanto a especialidad, pero

compacto.
2. Recabando de la empresa auditada los nombres de las personas de la
misma que han de relacionarse con los auditores, para las peticiones de
informacin, coordinacin de entrevistas, etc.
3. Mediante un estudio inicial, del cual forma parte el anlisis de un
formulario exhaustivo, tambin inicial, que los auditores entregan al cliente
para su cumplimentacin.

Segn los planes marcados, el equipo auditor, cumplidos los requisitos

1, 2 y 3, estar en disposicin de comenzar la "tarea de campo", la
operativa auditora del Ciclo de Seguridad.
4. Las entrevistas deben realizarse con exactitud. El responsable del
equipo auditor designar a un encargado, dependiendo del rea de la
entrevista. Este, por supuesto, deber conocer a fondo la misma.
La realizacin de entrevistas adecuadas constituye uno de los factores
fundamentales del xito de la auditora. La adecuacin comienza con la
completa cooperacin del entrevistado. Si esta no se produce, el
responsable lo har saber al cliente.
Deben realizarse varias entrevistas del mismo tema, al menos a dos o
tres niveles jerrquicos distintos. El mismo auditor puede, y en ocasiones
es conveniente, entrevistar a la misma persona sobre distintos temas. Las
entrevistas deben realizarse de acuerdo con el plan establecido, aunque
se pueden llegar a agregar algunas adicionales y sin planificacin.
La entrevista concreta suele abarcar Subsecciones de una misma
Seccin tal vez una seccin completa. Comenzada la entrevista, el auditor
o auditores formularn preguntas al/los entrevistado/s. Debe identificarse
quien ha dicho qu, si son ms de una las personas entrevistadas.
Los Checklists son tiles y en muchos casos imprescindibles.
Terminadas las entrevistas, el auditor califica las respuestas del auditado
(no debe estar presente) y procede al levantamiento de la informacin
correspondiente.
Simultneamente a las entrevistas, el equipo auditor realiza pruebas
planeadas y pruebas sorpresa para verificar y cruzar los datos solicitados
y facilitados por el cliente. Estas pruebas se realizan ejecutando trabajos
propios o repitiendo los de aqul, que indefectiblemente debern ser
similares si se han reproducido las condiciones de carga de los Sistemas
auditados. Si las pruebas realizadas por el equipo auditor no fueran
consistentes con la informacin facilitada por el auditado, se deber

recabar nueva informacin y volver a verificar los resultados de las

pruebas auditoras.
La evaluacin de los Checklists, las pruebas realizadas, la informacin
facilitada por el cliente y el anlisis de todos los datos disponibles,
configuran todos los elementos necesarios para calcular y establecer los
resultados de la auditora, que se materializarn en el informe final.
A continuacin, un ejemplo de auditora de la Seccin de Control de
Accesos del Segmento de Seguridad Fsica:
Se dividir la Seccin de Control de Accesos en cuatro Subsecciones:
1. Autorizaciones
2. Controles Automticos
3. Vigilancia
4. Registros
En los siguientes Checklists, las respuestas se calificarn de 1 a 5,
siendo1 la ms deficiente y 5 la mxima puntuacin.
|Control de Accesos: Autorizaciones
|
|Preguntas
|Puntos

|Respuestas
|

|Existe un nico responsable de implementar la

Explotacin, pero el Director puede|4

|Si, el Jefe de

|poltica de autorizaciones de entrada en el Centro de | acceder a la Sala

con acompaantes sin previo

|Cmputos?

|aviso.

|
|Existe alguna autorizacin permanente de estancia de|Una sola. El
tcnico permanente de la firma

|5

|personal ajeno a la empresa?

|

|suministradora.

| Quines saben cules son las personas autorizadas? |El personal de

vigilancia y el Jefe de

|5

|Explotacin.

|
|Adems de la tarjeta magntica de identificacin,
primera.

|4

| Hay que pasar otra especial?

|

| Se pregunta a las visitas si piensan visitar el

autorizacin.

|3

|No, vale la primera

|Centro de Cmputos?
|

|No, solamente la

| Se proveen las visitas al Centro de Cmputos con 24 |No, basta que

vayan acompaados por el Jefe de

|3

|horas al menos?
|

|
|Explotacin o Director

|TOTAL AUTORIZACIONES
|24/30

|80%

|Control de Accesos: Controles Automticos

|
|Preguntas
|Puntos

|Respuestas
|

|Cree Ud. que los Controles Automticos son adecuados? |Si, aunque
ha de reconocerse que a pie puede
|
|
|
|

|3

|llegarse por la noche hasta el edificio

|
|principal.

|Quedan registradas todas las entradas y salidas del

las del personal ajeno a

|3

|Centro de Cmputos?
|

|No, solamente

|Operacin.

|Al final de cada turno, Se controla el nmero de

los reverifican.

|5

|entradas y salidas del personal de Operacin?

|

|S, y los vigilantes

|

|Puede salirse del Centro de Cmputos sin tarjeta

|S, porque existe

otra puerta de emergencia que |3

|magntica?

|puede abrirse desde adentro

|TOTAL CONTROLES AUTOMATICOS

|14/20

|70%

|
|Control de Accesos: Vigilancia
|
|Preguntas
|Puntos

|Respuestas

|Hay vigilantes las 24 horas?

|5

|S.

|Existen circuitos cerrados de TV exteriores?

|5

|S.

|Identificadas las visitas, Se les acompaa hasta la

|2

|persona que desean ver?

|

|No.

|Conocen los vigilantes los terminales que deben quedar |No, sera muy
complicado.

|2

|encendidos por la noche?

|

|TOTAL VIGILANCIA
|14/20

|70%

|
|

|
|Control de Accesos: Registros
|
|Preguntas
|Puntos

|Respuestas
|

|Existe una adecuada poltica de registros?

que casi nunca, pero hasta ahora |1
|
|

|No, reconocemos

|no ha habido necesidad.

|

|Se ha registrado alguna vez a una persona?

|1

|Nunca.

|Se abren todos los paquetes dirigidos a personas

|1

|concretas y no a Informtica?
|

|Casi nunca.

|Hay un cuarto para abrir los paquetes?

siempre.

|3

|Si, pero no se usa

|TOTAL REGISTROS
|6/20

|
|
Fase 2: Clculos y Resultados del Ciclo de Seguridad

|30%

Clculos y resultados del ciclo de seguridad

1.

Clculo y ponderacin de Secciones y Segmentos. Las

Subsecciones no se ponderan, solo se calculan.

2. Identificacin de materias mejorables.
3. Priorizacin de mejoras.
En el punto anterior se han realizado las entrevistas y se han puntuado
las respuestas de toda la auditora de Seguridad.
El trabajo de levantamiento de informacin est concluido y
contrastado con las pruebas. A partir de ese momento, el equipo auditor
tiene en su poder todos los datos necesarios para elaborar el informe
final. Solo faltara calcular el porcentaje de bondad de cada rea; ste se
obtiene calculando el sumatorio de las respuestas obtenidas, recordando
que deben afectarse a sus pesos correspondientes.
Una vez realizado los clculos, se ordenaran y clasificaran los
resultados obtenidos por materias mejorables, estableciendo prioridades
de actuacin para lograrlas.
Clculo del ejemplo de las Subsecciones de la Seccin de Control de
Accesos:

Autorizaciones 80%

Controles Automticos 70%

Vigilancia 70%

Registros 30%

Promedio de Control de Accesos 62,5%

Cabe recordar, que dentro del Segmento de Seguridad Fsica, la Seccin

de Control de Accesos tiene un peso final de 4.
Prosiguiendo con el ejemplo, se procedi a la evaluacin de las otras
cuatro Secciones, obtenindose los siguientes resultados:
|Ciclo de Seguridad: Segmento 8, Seguridad Fsica.
|
|Secciones
|

|Peso

|Puntos

|Seccin 1. Datos

|6

|57,5%

|
|Seccin 2. Control de Accesos
62,5%

|4

|Seccin 3. Equipos (Centro de Cmputos)

70%

|
|5

|Seccin 4. Documentos

|3

|52,5%

|
|Seccin 5. Suministros

|2

|47,2%

|
Conocidas los promedios y los pesos de las cinco Secciones, se procede
a calcular y ponderar el Segmento 8 de Seguridad Fsica:
Seg. 8 = promedioseccin1 * peso + promediosecc2 * peso + Promsecc3
* peso + Promsecc4 * peso + Promsecc5 * peso / (peso1 + peso2 + peso3
+ peso4 + peso5)
Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20
Seg. 8 = 59,85%
A continuacin, la evaluacin final de los dems Segmentos del ciclo de
Seguridad:
|Ciclo de Seguridad. Evaluacin y pesos de Segmentos
|
|Segmentos
Evaluacin

|Pesos

|Seg1. Normas y Estndares

|10

|61%

|
|Seg2. Sistema Operativo

|10

|90%

|
|Seg3. Software Bsico

|12

|72%

|
|Seg4. Comunicaciones
|

|12

|55%

|Seg5. Bases de Datos

|12

|77,5%

|
|Seg6. Procesos

|14

|51,2%

|16

|50,5%

|
|Seg7. Aplicaciones
|
|Seg8. Seguridad Fsica

|14

|59,8%

|
|Promedio Total rea de Seguridad
63,3%

|100

Sistemtica seguida para el clculo y evaluacin del Ciclo de

Seguridad:
a. Valoracin de las respuestas a las preguntas especficas realizadas
en las entrevistas y a los cuestionarios formulados por escrito.
b. Clculo matemtico de todas las subsecciones de cada seccin,
como media aritmtica (promedio final) de las preguntas especficas.
Recurdese que las subsecciones no se ponderan.
c. Clculo matemtico de la Seccin, como media aritmtica (promedio
final) de sus Subsecciones. La Seccin calculada tiene su peso
correspondiente.
d. Clculo matemtico del Segmento. Cada una de las Secciones que lo
componen se afecta por su peso correspondiente. El resultado es el valor
del Segmento, el cual, a su vez, tiene asignado su peso.
e. Clculo matemtico de la auditora. Se multiplica cada valor de los
Segmentos por sus pesos correspondientes, la suma total obtenida se
divide por el valor fijo asignado a priori a la suma de los pesos de los
segmentos.
Finalmente, se procede a mostrar las reas auditadas con grficos de
barras, exponindose primero los Segmentos, luego las Secciones y por

ltimo las Subsecciones. En todos los casos s referenciarn respecto a

tres zonas: roja, amarilla y verde.
La zona roja corresponde a una situacin de debilidad que requiere
acciones a corto plazo. Sern las ms prioritarias, tanto en la exposicin
del Informe como en la toma de medidas para la correccin.
La zona amarilla corresponde a una situacin discreta que requiere
acciones a medio plazo, figurando a continuacin de las contenidas en la
zona roja.
La zona verde requiere solamente alguna accin de mantenimiento a
largo plazo.
[PIC]
Fase 3: Confeccin del Informe del Ciclo de Seguridad
Confeccin del informe del ciclo de seguridad
1. Preparacin de borrador de informe y Recomendaciones.
2. Discusin del borrador con el cliente
3. Entrega del Informe y Carta de Introduccin
Ha de resaltarse la importancia de la discusin de los borradores
parciales con el cliente. La referencia al cliente debe entenderse como a
los responsables directos de los segmentos. Es de destacar que si
hubiese acuerdo, es posible que el auditado redacte un contrainforme del
punto cuestionado. Esta acta se incorporar al Informe Final.
Las Recomendaciones del Informe son de tres tipos:
1.

Recomendaciones correspondientes a la zona roja. Sern muy

detalladas e irn en primer lugar, con la mxima prioridad. La redaccin

de las recomendaciones se har de modo que sea simple verificar el
cumplimiento de la misma por parte del cliente.
2. Recomendaciones correspondientes a la zona amarilla. Son las que
deben observarse a medio plazo, e igualmente irn priorizadas.
3. Recomendaciones correspondientes a la zona verde. Suelen referirse
a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse

alguna de este tipo cuando una accin sencilla y econmica pueda

originar beneficios importantes.
INFORMACIN NECESARIA PARA LA EVALUACIN DEL CRMR
Se determinan en este punto los requisitos necesarios para que esta
simbiosis de auditora y consultora pueda llevarse a cabo con xito.
1. El trabajo de campo del CRMR ha de realizarse completamente
integrado en la estructura del Centro de Proceso de Datos del cliente, y
con los recursos de ste.
2. Se deber cumplir un detallado programa de trabajo por tareas.
3. El auditor-consultor recabar determinada informacin necesaria del
cliente.
Se explican a continuacin los requisitos expuestos anteriormente:
1. Integracin del auditor en el Centro de Procesos de Datos a revisar
No debe olvidarse que se estn evaluando actividades desde el punto
de vista gerencial. El contacto permanente del auditor con el trabajo
ordinario del Centro de Proceso de Datos permite a aqul determinar el
tipo de esquema organizativo que se sigue.
2. Programa de trabajo clasificado por tareas
Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas
se someter a la siguiente sistemtica:
Identificacin de la tarea
Descripcin de la tarea
Descripcin de la funcin de direccin cuando la tarea se realiza
incorrectamente.
Descripcin de ventajas, sugerencias y beneficios que puede originar
un cambio o modificacin de tarea
Test para la evaluacin de la prctica directiva en relacin con la
tarea
Posibilidades de agrupacin de tareas
Ajustes en funcin de las peculiaridades de un departamento
concreto

 Registro de resultados, conclusiones y recomendaciones.

Informacin necesaria para la realizacin del CRMR
El cliente es el que facilita la informacin que el auditor contrastar con
su trabajo de campo.
Se exhibe a continuacin una lista completa de los datos necesarios
para confeccionar el CRMR:
Datos de mantenimiento preventivo de Hardware
Informes de anomalas de los sistemas
Procedimientos estndar de actualizacin.
Procedimientos de emergencia.
Monitoreo de los Sistemas.
Informes del rendimiento de los Sistemas.
Mantenimiento de las Libreras de Programas.
Gestin de Espacio en disco.
Documentacin de entrega de Aplicaciones a Explotacin.
Documentacin de alta de cadenas en Explotacin.
Utilizacin de CPU, canales y discos.
Datos de paginacin de los Sistemas.
Volumen total y libre de almacenamiento.
Ocupacin media de disco.
Manuales de Procedimientos de Explotacin.
Esta informacin cubre ampliamente el espectro del CRMR y permite
ejercer el seguimiento de las Recomendaciones realizadas.
Conclusiones
El uso de la metodologa CRMR no tiene en s misma el grado de
profundidad de una auditora informtica global, pero proporciona
soluciones ms rpidas a problemas concretos y notorios, dicha
metodologa es aplicable ms a deficiencias organizativas y gerenciales

que a problemas de tipo tcnico, porque no cubre cualquier rea de un

Centro de Procesos de Datos.
Como fue explicada la aplicacin de esta metodologa requiere un
esfuerzo mayor de los auditores para involucrarse en los procesos,
dividiendo las tareas en grupos ms pequeos para poder abordarlas en
su totalidad y al final poder comparar los resultados obtenidos de sus
observaciones y evaluaciones con los datos que le suministraron los
clientes en los inicios de la auditoria.
Una vez obtenidos los resultados los auditores generaran sus
conclusiones y recomendaciones, las entregaran a la gerencia
proponiendo cambios y ajusten en los defectos encontrados. Aunque la
organizacin no est obligada a cumplirlas las tendrn en cuentas si
quieren mejorar en su funcionamiento.
Cabe destacar que si se cumplen todas las fases de la metodologa se
puede garantizar una eficiente gestin de la administracin de los
recursos informticos de los cuales dispone una organizacin en un
momento determinado.
Aunque no es la nica metodologa disponible a la hora de realizar una
auditora sobre la calidad y suele trabajarse en conjunto con las normas
ISO 19011, tienen gran aceptacin en el mercado ya que ayuda desde la
parte gerencial hasta los procesos individuales productivos de calidad.