1
TÉCNICAS ESPECIALES DE AUDITORIA DE SISTEMAS COMPUTACIONALES COMPUTACIONALES Ponderación: Es una técnica especial de evaluación, mediante la cual se procura darle un peso específico a cada una de las partes que serán evaluadas; Objetivo de la ponderación: Tratar de compensar el valor que les asignamos a las actividades o tópicos que tienen poca importancia en la evaluación, en relación con los que tienen mayor importancia. Esta técnica permite de la ponderación: Equilibrar las posibles descompensaciones que existen entre las áreas o sistemas computacionales que tienen mayor peso e importancia y las áreas o sistemas que tienen poco peso e importancia en la evaluación. Que se busca con la ponderación: Es que que toda todass las las área áreass teng tengan an un valo valorr simi simila lar, r, resp respet etan ando do en cada cada paso paso el peso peso e impo import rtan anci cia a representativos que tienen para el sistema computacional o para todo el centro de cómputo. Ejemplo grafico de una evaluación de sistemas Primer paso: se eligen los factores mas importantes que se van a evaluar (los de mayor jerarquía o los que pueden ser representantes de un grupo o sector), a fin de darle a cada uno de esos factores un valor porcentual (peso especifico), el cual representara la importancia de ese factor en la evaluación. La suma total de los factores primarios siempre deben ser 100%. Segundo paso: a cada uno de los factores elegidos como primarios se le asignan actividades específicas que contribuyan a su evaluación total. Tercer paso: se aplica esta guía de evaluación y se registran las calificaciones adjudicadas para cada una de las actividades propuestas. Después, con esos resultados se obtienen los puntos alcanzados para cada actividad y para el total por cada factor primario. Esto permite comparar los resultados con los valores establecidos inicialmente para cada actividad y emitir un juicio sobre su cumplimiento. Cuarto paso: después de haber obtenido las calificaciones y los valores de toda la guía de ponderación, así como el porcentaje de los puntos obtenidos, el responsable de la auditoria debe realizar un análisis profundo sobre cada uno de los resultados y valorar el grado de cumplimiento de cada una de las actividades. Es recomendable adoptar un criterio para calificar de la misma manera todos los puntos evaluados. MODELOS DE SITUACION Fases del desarrollo, según James Martín Planeación estratégica Marco del sistema Funciones Objetivos Plan del sistema Procedimientos Datos Análisis Diseño Construcción Implantación Mantenimiento Reingeniería • • •
• •
Ciclo de vida de los sistemas, según Yourdon Nivel conceptual
2
Especificaciones Nivel lógico Análisis lógico Nivel físico Diseño físico Implantación Mantenimiento •
•
• • •
Análisis y diseño, según Jackson Análisis conceptual Especificaciones del modelo de la realidad Identificar entidades y relaciones Definir estructura de las entidades Crear modelo inicial Diseño exterior Especificación de funciones de la aplicación Añadir funciones del modelo Determinar momentos de Ejecución Diseño interior Implementación Implementar el modelo • • •
• •
•
Fases de un proyecto para MERICE Etapa 1: estudio preeliminar Fase 1: recogida de datos Recogida inicial Estudio de la situación actual Síntesis y critica de la situación actual Fase 2: concepción de la nueva solución Objetivos a alcanzar Descripción de soluciones Fase 3: evaluación y plan de desarrollo de las fases Evaluación de la nueva solución Plan de desarrollo Etapa 2: estudio detallado Fase 1: concepción general Fase 2: concepción detallada de fases Realización de las especificaciones detalladas de los procesos Fase 3: Plan de desarrollo Etapa 3: realización Fase 1: estudio técnico Fase 2: producción Etapa 4: puesta en marcha Fase 1: preparación de recursos Fase 2: recepción y lanzamiento de sistemas •
•
•
• •
•
• •
• •
Metodología SSADM La metodología: Consiste en una estructuración de los pasos a seguir en el desarrollo de un proyecto informático en las fases iniciales del ciclo de vida del mismo y en la descripción de unas técnicas y formalismos sobre las que se basan los trabajos para realizar cada fase. A su vez estos puntos se contemplan dentro de las siguientes fases
3 •
•
•
Fase 1: Estudio de viabilidad Etapa 01: Definición del problema Etapa 02: Identificación del proyecto Fase 2: Análisis Etapa 1: Análisis del sistema actual Etapa 2: Especificación de requerimientos Etapa 3: Selección de opciones técnicas Fase 3: Diseño Etapa 4: Diseño de datos Etapa 5: Diseño de procesos Etapa 6: Diseño físico
Después de que el estudio de viabilidad es aprobado, las etapas se realizan cronológicamente conforme al siguiente proceso 1. Análisis del sistema actual 2. Especificaciones de requerimientos 3. Selección de opciones técnicas 4. Diseño de datos 5. Diseño de procesos 6. Diseño físico
Simulación a través de diagramas de flujo de sistemas Se utilizan diagramas con símbolos universalmente aceptados, los cuales tienen un significado específico y determinado previamente por convención, a fin de que todos los entiendan de la misma forma. Simulación a través del diseño de circuitos lógicos Son diagramas de conexiones de circuitos lógicos, los cuales nos muestran gráficamente como se solucionan los problemas de redes lógicas combinatorias de salida o entrada, establecidos a través de operaciones matemáticas con algebra booleanas. Simulación a través de otros documentos gráficos Algunos de los posibles modelos de sistemas que se pueden utilizar para simular el comportamiento de cualquier fenómeno de sistemas computacionales que se desee evaluar: Modelos para planeación y control de proyectos Grafica de Gantt Método de la ruta critica Pert costo/tiempo Proyect Graficas de proyecciones financieras Graficas de líneas de tiempo Tablas de decisiones Árboles decisionales Modelos de simulación de flujos de datos Diagrama de flujo de datos Diagrama entidad/relación Diagrama de contexto Diagrama de datos lógicos Diagrama de datos físicos Diagrama de base de datos Diagrama de modelo de datos Diagramas HIPO (tabla visual de contenido VTOC, diagramas de panoramas y diagrama de detalles) Diagramas de códigos (seudocódigos) Graficas Nassi-Shneiderman •
•
4
Diagramas Warneir-Orr Graficas de estructura de datos Graficas de configuración de red Graficas de configuración de sistemas distribuidos Graficas de Configuraciones de equipos mayores Modelos de simulación de diagramas administrativos Organigramas Diagramas de métodos y procedimientos Graficas de tiempos y movimientos Estudios ergonómicos Planos de distribución de la planta Planos de instalaciones Planos de rutas de evacuación Planos de configuración de centros de cómputo Modelos de simulación por medio de graficas financieras y estadísticas Curvas de tendencias Graficas de pie, horizontales, verticales, de área, circulares y semicirculares Graficas de punto de equilibrio Otros métodos de simulación Graficas de pantalla Planes de contingencia informática Digitalización de imágenes Procesamiento de datos ficticios
•
•
•
Modelo 1. Es la duplicación de la realidad empírica o de una teoría científica con la cual guarda igualdad de formas (isomorfia) sus fines son diagnósticos explicativos y preventivos. 2. Representación simplificada o esquemática de un fenómeno o proyecto en el cual incluye sus variables más significativas. 3. La construcción de un modelo es una técnica común para el estudio de las características o aspectos de la conducta de los objetos o sistemas bajo condiciones variables. Es una representación de objetos, eventos, procesos o sistemas y su uso es para la predicción y control. Evaluación Es una de las técnicas mas comunes en cualquier alquiler tipo de auditoria y es considerada como la herramienta típica para auditar cualquier actividad, ya que permite determinar, mediante pruebas concretas, si lo cuantificado (o cualificado) es lo que esperaba obtener de lo que se esta evaluando; así se determina si se esta cumpliendo con la actividad revisada conforme a lo que se esperaba de ella. Esta técnica se aplica fácilmente mediante los siguientes pasos y requiere de poco trabajo: El establecimiento anticipado de ciertos parámetros o relaciones de carácter cualitativo, a los cuales se les asigna un cierto valor numérico, matemático, estadístico, contable o de cualquier otro tipo (casi siempre en forma porcentual). Supuestamente, el valor mas alto será el nivel optimo de la operación y el menor el mas deficiente. Mediante distintas pruebas y herramientas de auditoria se procede a recopilar la información y se asigna un puntaje, el cual será el que alcance el aspecto de sistemas computacionales en evaluación, según resultados. El valor obtenido en el paso anterior se compara con el valor esperado (otro cierto valor ideal), el que supuestamente deberá cumplir la actividad que en evaluación. Después de hacer la comparación se sacan conclusiones para valorar el grado de cumplimiento del sistema que esta siendo auditado. Finalmente se procede a elaborar el informe sobre los resultados obtenidos.
5
Definiciones Evaluación: 1. Proceso de comparación entre valores observados y valores esperados establecidos previamente desde un punto de vista. 2. Análisis critico para determinar la eficiencia de una persona o la efectividad de una actividad especifica, en base a parámetros establecidos con el propósito de detectar las causas de las variaciones y definir las posibles medidas correctivas. Evaluar: 1. Del latín derivado valere: valer, tasar, justipreciar. 2. Señalar el valor de una cosa. Calcular el valor que debe tener. 3. Parte del proceso de control, que consiste en el análisis critico de los resultados obtenidos, con respecto a las metas o normas establecidas, con el fin de determinar las causas de las variaciones y definir las posibles medidas correctivas. Valorar 1. Señalar precio a una cosa. Atribuir determinado valor o estima a personas o cosas. Hacer que aunque aumente de valor la cosa…. Valor 1. Grado de calidad, merito, utilidad, virtud o precio que tienen personas o cosas. Significación y alcance de algo…. Precio equivalente de una cosa…. Valorización del desempeño 1. Métodos de observación y disposición de carácter uniforme y general, a través de los cuales se estima el trabajo de cada empleado. En base a definiciones anteriores entenderemos por Evaluación: Acción mediante la cual el auditor de sistemas computacionales obtiene los resultados del desempeño alcanzado de una función, actividad, tarea u operación y los compara con los resultados esperados, con el propósito de valorar su grado de cumplimiento y poder así retroalimentar dichos resultados a través de un informe, para incrementar la eficiencia del desempeño alcanzado. También podemos decir: Es una de las herramientas de mayor utilidad para el auditor de sistemas computacionales, debido a que ayuda a comparar el funcionamiento actual de sistemas computacionales con su funcionamiento esperado, a fin de valorar el grado de cumplimiento de sus funciones, actividades y operaciones; con esos resultados, el auditor estará en posibilidades de retroalimentar al responsable del sistema, para coadyuvar a que sus acciones sean efectivas.
Evaluación de la gestión administrativa del área de sistemas El auditor debe apreciar como se realizan las acciones de carácter administrativo para cumplir con las funciones encomendadas al área de sistemas de la empresa; el auditor debe procurar contemplar todos los aspectos relacionados con la gestión informática y administrativa de sus directivos, empleados y funcionarios. Formas de evaluación de la gestión informática 1. Evaluación de la actividad administrativa Se evalúan los aspectos administrativos del área de sistemas, a través de la comparación de lo esperado en el aspecto puramente administrativo con lo realmente alcanzado en este renglón. Evaluar la existencia y cumplimiento de los planes. Evaluar la existencia, difusión y cumplimiento de los objetivos institucionales. Evaluar la existencia, congruencia y apego a la estructura de organización. Evaluar la existencia y aplicación del perfil de puestos par la selección y programación del personal. Evaluar la división, adecuada de trabajo y departamentalización de las funciones y actividades del personal. • • • • •
6 • • • • • • •
• • •
Evaluar la administración de los recursos humanos asignados al área de sistemas. Evaluar la existencia y aplicación de la gestión financiera y contable. Evaluar la forma en que sus funcionarios, empleados y usuarios del sistema. Evaluar la forma en que los directivos y jefes del centro de cómputo ejercen. Evaluar las relaciones personales y de trabajo entre directivos, empleados y usuarios. Evaluar la suficiencia o carencia de recursos informáticos. Evaluar la forma administrativa en que se manejan las requisiciones de hardware, software, mobiliarios y equipos de oficina, consumibles y demás implementos. Evaluar la forma en que se planea, organiza, dirige y controla el desarrollo de proyectos computacionales. Evaluar la administración de seguros sobre los sistemas computacionales. Evaluar es estado general de la gestión administrativa del área de sistemas.
2. Evaluación en cuanto a la gestión de los sistemas computacionales Se evalúa la administración de los proyectos información del área de sistemas; ya sea que se desarrollen en esta área, se adquieren de terceros o se compren ya realizados. Aspectos que tienen que ser evaluados: Evaluar la administración y control de proyectos informáticos. Evaluar la administración de las funciones, actividades y operaciones del centro de cómputo. Evaluar existencia, difusión y aplicación de las medidas y métodos de seguridad y prevención informática. Evaluar la existencia y cumplimiento de programas para evaluación y adquisición del hardware, equipos, periféricos, consumibles e instalaciones físicas del sistema. Evaluar la existencia y cumplimiento de programas para evaluación y adquisición del software, sistemas operativos, lenguajes, programas y paqueterías de uso institucional. Evaluar la forma en que se administra y atiende la seguridad en el acceso a las instalaciones. Evaluar la forma en que se proporciona la asistencia y asesoria a los usuarios de los sistemas de la empresa. • • • •
•
• •
Evaluación del equipo de cómputo: Es una de las partes fundamentales de la auditoria de sistemas; por esta razón se debe evaluar la forma en que se administra y controla la asignación de funciones y actividades de los sistemas computacionales de la empresa; sean estos centralizados en un área de sistemas o asignados a cada área de la empresa. 1. Evaluación del diseño lógico del sistema: Es la evaluación del funcionamiento interno del sistema computacional, en cuanto al manejo de su software, arquitectura y configuración, conforme a las necesidades informáticas de la empresa y de la propia área. Evaluar la forma en que se lleva a cabo la configuración del sistema. Evaluar si los componentes lógicos corresponden a las características de funcionamiento de los sistemas computacionales de la empresa. Evaluar las características, protocolos y componentes lógicos de las comunicaciones y programas de enlace entre los equipos de cómputo de la empresa. Evaluar que en la empresa existan y se apliquen las metodologías para el desarrollo y adquisición de sistemas computacionales. Evaluar la administración de los métodos de accesos, seguridad y operación del sistema. Evaluar la administración de las características, lógicas del hardware, software, periféricos, instalaciones y componentes asociados al sistema. Evaluar la administración de la arquitectura y configuración de redes de cómputo, equipos mayores y monousuarios de la empresa. Evaluar los componentes, características y construcción de las bases de datos, archivos de información institucional. • •
•
•
• •
•
•
2. Evaluación del diseño físico del sistema:
7
Así como es importante evaluar el aspecto lógico de los sistemas, también lo es evaluar la administración y control de los componentes físicos de los equipos de cómputo. Evaluar la forma en que se lleva a cabo la configuración del sistema. Evaluar si los componentes físicos, periféricos, mobiliario y equipo del sistema. Evaluar las características y peculiaridades de los sistemas, periféricos e instalaciones del centro de cómputo. Evaluar la forma en que se realizaron las instalaciones eléctricas, de comunicación y de datos en el área de sistemas computacionales. Evaluar la administración de los métodos de acceso, seguridad y protección físicos del área de sistemas, la seguridad del personal y los usuarios de sistemas. Evaluar la distribución del mobiliario y equipos en el área de sistemas y en las áreas que tengan equipos de cómputo. Evaluar el aspecto ergonómico de las instalaciones, mobiliario y equipos de cómputo de las áreas de sistemas. • • •
•
•
•
•
3. Evaluación del control de acceso y salida de datos El activo más importante de cualquier área de sistemas es la información; por esta razón, el auditor de sistemas computacionales debe evaluar la forma en que se controla y protege el acceso a la información y a los propios sistemas computacionales de la empresa. Evaluar los estándares, medidas de seguridad y métodos establecidos para la consulta de datos y salida de información del área de sistemas. Evaluar la existencia y cumplimiento de las especificaciones, estándares, medidas de seguridad y métodos de acceso, consulta, uso, manipulación y modificación de la información. Evaluar la existencia y aplicación de las normas políticas y procedimientos para el control de acceso de datos. Evaluar la administración y el control de los niveles de acceso de administradores, operadores y usuarios del sistema. Evaluar las medidas de seguridad y protección establecidas para el manejo adecuado de la información institucional. Evaluar la administración adecuada de la seguridad de las bases de datos e información institucional. Evaluar la existencia, difusión y funcionamiento de un plan contra contingencias informáticas. Evaluar la forma de resolver problemas relacionados con el manejo de la información de las bases de datos. Evaluar la administración de los niveles de acceso, contraseñas, privilegios de manejo de información. •
•
•
•
•
• • •
•
4. Evaluación del control de procesamiento de datos: La actividad preponderante del área de sistemas es el procesamiento de información, ya sea un área concentrada, en equipos independientes o en sistemas de red interconectados en todas las áreas; por ello es de suma importancia que el auditor de sistemas computacionales sepa valorar la administración y control de estos sistemas; con ello emitirá una opinión bien fundamentada sobre el aprovechamiento de los recursos informáticos de la empresa. Evaluar la existencia y aplicación de los estándares para el procesamiento de datos de los sistemas de la empresa. Evaluar la existencia y aplicación de controles específicos para el procesamiento de datos de los sistemas de la empresa. Evaluar la existencia y aplicación de los procesos lógicos y procedimientos adecuados para la captura de datos. Evaluar el tiempo dedicado específicamente al funcionamiento de los sistemas computacionales de la empresa. Evaluar el aprovechamiento de los sistemas computacionales de la empresa. Evaluar la utilidad y aprovechamiento de los sistemas computacionales de acuerdo con sus características, tecnología, configuración y software. •
•
•
•
• •
8 • • • •
•
Evaluar la existencia y aplicación de las rutinas de identificación. Evaluar la administración y control de los equipos de cómputo monousuarios. Evaluar la administración de las redes de sistemas de la empresa. Evaluar si están identificadas y si se aplican las formas de procesamiento de datos y la forma en que se manejan sus justificaciones. Evaluar la administración y control de la frecuencia y volumen de la operación y funcionamiento del sistema.
5. Evaluación de controles de almacenamiento: En el resguardo de la información también es uno de los aspectos fundamentales que el auditor de sistemas debe evaluar, debido a la importancia que tiene la información en todas las áreas de una empresa. Recordemos que este es el activo más valioso de los sistemas computacionales y, por lo tanto, se debe valorar específicamente la forma de resguardar la información, la periodicidad con que se lleva a cabo, así como la forma de archivarla. Evaluar el diseño adecuado de los archivos, bases de datos y la forma en que se almacena la información. Evaluar la administración y control de archivos, programas e información de los sistemas computacionales de la empresa. Evaluar las formas y tipos de almacenamiento de información establecidos para los sistemas computacionales de la empresa. Evaluar la existencia y seguimiento de programas de respaldos de información. Evaluar la custodia de los respaldos de información y verificar que estos se encuentren fuera de la empresa. Evaluar la existencia y aplicación de los planes y programas de prevención contra contingencias informáticas. Evaluar la administración y control de los respaldos de información y programas institucionales. • •
•
• •
•
•
6. Evaluación de controles de seguridad: La seguridad es uno de los aspectos fundamentales para el buen funcionamiento de los sistemas computacionales; por esta razón, el auditor debe evaluar la existencia de controles de seguridad, así como su uso adecuado en las áreas de sistemas de la empresa. Evaluar la existencia y aplicación de las medidas de seguridad y protección del sistema. Programas, información, instalaciones, empleados, usuarios, equipos y mobiliario del sistema computacional de la empresa. Evaluar la información y control de accesos lógicos al sistema, contraseñas, privilegios en el manejo de información, software y demás componentes del sistema. Evaluar la existencia y funcionamiento de los sistemas de control de accesos físicos, así como la seguridad de las áreas del centro de cómputo. Evaluar la existencia de salidas de emergencia, señalamientos de evacuación. Evaluar si existen y se aplican procedimientos de acceso a los sistemas computacionales. Evaluar la existencia y aplicación de medidas de seguridad relacionadas con la comunicación de datos. Evaluar la administración y control de la seguridad y protección de las bases de datos. Evaluar las medidas de seguridad, protección y erradicación de virus informáticos de los sistemas computacionales de la empresa. Evaluar las medidas de seguridad y protección establecidas para el manejo adecuado de la información institucional. Evaluar la existencia de funcionarios responsables de la seguridad y protección de los bienes informáticos, información, personal y usuarios del área de sistemas. Evaluar las medidas de seguridad y protección de los bienes informáticos de la empresa. Evaluar la existencia, difusión y actualización de los planes contra contingencias informáticas. Evaluar la existencia y aplicación periódicas de simulacros de contingencias informáticas. Evaluar la existencia de seguros que amparen al personal, usuarios, bienes informáticos. •
•
•
• • • • •
•
•
• • • •
9 •
Evaluar todos los aspectos relacionados con la seguridad implantada en las áreas de informáticas de la empresa.
7. Evaluación de controles adicionales para la operación del sistema: El auditor de sistemas computacionales también debe evaluar todos los demás aspectos relacionados con la operación de los sistemas computacionales, a través de diversos controles sobre la actividad informática, tales como la documentación de sistemas, la estandarización de metodologías, programas, protocolos de comunicación y demás cuestiones informáticas tendientes a mejorar la operación del sistema. Evaluar la existencia, uso y actualización de todos los manuales e instructivos de operación, del sistema, de usuarios y de procedimientos del área de sistemas. Evaluar la existencia, uso y actualización de las metodologías y estándares institucionales para el desarrollo de los sistemas de la empresa. Evaluar la existencia, uso y actualización de los estándares de programación y documentación de sistemas. Evaluar la existencia, uso y actualización de la estandarización de lenguajes, programas y paqueterías de uso institucional. Evaluar el uso y actualización de bitácoras para el registro de las incidencias y reportes que se presentan en el área de sistemas. Evaluar el uso de programas, paquetes de auditoria y seguimiento de actividades en las redes de sistemas computacionales de la empresa. Evaluar la existencia de diagramas para el desarrollo de sistemas, de acuerdo con las normas y estándares establecidos en la empresa. •
•
•
•
•
•
•
8. Evaluación de aspectos técnicos del sistema: Al revisar las actividades técnicas de los sistemas computacionales, el auditor debe evaluar todo lo relacionado con la configuración, lógica, procedimientos internos, sistemas operativos, protocolos de comunicación y todos los demás aspectos técnicos que intervienen de alguna manera en la operación normal del sistema, sean sistemas de redes, compartidos o individuales. Evaluar la administración y control del sistema operativo del equipo de computo y que este cumpla con las necesidades de operabilidad del propio sistema. Evaluar la administración y control de los lenguajes de operación, desarrollo y programación de los sistemas de la empresa. Evaluar la administración y control de sistemas de redes, multiusuarios y microcomputo que están instalados en la empresa. Evaluar la administración y control de los sistemas de telecomunicación y teleprocesamiento de los sistemas de la empresa. Evaluar el uso y aprovechamiento compartido de los recursos informáticos, así como su manejo adecuado para satisfacer las necesidades informáticas de la empresa. Evaluar la existencia y aplicación de las medidas de prevención, correctivas y de control para evitar la contaminación informática de los sistemas de la empresa. Evaluar los procesos internos del sistema de relación con las entradas de datos, procesamiento y emisión de la información y almacenamiento en sus medios. Evaluar la actualización permanente y pertinente de acuerdo con los cambios tecnológicos que afectan a los sistemas computacionales de la empresa. •
•
•
•
•
•
•
•
Evaluación integral de sistemas: La manera mas completa e importante de realizar una auditoria de sistemas computacionales es evaluar, de manera integral, todas las funciones, actividades, acciones, operaciones y tareas de los sistemas del área de computo de la empresa; esto solo se lograra mediante la revisión integral de todas las áreas que contribuyen de alguna manera al procesamiento de información de la institución, y mediante la participación de un grupo interdisciplinario de profesionales de auditoria que sean capaces de evaluar, en su especialidad, todos los aspectos relacionados con las necesidades informáticas del área.
10
1. Evaluación externa o interna integral de sistemas: Debido a que la auditoria integral puede ser realizada lo mismo por auditores externos (ajenos a la empresa) o por auditores internos (que laboran en la empresa), a continuación presentamos un grupo de evaluaciones que pueden ser aplicadas mediante cualquiera de las dos formas de evaluación. Evaluar integralmente la forma en que se realiza la gestión del sistema computacional de la empresa. Evaluar integralmente la existencia y apego a la estructura de la organización del centro de computo. Evaluar integralmente la administración y control de proyectos de desarrollo de sistemas en el área de informática. Evaluar gradualmente la administración y control de la operación del sistema de captura y almacenamiento de datos. Evaluar integralmente la administración, adquisición, aplicación, aprovechamiento y control de los sistemas. Evaluar integralmente los sistemas computacionales de la empresa. Evaluar integralmente y exclusiva el funcionamiento del sistema computacional de la empresa. Evaluar integralmente los sistemas y medidas de seguridad, prevención, solución y capacitación para evitar contingencias en el área de sistemas de la empresa. Evaluar integralmente todos los aspectos relacionados con los virus informáticos en la empresa. Evaluar globalmente el comportamiento y operación del sistema computacional de la empresa, así como su aprovechamiento adecuado por parte de los usuarios. Evaluar integralmente la oportunidad, veracidad, suficiencia y confiabilidad de la información contenida en las bases de datos. Evaluar integralmente todos los controles de acceso a las instalaciones del centro de cómputo. Evaluar integralmente la administración del acceso al sistema computacional. Evaluar integralmente la administración y control del acceso, consulta, manipulación y modificación de las bases de datos del sistema. • • •
•
•
• • •
• •
•
• • •
Evaluación con el apoyo de la computadora: En estos casos las evaluaciones se hacen para auditar todas las demás áreas de la empresa, pero utilizando la computadora como apoyo fundamental. 1. Evaluaciones exclusivamente al sistema computacional con el apoyo de la computadora y aplicaciones: En estas evaluaciones se utiliza la computadora como apoyo para realizar las operaciones, estadísticas y graficación requeridas para apreciar el comportamiento de cada uno de los aspectos no informáticos que están siendo evaluados, debido a la facilidad para procesar información y presentar resultados. Evaluar el aprovechamiento y utilidad del hardware institucional, con el apoyo de una computadora. Evaluar la utilidad, rendimiento y explotación del software institucional, con el apoyo de una computadora. Evaluar estadísticamente, y con el apoyo de los sistemas computacionales. Evaluar el rendimiento y aprovechamiento del sistema de res o sistema multiusuario, con el apoyo de la computadora. Evaluar estadísticamente, y con el apoyo de los sistemas computacionales, el rendimiento, utilidad y aprovechamiento de los microsistemas de las áreas de la empresa. Evaluar estadísticamente, y con el apoyo de una computadora, el acceso, uso y aprovechamiento de las telecomunicaciones de la empresa. Evaluar estadísticamente, y con el apoyo de una computadora, la productividad integral del procesamiento de la información en los sistemas computacionales de la empresa. • • • •
•
•
•
2. Evaluaciones en auditorias tradicionales con el apoyo de la computadora y aplicaciones: En estas evaluaciones se utiliza la computadora como apoyo para realizar las auditorias tradicionales, con el fin de apreciar mejor cada uno de los aspectos de todas las áreas de una empresa que están siendo evaluados; esto debe a la facilidad para procesar información y presentar resultados. Evaluar, con el apoyo de paqueterías de aplicación administrativa. •
11 • • • •
•
Evaluar, con el apoyo de hojas electrónicas de trabajo. Evaluar, con el apoyo de los paquetes contables de la empresa. Evaluar, con el apoyo de diversas paqueterías, todas las actividades y operaciones. Evaluar el desarrollo de programas de cómputo específico para auditoria, con el fin de evaluar todas las áreas institucionales. Evaluar, con el apoyo de los sistemas computacionales, las técnicas y los métodos tradicionales de auditoria.
Evaluaciones sin el uso de la computadora: El auditor evalúa la aplicación utilización de la auditoria pero sin contar con el apoyo de los sistemas computacionales, es muy similar a los casos en la evaluación de carácter administrativo y evaluaciones integrales. Algunos ejemplos de estas evaluaciones: Evaluar el cumplimiento de las funciones y actividades administrativas del centro de cómputo. Evaluar la gestión financiera del centro de cómputo. Evaluar la operación de los sistemas computacionales de la empresa. Evaluar la administración y control de la realización de sistemas computacionales. Evaluar la documentación de los sistemas computacionales de la empresa. Evaluar administración y control de las técnicas y sistemas de procesamiento de información de la empresa. Evaluar la administración y control de los sistemas de seguridad y prevención de contingencias del área de sistemas. Evaluar la administración y control de las instalaciones y equipos para el funcionamiento de los sistemas de la empresa. Evaluar el uso y acceso a los sistemas, bases de datos y programas de cómputo de la empresa. • • • • • •
•
•
•
Evaluaciones de los contratos en sistemas computacionales: El fundamento de cualquier tipo de auditoria es el manejo adecuado del control interno de la empresa evaluada, debido a que la aplicación de dicho control es esencial para el manejo correcto de todas las actividades de dicha empresa. 1. Evaluación del control interno estudiado en este libro: En esta parte mencionaremos las evaluaciones de los controles internos. Evaluación del control interno sobre la organización del área de sistemas. Dirección División del trabajo Separación de funciones Asignación de responsabilidades Perfiles del puesto Evaluación del control interno sobre el análisis y desarrollo de sistemas. La estandarización de metodologías para el desarrollo de proyectos Asegurar que el beneficio de sistemas sea el optimo Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el análisis y diseño de sistemas Vigilar la efectividad y eficiencia en la implantación y mantenimiento del sistema Hacer más eficiente el uso del sistema con su documentación Evaluación del control interno sobre la operación del sistema. La prevención y corrección de los errores de operación Prevenir y evitar la manipulación fraudulenta de la información Implantar y mantener la seguridad en la operación •
•
•
12
Mantener la confiabilidad, oportunidad, veracidad y suficiencia en la operación y procesamiento de la información Evaluación del control interno sobre los procedimientos de entrada de datos, procesamiento de información y emisión de resultados. Verificar la existencia y funcionamiento de procesamientos de captura de datos Controlar e procesamiento adecuado de todos los datos Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos Comprobar la suficiencia de la emisión de información Evaluación del control interno sobre la seguridad en el área de sistemas. Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden sobre las áreas de sistemas Controles sobre la seguridad física del área de sistemas Controles sobre la seguridad lógica de los sistemas Controles sobre la seguridad de las bases de datos Controles sobre la seguridad en la operación de los sistemas computacionales Controles sobre la seguridad del personal del área de sistemas Controles sobre la seguridad en sistemas de redes y multiusuarios
•
•
2. Evaluaciones del control interno propuesto por Jerry FitzGerald Evaluación del control general organizativo Evaluación del control de entradas Evaluación del control de comunicaciones de datos Evaluación del control de salidas Evaluación del control de sistemas distribuidos o terminales en línea Evaluación del control de la seguridad física Evaluación del control de las bases de datos Evaluación del control del software institucional • • • • • • • •
Evaluaciones de otros aspectos de sistemas computacionales 1. Evaluación de los sistemas de redes Es la evaluación de todos los recursos informáticos de los sistemas de redes, los cuales son compartidos y existe un servidor central en el que se concentran todos los recursos importantes del sistema, procesadores, memorias, discos duros de almacenamiento, sistemas operativos, programas, paqueterías y todo el software dedicado al manejo de la red. Aspectos de la administración de los sistemas d redes que deben ser evaluados Evaluación de los sistemas de seguridad y protección del sistema de redes. Evaluación de la administración y control de sistemas de telecomunicaciones Evaluación de la administración y control de los sistemas de redes locales (LANs), metropolitanas (MANs), mundiales (WANs), Internet y multiusuarios. Evaluación de la administración de los recursos informáticos, personal e información de sistemas multiusuarios, compartidos y de redes. Evaluación de los sistemas de control de niveles de accesos, privilegios y restricciones al sistema, software y a las bases de datos compartidas. Evaluación de la administración y control de los niveles de accesos, privilegios, contraseñas y usos específicos de los usuarios de acuerdo con su función en las actividades informáticos de los sistemas. Evaluación de los estudios de viabilidad y factibilidad para el diseño, adquisición e instalaciones de los sistemas de redes de la empresa. Evaluación del diseño, configuración e instalación de los sistemas de redes. Evaluación de la administración y control de las adquisiciones de servidores, procesadores, memorias, instalaciones, software y hardware para instalación de redes, terminales y comunicaciones dentro de la empresa.
13
Evaluación del diseño, configuración, arquitectura, protocolos e instalación de las redes de cómputo de la empresa. Evaluación de la administración y control de protocolos, configuraciones, topologías y cableados de los sistemas de redes. Evaluación de las necesidades de sistemas operativos, programas integrales, paqueterías, programas de desarrollo y demás software que satisfaga las necesidades informáticas de la empresa.
2. Evaluación del servicio OUTSOURCING: En la actualidad es muy común encontrar empresas que contratan los servicios informáticos de otras empresas especializadas en sistemas, ya que les resulta más rentable y económico que esas empresas les hagan el trabajo que realizarlo ellas mismas. De entre las muchas aplicaciones de este servicio, el auditor debe tomar en cuenta los siguientes aspectos: Evaluar que exista un contrato de servicios, en la cual se especifiquen claramente las condiciones del servicio, coberturas de servicios que se amparan, los costos, los límites de responsabilidad, los alcances y todo lo relacionado con la prestación de estos servicios computacionales. Evaluar la calidad de los proveedores de servicios de computo que atenderán a la empresa, en cuanto a capacidad instalada, sus equipos disponibles, personal de apoyo y servicio, tiempo de respuesta, software, programas, lenguajes, y paqueterías disponibles para el servicio, así como la calidad del respaldo de proveedores, fabricantes y servicios de apoyo. Evaluar las instalaciones del prestador de servicios, en relación con la infraestructura física de sus equipos, capacidad de sus funciones y personal de sistemas, seriedad en el cumplimiento de su trabajo, oportunidad, confiabilidad y eficiencia en el proceso de información, así como todos aquellos aspectos que impliquen un valor agregado. Evaluar la administración y control de las aplicaciones y desarrollo de programas informáticos para atender las necesidades de cómputo de la empresa. Comparar los costos-beneficios, gastos-rendimiento, ahorros en tiempo, operabilidad y trabajo que implica el servicio de outsourcing. Evaluar en cuales áreas de la empresa son aplicables los servicios externos de cómputo y en cuales no son aplicables, valorando sus coberturas actuales.
•
•
•
•
•
•
3. Evaluación de la función ergonómica de los sistemas de cómputo: La ergonomía, de ergon: trabajo y nomos: leyes, es la ciencia que estudia el bienestar, confort y seguridad de los trabajadores dentro de su medio ambiente laboral, considerando su entorno profesional y el impacto que tienen las herramientas y los instrumentos de trabajo en el desempeño de sus actividades y en sus salud física y emocional, a fin de proponer medidas preventivas y correctivas que permitan desarrollar el trabajo en las mejores condiciones posibles. Esta ciencia se define de la siguiente manera: “La ergonomía, la ciencia de trabajo, es un campo de tecnología que considera limitaciones y capacidades humanas en el diseño de máquinas y objetos, los procesos de trabajo que ellos deben seguir y los ambientes en que ellos operan.” La ergonomía es una ciencia moderna que, aplicada en el ámbito de las computadoras, se encarga de estudiar el confort, bienestar y seguridad con que los usuarios de los sistemas computacionales realizan su trabajo, la influencia del medio ambiente y las repercusiones del uso de estos sistemas en la salud física y emocional de los usuarios y su consecuencia en la productividad de su trabajo. El auditor de sistemas computacionales debe evaluar estas repercusiones y consecuencias en la salud de los usuarios en cuanto a los siguientes aspectos: Evaluar los estudios ergonómicos sobre el impacto del uso de las pantallas de los sistemas iluminación y demás reflejos que afectan la salud visual de los usuarios. Evaluar los estudios ergonómicos sobre las distintas posiciones y posturas que se adoptan frente a las computadoras, así como su posible repercusión en la columna vertebral, el rendimiento, el descanso y bienestar de estos usuarios. •
•
14 •
•
•
•
•
Evaluar los estudios ergonómicos sobre la repercusión del uso del teclado y ratón en los brazos, muñecas y dedos de los usuarios de sistemas computacionales. Evaluar los estudios ergonómicos sobre el impacto del medio ambiente laboral en la salud física y bienestar de los usuarios de sistemas computacionales. Evaluar los estudios ergonómicos sobre las cargas de estrés, condiciones ambientales, estilos de dirección y condiciones generales de bienestar para el desarrollo adecuado de las actividades computacionales en la empresa, así como su impacto en la salud emocional de los usuarios. Evaluar los índices de ausentismo, rotación de personal, cambios de actitud y demás aspectos que repercuten en el buen desempeño de las actividades de sistemas de cómputo, a fin de evaluar su impacto en la salud física y emocional de los usuarios. Evaluar los estudios ergonómicos sobre las demás afecciones físicas causadas por el medio ambiente, iluminación, sistemas de aire acondicionado, instalaciones, mobiliario, etc.
El auditor también debe evaluar el entorno de los sistemas en el desempeño y productividad del personal que está en contacto con las computadoras. A continuación algunos de estos aspectos tienen que evaluar: Evaluación de la existencia y aplicación de los estudios ergonómicos relacionados con el bienestar y seguridad en el desempeño de los directivos, empleados y usuarios de sistemas de la empresa. Evaluación del estudio del impacto en la salud física de empleados en general, en cuanto a repercusiones en las diferentes partes del cuerpo y demás impacto en su salud física. Evaluación de la existencia y seguimiento de las medidas para prevenir, repercusiones en la salud de los directivos, empleados y usuarios de sistemas de la empresa, así como las medidas correctivas para mejorar esas situaciones. Evaluación de estudios, propuestas y diseños del mobiliario y equipos que permitan a los directivos, empleados y usuarios de sistemas computacionales, y a todos los empleados de la empresa en general, desarrollar su trabajo con seguridad, confort y bienestar. Evaluación de la existencia, aplicación y seguimiento a los estudios ergonómicos realizados en las áreas de sistemas de la empresa, así como de las medidas correctivas y preventivas derivadas de los mismos, a fin de mantener seguridad, confort y bienestar de los usuarios de sistemas de la empresa. •
•
•
•
•
4. Evaluación de la calidad ISO-9000 aplicable a los sistemas computacionales Actualmente se ha popularizado el sistema de administración y aseguramiento de calidad a través de la certificación ISO-9000, cuyo principal objetivo es evaluar que los productos y servicios que proporcionan las empresas Da sus clientes cumplan con los estándares de calidad establecidas en las normas ISO. La ISO-9004: define como implementar un sistema de calidad, basado en una filosofía de calidad y documentado en un manual de calidad, incluyendo políticas, procesos y procedimientos necesarios para asegurar la calidad. •
•
Para evaluar la manera en que se obtiene la certificación de Calidad ISO-9000 en los sistemas, productos y servicios de computo de la empresa, a través de la propia auditoria de calidad de sistemas de esta certificación, y con los requisitos, características y modalidades de esta auditoría. Para evaluar la aplicación de las normas ISO-9001 a través de la evaluación de los siguientes aspectos: Evaluación
5. Evaluación de los proveedores y distribuidores de sistemas: Es por ello que el auditor de sistemas computacionales debe evaluar los aspectos relacionados con la adquisición de nuevos productos informáticos, así como a los proveedores y distribuidores que los proporcionan, a fin de garantizar las adquisiciones más adecuadas, al menor costo y con la más alta calidad y servicio para las necesidades de computo de la empresa; por esa razón debe tomar en cuenta los siguientes puntos:
15 •
•
•
•
•
•
Evaluación de la existencia y de la aplicación correcta de los procedimientos adoptados en la empresa para la adquisición de sistemas computacionales. Evaluación de la existencia y aplicación de los procedimientos para identificar y establecer las mejoras de los sistemas computacionales, de acuerdo con las normas políticas de la empresa. Evaluación de las convocatorias y concursos de adquisición de activos informáticos, a fin de verificar la elección correcta de proveedores y que las adjudicaciones se hayan realizado con transparencia y conforme a los costos y procedimientos autorizados por la empresa. Evaluación de la calidad de los productos, así como de la oportunidad, confiabilidad y calidad de los proveedores y distribuidores de sistemas para proporcionar los servicios y mantenimiento de activos informáticos. Evaluación del seguimiento y control de los proveedores, distribuidores, asesores y desarrolladores de sistemas, así como de la utilidad e importancia que estos tienen para la empresa. Evaluación de los últimos cambios de sistemas computacionales de la empresa, valorando que estos cumplan con las necesidades específicas de actualización del área de sistemas.
Diagrama del círculo de evaluación El uso de esta herramienta de evaluación permite analizar, de un solo vistazo, toda la problemática que incide en determinados aspecto. Con esta herramienta de apoyo para la evaluación de los sistemas computacionales se puede valorar, visualmente, el comportamiento de los aspectos de los sistemas que están siendo auditados, así como el cumplimiento y limitaciones.
Lista de verificación (o lista de chequeo) Este es uno de los métodos de recopilación y evaluación de auditoría más sencillos de utilizar debido a la simplicidad de su elaboración. Consiste en la elaboración de una lista ordenada, en la cual se anotan todos los aspectos que se tienen que revisar del funcionamiento de un sistema. Además la hace una de las herramientas mas confiables y utilizables para cualquier revisión de SC.
Análisis de la diagramación de sistemas Esta es una de las principales herramientas de apoyo para el análisis y diseño de los sistemas computacionales, y es de las que mas utilizan los desarrolladores de sistemas.
Análisis de la diagramación de sistemas Por medio de estos diagramas el analista puede representar los flujos de información, actividades, operaciones, procesos y los demás aspectos que intervendrán en el desarrollo de los propios sistemas.
Modelos de sistemas Se utilizan para tratar de interpretar una realidad acerca de las necesidades informáticas del usuario. Identificando el comportamiento que tendrá el sistema a través de sus distintos procesos, actividades y componentes, mismos que el auditor puede evaluar de manera grafica y sencilla.
16
Diccionario de datos Se aplica principalmente para determinar cada uno de los campos de datos, el tipo, tamaño y descripción de los datos que contendrán dichas bases de datos.
Diagrama Nassi-Schneiderman Se utiliza este diagrama gráfico para el análisis y diseño del software estructurado de un nuevo sistema. En este diagrama gráfico se definen, lo más objetiva y claramente posible, los procesos, decisiones e iteraciones del sistema. A fin de señalar gráficamente todas las acciones que seguirá el programa para su funcionamiento adecuado.
Diagrama Nassi-Schneiderman ¿Cuáles son los grandes apartados del diagrama de Nassi-Schneiderman? •
Procesos
•
Decisiones o condiciones alternativas
•
Iteraciones
Diagrama de estado-transición En este diagrama se representan los flujos de información que se asignen en una relación de programación estructurada, a fin de visualizar el proceso que se sigue para el desarrollo de las actividades del programa.
Diagrama de estado-transición Mediante este tipo de diagramas, el auditor de sistemas puede evaluar si el procedimiento que utilizó el diseñador del sistema es acorde con las necesidades de los usuarios.
Diagrama de contexto Este diagrama muestra de una manera casi global todas las entidades o los procesos que alimentan el objeto principal del sistema, a través de rectángulos que representan la entidad o procesos en particular y la interacción de éstos con el proceso fundamental.
Diagrama de contexto Este diagrama es muy útil para el auditor de sistemas computacionales debido a que le permite identificar el sistema desde todo su contexto y con todas las posibles interacciones que se dan en sus procesos y programación.
Diagrama de flujo de datos
17
Este es el mas común de los diagramas de sistemas y tiene un sin numero de representaciones, en las cuales se usan simbologías clásicas como la IBM, HIPO ya que permite identificar las operaciones, actividades que se siguen durante el proceso, contemplando procedimientos y flujos que llevan los datos, desde su inicio hasta su terminación.
Diagrama modular En estos diagramas se muestran el flujo de la información en módulos representados por organigramas de actividades que participan en el proceso del sistema.
Diagrama de seguimiento de una auditoría de sistemas computacionales. Esta técnica también es conocida como mapa conceptual de evaluación ya que permite hacer un mapa conceptual de todos los aspectos de los sistemas en evaluación.
Programa para revisión por computadora. Esta técnica es de las mas utilizadas en cualquier auditoria de sistemas computacionales, debido a que permite revisar, des la misma computadora y mediante un programa especifico, el funcionamiento del sistema, de una base de datos, de un programa especial o de alguna aplicación de interés.
Programas de revisión elaborados por desarrolladores Este tipo de programas ya se han desarrollado previamente por distribuidores & fabricantes de software de acuerdo con una necesidad especifica del mercado o para propósitos específicos.
Programas de revisión elaborados por el auditor Para utilizar esta opción, el auditor identifica los aspectos de los sistemas de la gestion administrativa o de las bases de datos que debe revisar en el área de sistemas y establece en forma anticipada uno a uno los asuntos concretos que va a revisar mediante el apoyo de un sistema computacional.
