1

TCNICAS ESPECIALES DE AUDITORIA DE SISTEMAS COMPUTACIONALES Ponderacin: Es una tcnica especial de evaluacin, mediante la cual se procura darle un peso especfico a cada una de las partes que sern evaluadas; Objetivo de la ponderacin: Tratar de compensar el valor que les asignamos a las actividades o tpicos que tienen poca importancia en la evaluacin, en relacin con los que tienen mayor importancia. Esta tcnica permite de la ponderacin: Equilibrar las posibles descompensaciones que existen entre las reas o sistemas computacionales que tienen mayor peso e importancia y las reas o sistemas que tienen poco peso e importancia en la evaluacin. Que se busca con la ponderacin: Es que todas las reas tengan un valor similar, respetando en cada paso el peso e importancia representativos que tienen para el sistema computacional o para todo el centro de cmputo. Ejemplo grafico de una evaluacin de sistemas Primer paso: se eligen los factores mas importantes que se van a evaluar (los de mayor jerarqua o los que pueden ser representantes de un grupo o sector), a fin de darle a cada uno de esos factores un valor porcentual (peso especifico), el cual representara la importancia de ese factor en la evaluacin. La suma total de los factores primarios siempre deben ser 100%. Segundo paso: a cada uno de los factores elegidos como primarios se le asignan actividades especficas que contribuyan a su evaluacin total. Tercer paso: se aplica esta gua de evaluacin y se registran las calificaciones adjudicadas para cada una de las actividades propuestas. Despus, con esos resultados se obtienen los puntos alcanzados para cada actividad y para el total por cada factor primario. Esto permite comparar los resultados con los valores establecidos inicialmente para cada actividad y emitir un juicio sobre su cumplimiento. Cuarto paso: despus de haber obtenido las calificaciones y los valores de toda la gua de ponderacin, as como el porcentaje de los puntos obtenidos, el responsable de la auditoria debe realizar un anlisis profundo sobre cada uno de los resultados y valorar el grado de cumplimiento de cada una de las actividades. Es recomendable adoptar un criterio para calificar de la misma manera todos los puntos evaluados. MODELOS DE SITUACION Fases del desarrollo, segn James Martn Planeacin estratgica Marco del sistema Funciones Objetivos Plan del sistema Procedimientos Datos Anlisis Diseo Construccin Implantacin Mantenimiento Reingeniera Ciclo de vida de los sistemas, segn Yourdon Nivel conceptual

Especificaciones Nivel lgico Anlisis lgico Nivel fsico Diseo fsico Implantacin Mantenimiento Anlisis y diseo, segn Jackson Anlisis conceptual Especificaciones del modelo de la realidad Identificar entidades y relaciones Definir estructura de las entidades Crear modelo inicial Diseo exterior Especificacin de funciones de la aplicacin Aadir funciones del modelo Determinar momentos de Ejecucin Diseo interior Implementacin Implementar el modelo Fases de un proyecto para MERICE Etapa 1: estudio preeliminar Fase 1: recogida de datos Recogida inicial Estudio de la situacin actual Sntesis y critica de la situacin actual Fase 2: concepcin de la nueva solucin Objetivos a alcanzar Descripcin de soluciones Fase 3: evaluacin y plan de desarrollo de las fases Evaluacin de la nueva solucin Plan de desarrollo Etapa 2: estudio detallado Fase 1: concepcin general Fase 2: concepcin detallada de fases Realizacin de las especificaciones detalladas de los procesos Fase 3: Plan de desarrollo Etapa 3: realizacin Fase 1: estudio tcnico Fase 2: produccin Etapa 4: puesta en marcha Fase 1: preparacin de recursos Fase 2: recepcin y lanzamiento de sistemas Metodologa SSADM La metodologa: Consiste en una estructuracin de los pasos a seguir en el desarrollo de un proyecto informtico en las fases iniciales del ciclo de vida del mismo y en la descripcin de unas tcnicas y formalismos sobre las que se basan los trabajos para realizar cada fase. A su vez estos puntos se contemplan dentro de las siguientes fases

Fase 1: Estudio de viabilidad Etapa 01: Definicin del problema Etapa 02: Identificacin del proyecto Fase 2: Anlisis Etapa 1: Anlisis del sistema actual Etapa 2: Especificacin de requerimientos Etapa 3: Seleccin de opciones tcnicas Fase 3: Diseo Etapa 4: Diseo de datos Etapa 5: Diseo de procesos Etapa 6: Diseo fsico

Despus de que el estudio de viabilidad es aprobado, las etapas se realizan cronolgicamente conforme al siguiente proceso 1. Anlisis del sistema actual 2. Especificaciones de requerimientos 3. Seleccin de opciones tcnicas 4. Diseo de datos 5. Diseo de procesos 6. Diseo fsico Simulacin a travs de diagramas de flujo de sistemas Se utilizan diagramas con smbolos universalmente aceptados, los cuales tienen un significado especfico y determinado previamente por convencin, a fin de que todos los entiendan de la misma forma. Simulacin a travs del diseo de circuitos lgicos Son diagramas de conexiones de circuitos lgicos, los cuales nos muestran grficamente como se solucionan los problemas de redes lgicas combinatorias de salida o entrada, establecidos a travs de operaciones matemticas con algebra booleanas. Simulacin a travs de otros documentos grficos Algunos de los posibles modelos de sistemas que se pueden utilizar para simular el comportamiento de cualquier fenmeno de sistemas computacionales que se desee evaluar: Modelos para planeacin y control de proyectos Grafica de Gantt Mtodo de la ruta critica Pert costo/tiempo Proyect Graficas de proyecciones financieras Graficas de lneas de tiempo Tablas de decisiones rboles decisionales Modelos de simulacin de flujos de datos Diagrama de flujo de datos Diagrama entidad/relacin Diagrama de contexto Diagrama de datos lgicos Diagrama de datos fsicos Diagrama de base de datos Diagrama de modelo de datos Diagramas HIPO (tabla visual de contenido VTOC, diagramas de panoramas y diagrama de detalles) Diagramas de cdigos (seudocdigos) Graficas Nassi-Shneiderman

Diagramas Warneir-Orr Graficas de estructura de datos Graficas de configuracin de red Graficas de configuracin de sistemas distribuidos Graficas de Configuraciones de equipos mayores Modelos de simulacin de diagramas administrativos Organigramas Diagramas de mtodos y procedimientos Graficas de tiempos y movimientos Estudios ergonmicos Planos de distribucin de la planta Planos de instalaciones Planos de rutas de evacuacin Planos de configuracin de centros de cmputo Modelos de simulacin por medio de graficas financieras y estadsticas Curvas de tendencias Graficas de pie, horizontales, verticales, de rea, circulares y semicirculares Graficas de punto de equilibrio Otros mtodos de simulacin Graficas de pantalla Planes de contingencia informtica Digitalizacin de imgenes Procesamiento de datos ficticios

Modelo 1. Es la duplicacin de la realidad emprica o de una teora cientfica con la cual guarda igualdad de formas (isomorfia) sus fines son diagnsticos explicativos y preventivos. 2. Representacin simplificada o esquemtica de un fenmeno o proyecto en el cual incluye sus variables ms significativas. 3. La construccin de un modelo es una tcnica comn para el estudio de las caractersticas o aspectos de la conducta de los objetos o sistemas bajo condiciones variables. Es una representacin de objetos, eventos, procesos o sistemas y su uso es para la prediccin y control. Evaluacin Es una de las tcnicas mas comunes en cualquier alquiler tipo de auditoria y es considerada como la herramienta tpica para auditar cualquier actividad, ya que permite determinar, mediante pruebas concretas, si lo cuantificado (o cualificado) es lo que esperaba obtener de lo que se esta evaluando; as se determina si se esta cumpliendo con la actividad revisada conforme a lo que se esperaba de ella. Esta tcnica se aplica fcilmente mediante los siguientes pasos y requiere de poco trabajo: El establecimiento anticipado de ciertos parmetros o relaciones de carcter cualitativo, a los cuales se les asigna un cierto valor numrico, matemtico, estadstico, contable o de cualquier otro tipo (casi siempre en forma porcentual). Supuestamente, el valor mas alto ser el nivel optimo de la operacin y el menor el mas deficiente. Mediante distintas pruebas y herramientas de auditoria se procede a recopilar la informacin y se asigna un puntaje, el cual ser el que alcance el aspecto de sistemas computacionales en evaluacin, segn resultados. El valor obtenido en el paso anterior se compara con el valor esperado (otro cierto valor ideal), el que supuestamente deber cumplir la actividad que en evaluacin. Despus de hacer la comparacin se sacan conclusiones para valorar el grado de cumplimiento del sistema que esta siendo auditado. Finalmente se procede a elaborar el informe sobre los resultados obtenidos.

Definiciones Evaluacin: 1. Proceso de comparacin entre valores observados y valores esperados establecidos previamente desde un punto de vista. 2. Anlisis critico para determinar la eficiencia de una persona o la efectividad de una actividad especifica, en base a parmetros establecidos con el propsito de detectar las causas de las variaciones y definir las posibles medidas correctivas. Evaluar: 1. Del latn derivado valere: valer, tasar, justipreciar. 2. Sealar el valor de una cosa. Calcular el valor que debe tener. 3. Parte del proceso de control, que consiste en el anlisis critico de los resultados obtenidos, con respecto a las metas o normas establecidas, con el fin de determinar las causas de las variaciones y definir las posibles medidas correctivas. Valorar 1. Sealar precio a una cosa. Atribuir determinado valor o estima a personas o cosas. Hacer que aunque aumente de valor la cosa. Valor 1. Grado de calidad, merito, utilidad, virtud o precio que tienen personas o cosas. Significacin y alcance de algo. Precio equivalente de una cosa. Valorizacin del desempeo 1. Mtodos de observacin y disposicin de carcter uniforme y general, a travs de los cuales se estima el trabajo de cada empleado. En base a definiciones anteriores entenderemos por Evaluacin: Accin mediante la cual el auditor de sistemas computacionales obtiene los resultados del desempeo alcanzado de una funcin, actividad, tarea u operacin y los compara con los resultados esperados, con el propsito de valorar su grado de cumplimiento y poder as retroalimentar dichos resultados a travs de un informe, para incrementar la eficiencia del desempeo alcanzado. Tambin podemos decir: Es una de las herramientas de mayor utilidad para el auditor de sistemas computacionales, debido a que ayuda a comparar el funcionamiento actual de sistemas computacionales con su funcionamiento esperado, a fin de valorar el grado de cumplimiento de sus funciones, actividades y operaciones; con esos resultados, el auditor estar en posibilidades de retroalimentar al responsable del sistema, para coadyuvar a que sus acciones sean efectivas. Evaluacin de la gestin administrativa del rea de sistemas El auditor debe apreciar como se realizan las acciones de carcter administrativo para cumplir con las funciones encomendadas al rea de sistemas de la empresa; el auditor debe procurar contemplar todos los aspectos relacionados con la gestin informtica y administrativa de sus directivos, empleados y funcionarios. Formas de evaluacin de la gestin informtica 1. Evaluacin de la actividad administrativa Se evalan los aspectos administrativos del rea de sistemas, a travs de la comparacin de lo esperado en el aspecto puramente administrativo con lo realmente alcanzado en este rengln. Evaluar la existencia y cumplimiento de los planes. Evaluar la existencia, difusin y cumplimiento de los objetivos institucionales. Evaluar la existencia, congruencia y apego a la estructura de organizacin. Evaluar la existencia y aplicacin del perfil de puestos par la seleccin y programacin del personal. Evaluar la divisin, adecuada de trabajo y departamentalizacin de las funciones y actividades del personal.

Evaluar la administracin de los recursos humanos asignados al rea de sistemas. Evaluar la existencia y aplicacin de la gestin financiera y contable. Evaluar la forma en que sus funcionarios, empleados y usuarios del sistema. Evaluar la forma en que los directivos y jefes del centro de cmputo ejercen. Evaluar las relaciones personales y de trabajo entre directivos, empleados y usuarios. Evaluar la suficiencia o carencia de recursos informticos. Evaluar la forma administrativa en que se manejan las requisiciones de hardware, software, mobiliarios y equipos de oficina, consumibles y dems implementos. Evaluar la forma en que se planea, organiza, dirige y controla el desarrollo de proyectos computacionales. Evaluar la administracin de seguros sobre los sistemas computacionales. Evaluar es estado general de la gestin administrativa del rea de sistemas.

2. Evaluacin en cuanto a la gestin de los sistemas computacionales Se evala la administracin de los proyectos informacin del rea de sistemas; ya sea que se desarrollen en esta rea, se adquieren de terceros o se compren ya realizados. Aspectos que tienen que ser evaluados: Evaluar la administracin y control de proyectos informticos. Evaluar la administracin de las funciones, actividades y operaciones del centro de cmputo. Evaluar existencia, difusin y aplicacin de las medidas y mtodos de seguridad y prevencin informtica. Evaluar la existencia y cumplimiento de programas para evaluacin y adquisicin del hardware, equipos, perifricos, consumibles e instalaciones fsicas del sistema. Evaluar la existencia y cumplimiento de programas para evaluacin y adquisicin del software, sistemas operativos, lenguajes, programas y paqueteras de uso institucional. Evaluar la forma en que se administra y atiende la seguridad en el acceso a las instalaciones. Evaluar la forma en que se proporciona la asistencia y asesoria a los usuarios de los sistemas de la empresa. Evaluacin del equipo de cmputo: Es una de las partes fundamentales de la auditoria de sistemas; por esta razn se debe evaluar la forma en que se administra y controla la asignacin de funciones y actividades de los sistemas computacionales de la empresa; sean estos centralizados en un rea de sistemas o asignados a cada rea de la empresa. 1. Evaluacin del diseo lgico del sistema: Es la evaluacin del funcionamiento interno del sistema computacional, en cuanto al manejo de su software, arquitectura y configuracin, conforme a las necesidades informticas de la empresa y de la propia rea. Evaluar la forma en que se lleva a cabo la configuracin del sistema. Evaluar si los componentes lgicos corresponden a las caractersticas de funcionamiento de los sistemas computacionales de la empresa. Evaluar las caractersticas, protocolos y componentes lgicos de las comunicaciones y programas de enlace entre los equipos de cmputo de la empresa. Evaluar que en la empresa existan y se apliquen las metodologas para el desarrollo y adquisicin de sistemas computacionales. Evaluar la administracin de los mtodos de accesos, seguridad y operacin del sistema. Evaluar la administracin de las caractersticas, lgicas del hardware, software, perifricos, instalaciones y componentes asociados al sistema. Evaluar la administracin de la arquitectura y configuracin de redes de cmputo, equipos mayores y monousuarios de la empresa. Evaluar los componentes, caractersticas y construccin de las bases de datos, archivos de informacin institucional. 2. Evaluacin del diseo fsico del sistema:

As como es importante evaluar el aspecto lgico de los sistemas, tambin lo es evaluar la administracin y control de los componentes fsicos de los equipos de cmputo. Evaluar la forma en que se lleva a cabo la configuracin del sistema. Evaluar si los componentes fsicos, perifricos, mobiliario y equipo del sistema. Evaluar las caractersticas y peculiaridades de los sistemas, perifricos e instalaciones del centro de cmputo. Evaluar la forma en que se realizaron las instalaciones elctricas, de comunicacin y de datos en el rea de sistemas computacionales. Evaluar la administracin de los mtodos de acceso, seguridad y proteccin fsicos del rea de sistemas, la seguridad del personal y los usuarios de sistemas. Evaluar la distribucin del mobiliario y equipos en el rea de sistemas y en las reas que tengan equipos de cmputo. Evaluar el aspecto ergonmico de las instalaciones, mobiliario y equipos de cmputo de las reas de sistemas. 3. Evaluacin del control de acceso y salida de datos El activo ms importante de cualquier rea de sistemas es la informacin; por esta razn, el auditor de sistemas computacionales debe evaluar la forma en que se controla y protege el acceso a la informacin y a los propios sistemas computacionales de la empresa. Evaluar los estndares, medidas de seguridad y mtodos establecidos para la consulta de datos y salida de informacin del rea de sistemas. Evaluar la existencia y cumplimiento de las especificaciones, estndares, medidas de seguridad y mtodos de acceso, consulta, uso, manipulacin y modificacin de la informacin. Evaluar la existencia y aplicacin de las normas polticas y procedimientos para el control de acceso de datos. Evaluar la administracin y el control de los niveles de acceso de administradores, operadores y usuarios del sistema. Evaluar las medidas de seguridad y proteccin establecidas para el manejo adecuado de la informacin institucional. Evaluar la administracin adecuada de la seguridad de las bases de datos e informacin institucional. Evaluar la existencia, difusin y funcionamiento de un plan contra contingencias informticas. Evaluar la forma de resolver problemas relacionados con el manejo de la informacin de las bases de datos. Evaluar la administracin de los niveles de acceso, contraseas, privilegios de manejo de informacin. 4. Evaluacin del control de procesamiento de datos: La actividad preponderante del rea de sistemas es el procesamiento de informacin, ya sea un rea concentrada, en equipos independientes o en sistemas de red interconectados en todas las reas; por ello es de suma importancia que el auditor de sistemas computacionales sepa valorar la administracin y control de estos sistemas; con ello emitir una opinin bien fundamentada sobre el aprovechamiento de los recursos informticos de la empresa. Evaluar la existencia y aplicacin de los estndares para el procesamiento de datos de los sistemas de la empresa. Evaluar la existencia y aplicacin de controles especficos para el procesamiento de datos de los sistemas de la empresa. Evaluar la existencia y aplicacin de los procesos lgicos y procedimientos adecuados para la captura de datos. Evaluar el tiempo dedicado especficamente al funcionamiento de los sistemas computacionales de la empresa. Evaluar el aprovechamiento de los sistemas computacionales de la empresa. Evaluar la utilidad y aprovechamiento de los sistemas computacionales de acuerdo con sus caractersticas, tecnologa, configuracin y software.

Evaluar la existencia y aplicacin de las rutinas de identificacin. Evaluar la administracin y control de los equipos de cmputo monousuarios. Evaluar la administracin de las redes de sistemas de la empresa. Evaluar si estn identificadas y si se aplican las formas de procesamiento de datos y la forma en que se manejan sus justificaciones. Evaluar la administracin y control de la frecuencia y volumen de la operacin y funcionamiento del sistema.

5. Evaluacin de controles de almacenamiento: En el resguardo de la informacin tambin es uno de los aspectos fundamentales que el auditor de sistemas debe evaluar, debido a la importancia que tiene la informacin en todas las reas de una empresa. Recordemos que este es el activo ms valioso de los sistemas computacionales y, por lo tanto, se debe valorar especficamente la forma de resguardar la informacin, la periodicidad con que se lleva a cabo, as como la forma de archivarla. Evaluar el diseo adecuado de los archivos, bases de datos y la forma en que se almacena la informacin. Evaluar la administracin y control de archivos, programas e informacin de los sistemas computacionales de la empresa. Evaluar las formas y tipos de almacenamiento de informacin establecidos para los sistemas computacionales de la empresa. Evaluar la existencia y seguimiento de programas de respaldos de informacin. Evaluar la custodia de los respaldos de informacin y verificar que estos se encuentren fuera de la empresa. Evaluar la existencia y aplicacin de los planes y programas de prevencin contra contingencias informticas. Evaluar la administracin y control de los respaldos de informacin y programas institucionales. 6. Evaluacin de controles de seguridad: La seguridad es uno de los aspectos fundamentales para el buen funcionamiento de los sistemas computacionales; por esta razn, el auditor debe evaluar la existencia de controles de seguridad, as como su uso adecuado en las reas de sistemas de la empresa. Evaluar la existencia y aplicacin de las medidas de seguridad y proteccin del sistema. Programas, informacin, instalaciones, empleados, usuarios, equipos y mobiliario del sistema computacional de la empresa. Evaluar la informacin y control de accesos lgicos al sistema, contraseas, privilegios en el manejo de informacin, software y dems componentes del sistema. Evaluar la existencia y funcionamiento de los sistemas de control de accesos fsicos, as como la seguridad de las reas del centro de cmputo. Evaluar la existencia de salidas de emergencia, sealamientos de evacuacin. Evaluar si existen y se aplican procedimientos de acceso a los sistemas computacionales. Evaluar la existencia y aplicacin de medidas de seguridad relacionadas con la comunicacin de datos. Evaluar la administracin y control de la seguridad y proteccin de las bases de datos. Evaluar las medidas de seguridad, proteccin y erradicacin de virus informticos de los sistemas computacionales de la empresa. Evaluar las medidas de seguridad y proteccin establecidas para el manejo adecuado de la informacin institucional. Evaluar la existencia de funcionarios responsables de la seguridad y proteccin de los bienes informticos, informacin, personal y usuarios del rea de sistemas. Evaluar las medidas de seguridad y proteccin de los bienes informticos de la empresa. Evaluar la existencia, difusin y actualizacin de los planes contra contingencias informticas. Evaluar la existencia y aplicacin peridicas de simulacros de contingencias informticas. Evaluar la existencia de seguros que amparen al personal, usuarios, bienes informticos.

Evaluar todos los aspectos relacionados con la seguridad implantada en las reas de informticas de la empresa.

7. Evaluacin de controles adicionales para la operacin del sistema: El auditor de sistemas computacionales tambin debe evaluar todos los dems aspectos relacionados con la operacin de los sistemas computacionales, a travs de diversos controles sobre la actividad informtica, tales como la documentacin de sistemas, la estandarizacin de metodologas, programas, protocolos de comunicacin y dems cuestiones informticas tendientes a mejorar la operacin del sistema. Evaluar la existencia, uso y actualizacin de todos los manuales e instructivos de operacin, del sistema, de usuarios y de procedimientos del rea de sistemas. Evaluar la existencia, uso y actualizacin de las metodologas y estndares institucionales para el desarrollo de los sistemas de la empresa. Evaluar la existencia, uso y actualizacin de los estndares de programacin y documentacin de sistemas. Evaluar la existencia, uso y actualizacin de la estandarizacin de lenguajes, programas y paqueteras de uso institucional. Evaluar el uso y actualizacin de bitcoras para el registro de las incidencias y reportes que se presentan en el rea de sistemas. Evaluar el uso de programas, paquetes de auditoria y seguimiento de actividades en las redes de sistemas computacionales de la empresa. Evaluar la existencia de diagramas para el desarrollo de sistemas, de acuerdo con las normas y estndares establecidos en la empresa. 8. Evaluacin de aspectos tcnicos del sistema: Al revisar las actividades tcnicas de los sistemas computacionales, el auditor debe evaluar todo lo relacionado con la configuracin, lgica, procedimientos internos, sistemas operativos, protocolos de comunicacin y todos los dems aspectos tcnicos que intervienen de alguna manera en la operacin normal del sistema, sean sistemas de redes, compartidos o individuales. Evaluar la administracin y control del sistema operativo del equipo de computo y que este cumpla con las necesidades de operabilidad del propio sistema. Evaluar la administracin y control de los lenguajes de operacin, desarrollo y programacin de los sistemas de la empresa. Evaluar la administracin y control de sistemas de redes, multiusuarios y microcomputo que estn instalados en la empresa. Evaluar la administracin y control de los sistemas de telecomunicacin y teleprocesamiento de los sistemas de la empresa. Evaluar el uso y aprovechamiento compartido de los recursos informticos, as como su manejo adecuado para satisfacer las necesidades informticas de la empresa. Evaluar la existencia y aplicacin de las medidas de prevencin, correctivas y de control para evitar la contaminacin informtica de los sistemas de la empresa. Evaluar los procesos internos del sistema de relacin con las entradas de datos, procesamiento y emisin de la informacin y almacenamiento en sus medios. Evaluar la actualizacin permanente y pertinente de acuerdo con los cambios tecnolgicos que afectan a los sistemas computacionales de la empresa. Evaluacin integral de sistemas: La manera mas completa e importante de realizar una auditoria de sistemas computacionales es evaluar, de manera integral, todas las funciones, actividades, acciones, operaciones y tareas de los sistemas del rea de computo de la empresa; esto solo se lograra mediante la revisin integral de todas las reas que contribuyen de alguna manera al procesamiento de informacin de la institucin, y mediante la participacin de un grupo interdisciplinario de profesionales de auditoria que sean capaces de evaluar, en su especialidad, todos los aspectos relacionados con las necesidades informticas del rea.

10

1. Evaluacin externa o interna integral de sistemas: Debido a que la auditoria integral puede ser realizada lo mismo por auditores externos (ajenos a la empresa) o por auditores internos (que laboran en la empresa), a continuacin presentamos un grupo de evaluaciones que pueden ser aplicadas mediante cualquiera de las dos formas de evaluacin. Evaluar integralmente la forma en que se realiza la gestin del sistema computacional de la empresa. Evaluar integralmente la existencia y apego a la estructura de la organizacin del centro de computo. Evaluar integralmente la administracin y control de proyectos de desarrollo de sistemas en el rea de informtica. Evaluar gradualmente la administracin y control de la operacin del sistema de captura y almacenamiento de datos. Evaluar integralmente la administracin, adquisicin, aplicacin, aprovechamiento y control de los sistemas. Evaluar integralmente los sistemas computacionales de la empresa. Evaluar integralmente y exclusiva el funcionamiento del sistema computacional de la empresa. Evaluar integralmente los sistemas y medidas de seguridad, prevencin, solucin y capacitacin para evitar contingencias en el rea de sistemas de la empresa. Evaluar integralmente todos los aspectos relacionados con los virus informticos en la empresa. Evaluar globalmente el comportamiento y operacin del sistema computacional de la empresa, as como su aprovechamiento adecuado por parte de los usuarios. Evaluar integralmente la oportunidad, veracidad, suficiencia y confiabilidad de la informacin contenida en las bases de datos. Evaluar integralmente todos los controles de acceso a las instalaciones del centro de cmputo. Evaluar integralmente la administracin del acceso al sistema computacional. Evaluar integralmente la administracin y control del acceso, consulta, manipulacin y modificacin de las bases de datos del sistema. Evaluacin con el apoyo de la computadora: En estos casos las evaluaciones se hacen para auditar todas las dems reas de la empresa, pero utilizando la computadora como apoyo fundamental. 1. Evaluaciones exclusivamente al sistema computacional con el apoyo de la computadora y aplicaciones: En estas evaluaciones se utiliza la computadora como apoyo para realizar las operaciones, estadsticas y graficacin requeridas para apreciar el comportamiento de cada uno de los aspectos no informticos que estn siendo evaluados, debido a la facilidad para procesar informacin y presentar resultados. Evaluar el aprovechamiento y utilidad del hardware institucional, con el apoyo de una computadora. Evaluar la utilidad, rendimiento y explotacin del software institucional, con el apoyo de una computadora. Evaluar estadsticamente, y con el apoyo de los sistemas computacionales. Evaluar el rendimiento y aprovechamiento del sistema de res o sistema multiusuario, con el apoyo de la computadora. Evaluar estadsticamente, y con el apoyo de los sistemas computacionales, el rendimiento, utilidad y aprovechamiento de los microsistemas de las reas de la empresa. Evaluar estadsticamente, y con el apoyo de una computadora, el acceso, uso y aprovechamiento de las telecomunicaciones de la empresa. Evaluar estadsticamente, y con el apoyo de una computadora, la productividad integral del procesamiento de la informacin en los sistemas computacionales de la empresa. 2. Evaluaciones en auditorias tradicionales con el apoyo de la computadora y aplicaciones: En estas evaluaciones se utiliza la computadora como apoyo para realizar las auditorias tradicionales, con el fin de apreciar mejor cada uno de los aspectos de todas las reas de una empresa que estn siendo evaluados; esto debe a la facilidad para procesar informacin y presentar resultados. Evaluar, con el apoyo de paqueteras de aplicacin administrativa.

11

Evaluar, con el apoyo de hojas electrnicas de trabajo. Evaluar, con el apoyo de los paquetes contables de la empresa. Evaluar, con el apoyo de diversas paqueteras, todas las actividades y operaciones. Evaluar el desarrollo de programas de cmputo especfico para auditoria, con el fin de evaluar todas las reas institucionales. Evaluar, con el apoyo de los sistemas computacionales, las tcnicas y los mtodos tradicionales de auditoria.

Evaluaciones sin el uso de la computadora: El auditor evala la aplicacin utilizacin de la auditoria pero sin contar con el apoyo de los sistemas computacionales, es muy similar a los casos en la evaluacin de carcter administrativo y evaluaciones integrales. Algunos ejemplos de estas evaluaciones: Evaluar el cumplimiento de las funciones y actividades administrativas del centro de cmputo. Evaluar la gestin financiera del centro de cmputo. Evaluar la operacin de los sistemas computacionales de la empresa. Evaluar la administracin y control de la realizacin de sistemas computacionales. Evaluar la documentacin de los sistemas computacionales de la empresa. Evaluar administracin y control de las tcnicas y sistemas de procesamiento de informacin de la empresa. Evaluar la administracin y control de los sistemas de seguridad y prevencin de contingencias del rea de sistemas. Evaluar la administracin y control de las instalaciones y equipos para el funcionamiento de los sistemas de la empresa. Evaluar el uso y acceso a los sistemas, bases de datos y programas de cmputo de la empresa. Evaluaciones de los contratos en sistemas computacionales: El fundamento de cualquier tipo de auditoria es el manejo adecuado del control interno de la empresa evaluada, debido a que la aplicacin de dicho control es esencial para el manejo correcto de todas las actividades de dicha empresa. 1. Evaluacin del control interno estudiado en este libro: En esta parte mencionaremos las evaluaciones de los controles internos. Evaluacin del control interno sobre la organizacin del rea de sistemas. Direccin Divisin del trabajo Separacin de funciones Asignacin de responsabilidades Perfiles del puesto Evaluacin del control interno sobre el anlisis y desarrollo de sistemas. La estandarizacin de metodologas para el desarrollo de proyectos Asegurar que el beneficio de sistemas sea el optimo Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el anlisis y diseo de sistemas Vigilar la efectividad y eficiencia en la implantacin y mantenimiento del sistema Hacer ms eficiente el uso del sistema con su documentacin Evaluacin del control interno sobre la operacin del sistema. La prevencin y correccin de los errores de operacin Prevenir y evitar la manipulacin fraudulenta de la informacin Implantar y mantener la seguridad en la operacin

12

Mantener la confiabilidad, oportunidad, veracidad y suficiencia en la operacin y procesamiento de la informacin Evaluacin del control interno sobre los procedimientos de entrada de datos, procesamiento de informacin y emisin de resultados. Verificar la existencia y funcionamiento de procesamientos de captura de datos Controlar e procesamiento adecuado de todos los datos Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos Comprobar la suficiencia de la emisin de informacin Evaluacin del control interno sobre la seguridad en el rea de sistemas. Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden sobre las reas de sistemas Controles sobre la seguridad fsica del rea de sistemas Controles sobre la seguridad lgica de los sistemas Controles sobre la seguridad de las bases de datos Controles sobre la seguridad en la operacin de los sistemas computacionales Controles sobre la seguridad del personal del rea de sistemas Controles sobre la seguridad en sistemas de redes y multiusuarios

2. Evaluaciones del control interno propuesto por Jerry FitzGerald Evaluacin del control general organizativo Evaluacin del control de entradas Evaluacin del control de comunicaciones de datos Evaluacin del control de salidas Evaluacin del control de sistemas distribuidos o terminales en lnea Evaluacin del control de la seguridad fsica Evaluacin del control de las bases de datos Evaluacin del control del software institucional Evaluaciones de otros aspectos de sistemas computacionales 1. Evaluacin de los sistemas de redes Es la evaluacin de todos los recursos informticos de los sistemas de redes, los cuales son compartidos y existe un servidor central en el que se concentran todos los recursos importantes del sistema, procesadores, memorias, discos duros de almacenamiento, sistemas operativos, programas, paqueteras y todo el software dedicado al manejo de la red. Aspectos de la administracin de los sistemas d redes que deben ser evaluados Evaluacin de los sistemas de seguridad y proteccin del sistema de redes. Evaluacin de la administracin y control de sistemas de telecomunicaciones Evaluacin de la administracin y control de los sistemas de redes locales (LANs), metropolitanas (MANs), mundiales (WANs), Internet y multiusuarios. Evaluacin de la administracin de los recursos informticos, personal e informacin de sistemas multiusuarios, compartidos y de redes. Evaluacin de los sistemas de control de niveles de accesos, privilegios y restricciones al sistema, software y a las bases de datos compartidas. Evaluacin de la administracin y control de los niveles de accesos, privilegios, contraseas y usos especficos de los usuarios de acuerdo con su funcin en las actividades informticos de los sistemas. Evaluacin de los estudios de viabilidad y factibilidad para el diseo, adquisicin e instalaciones de los sistemas de redes de la empresa. Evaluacin del diseo, configuracin e instalacin de los sistemas de redes. Evaluacin de la administracin y control de las adquisiciones de servidores, procesadores, memorias, instalaciones, software y hardware para instalacin de redes, terminales y comunicaciones dentro de la empresa.

13

Evaluacin del diseo, configuracin, arquitectura, protocolos e instalacin de las redes de cmputo de la empresa. Evaluacin de la administracin y control de protocolos, configuraciones, topologas y cableados de los sistemas de redes. Evaluacin de las necesidades de sistemas operativos, programas integrales, paqueteras, programas de desarrollo y dems software que satisfaga las necesidades informticas de la empresa.

2. Evaluacin del servicio OUTSOURCING: En la actualidad es muy comn encontrar empresas que contratan los servicios informticos de otras empresas especializadas en sistemas, ya que les resulta ms rentable y econmico que esas empresas les hagan el trabajo que realizarlo ellas mismas. De entre las muchas aplicaciones de este servicio, el auditor debe tomar en cuenta los siguientes aspectos: Evaluar que exista un contrato de servicios, en la cual se especifiquen claramente las condiciones del servicio, coberturas de servicios que se amparan, los costos, los lmites de responsabilidad, los alcances y todo lo relacionado con la prestacin de estos servicios computacionales. Evaluar la calidad de los proveedores de servicios de computo que atendern a la empresa, en cuanto a capacidad instalada, sus equipos disponibles, personal de apoyo y servicio, tiempo de respuesta, software, programas, lenguajes, y paqueteras disponibles para el servicio, as como la calidad del respaldo de proveedores, fabricantes y servicios de apoyo. Evaluar las instalaciones del prestador de servicios, en relacin con la infraestructura fsica de sus equipos, capacidad de sus funciones y personal de sistemas, seriedad en el cumplimiento de su trabajo, oportunidad, confiabilidad y eficiencia en el proceso de informacin, as como todos aquellos aspectos que impliquen un valor agregado. Evaluar la administracin y control de las aplicaciones y desarrollo de programas informticos para atender las necesidades de cmputo de la empresa. Comparar los costos-beneficios, gastos-rendimiento, ahorros en tiempo, operabilidad y trabajo que implica el servicio de outsourcing. Evaluar en cuales reas de la empresa son aplicables los servicios externos de cmputo y en cuales no son aplicables, valorando sus coberturas actuales. 3. Evaluacin de la funcin ergonmica de los sistemas de cmputo: La ergonoma, de ergon: trabajo y nomos: leyes, es la ciencia que estudia el bienestar, confort y seguridad de los trabajadores dentro de su medio ambiente laboral, considerando su entorno profesional y el impacto que tienen las herramientas y los instrumentos de trabajo en el desempeo de sus actividades y en sus salud fsica y emocional, a fin de proponer medidas preventivas y correctivas que permitan desarrollar el trabajo en las mejores condiciones posibles. Esta ciencia se define de la siguiente manera: La ergonoma, la ciencia de trabajo, es un campo de tecnologa que considera limitaciones y capacidades humanas en el diseo de mquinas y objetos, los procesos de trabajo que ellos deben seguir y los ambientes en que ellos operan. La ergonoma es una ciencia moderna que, aplicada en el mbito de las computadoras, se encarga de estudiar el confort, bienestar y seguridad con que los usuarios de los sistemas computacionales realizan su trabajo, la influencia del medio ambiente y las repercusiones del uso de estos sistemas en la salud fsica y emocional de los usuarios y su consecuencia en la productividad de su trabajo. El auditor de sistemas computacionales debe evaluar estas repercusiones y consecuencias en la salud de los usuarios en cuanto a los siguientes aspectos: Evaluar los estudios ergonmicos sobre el impacto del uso de las pantallas de los sistemas iluminacin y dems reflejos que afectan la salud visual de los usuarios. Evaluar los estudios ergonmicos sobre las distintas posiciones y posturas que se adoptan frente a las computadoras, as como su posible repercusin en la columna vertebral, el rendimiento, el descanso y bienestar de estos usuarios.

14

Evaluar los estudios ergonmicos sobre la repercusin del uso del teclado y ratn en los brazos, muecas y dedos de los usuarios de sistemas computacionales. Evaluar los estudios ergonmicos sobre el impacto del medio ambiente laboral en la salud fsica y bienestar de los usuarios de sistemas computacionales. Evaluar los estudios ergonmicos sobre las cargas de estrs, condiciones ambientales, estilos de direccin y condiciones generales de bienestar para el desarrollo adecuado de las actividades computacionales en la empresa, as como su impacto en la salud emocional de los usuarios. Evaluar los ndices de ausentismo, rotacin de personal, cambios de actitud y dems aspectos que repercuten en el buen desempeo de las actividades de sistemas de cmputo, a fin de evaluar su impacto en la salud fsica y emocional de los usuarios. Evaluar los estudios ergonmicos sobre las dems afecciones fsicas causadas por el medio ambiente, iluminacin, sistemas de aire acondicionado, instalaciones, mobiliario, etc.

El auditor tambin debe evaluar el entorno de los sistemas en el desempeo y productividad del personal que est en contacto con las computadoras. A continuacin algunos de estos aspectos tienen que evaluar: Evaluacin de la existencia y aplicacin de los estudios ergonmicos relacionados con el bienestar y seguridad en el desempeo de los directivos, empleados y usuarios de sistemas de la empresa. Evaluacin del estudio del impacto en la salud fsica de empleados en general, en cuanto a repercusiones en las diferentes partes del cuerpo y dems impacto en su salud fsica. Evaluacin de la existencia y seguimiento de las medidas para prevenir, repercusiones en la salud de los directivos, empleados y usuarios de sistemas de la empresa, as como las medidas correctivas para mejorar esas situaciones. Evaluacin de estudios, propuestas y diseos del mobiliario y equipos que permitan a los directivos, empleados y usuarios de sistemas computacionales, y a todos los empleados de la empresa en general, desarrollar su trabajo con seguridad, confort y bienestar. Evaluacin de la existencia, aplicacin y seguimiento a los estudios ergonmicos realizados en las reas de sistemas de la empresa, as como de las medidas correctivas y preventivas derivadas de los mismos, a fin de mantener seguridad, confort y bienestar de los usuarios de sistemas de la empresa. 4. Evaluacin de la calidad ISO-9000 aplicable a los sistemas computacionales Actualmente se ha popularizado el sistema de administracin y aseguramiento de calidad a travs de la certificacin ISO-9000, cuyo principal objetivo es evaluar que los productos y servicios que proporcionan las empresas Da sus clientes cumplan con los estndares de calidad establecidas en las normas ISO. La ISO-9004: define como implementar un sistema de calidad, basado en una filosofa de calidad y documentado en un manual de calidad, incluyendo polticas, procesos y procedimientos necesarios para asegurar la calidad. Para evaluar la manera en que se obtiene la certificacin de Calidad ISO-9000 en los sistemas, productos y servicios de computo de la empresa, a travs de la propia auditoria de calidad de sistemas de esta certificacin, y con los requisitos, caractersticas y modalidades de esta auditora. Para evaluar la aplicacin de las normas ISO-9001 a travs de la evaluacin de los siguientes aspectos: Evaluacin

5.

Evaluacin de los proveedores y distribuidores de sistemas: Es por ello que el auditor de sistemas computacionales debe evaluar los aspectos relacionados con la adquisicin de nuevos productos informticos, as como a los proveedores y distribuidores que los proporcionan, a fin de garantizar las adquisiciones ms adecuadas, al menor costo y con la ms alta calidad y servicio para las necesidades de computo de la empresa; por esa razn debe tomar en cuenta los siguientes puntos:

15

Evaluacin de la existencia y de la aplicacin correcta de los procedimientos adoptados en la empresa para la adquisicin de sistemas computacionales. Evaluacin de la existencia y aplicacin de los procedimientos para identificar y establecer las mejoras de los sistemas computacionales, de acuerdo con las normas polticas de la empresa. Evaluacin de las convocatorias y concursos de adquisicin de activos informticos, a fin de verificar la eleccin correcta de proveedores y que las adjudicaciones se hayan realizado con transparencia y conforme a los costos y procedimientos autorizados por la empresa. Evaluacin de la calidad de los productos, as como de la oportunidad, confiabilidad y calidad de los proveedores y distribuidores de sistemas para proporcionar los servicios y mantenimiento de activos informticos. Evaluacin del seguimiento y control de los proveedores, distribuidores, asesores y desarrolladores de sistemas, as como de la utilidad e importancia que estos tienen para la empresa. Evaluacin de los ltimos cambios de sistemas computacionales de la empresa, valorando que estos cumplan con las necesidades especficas de actualizacin del rea de sistemas.

Diagrama del crculo de evaluacin

El uso de esta herramienta de evaluacin permite analizar, de un solo vistazo, toda la problemtica que incide en determinados aspecto. Con esta herramienta de apoyo para la evaluacin de los sistemas computacionales se puede valorar, visualmente, el comportamiento de los aspectos de los sistemas que estn siendo auditados, as como el cumplimiento y limitaciones.

Lista de verificacin (o lista de chequeo)

Este es uno de los mtodos de recopilacin y evaluacin de auditora ms sencillos de utilizar debido a la simplicidad de su elaboracin. Consiste en la elaboracin de una lista ordenada, en la cual se anotan todos los aspectos que se tienen que revisar del funcionamiento de un sistema. Adems la hace una de las herramientas mas confiables y utilizables para cualquier revisin de SC. Anlisis de la diagramacin de sistemas Esta es una de las principales herramientas de apoyo para el anlisis y diseo de los sistemas computacionales, y es de las que mas utilizan los desarrolladores de sistemas. Anlisis de la diagramacin de sistemas Por medio de estos diagramas el analista puede representar los flujos de informacin, actividades, operaciones, procesos y los dems aspectos que intervendrn en el desarrollo de los propios sistemas.

Modelos de sistemas
Se utilizan para tratar de interpretar una realidad acerca de las necesidades informticas del usuario. Identificando el comportamiento que tendr el sistema a travs de sus distintos procesos, actividades y componentes, mismos que el auditor puede evaluar de manera grafica y sencilla.

16

Diccionario de datos
Se aplica principalmente para determinar cada uno de los campos de datos, el tipo, tamao y descripcin de los datos que contendrn dichas bases de datos.

Diagrama Nassi-Schneiderman
Se utiliza este diagrama grfico para el anlisis y diseo del software estructurado de un nuevo sistema. En este diagrama grfico se definen, lo ms objetiva y claramente posible, los procesos, decisiones e iteraciones del sistema. A fin de sealar grficamente todas las acciones que seguir el programa para su funcionamiento adecuado.

Diagrama Nassi-Schneiderman
Cules son los grandes apartados del diagrama de Nassi-Schneiderman? Procesos Decisiones o condiciones alternativas Iteraciones

Diagrama de estado-transicin En este diagrama se representan los flujos de informacin que se asignen en una relacin de programacin estructurada, a fin de visualizar el proceso que se sigue para el desarrollo de las actividades del programa. Diagrama de estado-transicin Mediante este tipo de diagramas, el auditor de sistemas puede evaluar si el procedimiento que utiliz el diseador del sistema es acorde con las necesidades de los usuarios.

Diagrama de contexto
Este diagrama muestra de una manera casi global todas las entidades o los procesos que alimentan el objeto principal del sistema, a travs de rectngulos que representan la entidad o procesos en particular y la interaccin de stos con el proceso fundamental. Diagrama de contexto Este diagrama es muy til para el auditor de sistemas computacionales debido a que le permite identificar el sistema desde todo su contexto y con todas las posibles interacciones que se dan en sus procesos y programacin.

Diagrama de flujo de datos

17

Este es el mas comn de los diagramas de sistemas y tiene un sin numero de representaciones, en las cuales se usan simbologas clsicas como la IBM, HIPO ya que permite identificar las operaciones, actividades que se siguen durante el proceso, contemplando procedimientos y flujos que llevan los datos, desde su inicio hasta su terminacin.

Diagrama modular
En estos diagramas se muestran el flujo de la informacin en mdulos representados por organigramas de actividades que participan en el proceso del sistema.

Diagrama de seguimiento de una auditora de sistemas computacionales.

Esta tcnica tambin es conocida como mapa conceptual de evaluacin ya que permite hacer un mapa conceptual de todos los aspectos de los sistemas en evaluacin.

Programa para revisin por computadora. Esta tcnica es de las mas utilizadas en cualquier auditoria de sistemas computacionales, debido a que permite revisar, des la misma computadora y mediante un programa especifico, el funcionamiento del sistema, de una base de datos, de un programa especial o de alguna aplicacin de inters.

Programas de revisin elaborados por desarrolladores

Este tipo de programas ya se han desarrollado previamente por distribuidores & fabricantes de software de acuerdo con una necesidad especifica del mercado o para propsitos especficos.

Programas de revisin elaborados por el auditor

Para utilizar esta opcin, el auditor identifica los aspectos de los sistemas de la gestion administrativa o de las bases de datos que debe revisar en el rea de sistemas y establece en forma anticipada uno a uno los asuntos concretos que va a revisar mediante el apoyo de un sistema computacional.