Auditoria Informática. Unidad 11

Instituto tecnológico de las américas (ITLA).

Profesor:

Simeón Clase Ulloa

Interpretación de la información:

Dentro de la auditoria informática este es uno de los pasos más importantes para el auditor de sistemas computacionales las cuales son:
Analizar la información: concentrada en cuadros estadísticos y graficas de presentación.
Interpretarla y evaluar: el comportamiento del aspecto del sistema auditado.
Identificar posibles desviaciones: que reportara el sistema. Emitir una explicación adecuada: a través de un informe, sobre cómo se encuentra el funcionamiento del sistema y en caso de detectar fallas, cuáles serían los métodos más viables para corregirlos.

Técnicas para la interpretación de la información

Entre las diferentes técnicas para la interpretación de la información obtenida en una auditoria informática, podemos destacar el análisis critico de los hechos.

El análisis critico de los hechos sirve para discriminar y evaluar la información y el mismo se basa en las siguientes preguntas:

Pregunta                                          finalidad que determina

¿Qué?                                                          el propósito                                             

¿Donde?                                                      el lugar

¿Cuando?                                                   el orden y el momento

¿Quien?                                                       la persona responsable

¿Cómo?                                                       los medios

¿Cuanto?                                                     la cantidad

Las respuestas deben ser sometidas a la pregunta “¿Por qué?” para justicar la información obtenida; cada interrogante debe ser debe descomponer de la siguiente manera:

1. Propósito

(a) Que se hace

(b) Por qué se hace

(c) Que otra cosa podrá hacerse

(d) Que deberá hacerse

2. Lugar

(a) Donde se hace

(b) Por qué se hace ah

(c) En que otro lugar podrá hacerse

(d) Donde deberá hacerse

3. Sucesión

(a) Cuando se hace

Metodología para obtener el grado de madurez del sistema

Para poder interpretar la información de los sistemas debemos evaluar el

grado de madurez de los mismos.

-Verificar si el sistema esté definido.

-Verificar si el sistema esté estructurado.

-Verificar si el sistema es relativamente estable.

-Verificar si los resultados son utilizados o no.

CARACTERISTICAS	MADURO	INMADURO
DEFINIDO	COMPLETAMENTE	INCOMPLETO
ESTRUCTURADO	ALTO	BAJA
ESTABLE	NO CAMBIA	MUCHOS CAMBIOS
RESULTADOS	UTILIZADOS	NO UTILIZADOS

Dependiendo del grado de madurez y su grado de estructuración, se determina si debe estar automatizado y la posible madurez que repercutirá en una mejor utilización y en disminución de cambios.

Si el sistema está estructurado y maduro, se debió usar la técnica de sistema de información; si está estructurado, pero no está maduro se debió seguir haciéndolo manualmente; si está semiestructurado y maduro se podrá usar la técnica de soporte en la toma de decisiones (DSS= Decisión system support).

Si el sistema está semiestructurado, pero no está maduro, debió seguirse haciendo en forma manual; si no está estructurado y maduro es un sistema guiado por la intuición y deberá seguirse haciendo en forma manual. Si no está estructurado ni maduro el sistema no tiene razón de existir.

NIVEL DE MADUREZ	MADURO	INMADURO
NIVEL ESTRUCTURA	ESTRUCTURADO	SISTEMA DE INFORMACION GENERAL
SEMIESTRUCTURADO	SISTEMA DE SOPORTE DE DECISIONES	MANUAL
NO ESTRUCTURADO	INTUITIVO SIN RAZON

Evaluación de los sistemas de análisis

Se debe evaluar el desarrollo que ha tenido el sistema por medio de analizar los pasos que comprendieron el desarrollo del sistema y comparar lo que se planeó contra lo que realmente se está obteniendo.

ANALISIS

Se debe evaluar la información obtenida en los sistemas para poder: Determinar el objeto y compararlo con lo obtenido, buscar la interrelación con otros sistemas, evaluar la secuencia y flujo de las interacciones.

ETAPAS DEL ANALISIS

1. Análisis conceptual

-Evaluar el sistema funcional

-Evaluar el modularidad del sistema

-Evaluar la segmentación del sistema

-Evaluar la fragmentación del sistema

-Evaluar la madurez del sistema

-Evaluar los objetivos particulares del sistema

-Evaluar el fiujo actual de información

-Definir el contenido de los reportes y compararlo con el objetivo

2. Detalle de análisis actuales y esperados

-Evaluar los modelos de los reportes

-Evaluar los controles de operación

-Cuantificar el volumen de información

-Evaluar la presentación y ajustes

Se debe conocer en términos generales el nivel del sistema funcional para obtener los elementos suficientes que permitan evaluar el nivel de interacción, su grado de estructuración y la madurez del sistema con el fin de determinar si se justifica su automatización.

EVALÚE EL OBJETIVO

Evalúe que el objetivo general y el alcance del sistema funcional estén en forma clara y precisa. Esta actividad se encarga de delimitar el sistema obteniendo todo lo relacionado con él, mediante las entrevistas a los usuarios involucrados con el fin de evaluar si se cumplió con el objetivo.

Las versiones que ofrezcan los usuarios deberán ser confrontadas para verificar su compatibilidad.

Evaluación de los sistemas de infomación

Esta función tiene gran importancia en el ciclo de evaluación de las aplicaciones de sistemas de información por computadora. Busca comprobar que la aplicación cumpla las especificaciones requeridas por el usuario, que haya desarrollado dentro de lo presupuestado y que efectivamente cumpla con los objetivos y beneficios esperados.

Un cambio a un sistema existente. como la creación de un nuevo, introduce necesariamente cambios en la forma de obtener la información y un costo adicional. Ambos deberán ser evaluados antes y después del desarrollo.

Se debe evaluar el cambio (si lo hay) de la forma en que las operaciones son ejecutadas, comprobar si mejora la exactitud de la información generada, si la obtención de los reportes efectivamente reduce el tiempo de entrega, si es más completa, en que tanto afecta las actividades del personal usuario, si aumenta o disminuye el personal de la organización, los cambios de las interacciones entre los miembros de la organización. De ese modo se sabrá si aumenta o disminuye el esfuerzo por generar la información para la toma de decisiones, con el objeto de estar en condiciones de determinar la productividad y calidad del sistema.

El análisis deberá proporcionar: la descripción del funcionamiento del sistema desde el punto de vista del usuario, indicando todas las interacciones del sistema, la descripción lógica de cada dato, las estructuras que forman éstos, el flujo de información que tiene lugar en el sistema. Lo que el sistema tomará como entradas, los procesos que serán realizados, así como las salidas que deberá

proporcionar, los controles que se afectarán para cada variable y los procedimientos.

De este modo se agruparán en cuatro grandes temas.

-EVALUACIÓN EN LA EJECUCIÓN

-EVALUACIÓN EN EL IMPACTO

-EVALUACIÓN ECONÓMICA

-EVALUACIÓN SUBJETIVA

1. EVALUACIÓN EN LA EJECUCIÓN

Se refiere al uso de cuestionarios para recabar datos acerca de la actuación de la aplicación en la computadora, con objeto de conocer qué tan bien o qué tan mal está siendo usada y opera eficientemente.

Los cuestionarios son medios para recopilar datos acerca de los recursos de informática y pueden ser cuestionarios manuales. encuestas de opiniones, evaluación de documentación, obtención de información electrónica integrada al equipo (hardware) y de programas ejecutándose (software), obteniéndose en ambas las estadísticas acerca de su uso.

Existen dos tipos de estadística:

1-Estadística de software

Son un juego de instrucciones ejecutables, conectadas al sistema operativo con el fin de colectar datos acerca de la operación del sistema ya, cerca de los programas de aplicación; éste requiere memoria y proceso adicional, decrementando la rapidez del microprocesador. Esta estadística ayuda a detectar qué recursos adicionales se necesitan 0 que recursos existentes deben ser ejecutados para lograr más eficiencia, ayuda a identificar cuáles son los lenguajes más usados, qué tipo de proceso es más común, etc.

2. Estadística de hardware

Puede ser utilizada para medir la cantidad de tiempo de la unidad de procesamiento central, pero también podrá ser concentrada a los canales de comunicación y dispositivos de almacenamiento secundario para determinar la frecuencia y la cantidad utilizada.

Estos dos tipos de estadística normalmente son proporcionados por el fabricante de computadoras, pero algunos pueden ser desarrollados por la propia organización.

2. EVALUACIÓN EN EL IMPACTO

Es la evaluación que se hace sobre la manera en que afecta a la gente que interviene en la aplicación (usuarios) con el objeto de determinar como la implantación y el uso del sistema de información que afecta a la organización, distinguiendo qué factores son directamente atribuibles al sistema. Las principales áreas que nos deben interesar son las que intervienen en la toma de decisiones y en las actividades de operación.

Esta evaluación se hace con el fin de detectar a la gente involucrada, las actividades que son necesarias realizar, la calidad de Ia información y el costo de operación resultante.

Algunas expectativas deben ser elaboradas y jerarquizadas antes de empezar a diseñar el sistema con el fin de que, cuando se instale, se compruebe si los resultados satisfacen plenamente lo planeado.

Así mismo se debe evaluar el efecto que se tiene sobre el ambiente del sistema (personas, leyes, etc.). Para ello contamos con varias técnicas que nos ayudan en este propósito, las cuales son:

a) Bitácora de eventos

b) Registro de actitudes

c) Contribución y peso

d) Análisis de sistemas

3. EVALUACIÓN ECONÓMICA

Aquí se obtiene el costo de una aplicación y cuantiñcan los beneficios esperados con el objeto de justificar o no su desarrollo, o comprobar que la aplicación se desarrolló según lo presupuestado.

Es importante para la organización obtener la evaluación económica que le permitirá justificar su desarrollo e implantación.

Cuando la aplicación ha sido realizada, se busca obtener el costo real contra el beneficio real para comprobar o determinar el porqué de la diferencia de los presupuestado y/o la calidad de la aplicación.

Se debe evitar crear sistemas que perjudiquen la organización y minen su economía. Hay que tratar de obtener el mayor beneficio con el equipo disponible e invertir en equipos adicionales sólo cuando esté plenamente justificada la inversión por los beneficios que se obtendrán.

4. EVALUACIÓN SUBJETIVA

Partiendo de la premisa de que los usuarios son los principales afectados directamente por el sistema, sus puntos de vista y necesidades deberán ser considerados para la evaluación.

Los que procesan los datos, el personal de sistemas y personal de alta dirección deberán también participar en la determinación de los beneficios económicos de la actividad particular a ser desarrollada.

La justificación de la evaluación subjetiva se centra en que la opinión del grupo usuario proporciona un punto de vista más completo de la aplicación, ayudando a obtener aquellos factores que se hubieran pasado por alto.

Los métodos de la evaluación subjetiva pueden ser:

a) Uso de cuestionarios

b) Desarrollo de una metodología que midiera el valor de la información generada por la aplicación y por la ganancia de su uso.

Controles

Un punto muy importante a considerar dentro de la auditoría en informática son los controles, los cuales se dividen en generales, operativos (dependiendo del sistema) y técnicos (equipos y sistemas).

Los controles generales normalmente se aplican a todo procesamiento de la información y son independientes de las aplicaciones, estos controles incluyen:

• Planeación
• Organización
• Políticas y procedimientos
• Estándares
• Administración de recursos
• Seguridad
• Confidencialidad

Los controles operativos comprenden cada uno de los sistemas en forma individual y constan de:

• Control de flujo de la información y tabla de decisiones
• Control de proyectos
• Organización del proyecto
• Reporte de avance
• Revisiones del diseño del sistema
• Control de cambios a programa
• Requisición del cambio
• Bitácora de cambios
• Mantenimiento y documentación
• Producción
• Controles de documentación
• Documentación (sistema, programa)
• Mantenimiento y acceso a la documentación
• Control de sistemas y programas
• Sistemas en lote
• Control de programas
• Etiquetado de archivos
• Sistemas en línea
• Controles de salida
• Control de programa
• Controles de salida

Los controles técnicos que se deben de evaluar son:

• Controles de operación y uso de la computadora
• Supervisor
• Capturistas
• Bibliotecario
• Operadores
• Mesa de control
• Controles de entrada y salida
• Reporte de fallas y mantenimiento preventivo
• Controles sobre archivos
• Recuperación de desastres
• Controles de usuarios De origen de datos
• Controles de entrada de datos
• Controles de salida de datos
• Controles técnicos
• Aplicaciones Sistemas
• Equipos
• Controles lógicos del sistema
• Sistemas operativos
• Sistemas de utilería
• Sistemas de bibliotecas
• Sistemas de mantenimiento de archivo
• Sistemas de seguridad
• Control de acceso al sistema
• Control de cambios al sistema
• Redundancia en la información
• inconsistencia de datos
• Seguridad
• Controles de seguridad, respaldo y confidencialidad

Confección y redacción del Informe Final

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.

Estructura del informe final:

º El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.

Definición de objetivos y alcance de la auditoria.

Enumeración de temas considerados: antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.

Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber:

1-Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real.

2-Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras.

3-Puntos débiles y amenazas.

4-Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoria informática.

5-Redacción posterior dela Carta de Introducción 0 Presentación.

Modelo conceptual de la exposición del informe final

El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.

El Informe debe consolidar los hechos que se describen en el mismo. El término de «hechos consolidados» adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados.

La consolidación de los hechos debe satisfacer, al menos los siguientes

criterios:

1-El hecho debe poder ser sometido a cambios.

2-Las ventajas del cambio deben superar los inconvenientes derivados de mantenerla situación.

3-No deben existir alternativas viables que superen al cambio propuesto.

4-La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1. Hecho encontrado.

Ha de ser relevante para el auditor y para el cliente.

Ha de ser exacto, y además convincente.

No deben existir hechos repetidos.

2. Consecuencias del hecho

Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.

3. Repercusión del hecho

Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa.

4. Conclusión del hecho

No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja.

5. Recomendación del auditor informático

Deberá entenderse por si sola, por simple lectura.

Deberá estar suficientemente soportada en el propio texto.

Deberá ser concreta y exacta en el tiempo, para que pueda ser veriticada su implementación.

La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.

Carta de introducción 0 presentación del informe final:

La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría.

Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de introducción.

La carta de introducción poseerá los siguientes atributos:

1. Tendrá como máximo 4 folios.
2. Incluirá fecha, naturaleza, objetivos y alcance.
3. Cuantiticará la importancia de las áreas analizadas.
4. Proporcionará una conclusión general, concretando las áreas de gran debilidad.
5. Presentará las debilidades en orden de importancia y gravedad.
6. En la carta de introducción no se escribirán nuncarecomendaciones.