Académique Documents
Professionnel Documents
Culture Documents
1 GUlas de evaluaci6n
11.2 Ponderaci6n
11.3 Modelos de simulaci6n 11.4 . Eva I uaci6n
11.5 Diagrama del cfrculo de evaluaci6n
11.6 Lista de verificaci6n (0 lista de chequeo) 11.7 Analisis de fa diagramaci6n de sistemas 11.8 Diagrama de seguimiento de una auditorfa de sistemas computacionales
Programas para revisi6n por computadora
, .
ecrucas
5 eclales
e auditorfa
e sistemas mputaci nates
ura del capftulo:
478
Auditoria en sistemas
Introducci6n del capitulo
istemas comnutaci les se utilizan multiples herramientas <
di r d temas compu aelona . "
En la au rtoria e SIS . , it hacer una efieiente revrsion .....•..••...•
dici I d I auditorfa que perml en ..
y tecnicas tra icrona es e. a d r t a su gestion informatica y a los>
al funcionamiento de los sistemas e ~ompu o'S'n embargo como profesional .
d I hi t de sistemas I, ..•.•
diferentes aspectos e am len e . . de compute el auditor de siste- ..•.
. . I I 'on de los Sistemas , .. .••
ospecializado en a eva uaci . . h micntas tecnicas y procedirnien- .•.•..
" db' er y utilizar otras erra, I .
mas tarnbien e e conoo. r' I I... Ie ayudan a examinar y eva uar
r' d I r d nforrnatica os eua es ..
tos especificos e area e I '. de la actividad computacional. .
can mayor eficiencia los aspectos proplos c>
Tecnicas especiales de auditorfa de sistemas computacionales
479
Para cuafquier auditor, con experiencia a sin ella, la gufa de evaluaei6n es un documento que Ie perrnitira realizar, en forma eficiente y efectiva, su reconocimiento de auditorfa para eualquier aspecto relaeionado con los sistemas computacionales, ya que en esta gufa S8 Ie indica todo el procedimiento que debe seguir, los puntos que debe evaIuar y las herramientas que debe utilizar para hacer su revision, incluyendo la manera de apliearlas. Es decir, mediante este documento el auditor puede hacer el seguimiento paso a paso de todos los procedimientos para evaluar los puntas que tenga que evaluar.
Evidentemente, la utilidad de este dacumento estara deterrninada pOl' fa ealidad, contenido y profundidad de los aspectos que abarque.
Antes de continuar, es conveniente ver algunas definieiones sabre esta herramienta:
GUlas "EI que ecompeiin a otro para presentarle el camino ... Persona que dirige a otra [. . .J Lo que dirige [...J Libra de indicaeiones [. .. ]"1
7- .. J Lo que dirige a sirve de orientaei6n [. . .J Libra, folleto can datos, explieaeiones 0 normas de una determinada materia, para informaci6n del usuario. "2
Evaluaci6n
"Accion a etecto de evsluer. Valoraci6n que se hace de las aptitudes y meritas de una persona 0 de los conacimientos [...],,3
Evaluar
"Seiielar el valor de una cose. Caleular el valor que puede tenet; "4 "Valarar. Fljar el valor de una coso. "5
"Calcular el valor de una coso. vslorer: Valuar. "6
Valor
NOel letin valor: Lo que vale una persona 0 cosa [. .. ]Importancia [. . .J Determinaci6n de una cantidad [...]"7
"Grado de cafidad, metlto, utilidad 0 precio que tienen personas y casas [. . .J Significaci6n y alcance de algo r .. J Eficacia 0 virtud de las coses para producir efectos. Pracio equivalente a una coss [. .. ],,8
"Sefialar precio a una coso. Atribuir determinado valor 0 estima a personas a casas. Hacer que aumente el valor de una cose. ,tg
De acuerdo con estas definiciones, a continuaci6n presentaremos la siguiente definici6n para gufa de evaluaoion de auditorfa:
Es un doeL/mento formal, mediante el cual el auditor va siguiendo un procedimiento concreto que Ie permite 11acer su revision de auditoda de sistemas, y en
480
Auditorfa en sistemas computaci
el cual se Ie indican los puntas que debe reviser; las tecnices y metodos que, be eeguir. esi como el peso espedfico que cada uno de esos puntas tendra su evaluaci6n. Can ella se cubren todos los aspectos que deben ser
la d ditor! n doeumento basico en una auditoria de sistemas, m .
La gUla e au I ona es U ." . . .
el eual se puede hacer una buena revision de las area,s de slsten;~s, de la gestl~n I .
tica y en sf de todos los aspectos del sistema. Ad~mas es muy ut~1 para cua~qul:r ....•.••. inde endientementc de su experiencia y conocimientos en este~I~? de audltor~~s'ii
p " . , ede estandarizar los procedimientos de revisron y evaluacion .
con su ap IcaClon pu . .
Figura 11.1 Ejemplo de Formato de gufas de evaluaci6n.
Debido a la importancia y gran utilidad de esta gUla, ~a,ra una auditorr~ computacionales, a continuaci6n haremos un breve analisis de su conten .. de la forma de utilizarla:
Encabezado ... Cualquier documento de auditorfa de sistemas eomputacionales, d.ebe . riablemente una idontificacion en la cual se indiquen, como mlntmo'i puntos:
Empresa responsable de realizar la audltoria Aquf van impresos el logotipo y nombre de la empresa responsable ditorfa, segun las normas y eostumbres sobre este aspecto.
especiales de auditorfa de sistemas computacionales
481
Nombre de la empresa y area de sistemas auditada
Aquf se anotan el nombre de la empresa y el nombre cornpleto del area de sistemas
auditada. .
Fecha
Aqui se anota la fecha en que se iniciara la auditorfa. Es preferible anotarla en el formato de dfa, mes y afio, conforme a la Figura.
Hoja
Para llevar el orden adecuado, es necesario numeral' las hojas con el Formato numero de hoja y el total de las mismas; as! el auditor responsable de la revision puede Ilevar el control numerico de la gufa.
Como ejemplos tenemos:
Hoja 5 de 26. Aquf es la hoja 5 de 26
Hoja 9.1 de 40. Aquf la hoja es la que sigue de la hoja nueve, pero que fue necesario insertar, y para no alterar el total de hojas, se inserta como hoja 9.1
Referenda
Para un control adecuado del contenido de la gufa, es muy conveniente asignar un ruimero continuo, nemotecnico 0 de referencia, para sefialar el punto a que se refiere la evaluacion. Esto permite hacer un seguimiento adecuado de los puntas que van a ser evaluados y ayuda a establecer los procedimientos que se deben utilizar en cas a de encontrar desviaciones en algun punto,
Actividad que sera evaluada
Aquf se anotan, 10 mas clara y detalladamente posible, los puntos que el auditor debe analizar, explicando especfficamente cada uno de los aspectos, actividades, funciones o puntos que seran evaluados.
Procedimientos de auditorfa
De acuerdo can 10 anotado en las actividades que seran evaluadas, en esta columna se anotan los procedimientos a seguir para realizar la evaluacirin, En esta parte se especifican los procesos, pasos y domas instrucciones que serviran de gufa para evaluar 10 especificado en la columna anterior; se pueden anotar tantos procedimientos como sean necesarios durante la evaluacion.
Herramientas que seran utilizadas
acuerdo con el contenido de las columnas anteriores, en esta columna se anotan herramientas, tecnicas, procedimientos 0 instrumentos que seran utilizados en la Es costumbre detallar el contenido concreto de estas herramientas, y se anotar tantas herramientas como sean necesarias para la evaluacirin,
482
Auditorra en sistemas computaci
especiales de auditorta de sistemas computacionales
Observaciones
Se podrfa dar el caso de que hubiera necesidad de hacer aclaraciones; puede utilizer esta columna para realizarlas, de acuerdo con el punta evaluado.
Ejemplo de gufa de auditoria.
Auditores de Sistemas Asociadas
Empresa: Comercializadora, S.A. Area: Centro de servicios
de sistemalizacion
DO MM ANO
21 07 2002
Solicitar la asignacion de
seguridad en el una terminal para entrar al
acceso de sistema y aCcesar
usuarios de la informacion, cambiar datos, Pruebas al sistema y
red y la validez bases de datos, las bases de datos.
de sus atributos. instrucciones Y programas,
hasta donde 10 permita el Experimentacion en
sistema. la seguridad del
sistema.
Ingresar al administrador Y
cambiar privilegios, atributos Revision documental
y contrasefias de varios (electromagnetica) .
usuaries.
SAS-02 Evaluar la Entrar al sistema de red sin Observacion
seguridad de ninguna autorizacion y parlicipativa, oculta.
los niveles accesar a la informacion,
de acceso de alterar bases de datos 0 pruebas al sistema
usuarios. cambios al sistema, hasta Y las bases de datos.
donde permita el sistema.
Experimentaci6n en
Entrar al sistema y dar de la seguridad del
alta a distintos accesos sin sistema.
tener autorizacton.
Revision documental
Solicitar a un usuario, sin ( eleclromagnetica).
forzarle, que ingrese a un
nivel que no Ie corresponda
y verificar si el sistema
Ie permite la operacion.
SAS 03 Evaluar la Ingresar al sistema de red observacion
confiabilidad en sin contrasefia. parlicipativa,oculla.
la administracion
de la Reiniciar el sistema y utllizar Pruebas al sistema y
teclas F5 0 F8 al encender las bases de datos. Evaluar la administracion y control de la bltacora de acceso a los usuaries del sistema.
el sistema, e ingresar sin contraseria.
Entrar al sistema con disco de arranque externo e ingresar sin contrasefia,
Tratar de accesar al sistema alterando tres veces la contrasefia y observar las acciones del sistema.
Solicitar la asiqnacion de una terminal para entrar al sistema y reanzar diversas actividades de las autorizadas, verificando documentalmente que se tengan registradas estas en la biracora.
Hacer una revision a la bitacora y verificar la informaci6n de los usuaries: la fecha, hora de ingreso y salida del sistema, registro de sus actividades y cualquier incidencia durante su estancia.
Monitorear aleatoriamente usuaries y evaluar si las actividades que realizan estan registradas en la bltacora, Si es necesario aplicar encuestas y , entrevistas sob fe el control de la bitacora de acceso.
Evaluar los derechos y obligaciones de los usuaries en el manual de usuarios 0 ' reglamento del area de compute, en cuanto a su cumplimiento y registro de incidencias en la bitacora.
Verificar que se cum pia con los tiempos limite de acceso y sus registros en la bitacora,
Experlrnentacion en la seguridad del sistema.
Revision documental (etectromaqnetica).
Observaci6n participativa, oculta.
Revisi6n documental a los registros y el sistema de computo.
Experimentaci6n en la seguridad del sistema.
Entrevista con administrador del sistema, los usuarios y personal del area
intento bloquea la terminal
Obtener respaldo previo del sistema
y 105 movimientos previos a la prueba.
Documentar los accesos y cambios que se realicen al sistema.
483
484
Entrevistar al administrador respecto al cumplimiento
de sus funciones, apoyados en el manual de organizacion, el manual de procedimientos y de operaclon,
Encuestas entre el personal del area y los usuaries del sistema-
Auditoria en sistemas
especiales de auditoria de sistemas computacionales
Entrevista con administrador del sistema, los usuaries y personal del area.
Encuestas a los empleados y usuarios del sistema.
SAS-06 Evaluar el Hacer la revision Revision documental
registro documental a cada una de historica a las
mstonco de las las bttacoras de incidencias bltacoras anteriores.
incidencias de de tres meses, un semestre
seguridad de y un ano anteriores Y Entrevista y encuesta revisar.
acceso al evaluar la magnitud, impacto con empleados y
sistema de red. y soluci6n a las mismas. usuarios- Continuacion
SAS-05 Evaluar el adecuado cumplimiento de las funciones del administrador del sistema de red.
SFA-01
Evaluar las medidas de seguridad para el acceso ffsico del personal y los usuarios del sistema.
Evaluar, mediante entrevista o encuesta, a los empleados y usuaries del area, sobre las incldencias ocurridas en 'asas epecas, y obtener sus opiniones sobre la confiabilidad del registro de incidenetas en las bitacoras pasadas.
Tratar de ingresar al area de sistemas sin ninguna ldentiticaclon Y evaluar las incidencias.
Tratar de ingresar al area de sistemas con la identificacion de cualquier empleado y evaluar las mcidencias.
Evaluar actuaci6n del personal encargado de la entrada y las medidas de seguridad, y vigilancia Y del area de sistemas.
Entrevistas Y cuestionario a los dlrectivos, empleados y usuarios del sistema, para obtener su opinion sobre las medidas de seguridad del area,
Evaluar las medidas de seguridad para el control de acceso y salida de los bienes lnformaticos del area de sistema.
Observacion participativa, directa y oculta para el acceso al area.
Entrevista Y encuestas a directivos, empleados y usuaries del area.
Revisi6n documental a reportes y bltacoras de acceso.
Verificar los cambios
de turno del personal de vigilancia del area
de sistemas.
Revisar los reportes de novedades del personal de viqilancia y las bitacoras
de acceso, asf como su oportunidad y suficiencia en el registro.
Revisar los reportes de novedades de salidas y entradas de bienes y evaluar sus contenidos oportunidades, ' justificaciones e incidencias.
Revisar las bitacoras de entradas y salidas de
bienes del area de sistemas asf como el correcto registr; de sus contenidos, su oportunidad, y las justificaciones e incidencias.
Revisar los controles formatos y registros ' documentales de las salidas y entradas de bienes en el area de sistemas.
Entrevistas y cuestionario a los olrectlvos, empleados y usuarlos del sistema, para obtener su opinion sobre las medidas de seguridad, el registro y la soluci6n de incidencias del area.
Tratar de introducir un bien sin notificarlo a vigilancia y sin ninguna autorizaci6n.
Tratar de sacar un bien sin notificarlo a vigilancia y
sin ninguna autorizacion.
Evaluar Si' existen detectores de metales, aduanas de revision 0 cualquier otra medida de revisi6n para la
Observaci6n participativa, directa y oculta para el acceso al area
Entrevista y encuestas a directivos, empleados y usuarios del area.
Revision documental a reportes y bitaco ras de acceso.
Experimentaci6n al tratar de introducir y de sacar bienes inrorrnatlcos.
Las pruebas de ingreso pueden hacerlas el auditor o tercaros ajenos al area.
485
486
Continuaci6n
SFS-03 Evaluar los reportes de incidencia Y las acciones preventivas y correctivas en su solucion, en el acceso f[sico de los usuarios.
SPC-01 Evaluar los planes de contingencias del area de sistemas.
SPC-02 Evaluar la reanzacion de simulacros en el
entrada y salida de bienes del area.
Auditoria en Sistemas
especiales de auditoria de sistemas computacionales
487
Evaluar ta vigencia, constante actualizacion, disponibilidad Y difusion del plan de contingencias entre directivos, empleados Y personal del area de sistemas.
Evaluar que el plan de simulacros contenga acciones preventivas para realizar el simulacro y correctivas para despues del mismo. Asi como la correcta documentacion de su realizaclon.
simulacros, aplicar estes mismos puntos.
sistemas.
incidencias, cumplimiento
de actividades, objetivos y Entrevista y
correcciones a las medidas encuestas
La guia de evaluaci6n a la seguridad que expusimos como ejcrnplo esta disefiada para evaluar la seguridad en el acceso al sistema (SAS-OO), Seguridad ffsica a las areas de sistemas (SFA-OO) y Seguridad en el plan de contingencias del area de sistemas la cual conternpla algunos de los principales aspectos de seguridad inforrna-
que debe revisar el auditor, adaptando los puntos de la misma a las nocesidades revision de la seguridad en la empresa donde se realice esta revisi6n.
preventivas y correctivas.
Observacion participativa, directa y oculta para el acceso al area
Revisar los controles, formatos Y registros documentales de las salidas y entradas de bienes en el area de sistemas.
Entrevistas y cuestionario a los directivos, empleados y usuarios del sistema, para obtener su opinion sobre el plan de contingencias, su utilidad, conocimiento, difusion y actualizacion. Obtener los reportes de novedades, incidencias y medidas correctivas, derivadas de los slrnulacros y evaluar las modificaciones al plan de contingencias.
Entrevista Y encuestas
a directiv~s, empleados y usuarios
Revision documental a reportes y bilacoras de acceso.
Entrevistas Y cuestionario a los olrectlvos, empleados y usuaries del sistema, para obtener su opinion score las medidas de seguridad, el registro y la solucion de incidencias del area.
Revision documental a reportes y bitacoras de acceso.
Solicitar el plan de contingencia Y evaluar su correcta elaboracion,
la asignacion de funcionarios responsables, (unciones Y medidas greventivas y correctivas.
Entrevi stas y encuestas a directivos, empleados y usuarios.
Evaluar que el plan de contingencias contenga acciones a realizar antes, durante y daspues de un siniestro, asf como los responsables de las mismas.
Entrevistas Y cuestionario a los directivoS, empleados y usuarlos del sistema, para obtener su opinion sobre el plan de contingencias, su uti\idad, conocimiento, difusion y actualizacion.
Revisar las bltacoras de elaboracion de simulacros Y evaluar el registro de
a directivos, empleados y usuaries.
ponderaci6n es una tecnica especial de evaluaci6n, mediante la cua] se procura darun peso especffico a cada una do las partes que seran evaluadas: su objetivo es trade compensar el valor que les asignamos a las actividades 0 t6picos que tienen importancia en la evaluaci6n, en relaci6n con los que tienen mayor importancia.
Esta tecnica de evaluaci6n permite equilibrar las posibles descompensaciones que entre las areas 0 sistemas computacionales que tienen mayor peso e importany las areas 0 sistemas que tienen poco peso e irnportancia en la evaluaci6n. Lo que busca con la ponderaci6n es que todas las areas tengan un valor similar, respetan-
Rev'lsion documental a reportes y bitacoras de acceso.
488
Auditorla en sistemas
do en cada caso el peso e importancia representativos gue tienen para el sistema
t ional 0 para todo el centro de c6mputo. .' , .
ac . di . to de esta tecnica. a continua cion presentare
Para un mejor enten irruen . . I
breve ejemplo cotidiano de una ponderacian y segulre~os c~n otro eJemp 0
haremos un breve analisis de la utilidad de esta herrarnienta:
Ejemplo grafico de una evaluaci6n de sistemas . /
Primer a80. En la columna 1 se anotan las areas a aspectos de s~~temasgue ..
luados yen la columna 2 se establece un peso porcentual especfflco para ."
tor: el auditor establece ese peso a su libre albedrfo (yea el ouadro 1). .
, En este primer paso se eligen los factores mas importantes gue se van a
. , a los ue pueden ser representantes de un grupo 0 .•..
~:~sd~ed:r~~: ~:~a;~L~~ de es~s factores un valor porce.n,tual {peso espe~r~co ..•.••.
representara la importancia de ese :actor en la evaluaclon. La suma tota e .•.....•.•.•. res primarios siempre debe ser 100Yo (columna 3). . .....
Evaluacion de la gestion informatica del centro de computo
S d aso A cada uno de los factores elegidos como primarios. se Ie .•...•.•.
ti~i~~~e~ ~spe~fficas gue contribuyan a su evaluaci6n total; en el elempl al factor primario 1 (Objetivos del centro de camp.uto) se Ie ag~egan I;s ...•..•••.••
ueden a udal' a evaluarlo (columna 1). De [a rmsrna manera, a ca a .' •.. ~idades s~naladas se Ie da un peso especffico (porce~tual), el cual . '. portancia gue tiene esa actividad dentro del factor pnmano (colu m~a .' .••
EI total de esas actividades tambien debe s~mar 100%, pero solo ......•
nn >II rlm1 oprtRnRc.en (obietivos del centro de cornouto l. .'.
especiales de auditoria de sistemas computacionales
489
Tarnbien se Ie asignaron valores especfficos (columna 2) a cada una de las actividades del factor primario indicado como nurncro 1, 01 cual tiene un valor especffico de 10% (columna 1). En el ejemplo se manejan los siguientes valores para cada actividad, y la suma total de osos valores es 100%:
" Establecimiento del objetivo general 25%
.. Cumplimiento del objetivo general 30%
.. Difusi6n del objetivo general 20%
.. Derivaci6n de objetivos secundarios 15%
" Seguimiento y control de objetivos 10% Adernas, estos porcentajes se pueden hacer comparativos y asignar a cada actividad un peso ponderado (columna 3), el cual es el valor porcentual gue la representa, en relaci6n con el peso especffico del factor prima rio. En este caso, ya gue al factor primario se Ie asign6 el valor de 10%, entonces cada uno de sus componentes representara un peso ponderado.
Siguiendo el mismo ejemplo tenemos 10 siguiente: a la difusi6n del objetivo general se Ie asign6 20% y esto representa un valor ponderado de 2% (columna 3) en relaci6n can el valor total de este punto (columna 4).
Cuadro 2
Columna 1 Columna 2 Columna 3 Columna 4
Actividades que van a ser evaluadas Peso por Peso po r factor Valor de
V ponderadas actividad ponderar ponderacldn
1. Objetivos del centro de cornputo 10.0%
Establecimiento del objetivo general 25% 2.5%
Cumplimiento del objetivo general 30% 3.0%
Difusi6n del objetivo general 20% 2.0%
Derivaci6n de objetivos secundarios 15% 1.5%
Seguimiento y control de objetivos 10% 1.0%
Total del factor a pondsrar 100% 10.0% A continuaci6n presentamos la tabla de ponderaci6n completa, tornando en cuenta los facto res primaries indicados en el primer paso. Notemos gue la suma de las actividades de cada factor siempre resultara 1 00% (columna 2) y gue el valor ponderado (columna 3) representara el valor total de cada punto (columna 4).l*)
porcontualos que presontarnos aquf son arbitrarios. elegidos por preferencia y s610 como un ejernplu. el auditor responsable de la auditorfa debora asiguar tanto los factures primarios que va a evaluar, lor que Ie asignani a cada factor. Adomas. tarnbicn debe elegir las actividades y asignarles el valor quo para cada uno de e808 factures primarios.
490
Cuadro 3
Auditorfa en sistemas computaci
especiales de auditoria de sistemas computacionales
1. Objetivos de! centro de compute
Derivacion de objetivos secundarios
Definicion de niveles de autoridad
Metodos y procedimientos
Evaluacion de adquisiciones
5. Personal y usuarios
Manejo del sistema
Columna 2
Actividades que van a ser evaluadas y ponderadas
Peso por actividad
25%
En el punta numero 6, Documentaci6n de los sistemas, 01 valor ponderado del faces 2.0% y los valores para cada una de sus actividades son: 30%, 40%, 20% Y 10%, eual nos da un total de 100% (colum na 2); mientras que el poreentaje del valor pondel factor es: 0.6%,0.8%,0.4% Y 0.2%, respectivamente (columna 3).
3.75%
491
492
Auditorfa en sistemas cornputaciori
especiales de auditorfa de sistemas computacionales
Para el calculo se aplica una regia de tres simple: si 2 es igual a 100%, ~cua
presentara 30%? Se aplica la formula: .
(2.0 * .30)/100 = .06, 10 cual equivale a 0.6% del v~lor total de ~~te f~ctor.
Tercer paso. Se aplica esta gUla de evaluacion y se registran las cahf,c~c,ones .•. cadas para cada una de las actividades propuestas (colu n:~a 5). Dospues, can ....•• sultados se obtionen los puntos alcanzados para cada actividad y para el total po
f ., ( I mna 6) Esto permite comparar los resultados con los valo
actor pnmano co u. . . ... I'
tablecidos inicialmente para cada actividad y errutir un IUlclo sobre su cump rm
Veamos 01 ejemplo del cuadro 4 para 01 punto 6, Documentaci6n de los
miento de cada actividad. AI final, el auditor obtiene el promedio aritmetico de esa columna y 10 anota.*
Cuarto paso. Despues de haber obtenido las calificaciones y los valoros de toda la gufa de pondcracion (columna 5), aSI como 01 porcentaje de los puntos obtenidos (columna 6), el responsable de la auditorfa debe realizar un analisis profundo sobre cada uno de los resultados y valorar el grade de cumplimiento de cada una de las actividades. Es recomendable adoptar un criterio uniforme para calificar de la misma manera todos los puntos evaluados.
Para explicar esto utilizaremos resultados hipoteticos en el punto 8, Configura cion del sistema; as! encontra rornos los siguientes valores para la calificacion (columna 5) yel calculo dol porcentaje de los puntas obtenidos (columna 6). El criterio de calificacion que utilizaromos es el siguiente:
Excelente 1.00% (para el cumplimiento mas alto)
Bueno 0.80 (para un cumplimiento bueno sin Ilegar a ser excolento)
Regular 0.60 (para un cumplimiento minimamente aceptable)
Deficiente DAD (para un cumplimiento malo y mucho peor de 10 esperado]
Pesimo 0.20 (para el "incumplimiento" francamente desastroso)
Una vez obtenidas las calificaciones, promedios y sumas de cada uno de los factores, se comparan los resultados de cada factor con su peso especffico. EI proposito es quo el auditor tenga un criteria numerico mediante 01 cual pueda tener los pararnetros para cornparar el grade de cumplimiento alcanzado pOl' cada factor con el grado de cumplimiento esperado.
Cuadro 4
Columna 1
Columna 2 Columna 3
Actividades que van a ser evaluadas V ponderadas
Peso por actividad
Peso por ponderer penderacion
2.0%
6. Documentaci6n de los
Como podemos observar en el cuadra 4: el. audito~ as!gna una califi
actividad (columna 5), y con ella emite un :~Iteflo 1 cualitativo 0 cua ,
luar el grado de cumplimiento de dicha actividad. Este es un valor nume ...
presenta la calificaci6n que el auditor Ie otorga a cada uno de esos punto~ can su desernpefio. EI total dol factor a ponderar, se calcula sumando los.
resultado se divide entre 01 nurnero de lfneas. " .
El auditor debe establecer el criteria para evaluar el c.umpliml:nt~ de . los puntos de esta guia de ponderacion, segun I~s herramientas, tecrucas cedimientos de auditoria que utilice. EI valor mas alto se otorga cuando lias 0 cuando 01 punto evaluado cumple total mente can 10 establ desciende cuando el punto evaluado no cumple total mente con 10 esta
menos curnpla, mas desciende. " ....•...•...
Despuos de asentar esas califica.ci.ones, el auditor haec el calc~1 ......•.
jo de puntos obtenidos pOI' cada actividad (columna 6), el cu~l. ser~, ... rnultiplicar el valor del peso ponderado (columna 3) par la calificacior .. lumna 5). EI resultado, en decimales, es el valor porcentual del gra.
Columna 2 Columna 3 Columna 4 Columna 5 Columna 6
Actividades que van a ser Peso par Peso por Valor de Porcentaje
evaluadas V ponderadas actividad ponderar pcnderacien Calificacion de puntos
obtenidos
8. Configuraci6n del sistema 4.0%
Definicion del equipo (hardware) 25% 1.0% 95% 0.95
Definici6n del equipo (software) 25% 1.0% 95% 0.95
Adaptacion de instalacianes 15% 0.6% 80% 0.48
Adaptaci6n del media ambiente 15% 0.6% 50% 0.30
Planes contra contingencias 20% 0.8% 10% 0.03
Total del factor a ponderar 100% 4.0% 66% 2.6 par los resultados de las multiplicaciones, se pueden obtener resultados quo no coinciden aritme.. como en el caso de este ejernplo, en donde la surna de la columna 6 nos da pOl' resultado 1.61. Mienrnultiplicamos el valor del total ponderado de la columna 5 (2.0 par 8.25) el resu/tado es 1.65; la ··.·0.04 no es significativa y se puede anotar el valor que mas erea eonveniente el auditor, La importants n que se debe haeer de ese valor. Como se indica en el cuarto paso.
493
494
11·3
Auditorta en sistemas computa
d b· I total es un poco mas que regular, 2.64% al
Como po emos 0 sei val', e , " b
. , 4 0°/ del total esperado de este factor (apenas se 0 tuvo ......•
en comparaclOn con • 10 ... .. I I" .
. , 1 0091 del osperado]: esto nos haria ,uzgar que e cump mue
/ en comparaclon con 0 , • bl S' b esto no es .
.. . acion del sistema es mirurnamente acepta e. 111 em argo, .. .
lal c~ntf,gur co 10 mas I iusto, Seria muy arbitrario e injusto calificar. e.' :~mplim,e .
a m ampo f .. , d I h d re y definicion del s
95% de los dos primeros puntos (de IIlICIOn e ar wa . .
con 66% (cada uno de ellos casi alcanza el mas alto cun;plim,onto); tamfoc~
• • U ." 1 00/ del ultimo' se esperaba .8% y solo alcanzo 0.08 Yo (este .
egu rtatrvo premlar 10,. '~ .:
canza ni el cumplimiento rrumrno senalado en la tabla)... . ..•.
En 01 ejemplo vemos gue al factor Planes contra contmgencias se Ie co
o muy poco valor. . I I '
"1 t 'a de ponderaci6n ya que permlte eva uar, 0 mas
Por eso es muy uti es a gUI , " . f .
t ibl los resultados obtenidos en una auditoria, eleglr los actores •..•.
vamen e POSI e, d d II .
ue seran evaluados, las actividades que seran evaluadas en ca a .u,no e e. os, <
q , . '. . t d esos factores. Tarnbien perrmte
darles un peso especffico equrtativo a 0, o~ d .. . ..•.••••.
verdadera valoraci6n del grado de cumplirniento de ~ada facto~ y c~ ,a ~~~Iv~e .....
Conviene indicar que esta tecnica se puede ap rear en to 0 e am I, 0 ..•.•
d . de los aspectos de sistemas que deban ser evaluados. Dicha
o en ca a uno c ., •..•..•
se hara de acuerdo con las necesidades de la evaluacion,
Modelos de simulaci6n
Esta herramienta es una de las mas utilizadas para el analisis ,y disefio de si.
. b' , de ser de mucha utilidad para la auditorfa de sistemas comp ....•••.•.•.•
ro tam len pue If' . la el .
a que mediante el uso de un modelo, conceptua 0 'ISICO, se slmu. ' .....•..
~o de un sistema computacional, de un progra~a, de una base de datos, .
cion de una actividad 0 de cualquier tarea de sistemas qu~ tenga que s;r .
el ;0 osito de investigar cual es, fue 0 sera el com~o.rtamlento. del feno '.'i
p p t di bajo ciertas condiciones y caracterlsncas cone: etas, en la
mas en es u 10, C • I di
sentan todas las simulaciones necesarias que s~ a~emeJen a me ,10 .....•... donde actua dicho fenorneno para valorar su autentrco aprovecha~TlIento,< ..
y deficiencias de funcionamiento, sus p,ri ncip.ale~ problemas, etce~era'b'i EI usa de esta tecnica de simulacion es indispensable para e :ra a rrolladores de nuevos sistemas, ya que pe~mite elaborar "" amb~e .....•. nuevo sistema, con el fin de estudiar su posible comportamlent~. na ...•.....•.. osible comportamiento del sistema, se pueden sacar conclusiones pa
~llas de funcionamiento, as! como sus prin~ipales pro~!emas a~t~s de ...•..•.
. t De hecho todos los analistas de sistemas utilizan mo e os ..:.
SIS ema., . I .
tes de programar (codificar) un sistema computacional, rruerrtras gue<
res elaboran su programaci6n con base en estos modelos. ' .
especiales de auditorfa de sistemas computaCionales
495
En el casu concreto de auditoria de sistemas computacionales, la sirnulacion es la elaboraci6n de modelos, conceptuales 0 fisicos, muy similares a los sistemas institucionales de las empresas; inclusive pueden ser los mismos que estas utilizan actualillente. Muchos se prueban con bases de datos ficticias 0 con datos reales pero sin validez.
EI auditor hace pruebas en esos modelos de simulacion, para verificar el comportamiento y funcionamiento de los sistemas computacionaJes, la forma en que se realiza el procesamiento de datos, la emisi6n de informes, la captura de datos 0 cualquier otro aspecto de dichos sistemas,
Esta simulaci6n se puede hacer para evaluar cuaJquier fenomeno de sistemas computacionales, 10 mismo para el analisis, disefio y programacion de sistemas, para la instalaci6n y liberaci6n de un nuevo sistema, 0 para evaluar el comportamiento de las bases de datos, el cornportamianm del hardware, el mobilia rio y equipo, 01 disefio e instaJaci6n de una red de cornpum 0 cualquier otro aspecto de sistemas.
lncluso en el ambiente de seguridad se utiliza esta herramienta para hacer simulacros de aJguna posible contingencia, con eJ prop6sito de capacitar aJ personaJ para que sepa COmo actuar en caso de siniestros. Los simulacros mas comunesen una empresa son: simulacros de evacuacirin, de recuperacion de archivos, de primeros auxilios, simulacros para combatir incendios, etcetera.
A continuaci6n presentamos aJgunas definiciones de esta herramienta, con eJ fin de entender rnejor su utiJidad:
"Del letin simular, de simi/is; Semejante, Aparentar, fingir. "10
.. "Imagen hecha a semejanza de una cosa [..J Cosa que forma la fantasfa. Ficcion, imi. tecion, falsificacion. "11
que se sigue, urute a reproduce [. . .J Represeotecton en pequotio de una cosa. perfecto, digno de ser imitado. "12
Para eJ casu de una auditorfa de sistemas computacionales, definiremos la simulade la siguiente manera:
La imiteclon formal del sistema computacional, mediante un modelo simulado, en cuento al funcionamiento del hardware, software, informacion, instalaciones o aplicaciones, en la cual se representan sus principales caracterfsticas de operecion, forma de capture, procesamiento de datos y emislon de resultados del sistema original, con el propos ito de estudiar 01 comportamiento del sistema y evaluar su funcionamiento real, En estes modelos se pueden aplicar datos ficticios 0 datos reales, para sin que esta simulecion I/egue a influir en la actividad normal del sistema original.