11.

1 GUlas de evaluaci6n

11.2 Ponderaci6n

11.3 Modelos de simulaci6n 11.4 . Eva I uaci6n

11.5 Diagrama del cfrculo de evaluaci6n

11.6 Lista de verificaci6n (0 lista de chequeo) 11.7 Analisis de fa diagramaci6n de sistemas 11.8 Diagrama de seguimiento de una auditorfa de sistemas computacionales

Programas para revisi6n por computadora

, .

ecrucas

5 eclales

e auditorfa

e sistemas mputaci nates

ura del capftulo:

478

Auditoria en sistemas

Introducci6n del capitulo

istemas comnutaci les se utilizan multiples herramientas <

di r d temas compu aelona . "

En la au rtoria e SIS . , it hacer una efieiente revrsion .....•..••...•

dici I d I auditorfa que perml en ..

y tecnicas tra icrona es e. a d r t a su gestion informatica y a los>

al funcionamiento de los sistemas e ~ompu o'S'n embargo como profesional .

d I hi t de sistemas I, ..•.•

diferentes aspectos e am len e . . de compute el auditor de siste- ..•.

. . I I 'on de los Sistemas , .. .••

ospecializado en a eva uaci . . h micntas tecnicas y procedirnien- .•.•..

" db' er y utilizar otras erra, I .

mas tarnbien e e conoo. r' I I... Ie ayudan a examinar y eva uar

r' d I r d nforrnatica os eua es ..

tos especificos e area e I '. de la actividad computacional. .

can mayor eficiencia los aspectos proplos c>

Tecnicas especiales de auditorfa de sistemas computacionales

479

Para cuafquier auditor, con experiencia a sin ella, la gufa de evaluaei6n es un documento que Ie perrnitira realizar, en forma eficiente y efectiva, su reconocimiento de auditorfa para eualquier aspecto relaeionado con los sistemas computacionales, ya que en esta gufa S8 Ie indica todo el procedimiento que debe seguir, los puntos que debe evaIuar y las herramientas que debe utilizar para hacer su revision, incluyendo la manera de apliearlas. Es decir, mediante este documento el auditor puede hacer el seguimiento paso a paso de todos los procedimientos para evaluar los puntas que tenga que evaluar.

Evidentemente, la utilidad de este dacumento estara deterrninada pOl' fa ealidad, contenido y profundidad de los aspectos que abarque.

Antes de continuar, es conveniente ver algunas definieiones sabre esta herramienta:

GUlas "EI que ecompeiin a otro para presentarle el camino ... Persona que dirige a otra [. . .J Lo que dirige [...J Libra de indicaeiones [. .. ]"1

7- .. J Lo que dirige a sirve de orientaei6n [. . .J Libra, folleto can datos, explieaeiones 0 normas de una determinada materia, para informaci6n del usuario. "2

Evaluaci6n

"Accion a etecto de evsluer. Valoraci6n que se hace de las aptitudes y meritas de una persona 0 de los conacimientos [...],,3

Evaluar

"Seiielar el valor de una cose. Caleular el valor que puede tenet; "4 "Valarar. Fljar el valor de una coso. "5

"Calcular el valor de una coso. vslorer: Valuar. "6

Valor

NOel letin valor: Lo que vale una persona 0 cosa [. .. ]Importancia [. . .J Determinaci6n de una cantidad [...]"7

"Grado de cafidad, metlto, utilidad 0 precio que tienen personas y casas [. . .J Significaci6n y alcance de algo r .. J Eficacia 0 virtud de las coses para producir efectos. Pracio equivalente a una coss [. .. ],,8

"Sefialar precio a una coso. Atribuir determinado valor 0 estima a personas a casas. Hacer que aumente el valor de una cose. ,tg

De acuerdo con estas definiciones, a continuaci6n presentaremos la siguiente definici6n para gufa de evaluaoion de auditorfa:

Es un doeL/mento formal, mediante el cual el auditor va siguiendo un procedimiento concreto que Ie permite 11acer su revision de auditoda de sistemas, y en

480

Auditorfa en sistemas computaci

el cual se Ie indican los puntas que debe reviser; las tecnices y metodos que, be eeguir. esi como el peso espedfico que cada uno de esos puntas tendra su evaluaci6n. Can ella se cubren todos los aspectos que deben ser

la d ditor! n doeumento basico en una auditoria de sistemas, m .

La gUla e au I ona es U ." . . .

el eual se puede hacer una buena revision de las area,s de slsten;~s, de la gestl~n I .

tica y en sf de todos los aspectos del sistema. Ad~mas es muy ut~1 para cua~qul:r ....•.••. inde endientementc de su experiencia y conocimientos en este~I~? de audltor~~s'ii

p " . , ede estandarizar los procedimientos de revisron y evaluacion .

con su ap IcaClon pu . .

Figura 11.1 Ejemplo de Formato de gufas de evaluaci6n.

Debido a la importancia y gran utilidad de esta gUla, ~a,ra una auditorr~ computacionales, a continuaci6n haremos un breve analisis de su conten .. de la forma de utilizarla:

Encabezado ... Cualquier documento de auditorfa de sistemas eomputacionales, d.ebe . riablemente una idontificacion en la cual se indiquen, como mlntmo'i puntos:

Empresa responsable de realizar la audltoria Aquf van impresos el logotipo y nombre de la empresa responsable ditorfa, segun las normas y eostumbres sobre este aspecto.

especiales de auditorfa de sistemas computacionales

481

Nombre de la empresa y area de sistemas auditada

Aquf se anotan el nombre de la empresa y el nombre cornpleto del area de sistemas

auditada. .

Fecha

Aqui se anota la fecha en que se iniciara la auditorfa. Es preferible anotarla en el formato de dfa, mes y afio, conforme a la Figura.

Hoja

Para llevar el orden adecuado, es necesario numeral' las hojas con el Formato numero de hoja y el total de las mismas; as! el auditor responsable de la revision puede Ilevar el control numerico de la gufa.

Como ejemplos tenemos:

Hoja 5 de 26. Aquf es la hoja 5 de 26

Hoja 9.1 de 40. Aquf la hoja es la que sigue de la hoja nueve, pero que fue necesario insertar, y para no alterar el total de hojas, se inserta como hoja 9.1

Referenda

Para un control adecuado del contenido de la gufa, es muy conveniente asignar un ruimero continuo, nemotecnico 0 de referencia, para sefialar el punto a que se refiere la evaluacion. Esto permite hacer un seguimiento adecuado de los puntas que van a ser evaluados y ayuda a establecer los procedimientos que se deben utilizar en cas a de encontrar desviaciones en algun punto,

Actividad que sera evaluada

Aquf se anotan, 10 mas clara y detalladamente posible, los puntos que el auditor debe analizar, explicando especfficamente cada uno de los aspectos, actividades, funciones o puntos que seran evaluados.

Procedimientos de auditorfa

De acuerdo can 10 anotado en las actividades que seran evaluadas, en esta columna se anotan los procedimientos a seguir para realizar la evaluacirin, En esta parte se especifican los procesos, pasos y domas instrucciones que serviran de gufa para evaluar 10 especificado en la columna anterior; se pueden anotar tantos procedimientos como sean necesarios durante la evaluacion.

Herramientas que seran utilizadas

acuerdo con el contenido de las columnas anteriores, en esta columna se anotan herramientas, tecnicas, procedimientos 0 instrumentos que seran utilizados en la Es costumbre detallar el contenido concreto de estas herramientas, y se anotar tantas herramientas como sean necesarias para la evaluacirin,

482

Auditorra en sistemas computaci

especiales de auditorta de sistemas computacionales

Observaciones

Se podrfa dar el caso de que hubiera necesidad de hacer aclaraciones; puede utilizer esta columna para realizarlas, de acuerdo con el punta evaluado.

Ejemplo de gufa de auditoria.

Auditores de Sistemas Asociadas

Empresa: Comercializadora, S.A. Area: Centro de servicios

de sistemalizacion

DO MM ANO

21 07 2002

Solicitar la asignacion de
seguridad en el una terminal para entrar al
acceso de sistema y aCcesar
usuarios de la informacion, cambiar datos, Pruebas al sistema y
red y la validez bases de datos, las bases de datos.
de sus atributos. instrucciones Y programas,
hasta donde 10 permita el Experimentacion en
sistema. la seguridad del
sistema.
Ingresar al administrador Y
cambiar privilegios, atributos Revision documental
y contrasefias de varios (electromagnetica) .
usuaries.
SAS-02 Evaluar la Entrar al sistema de red sin Observacion
seguridad de ninguna autorizacion y parlicipativa, oculta.
los niveles accesar a la informacion,
de acceso de alterar bases de datos 0 pruebas al sistema
usuarios. cambios al sistema, hasta Y las bases de datos.
donde permita el sistema.
Experimentaci6n en
Entrar al sistema y dar de la seguridad del
alta a distintos accesos sin sistema.
tener autorizacton.
Revision documental
Solicitar a un usuario, sin ( eleclromagnetica).
forzarle, que ingrese a un
nivel que no Ie corresponda
y verificar si el sistema
Ie permite la operacion.
SAS 03 Evaluar la Ingresar al sistema de red observacion
confiabilidad en sin contrasefia. parlicipativa,oculla.
la administracion
de la Reiniciar el sistema y utllizar Pruebas al sistema y
teclas F5 0 F8 al encender las bases de datos. Evaluar la administracion y control de la bltacora de acceso a los usuaries del sistema.

el sistema, e ingresar sin contraseria.

Entrar al sistema con disco de arranque externo e ingresar sin contrasefia,

Tratar de accesar al sistema alterando tres veces la contrasefia y observar las acciones del sistema.

Solicitar la asiqnacion de una terminal para entrar al sistema y reanzar diversas actividades de las autorizadas, verificando documentalmente que se tengan registradas estas en la biracora.

Hacer una revision a la bitacora y verificar la informaci6n de los usuaries: la fecha, hora de ingreso y salida del sistema, registro de sus actividades y cualquier incidencia durante su estancia.

Monitorear aleatoriamente usuaries y evaluar si las actividades que realizan estan registradas en la bltacora, Si es necesario aplicar encuestas y , entrevistas sob fe el control de la bitacora de acceso.

Evaluar los derechos y obligaciones de los usuaries en el manual de usuarios 0 ' reglamento del area de compute, en cuanto a su cumplimiento y registro de incidencias en la bitacora.

Verificar que se cum pia con los tiempos limite de acceso y sus registros en la bitacora,

Experlrnentacion en la seguridad del sistema.

Revision documental (etectromaqnetica).

Observaci6n participativa, oculta.

Revisi6n documental a los registros y el sistema de computo.

Experimentaci6n en la seguridad del sistema.

Entrevista con administrador del sistema, los usuarios y personal del area

intento bloquea la terminal

Obtener respaldo previo del sistema

y 105 movimientos previos a la prueba.

Documentar los accesos y cambios que se realicen al sistema.

483

484

Entrevistar al administrador respecto al cumplimiento

de sus funciones, apoyados en el manual de organizacion, el manual de procedimientos y de operaclon,

Encuestas entre el personal del area y los usuaries del sistema-

Auditoria en sistemas

especiales de auditoria de sistemas computacionales

Entrevista con administrador del sistema, los usuaries y personal del area.

Encuestas a los empleados y usuarios del sistema.

SAS-06 Evaluar el Hacer la revision Revision documental
registro documental a cada una de historica a las
mstonco de las las bttacoras de incidencias bltacoras anteriores.
incidencias de de tres meses, un semestre
seguridad de y un ano anteriores Y Entrevista y encuesta revisar.
acceso al evaluar la magnitud, impacto con empleados y
sistema de red. y soluci6n a las mismas. usuarios- Continuacion

SAS-05 Evaluar el adecuado cumplimiento de las funciones del administrador del sistema de red.

SFA-01

Evaluar las medidas de seguridad para el acceso ffsico del personal y los usuarios del sistema.

Evaluar, mediante entrevista o encuesta, a los empleados y usuaries del area, sobre las incldencias ocurridas en 'asas epecas, y obtener sus opiniones sobre la confiabilidad del registro de incidenetas en las bitacoras pasadas.

Tratar de ingresar al area de sistemas sin ninguna ldentiticaclon Y evaluar las incidencias.

Tratar de ingresar al area de sistemas con la identificacion de cualquier empleado y evaluar las mcidencias.

Evaluar actuaci6n del personal encargado de la entrada y las medidas de seguridad, y vigilancia Y del area de sistemas.

Entrevistas Y cuestionario a los dlrectivos, empleados y usuarios del sistema, para obtener su opinion sobre las medidas de seguridad del area,

Evaluar las medidas de seguridad para el control de acceso y salida de los bienes lnformaticos del area de sistema.

Observacion participativa, directa y oculta para el acceso al area.

Entrevista Y encuestas a directivos, empleados y usuaries del area.

Revisi6n documental a reportes y bltacoras de acceso.

Verificar los cambios

de turno del personal de vigilancia del area

de sistemas.

Revisar los reportes de novedades del personal de viqilancia y las bitacoras

de acceso, asf como su oportunidad y suficiencia en el registro.

Revisar los reportes de novedades de salidas y entradas de bienes y evaluar sus contenidos oportunidades, ' justificaciones e incidencias.

Revisar las bitacoras de entradas y salidas de

bienes del area de sistemas asf como el correcto registr; de sus contenidos, su oportunidad, y las justificaciones e incidencias.

Revisar los controles formatos y registros ' documentales de las salidas y entradas de bienes en el area de sistemas.

Entrevistas y cuestionario a los olrectlvos, empleados y usuarlos del sistema, para obtener su opinion sobre las medidas de seguridad, el registro y la soluci6n de incidencias del area.

Tratar de introducir un bien sin notificarlo a vigilancia y sin ninguna autorizaci6n.

Tratar de sacar un bien sin notificarlo a vigilancia y

sin ninguna autorizacion.

Evaluar Si' existen detectores de metales, aduanas de revision 0 cualquier otra medida de revisi6n para la

Observaci6n participativa, directa y oculta para el acceso al area

Entrevista y encuestas a directivos, empleados y usuarios del area.

Revision documental a reportes y bitaco ras de acceso.

Experimentaci6n al tratar de introducir y de sacar bienes inrorrnatlcos.

Las pruebas de ingreso pueden hacerlas el auditor o tercaros ajenos al area.

485

486

Continuaci6n

SFS-03 Evaluar los reportes de incidencia Y las acciones preventivas y correctivas en su solucion, en el acceso f[sico de los usuarios.

SPC-01 Evaluar los planes de contingencias del area de sistemas.

SPC-02 Evaluar la reanzacion de simulacros en el

entrada y salida de bienes del area.

Auditoria en Sistemas

especiales de auditoria de sistemas computacionales

487

Evaluar ta vigencia, constante actualizacion, disponibilidad Y difusion del plan de contingencias entre directivos, empleados Y personal del area de sistemas.

Evaluar que el plan de simulacros contenga acciones preventivas para realizar el simulacro y correctivas para despues del mismo. Asi como la correcta documentacion de su realizaclon.

simulacros, aplicar estes mismos puntos.

sistemas.

incidencias, cumplimiento

de actividades, objetivos y Entrevista y

correcciones a las medidas encuestas

La guia de evaluaci6n a la seguridad que expusimos como ejcrnplo esta disefiada para evaluar la seguridad en el acceso al sistema (SAS-OO), Seguridad ffsica a las areas de sistemas (SFA-OO) y Seguridad en el plan de contingencias del area de sistemas la cual conternpla algunos de los principales aspectos de seguridad inforrna-

que debe revisar el auditor, adaptando los puntos de la misma a las nocesidades revision de la seguridad en la empresa donde se realice esta revisi6n.

preventivas y correctivas.

Observacion participativa, directa y oculta para el acceso al area

Revisar los controles, formatos Y registros documentales de las salidas y entradas de bienes en el area de sistemas.

Entrevistas y cuestionario a los directivos, empleados y usuarios del sistema, para obtener su opinion sobre el plan de contingencias, su utilidad, conocimiento, difusion y actualizacion. Obtener los reportes de novedades, incidencias y medidas correctivas, derivadas de los slrnulacros y evaluar las modificaciones al plan de contingencias.

Entrevista Y encuestas

a directiv~s, empleados y usuarios

Revision documental a reportes y bilacoras de acceso.

Entrevistas Y cuestionario a los olrectlvos, empleados y usuaries del sistema, para obtener su opinion score las medidas de seguridad, el registro y la solucion de incidencias del area.

Revision documental a reportes y bitacoras de acceso.

Solicitar el plan de contingencia Y evaluar su correcta elaboracion,

la asignacion de funcionarios responsables, (unciones Y medidas greventivas y correctivas.

Entrevi stas y encuestas a directivos, empleados y usuarios.

Evaluar que el plan de contingencias contenga acciones a realizar antes, durante y daspues de un siniestro, asf como los responsables de las mismas.

Entrevistas Y cuestionario a los directivoS, empleados y usuarlos del sistema, para obtener su opinion sobre el plan de contingencias, su uti\idad, conocimiento, difusion y actualizacion.

Revisar las bltacoras de elaboracion de simulacros Y evaluar el registro de

a directivos, empleados y usuaries.

ponderaci6n es una tecnica especial de evaluaci6n, mediante la cua] se procura darun peso especffico a cada una do las partes que seran evaluadas: su objetivo es trade compensar el valor que les asignamos a las actividades 0 t6picos que tienen importancia en la evaluaci6n, en relaci6n con los que tienen mayor importancia.

Esta tecnica de evaluaci6n permite equilibrar las posibles descompensaciones que entre las areas 0 sistemas computacionales que tienen mayor peso e importany las areas 0 sistemas que tienen poco peso e irnportancia en la evaluaci6n. Lo que busca con la ponderaci6n es que todas las areas tengan un valor similar, respetan-

Rev'lsion documental a reportes y bitacoras de acceso.

488

Auditorla en sistemas

do en cada caso el peso e importancia representativos gue tienen para el sistema

t ional 0 para todo el centro de c6mputo. .' , .

ac . di . to de esta tecnica. a continua cion presentare

Para un mejor enten irruen . . I

breve ejemplo cotidiano de una ponderacian y segulre~os c~n otro eJemp 0

haremos un breve analisis de la utilidad de esta herrarnienta:

Ejemplo grafico de una evaluaci6n de sistemas . /

Primer a80. En la columna 1 se anotan las areas a aspectos de s~~temasgue ..

luados yen la columna 2 se establece un peso porcentual especfflco para ."

tor: el auditor establece ese peso a su libre albedrfo (yea el ouadro 1). .

, En este primer paso se eligen los factores mas importantes gue se van a

. , a los ue pueden ser representantes de un grupo 0 .•..

~:~sd~ed:r~~: ~:~a;~L~~ de es~s factores un valor porce.n,tual {peso espe~r~co ..•.••.

representara la importancia de ese :actor en la evaluaclon. La suma tota e .•.....•.•.•. res primarios siempre debe ser 100Yo (columna 3). . .....

Evaluacion de la gestion informatica del centro de computo

S d aso A cada uno de los factores elegidos como primarios. se Ie .•...•.•.

ti~i~~~e~ ~spe~fficas gue contribuyan a su evaluaci6n total; en el elempl al factor primario 1 (Objetivos del centro de camp.uto) se Ie ag~egan I;s ...•..•••.••

ueden a udal' a evaluarlo (columna 1). De [a rmsrna manera, a ca a .' •.. ~idades s~naladas se Ie da un peso especffico (porce~tual), el cual . '. portancia gue tiene esa actividad dentro del factor pnmano (colu m~a .' .••

EI total de esas actividades tambien debe s~mar 100%, pero solo ......•

nn >II rlm1 oprtRnRc.en (obietivos del centro de cornouto l. .'.

especiales de auditoria de sistemas computacionales

489

Tarnbien se Ie asignaron valores especfficos (columna 2) a cada una de las actividades del factor primario indicado como nurncro 1, 01 cual tiene un valor especffico de 10% (columna 1). En el ejemplo se manejan los siguientes valores para cada actividad, y la suma total de osos valores es 100%:

" Establecimiento del objetivo general 25%
.. Cumplimiento del objetivo general 30%
.. Difusi6n del objetivo general 20%
.. Derivaci6n de objetivos secundarios 15%
" Seguimiento y control de objetivos 10% Adernas, estos porcentajes se pueden hacer comparativos y asignar a cada actividad un peso ponderado (columna 3), el cual es el valor porcentual gue la representa, en relaci6n con el peso especffico del factor prima rio. En este caso, ya gue al factor primario se Ie asign6 el valor de 10%, entonces cada uno de sus componentes representara un peso ponderado.

Siguiendo el mismo ejemplo tenemos 10 siguiente: a la difusi6n del objetivo general se Ie asign6 20% y esto representa un valor ponderado de 2% (columna 3) en relaci6n can el valor total de este punto (columna 4).

Cuadro 2
Columna 1 Columna 2 Columna 3 Columna 4
Actividades que van a ser evaluadas Peso por Peso po r factor Valor de
V ponderadas actividad ponderar ponderacldn
1. Objetivos del centro de cornputo 10.0%
Establecimiento del objetivo general 25% 2.5%
Cumplimiento del objetivo general 30% 3.0%
Difusi6n del objetivo general 20% 2.0%
Derivaci6n de objetivos secundarios 15% 1.5%
Seguimiento y control de objetivos 10% 1.0%
Total del factor a pondsrar 100% 10.0% A continuaci6n presentamos la tabla de ponderaci6n completa, tornando en cuenta los facto res primaries indicados en el primer paso. Notemos gue la suma de las actividades de cada factor siempre resultara 1 00% (columna 2) y gue el valor ponderado (columna 3) representara el valor total de cada punto (columna 4).l*)

porcontualos que presontarnos aquf son arbitrarios. elegidos por preferencia y s610 como un ejernplu. el auditor responsable de la auditorfa debora asiguar tanto los factures primarios que va a evaluar, lor que Ie asignani a cada factor. Adomas. tarnbicn debe elegir las actividades y asignarles el valor quo para cada uno de e808 factures primarios.

490

Cuadro 3

Auditorfa en sistemas computaci

especiales de auditoria de sistemas computacionales

1. Objetivos de! centro de compute

Derivacion de objetivos secundarios

Definicion de niveles de autoridad

Metodos y procedimientos

Evaluacion de adquisiciones

5. Personal y usuarios

Manejo del sistema

Columna 2

Actividades que van a ser evaluadas y ponderadas

Peso por actividad

25%

En el punta numero 6, Documentaci6n de los sistemas, 01 valor ponderado del faces 2.0% y los valores para cada una de sus actividades son: 30%, 40%, 20% Y 10%, eual nos da un total de 100% (colum na 2); mientras que el poreentaje del valor pondel factor es: 0.6%,0.8%,0.4% Y 0.2%, respectivamente (columna 3).

3.75%

491

492

Auditorfa en sistemas cornputaciori

especiales de auditorfa de sistemas computacionales

Para el calculo se aplica una regia de tres simple: si 2 es igual a 100%, ~cua

presentara 30%? Se aplica la formula: .

(2.0 * .30)/100 = .06, 10 cual equivale a 0.6% del v~lor total de ~~te f~ctor.

Tercer paso. Se aplica esta gUla de evaluacion y se registran las cahf,c~c,ones .•. cadas para cada una de las actividades propuestas (colu n:~a 5). Dospues, can ....•• sultados se obtionen los puntos alcanzados para cada actividad y para el total po

f ., ( I mna 6) Esto permite comparar los resultados con los valo

actor pnmano co u. . . ... I'

tablecidos inicialmente para cada actividad y errutir un IUlclo sobre su cump rm

Veamos 01 ejemplo del cuadro 4 para 01 punto 6, Documentaci6n de los

miento de cada actividad. AI final, el auditor obtiene el promedio aritmetico de esa columna y 10 anota.*

Cuarto paso. Despues de haber obtenido las calificaciones y los valoros de toda la gufa de pondcracion (columna 5), aSI como 01 porcentaje de los puntos obtenidos (columna 6), el responsable de la auditorfa debe realizar un analisis profundo sobre cada uno de los resultados y valorar el grade de cumplimiento de cada una de las actividades. Es recomendable adoptar un criterio uniforme para calificar de la misma manera todos los puntos evaluados.

Para explicar esto utilizaremos resultados hipoteticos en el punto 8, Configura cion del sistema; as! encontra rornos los siguientes valores para la calificacion (columna 5) yel calculo dol porcentaje de los puntas obtenidos (columna 6). El criterio de calificacion que utilizaromos es el siguiente:

Excelente 1.00% (para el cumplimiento mas alto)

Bueno 0.80 (para un cumplimiento bueno sin Ilegar a ser excolento)

Regular 0.60 (para un cumplimiento minimamente aceptable)

Deficiente DAD (para un cumplimiento malo y mucho peor de 10 esperado]

Pesimo 0.20 (para el "incumplimiento" francamente desastroso)

Una vez obtenidas las calificaciones, promedios y sumas de cada uno de los factores, se comparan los resultados de cada factor con su peso especffico. EI proposito es quo el auditor tenga un criteria numerico mediante 01 cual pueda tener los pararnetros para cornparar el grade de cumplimiento alcanzado pOl' cada factor con el grado de cumplimiento esperado.

Cuadro 4

Columna 1

Columna 2 Columna 3

Actividades que van a ser evaluadas V ponderadas

Peso por actividad

Peso por ponderer penderacion

2.0%

6. Documentaci6n de los

Como podemos observar en el cuadra 4: el. audito~ as!gna una califi

actividad (columna 5), y con ella emite un :~Iteflo 1 cualitativo 0 cua ,

luar el grado de cumplimiento de dicha actividad. Este es un valor nume ...

presenta la calificaci6n que el auditor Ie otorga a cada uno de esos punto~ can su desernpefio. EI total dol factor a ponderar, se calcula sumando los.

resultado se divide entre 01 nurnero de lfneas. " .

El auditor debe establecer el criteria para evaluar el c.umpliml:nt~ de . los puntos de esta guia de ponderacion, segun I~s herramientas, tecrucas cedimientos de auditoria que utilice. EI valor mas alto se otorga cuando lias 0 cuando 01 punto evaluado cumple total mente can 10 establ desciende cuando el punto evaluado no cumple total mente con 10 esta

menos curnpla, mas desciende. " ....•...•...

Despuos de asentar esas califica.ci.ones, el auditor haec el calc~1 ......•.

jo de puntos obtenidos pOI' cada actividad (columna 6), el cu~l. ser~, ... rnultiplicar el valor del peso ponderado (columna 3) par la calificacior .. lumna 5). EI resultado, en decimales, es el valor porcentual del gra.

Columna 2 Columna 3 Columna 4 Columna 5 Columna 6
Actividades que van a ser Peso par Peso por Valor de Porcentaje
evaluadas V ponderadas actividad ponderar pcnderacien Calificacion de puntos
obtenidos
8. Configuraci6n del sistema 4.0%
Definicion del equipo (hardware) 25% 1.0% 95% 0.95
Definici6n del equipo (software) 25% 1.0% 95% 0.95
Adaptacion de instalacianes 15% 0.6% 80% 0.48
Adaptaci6n del media ambiente 15% 0.6% 50% 0.30
Planes contra contingencias 20% 0.8% 10% 0.03
Total del factor a ponderar 100% 4.0% 66% 2.6 par los resultados de las multiplicaciones, se pueden obtener resultados quo no coinciden aritme.. como en el caso de este ejernplo, en donde la surna de la columna 6 nos da pOl' resultado 1.61. Mienrnultiplicamos el valor del total ponderado de la columna 5 (2.0 par 8.25) el resu/tado es 1.65; la ··.·0.04 no es significativa y se puede anotar el valor que mas erea eonveniente el auditor, La importants n que se debe haeer de ese valor. Como se indica en el cuarto paso.

493

494

11·3

Auditorta en sistemas computa

d b· I total es un poco mas que regular, 2.64% al

Como po emos 0 sei val', e , " b

. , 4 0°/ del total esperado de este factor (apenas se 0 tuvo ......•

en comparaclOn con • 10 ... .. I I" .

. , 1 0091 del osperado]: esto nos haria ,uzgar que e cump mue

/ en comparaclon con 0 , • bl S' b esto no es .

.. . acion del sistema es mirurnamente acepta e. 111 em argo, .. .

lal c~ntf,gur co 10 mas I iusto, Seria muy arbitrario e injusto calificar. e.' :~mplim,e .

a m ampo f .. , d I h d re y definicion del s

95% de los dos primeros puntos (de IIlICIOn e ar wa . .

con 66% (cada uno de ellos casi alcanza el mas alto cun;plim,onto); tamfoc~

• • U ." 1 00/ del ultimo' se esperaba .8% y solo alcanzo 0.08 Yo (este .

egu rtatrvo premlar 10,. '~ .:

canza ni el cumplimiento rrumrno senalado en la tabla)... . ..•.

En 01 ejemplo vemos gue al factor Planes contra contmgencias se Ie co

o muy poco valor. . I I '

"1 t 'a de ponderaci6n ya que permlte eva uar, 0 mas

Por eso es muy uti es a gUI , " . f .

t ibl los resultados obtenidos en una auditoria, eleglr los actores •..•.

vamen e POSI e, d d II .

ue seran evaluados, las actividades que seran evaluadas en ca a .u,no e e. os, <

q , . '. . t d esos factores. Tarnbien perrmte

darles un peso especffico equrtativo a 0, o~ d .. . ..•.••••.

verdadera valoraci6n del grado de cumplirniento de ~ada facto~ y c~ ,a ~~~Iv~e .....

Conviene indicar que esta tecnica se puede ap rear en to 0 e am I, 0 ..•.•

d . de los aspectos de sistemas que deban ser evaluados. Dicha

o en ca a uno c ., •..•..•

se hara de acuerdo con las necesidades de la evaluacion,

Modelos de simulaci6n

Esta herramienta es una de las mas utilizadas para el analisis ,y disefio de si.

. b' , de ser de mucha utilidad para la auditorfa de sistemas comp ....•••.•.•.•

ro tam len pue If' . la el .

a que mediante el uso de un modelo, conceptua 0 'ISICO, se slmu. ' .....•..

~o de un sistema computacional, de un progra~a, de una base de datos, .

cion de una actividad 0 de cualquier tarea de sistemas qu~ tenga que s;r .

el ;0 osito de investigar cual es, fue 0 sera el com~o.rtamlento. del feno '.'i

p p t di bajo ciertas condiciones y caracterlsncas cone: etas, en la

mas en es u 10, C • I di

sentan todas las simulaciones necesarias que s~ a~emeJen a me ,10 .....•... donde actua dicho fenorneno para valorar su autentrco aprovecha~TlIento,< ..

y deficiencias de funcionamiento, sus p,ri ncip.ale~ problemas, etce~era'b'i EI usa de esta tecnica de simulacion es indispensable para e :ra a rrolladores de nuevos sistemas, ya que pe~mite elaborar "" amb~e .....•. nuevo sistema, con el fin de estudiar su posible comportamlent~. na ...•.....•.. osible comportamiento del sistema, se pueden sacar conclusiones pa

~llas de funcionamiento, as! como sus prin~ipales pro~!emas a~t~s de ...•..•.

. t De hecho todos los analistas de sistemas utilizan mo e os ..:.

SIS ema., . I .

tes de programar (codificar) un sistema computacional, rruerrtras gue<

res elaboran su programaci6n con base en estos modelos. ' .

especiales de auditorfa de sistemas computaCionales

495

En el casu concreto de auditoria de sistemas computacionales, la sirnulacion es la elaboraci6n de modelos, conceptuales 0 fisicos, muy similares a los sistemas institucionales de las empresas; inclusive pueden ser los mismos que estas utilizan actualillente. Muchos se prueban con bases de datos ficticias 0 con datos reales pero sin validez.

EI auditor hace pruebas en esos modelos de simulacion, para verificar el comportamiento y funcionamiento de los sistemas computacionaJes, la forma en que se realiza el procesamiento de datos, la emisi6n de informes, la captura de datos 0 cualquier otro aspecto de dichos sistemas,

Esta simulaci6n se puede hacer para evaluar cuaJquier fenomeno de sistemas computacionales, 10 mismo para el analisis, disefio y programacion de sistemas, para la instalaci6n y liberaci6n de un nuevo sistema, 0 para evaluar el comportamiento de las bases de datos, el cornportamianm del hardware, el mobilia rio y equipo, 01 disefio e instaJaci6n de una red de cornpum 0 cualquier otro aspecto de sistemas.

lncluso en el ambiente de seguridad se utiliza esta herramienta para hacer simulacros de aJguna posible contingencia, con eJ prop6sito de capacitar aJ personaJ para que sepa COmo actuar en caso de siniestros. Los simulacros mas comunesen una empresa son: simulacros de evacuacirin, de recuperacion de archivos, de primeros auxilios, simulacros para combatir incendios, etcetera.

A continuaci6n presentamos aJgunas definiciones de esta herramienta, con eJ fin de entender rnejor su utiJidad:

"Del letin simular, de simi/is; Semejante, Aparentar, fingir. "10

.. "Imagen hecha a semejanza de una cosa [..J Cosa que forma la fantasfa. Ficcion, imi. tecion, falsificacion. "11

que se sigue, urute a reproduce [. . .J Represeotecton en pequotio de una cosa. perfecto, digno de ser imitado. "12

Para eJ casu de una auditorfa de sistemas computacionales, definiremos la simulade la siguiente manera:

La imiteclon formal del sistema computacional, mediante un modelo simulado, en cuento al funcionamiento del hardware, software, informacion, instalaciones o aplicaciones, en la cual se representan sus principales caracterfsticas de operecion, forma de capture, procesamiento de datos y emislon de resultados del sistema original, con el propos ito de estudiar 01 comportamiento del sistema y evaluar su funcionamiento real, En estes modelos se pueden aplicar datos ficticios 0 datos reales, para sin que esta simulecion I/egue a influir en la actividad normal del sistema original.