1. Guías de evaluación
1.1. Encabezado
1.2. Empresa responsable de realizar la auditoría
1.3. Nombre de la empresa y área de sistemas auditada
1.4. Fecha
1.5. Hoja
1.6. Referencia
1.7. Actividad que será evaluada
1.8. Procedimientos de auditoría
1.9. Herramientas que serán utilizadas
1.10. Observaciones
2. Modelos de simulación
2.1. Es el acceso, manejo y protección de las bases de datos, el uso del software, hardware, datos, equipos e instalaciones, alguna contingencia de sistemas o cualquier otro tipo de pruebas que permitan imitar el funcionamiento del sistema original, con el propósito de compararlo con el sistema simulado.
2.1.1. Simulación a través de modelos de metodología de sistemas
2.1.2. Ciclo de vida de los sistemas
2.1.3. Análisis y diseño
2.1.4. Metodología SSADM
2.1.4.1. La metodología consiste en una estructuración de los pasos a seguir en el desarrollo de un proyecto informático
2.1.5. Simulación a través de diagramas de flujo de sistemas
2.1.6. Simulación a través del diseño de circuitos lógicos
2.1.7. Simulación a través de otros documentos gráficos
3. Lista de verificación (o lista de chequeo)
3.1. consiste en la elaboración de una lista ordenada, en la cual se anotan todos los aspectos que se tienen que revisar del funcionamiento de un sistema, de sus componentes, del desarrollo de una actividad, del cumplimiento de una operación o de cualquier otro aspecto relacionado con la evaluación del área de sistemas; esta lista se complementa con una o varias columnas en las que se califica el cumplimiento del aspecto evaluado
4. Análisis de la diagramación de sistemas.
4.1. Ésta es una de las principales herramientas de apoyo para el análisis y diseño de los sistemas computacionales, y es de las que más utilizan los desarrolladores de sistemas, debido a que por medio de estos diagramas el analista puede representar los flujos de información, actividades, operaciones, procesos y los demás aspectos que intervendrán en el desarrollo de los propios sistemas
4.1.1. Modelos de sistemas
4.1.1.1. Entidad-Relación
4.1.1.2. Modelado de datos
4.1.1.3. Estructura de datos
4.1.1.4. Estructura lógica
4.1.2. Diccionario de datos
4.1.2.1. se aplica principalmente en el desarrollo de las bases de datos
4.1.2.2. de un sistema, para determinar cada uno de los campos de datos, el tipo, tamaño y
4.1.2.3. descripción de los datos que contendrán dichas bases de datos,
4.1.3. Diagrama Nassi-Schneiderman
4.1.3.1. Procesos (representados por rectángulos); son la definición de variables, actividades,
4.1.3.2. Entradas, salidas y todos aquellos procesos que se deberán ejecutar en el programa.
4.1.3.3. Decisiones o condiciones alternativas (representadas por los triángulos invertidos y su siguiente línea de alternativa) que muestran las diferentes alternativas o decisiones que se pueden tomar durante el procesamiento, mismas que debe cubrir el programa.
4.1.3.4. Iteraciones (representadas por los ciclos y repeticiones) son las operaciones del contenido total de este diagrama, las cuales indican el funcionamiento total del sistema.
4.1.4. Diagrama de estado–transición
4.1.4.1. En este diagrama se representan los flujos de información que se siguen en una relación de programación estructurada, a fin de visualizar el proceso que se sigue para el desarrollo de las actividades del programa. Por lo general, las entidades se expresan con el nombre del responsable del proceso
4.1.5. Diagrama de contexto
4.1.5.1. Este diagrama muestra de una manera casi global todas las entidades o los procesos que alimentan el objeto principal del sistema, a través de rectángulos que representan la entidad o proceso en particular y la interacción de éstos con el proceso fundamental, indicado por flechas que señalan el flujo que se sigue para la interacción de ambos.
4.1.6. Diagrama de flujo de datos
4.1.6.1. Éste es el más común de los diagramas de sistemas y tiene un sinnúmero de representaciones, en las cuales se usan simbologías clásicas como la IBM, HIPO o una simbología particular establecida por el diseñador del sistema.
4.1.7. Diagrama modular
4.1.7.1. representados por organigramas de actividades, operaciones o entidades que participan en el proceso del sistema
5. Diagrama de seguimiento de una auditoría de sistemas computacionales
5.1. El uso de esta técnica, también conocida como mapa conceptual de evaluación, es de mucha utilidad en una auditoría de sistemas computacionales, ya que permite hacer un mapa conceptual de todos los aspectos de los sistemas en evaluación. Al utilizar esta técnica se hace un seguimiento concreto de todas y cada una de las partes que componen el sistema, lo cual permite que el auditor tenga un panorama completo de todo el sistema, a fin de evaluar integralmente todos sus aspectos. Los diagramas de seguimiento se usan tanto para la gestión informática
5.1.1. Mapa conceptual para evaluar el diseño de una Red del área de sistemas
5.1.1.1. Planeación
5.1.1.1.1. Misión del área de sistemas
5.1.1.1.2. Visión del área de sistemas
5.1.1.1.3. Objetivos del área de sistemas
5.1.1.1.4. Diseño físico de la red del área de sistemas
5.1.1.2. Configuración de la red
5.1.1.2.1. Servidor Terminales
5.1.1.3. Sistemas de almacenamiento de información
5.1.1.3.1. Discos duros
5.1.1.3.2. Cintas
5.1.1.3.3. CD-ROMs (quemadores)
5.1.1.3.4. DVDs
5.1.1.3.5. Otros sistemas de almacenamiento de datos
5.1.1.4. Instalaciones
5.1.1.4.1. Instalaciones eléctricas
5.1.1.4.2. Instalaciones de datos
5.1.1.4.3. Instalaciones de comunicación
5.1.1.5. Protocolos de comunicación
5.1.1.5.1. Diseño lógico de la red del área de sistemas
5.1.1.6. Sistema operativo
5.1.1.6.1. Lenguajes de desarrollo de sistemas
5.1.1.6.2. Paqueterías
5.1.1.6.3. Programas de aplicación
5.1.1.6.4. Protocolos de comunicación
5.1.1.6.5. Diseño de accesos al sistema
5.1.1.6.6. Estrategias para el área de sistemas
5.1.1.6.7. Políticas del área de sistemas
5.1.1.6.8. Normas del área de sistemas
5.1.1.6.9. Programa de trabajo
5.1.1.6.10. Procedimientos de operación
5.1.1.7. Estructura de organización del área de sistemas
5.1.1.7.1. Estructura de puestos del área de sistemas
5.1.1.7.2. Establecimiento de funciones para los puestos del área de sistemas
5.1.1.7.3. Asignación de jerarquías en el área de sistemas
5.1.1.7.4. Establecimiento de responsabilidad de los puestos del área de sistemas
5.1.1.7.5. Designación de canales de comunicación en el área de sistemas
5.1.1.7.6. Organigrama del área de sistemas
5.1.1.7.7. Perfiles de puestos
5.1.1.8. Requerimientos de recursos para el área de sistemas
5.1.1.8.1. — Personal informático para el área de sistemas
5.1.1.8.2. ■ Personal del área de sistemas
5.1.1.8.3. ■ Usuarios del área de sistemas
5.1.1.8.4. ■ Asesores y consultores para el área de sistemas
5.1.1.8.5. ■ Proveedores y distribuidores para el área de sistemas
5.1.1.8.6. — Requerimientos del sistema (hardware)
5.1.1.8.7. ■ Computadoras
5.1.1.8.8. ■ Servidores
5.1.1.8.9. ■ Impresoras
5.1.1.8.10. ■ Procesadores
5.1.1.8.11. — Requerimientos de software
5.1.1.8.12. ■ Sistema operativo
5.1.1.8.13. Lenguajes de desarrollo de sistemas
5.1.1.8.14. Paqueterías
5.1.1.8.15. Programas de aplicación
5.1.1.8.16. Protocolos de comunicación
5.1.1.8.17. Diseño de accesos al sistema
5.1.1.8.18. Licencias
5.1.1.8.19. — Requerimientos de mobiliario y equipos
5.1.1.8.20. Requerimientos de instalación en el área de sistemas
5.1.1.8.21. Estudio de localización de planta para el área de sistemas
5.1.1.8.22. Requerimientos de materiales y consumibles en el área de sistemas
5.1.1.9. Servicio que proporcionará el área de sistemas
5.1.1.9.1. Captura de datos, procesamiento y emisión de información
5.1.1.9.2. — Diseño de sistemas
5.1.1.9.3. Diseño de proyectos de sistemas institucionales
5.1.1.9.4. ■Diseño de bases de datos
5.1.1.9.5. Programas de aplicación
5.1.1.9.6. Instalación de paqueterías
5.1.1.9.7. Instalación de programas específicos de aplicación
5.1.1.9.8. — Seguridad del área de sistemas
5.1.1.9.9. Seguridad de acceso a los sistemas institucionales
5.1.1.9.10. Seguridad de aceso y uso de las bases de datos
5.1.1.9.11. Seguridad de acceso al área de sistemas
5.1.1.9.12. Seguridad del personal informáticos y usuarios
5.1.1.9.13. Programas contra contingencias informáticas
5.1.1.9.14. — Mantenimiento de sistemas
5.1.1.9.15. Mantenimiento preventivo
5.1.1.9.16. Mantenimiento correctivo
5.1.1.9.17. Auditoría de sistemas
5.1.1.9.18. Asesoría y capacitación a usuarios
5.1.1.9.19. Administración de la base de datos
6. Ponderación
6.1. Cualitativa
6.2. Cuantitativa
6.2.1. Da prioridad a las actividades cual se le dará un porcentaje de un 100% en total de la evaluación
7. Evaluación
7.1. La evaluación es una de las técnicas más comunes en cualquier tipo de auditoría y es considerada como la herramienta típica para auditar cualquier actividad, ya que permite determinar, mediante pruebas concretas, si lo cuantificado (o cualificado)
7.1.1. Evaluación de la gestión administrativa del área de sistemas
7.1.2. Evaluación de la actividad administrativa
7.1.3. Evaluación en cuanto a la gestión de los sistemas computacionales
7.1.4. Evaluación del diseño lógico del sistema
7.1.5. Evaluación del diseño físico del sistema
7.1.6. Evaluación del control de accesos y salidas de datos
7.1.7. Evaluación del control de procesamiento de datos
7.1.8. Evaluación de controles de almacenamiento
7.1.9. Evaluación de controles de seguridad
7.1.10. Evaluación de controles adicionales para la operación del sistema
7.1.11. Evaluación de aspectos técnicos del sistema
7.1.12. Evaluación integral de sistemas
7.1.13. Evaluación externa o interna integral de sistemas
7.1.14. Evaluaciones con el apoyo de la computadora
7.1.15. Evaluaciones exclusivamente al sistema computacional con apoyo de la computadora y aplicaciones
7.1.16. Evaluaciones en auditorías tradicionales con el apoyo de la computadora y aplicaciones
7.1.17. Evaluaciones sin el uso de la computadora
7.1.18. Evaluaciones de los controles en sistemas computacionales
7.1.19. Evaluación del control interno estudiado en este libro
7.1.20. Evaluación del control interno propuesto por Jerry Fitzgerald
7.1.21. Evaluaciones de otros aspectos de sistemas computacionales
7.1.22. Evaluación de los sistemas de redes
7.1.23. Evaluación del servicio OUTSOURCING
7.1.24. Evaluación de la función ergonómica de los sistemas de cómputo
7.1.25. Evaluación de la calidad ISO-9000 aplicable a los sistemas computacionales
7.1.26. Evaluación de los proveedores y distribuidores de sistemas
7.1.27. Importancia de las evaluaciones de sistemas computacionales
8. Diagrama del círculo de evaluación
8.1. Con esta herramienta de apoyo para la evaluación de los sistemas computacionales se puede valorar, visualmente, el comportamiento de los aspectos de los sistemas que están siendo auditados, así como su cumplimiento y limitaciones
8.1.1. Círculos: a estos círculos se les asignan valores arbitrarios ascendentes, de preferencia los interiores más bajos (6) y exteriores más altos (10), o puede ser cualquier otro criterio de calificación.
8.1.2. Líneas o puntos de segmentos: estas líneas señalan los segmentos o sectores en que se divide cada uno de los aspectos de sistemas que serán evaluados. En este ejemplo se eligieron, como segmentos, las fases del análisis y diseño de sistemas.
8.1.3. Líneas de cumplimiento máximo exigido: estas líneas representan el entorno de la calificación más alta que se exige a cada uno de los aspectos que serán evaluados (en este caso se utilizó línea punteada).• Líneas de cumplimiento mínimo exigido: estas líneas representan el entorno de la calificación más baja que se puede aceptar para cada uno de los aspectos que están siendo evaluados (en este ejemplo, línea punteada).
8.1.4. Líneas o cruz de evaluación: estas líneas representan la calificación alcanzada en la parte o segmento del trabajo que está siendo auditado; para obtener esta calificación, el auditor le asigna un valor a esa parte del trabajo, de acuerdo con los resultados obtenidos, según su criterio (en este ejemplo, línea larga y punto).
9. Programas para revisión por computadora
9.1. Esta técnica es de las de más utilizadas en cualquier auditoría de sistemas computacionales, debido a que permite revisar, desde la misma computadora y mediante un programa específico, el funcionamiento del sistema, de una base de datos, de un programa en especial o de alguna aplicación de interés; ya sean sus procesamientos, su funcionamiento interno, el aprovechamiento de las aplicaciones informáticas, el consumo de recursos, los resultados del procesamiento de información o el comportamiento específico de alguna actividad administrativa, entre otros aspectos.
9.1.1. Programas de revisión elaborados por desarrolladores
9.1.2. Programas de revisión elaborados por el auditor