Presentación informe 'Fondos Next Generation European Union destinados a actu...
Capitulo 4
1. CAPITULO 4: EVALUACION DE LOS SISTEMAS
Es importante identificar que software maneja la empresa y de donde proviene ya
que no es lo mismo contar en una empresa con un software sencillo que se consigue
fácilmente en internet, que contar con un software especializado hecho a la medida
para la empresa; este último conlleva unos mayores costos, así como una
implementación que requiere más tiempo. Otras formas de clasificar los sistemas
que puede adquirir la empresa son:
Software compartido o regalado: Es el tipo de software económico y de fácil acceso
que la empresa puede obtener pero que en la mayoría de los casos no cubre todas
las necesidades de la entidad, porque se trata de algo muy genérico.
Software transportable: un software transportable es aquel que se puede utilizar en
más de un sistema operativo y permite usar “la misma” aplicación en varios sistemas
operativos lo cual simplifica su uso y ahorra costos a la entidad si esta usa varios
sistemas operativos.
Por aplicación del usuario: Un software puede ser catalogado como de propósito
general, de propósito específico o como software específico para la industria.
El software que es producido internamente dentro de la compañía debe recibir un
seguimiento y control especial por parte del auditor de sistemas, ya que este
significará una importante inversión de trabajo y recursos e la empresa y esto debe
verse reflejado en el resultado final, el auditor de sistemas deberá evaluar si el
sistema estará entrelazado en toda la organización o si funcionara entrelazado con
otros programas no producidos por la entidad, deberá verifica que el desarrollo esté
guiado por unos objetivos y tenga unas prioridades, debe identificar claramente
¿Qué aplicaciones se van a desarrollar? ¿Qué tipo de archivos se van a desarrollar?
¿Qué bases de datos serán desarrolladas? ¿Qué tecnología será implementada?
¿Cuántos recursos de hardware y software se requieren? ¿Cuál es el presupuesto
dispuesto para el desarrollo? así como revisar que los recursos se estén utilizando
de manera eficiente y eficaz.
Para la evaluación de los sistemas, que se realiza de acuerdo con el ciclo de vida
de estos, se recomienda seguir los siguientes pasos:
Definir las necesidades del usuario y sus requerimientos.
Hacer un estudio de factibilidad.
Diseño general y análisis del sistema.
Diseño del sistema.
Diseño detallado.
2. Implementación y desarrollo físico.
Pruebas del sistema, evaluación y aceptación por parte del usuario y de contraloría
interna.
Soporte cotidiano, cambios y mejoras al sistema.
El primer análisis que se debe hacer es el del estudio de factibilidad, en el cual e
estudia la relación costo-beneficio del sistema y si es conductualmente viable para
su desarrollo, también se evaluarán la disponibilidad de equipos y sus
características, los sistemas operativos y los lenguajes de programación disponibles
la congruencia de los diferentes sistemas entre otros. En los casos en los que el
sistema ya esté implementado, debe revisarse los puntos registrados en el estudio
de factibilidad y confrontarlos con la realidad del sistema en operación, si cumple
con las metas establecidas de beneficios en tiempo, recursos etc. para la
organización, y que problemas se están presentando dentro del sistema, es común
encontrar problemas como falta de participación y revisión por parte de la alta
gerencia, falta de participación de los usuarios, deficiente análisis costo-beneficio,
tecnología usada de forma incorrecta, problemas de auditoría, fallas en la seguridad
del sistema ,entre otros.
EVALUACIÓN DEL ANÁLISIS
En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen
para llevar a cabo el análisis, se deberá evaluar la planeación de las aplicaciones,
ya sea que la aplicación se encuentre en planeación para ser desarrollada en el
futuro, en desarrollo, en proceso pero con modificaciones en el desarrollo, en
proceso con problemas detectados, en proceso sin problemas, en proceso
esporádicamente; se debe analizar la justificación que se do para el desarrollo de la
aplicación, las necesidades de los usuarios y las necesidades de la organización,
para comprender si los programas en desarrollo suplen estas necesidades.
Es deber del auditor de sistemas evaluar la situación de los manuales de análisis,
la obtención de datos por parte de los sistemas, la jerarquía que estos van a tener,
el flujo de estos, su aplicabilidad y su capacidad de retroalimentación, el auditor
debe evaluar los documentos y registros utilizados en la elaboración del sistema,
así como sus salidas y actividades de flujo de la información, para los sistemas que
estén en uso el auditor centrará sus análisis en el Manual del Usuario, la descripción
del flujo de información, descripción y distribución de la información, manual de
formas, manual de reportes, lista e archivos y especificación, definición de bases de
datos, definición de redes.
3. ANALISIS Y DISEÑO ESTRUCTURADO
El auditor debe poder determinar los requerimientos correctos de acuerdo con las
necesidades y expectativas de la organización, ya que un error detectado en un
sistema ya implementado es mucho más costoso de solucionar que uno detectado
en las fases iniciales del desarrollo; en los programas antiguos pueden existir
errores no detectados y es deber del auditor reaccionar ante esta situación,
organizando los procedimientos actuales, flujos de información, procesos de toma
de decisiones y reportes, mediante el uso de diagramas lógicos de flujo de datos.
Estos flujos permiten detectar los procesos lógicos de un sistema, los
requerimientos de información, el flujo de la información, y provee un modelo gráfico
del sistema actual, se puede utilizar para detectar mejoras, debilidades y mejorar el
cumplimiento de objetivos del sistema, con base en este diagrama se puede
representar gráficamente todo el sistema y las modificaciones que este requiere;
se puede utilizar como base para el desarrollo y evaluación de un nuevo sistema.
EVALUACION DEL DISEÑO LÓGICO DEL SISTEMA
El auditor debe responder a los cuestionamientos de ¿Qué debe hacer? ¿Cómo lo
debe hacer? ¿Cuál es la justificación para que se haga de esta forma? ¿Cuál es la
secuencia y ocurrencia de los datos? ¿Cuál es el proceso? ¿Qué archivos y bases
de datos serán utilizados? ¿Qué salidas y reportes se requieren? Es importante que
el auditor determine la participación que tuvieron los usuarios en el diseño del nuevo
sistema, la participación que tuvo la auditoría en el diseño de los controles y la
determinación de los procesos.
Una vez se han determinado estos datos se debe confrontar con los resultados que
se están teniendo del sistema, así como la planeación y los resultados esperados
por la administración y si se están cumpliendo estas expectativas.
PROGRAMAS DE DESARROLLO
Los programas de desarrollo solo pueden ser utilizados por usuarios que tiene
experiencia y capacitación adecuada para el uso de estos, los programas de
desarrollo incluyen: Lenguajes de programación, ingeniería de software asistido por
computadora, programación orientada a objetos, entre otras. Al utilizar estos
programas se debe evaluar:
La interfaz de usuario gráfico.
Enlace de objetos en los sistemas de información.
Capacidad de trabajar en multiplataformas.
Capacidad de trabajar en redes.
4. Licencias.
Compatibilidad con otro software.
Facilidad de uso.
Compatibilidad con periféricos.
Grado de sofisticación.
Facilidad de instalación.
Demanda de hardware.
Requerimiento de memoria.
Costo.
Seguridad y confidencialidad.
BASES DE DATOS
Las bases de datos son la organización sistemática de archivos de datos para
facilitar su acceso, recuperación y actualización, los cuales están relacionados con
otros y son tratados como una sola entidad. El Sistema de Administración de Bases
de Datos (DBSM) es un conjunto de programas que permiten administrar bases de
datos.
En estos sistemas el auditor debe evaluar la independencia, redundancia,
consistencia de los datos. Así como evaluar el lenguaje de los datos, seguridad de
los datos, lenguaje de los datos, sistemas de respaldo y recuperación de datos entre
otros.
EL ADMINISTRADOR DE BASES DE DATOS
Las bases de dato tienen un tamaño y relevancia tal dentro de las organizaciones,
que se ha hecho necesario el desarrollo de un organismo encargado de la
administración de las bases de datos, este debe planear, organizar, dirigir, controlar
las BD y dar soporte a los usuarios de estas. Este organismo debe tener relaciones
directas con la gerencia, los programadores, los analistas de sistemas, los usuarios
y diseñadores de sistemas.
Entre los sistemas de administración de bases de datos es común encontrar
errores como fallos en la seguridad, falta de control sobre la actualización de los
datos, problemas por el uso de la base de datos cuando esta no está diseñada para
múltiples usuarios entre otros; aunque el de mayor relevancia es la seguridad, pues
la bases de datos debe poder restringir el acceso a la información por parte de
5. usuarios no autorizados, así como reconocer la jerarquía del usuario dependiendo
del tipo de llave de entrada que usó.
COMUNICACIÓN
El auditor debe evaluar el modo de comunicación y el código empleado; así como
el medio de comunicación empleado, ya que de este depende la velocidad,
seguridad y capacidad de información, de esto dependen en gran parte los costos
del manejo de la información, ya que si la empresa cuenta con solo una red local,
será mucho más económico que las empresas que deben utilizar redes enterprise
o internacionales; estas redes pueden llegar a ser muy costosas y generar más
dificultades en los sistemas de comunicación, por eso la organización debe evaluar
las ventajas del uso de estas y justificarlo en su relación costo-beneficio si la
empresa tiene la necesidad de compartir archivos, periféricos, mejorar la
productividad, aumentar el control, aumentar la seguridad, permitir expansión entre
muchas otras.
El auditor debe evaluar la confiabilidad de las redes, el tiempo de respuesta, el costo
de la red, la cantidad de tráfico de la red, compatibilidad con otras redes, seguridad
de las redes y el diseño lógico del sistema.
INFORMES
Es común que se ignore la necesidad de evaluar las salidas de datos y la obtención
de reportes de datos del sistema, se debe evaluar el procedimiento, (cuando y como
se hace la función, que formas se usan y si son necesarias, las formas están
duplicadas? Etc…) la gráfica de flujo de información (es útil, es fácil de usar, es
lógica…). Es responsabilidad del auditor informático evaluar las formas o
documentos que se utilizan para presentar el resultado del procesamiento de la
información, esta deben cumplir con ciertos criterios como título, numeración,
espacio, tabulación, nombres, firmas, rótulos, tipo de papel, tamaño etc.).
ANALISIS DE INFORMES
Es necesario analizar los informes el cuales una herramienta que nos proporciona
y garantiza un mayor desempeño en los sistemas, en auditoria de sistemas es
necesario describir el ruido, la redundancia y la entropía tres factores determinantes:
la primera de ella está relacionada a la comunicaciones como y el por qué nos
comunicamos, el ruido no es solamente el sonido que percibimos si no también los
factores externos que inciden para una buena o mala comunicación en los casos de
los sistemas; si tenemos bien claro que un sistema es el conjunto de partes que se
interrelacionan entre sí para dar un resultado o llevar una tarea, en este caso
debemos estudiar los sistemas amigables lo cual se ha dicho el sistema costa de
6. diversos factores tales que la información sea solicita de forma lógica y secuencial,
que tenga ayuda necesaria para cualquier eventualidad conclusión que exista una
prevención de riesgos .El segundo postulado es la redundancia que hace énfasis
es a la herramienta de control que aunque exista ruido, la comunicación deba
llevarse de forma eficiente, en el campo de la auditoria debemos observar que
podemos llegar a mayores costos de la empresa o que la misma redundancia se
convierta en un problema más todo con una magnitud directamente proporcional si
la misma necesidad lo amerita, el último factor es la entropía que se encarga de
estudiarla interconexión de las partes del sistema.
EVALUACION DEL DESARROLLO DEL SISTEMA
La evaluación de los sistemas deberán ser auditados, los programas, diseños,
lenguaje utilizado, y la interconexión entre los programas; sus características
principió evaluación consigo llevara a cabo una etapa de planeación, control para
tener de cierta manera un sistema eficaz y eficiente reduciendo una mayor
duplicidad en la información sin aumentar los costos y reduciendo los riesgos o
previniéndolos lo cual garantiza un mayor desempeño cundo tengamos que tomar
decisiones a largo o corto plazo.
Existe distintos tipos de sistemas uno de ellos son los distribuidos que son cuando
los sistemas y los datos están en mas de un lugar lo cual garantiza mayor respuesta
más oportuna, disminución de costos incremento de confianza, aumenta la
capacidad satisfecha por los usuarios. Las principales razones por las cuales
debemos evaluar los sistemas distribuidos son, faltas de personal ideal y capacitado
en todas las partes del sistema, consistencia y mantenimiento del sistema. El
proceso de evaluación de los sistemas deben definir la red optima de comunicación,
cabe recordar los factores que inciden para el buen uso de los sistemas son
ubicación, tamaño y recursos que se utilicen.
Los sistemas según sus características pueden ser dinámicos que se pueden
modificar, transportables, integrados , necesarios que se pruebe su utilización y
nacen las preguntas el por qué se utilizan y para que, la relación con otros sistemas
deben estar interconectados de tal forma que nos garantice un sistema integral y no
una serie de sistemas aislados se concluye que los sistemas necesitan
interrelacionarse con otros para generar un mejor uso y capacidad de apoyo en el
momento que lo necesitemos .
Debemos tener claro el control que utilizaremos o el grado de control que
necesitemos en los sistemas es allí donde observamos la herramienta de
planeación administrativa de proyectos el cual dará respuesta a tanto interrogante
que se hace al transcurso del desarrollo de una tarea o proyecto este plan debe ser
7. evaluado periódicamente para cuantificar los avances respecto a los objetivos
propuestos y toma decisiones en mejora del bienestar de la empresa. La estructura
estándar de la planeación de proyectos deberá tener en cuenta y definida las fechas
programadas para ejecución de las tareas.
El objetivo es que los sistemas funcionen, y las estimaciones funcionales para
fortalecer el buen uso y manejo por parte del usuario al momento de utilizarlo el
cumplimiento de estos objetivos comprende tres etapas que son análisis , diseño y
factibilidad lo cual una identifica la otra elabora y la última desarrolla los objetivos
del sistema, diseña estima y proporciona errores para corregirlos , el análisis nos
dará a conocer la descripción del funcionamiento funcional del sistema desde el
punto de vista del usuario, indicando todas las interacciones del sistema y la
descripción lógica de cada dato que obtendremos.
Para el diseño de la creación de los sistemas inciden diversos sujetos como los
asesores, analistas, usuarios, gerente del área encargada etc. , por lo general un
excesivo mantenimiento en los sistemas es ocasionando por un mal desarrollo de
su uso esto inicia desde el usuario que desea que quiere y para satisfacer sus
preferencias hará el ejercicio de estándares de pruebas para aumentar su
confiabilidad en las tareas que los requiera surge un paradigma que es que en todas
las ocasiones los programadores y asesores tengan fácil acceso a los sistemas en
operación causara un mayor grado de inseguridad e incertidumbre. Debemos
evaluar los instructivos de operación de los sistemas para evitar que los
programadores tengan acceso con mayor facilidad a los sistemas en operación lo
mínimo que debe contener los instructivos es un diagrama de flujo por cada
programa, cifras de control, fórmulas de verificación y por ultimo instrucciones en
caso de error. La finalidad es evaluar los trabajos que se realicen para iniciar las
operaciones de un sistema este comprende evaluación integral adecuación y
aceptación por parte del usuario, la configuración de los sistemas de cómputo
comprende la interacción de numerosas y complejas decisiones de carácter técnico,
las entrevistas a usuarios son herramientas necesarias para la comparación de
datos proporcionados y la dirección de la parte informática desde el activo más
valioso que son los usuarios, al momento de hacer la encuesta observaremos los
puntos de vista del consumidor y si en algo está fallando tomaremos correctivos
oportunamente.
ENTREVISTAS A USUARIOS YD ERECHOS DE AUDITOR
La entrevista es un herramienta útil como fuente de información para saber cómo
operan los sistemas no siempre es la más adecuada puesto que el entrevistador
tiene la facilidad de escoger que quiere que el entrevistado conteste, desde el punto
de vista los sistemas deben cumplir los objetivos por los cuales son utilizados ser
8. confiables y seguros y poderlos utilizar a tiempo y con el menor tiempo posible sin
aumentar el presupuesto asignado para que un sistema sea eficiente tendrá ciertas
características como una excelente comunicación entre este y quien lo está
desarrollando, lo cual tendrá los elementos con los que se cuenta las necesidades
de la información y los requerimientos de salida almacenada o impresa, también es
importante recordar hacer cuadros comparativos de la calidad de la información el
tipo de la misma; esta etapa será cuidadosamente verificada por el auditor interno
especialista en sistemas para evaluar el buen uso y si se logró satisfacer las
necesidades del usuario. Sean venido dando una serie de opiniones a nivel mundial
de las garantías para la información personal almacenada en base de datos y dar
un blindaje jurídico a la información de carácter estratégico, la estipulación de delitos
informáticos y la protección de derechos de autor a los especialistas de la creación
de programas informáticos, si lo tomamos en aspectos monetarios la creación un
programa es una inversión para la empresa la cual me generara una serie de gastos
y si la ley me garantiza una protección de seguro que mi proyecto va ser menos
riesgoso y a su vez de no fácil falsificación, los programas de cómputo en la
actualidad se han convertido en una herramienta necesaria y eficaz para las
empresas minimizando costos , mayor capacidad de producción y garantizando
para el usuario una mayor satisfacción de sus productos y para los Estados un
producto más y un factor económico de rentabilidad para el desarrollo sostenible de
los países siendo las TIC motor ascendente para un mejor camino de la economía
mundial. Se puede decir que el sistema de comunicación mundial es el internet y
que se han creado ciertas leyes para su protección; se entiende por derecho de
autor el reconocimiento que hace el estado a favor de todo creador de obras, ya
sean de carácter literario o informático lo cual este tendrá la capacidad de privilegios
exclusivos de tipo personal y patrimonial lo cual está establecido en el artículo 13
de la Ley 23 de 1982.
El acceso a la red por parte de los usuarios debe divulgar y controlar la información
transmitida por Internet, considerada esta como una conexión de redes
interconectadas o como un conjunto de computadoras reunidas entre sí. Para la
divulgación y control de la información a los usuarios, se requiere un equipo que
esté al alcance del público en general; Por lo tanto, surgen las empresas
proveedoras de servicios dedicadas a ofrecer conexiones a Internet; Ellos son los
responsables de la información que ponen al servicio de los usuarios. Es necesario
determinar si los servicios proporcionados y planeados por la dirección de la
informática cubren la necesidad de información de la organización, por lo cual se
debe comenzar a realizar una entrevista que determine la descripción de los
servicios prestados, criterios de evaluación, reportes periódicos de uso, entre otros.
9. El diseño de este cuestionario debe tener una adecuada preparación, elaboración,
pre-evaluación y evaluación, para identificar la evaluación a realizar debe existir una
introducción clara, recopilar los datos y elaborar las preguntas con precisión, su
objetivo principal es conocer la opinión que tienen los usuarios sobre la información
proporcionada así como de las aplicaciones que se utilizan en los sistemas de
operación; Las entrevistas se deberán realizar en lo posible con los usuarios o de
manera aleatoria. Estas son la fuente de información más importante para dar a
conocer como es el funcionamiento de un sistema, pues permiten analizar la opinión
de los usuarios y además se debe contar con el conocimiento acertado para
formular las preguntas adecuadas; Esta debe realizarse a la par con un plan de
trabajo para su implementación la cual debe contener las fechas en que se realizará
cada uno de los procesos.
Identificar el rendimiento de un sistema de cómputo puede ser determinado por
medio de un paquete de pruebas que hayan sido elaboradas, para este fin; Es
conveniente realizar comparación de equipos para hacer la relación de los softwares
que se ofertan en el mercado, con el fin de seleccionar la configuración adecuada
del sistema de Computo en la que se incluye la interacción de nuevas y complejas
decisiones, todo esto con la finalidad de evaluar los trabajos que se realizan en la
operación de un sistema. Esto comprende la adecuación y aceptación por parte del
usuario y entrenamiento de los responsables del sistema; Se debe considerar para
ella identificar cuáles son los puntos que se toman en cuenta para adquirir las
pruebas del sistema, se debe analizar la forma en que se va a cargar inicialmente
los datos del sistema. Estos datos pueden ser parte de todo el sistema o bien en
forma parcial, ya que lo importante es evaluar la manera como se van a cargar los
datos acumulados.
Se deben evaluar los instructivos de operación de sistemas para evitar que los
programadores tengan acceso a los sistemas de operación. Con ello se recolectarán
las pruebas del sistema que deben garantizar el cumplimiento de las
especificaciones funcionales, verificando datos estadísticos, transacciones,
reportes, archivos, anotando las fallas que puedan ocurrir y realizando los ajustes
necesarios. Evaluar los aportes las aplicaciones de los sistemas de información
debe comprobar si se están cumpliendo con las especificaciones del usuario y que
efectivamente cumplan con los objetivos y beneficios esperados; Asimismo debe
ser evaluado un sistema que esté en creación o aquel que tenga un cambio de
manera que se ejecuten las operaciones y se compruebe la información. Se debe
determinar cuánto se afectan las actividades del personal, si aumenta o disminuye
el personal de la organización, si aumenta o disminuye el esfuerzo realizado y su
relación costo-beneficio.
Es necesario del Sistema identificar sus entradas, los procesos, salidas de
información que permitan proporcionar los controles que se ejecutarán
desarrollando la implementación del Sistema con datos de prueba, evaluando el
Sistema su seguridad y confidencialidad. Por lo tanto es muy complejo en aspectos
10. técnicos, considerar dentro de la confidencialidad, alguna infracción a los Derechos
de Autor, lo que puede originar diferentes violaciones dentro de ellas las
patrimoniales al transmitir obras intelectuales por medio de archivos subidos a
Internet, también se considera violación de Derechos de Autor cuando se utiliza la
misma imagen, cuando in visitante accede a una página web por primera vez, el
servidor le atribuye generalmente un número de identificación, lo que permite al
propietario de la página analizar el comportamiento de sus visitantes y personalizar
sus visitas.
Todo esto nos lleva a que exista la protección de los Derechos de Autor siendo la
reserva de usar y explotar de forma exclusiva Títulos, nombres, denominaciones,
características, etc. Para ello, se establece una Ley de Derechos de Autor las cuales
están previstas en el Código Penal que regula los delitos del uso de la información
exclusiva, se advierte al usuario que la información es reservada con el objetivo de
dirimir la interpretación aplicación de la información. En la relación de las
actividades económicas se considera secreto industrial a toda información de
aplicación industrial o comercial que guarde una persona física o moral con carácter
confidencial, que le signifique obtener o mantener una ventaja competitiva o
económica. La información del secreto industrial debe estar sometida a la
naturaleza, características o finalidades de los productos.
La limitación que el precepto realiza del tipo de la información que califica como
constitutiva de secretos industriales con lo que establece el legislador una limitación
que ligue o asocie la actividad fundamental del agente económico o bien, una
ventaja competitiva para poder ser considerado como aspecto para constituir un
secreto industrial; Ejemplos de esto, se encuentran las listas de clientes y
proveedores, la formulación de procesos industriales, estrategias de mercado,
lanzamiento de productos, productos de estudios comerciales y de mercado,
procesos legales, y en general cualquier información susceptible a afectar el ente
económico.
Las bases de datos que son de dominio público pero que son modificadas,
mejoradas o ampliadas, que emplean tiempo y recursos, se convierten en propiedad
industrial que por el solo hecho merece la protección que la legislación confiere a
los secretos industriales, en este sentido puede aplicarse a ciertos programas de
computación que para su conformación requieran de la participación de
especialistas que intervengan en la investigación.
Las posibilidades de la comunicación vía Internet son inagotables, ya que la
posibilidad de ofertar productos y prestar servicios en los sitios de la Red, mediante
la obtención de un nombre de dominio (marca) destinado a promover sus bienes y
servicios a los usuarios de la Red, estos nombres de dominio son asignados a
personas que desean tener un domicilio que pueda ser visitado por usuarios en la
Red, son registrados a través de una forma de solicitud estándar disponible y el
11. único criterio seguido para su concesión es verificar que no exista un nombre de
dominio idéntico, necesario de un punto de vista técnico.
Se excluye como secreto industrial aquella información que sea del dominio público
lo que resulta evidente para un técnico en la materia, con base en la interpretación
previa disponible o la que deba ser divulgada en disposición legal por orden judicial.
No se considera que entre al dominio público o que sea designado por disposición
legal, aquella información que sea proporcionada a cualquier autoridad por una
persona que lo posea como secreto industrial, cuando la proporción es para el
efecto de obtener licencias, permisos, autorizaciones y cualquier otro acto de
autoridad.
El régimen titular de los secretos industriales debe constituir verdaderamente un
medio de protección confidencial que se estima como bien económico valioso.