Universidad Nacional Experimental de Guayana

Vicerrectorado Académico
Coordinación General de Pregrado
Ingeniería Informática
Unidad Curricular: Auditoria de los Sistemas
Semestre VIII, Sección: 02

Evaluación de los Sistemas

Docente: Integrantes:
Luis Estaño Bermúdez Ezequiel V- 24542193
García Geraldine V-25395520
Martínez Anaís V-21577625

Mendoza Carlos V-22587983

Ciudad Guayana, Junio de 2018

 Introducción

La auditoría de sistemas se encarga de determinar si en un sistema hay

algún problema y definir las causas y a partir de allí proceder a definir el
problema, realizar un estudio de factibilidad, repasar el diseño general, análisis
del sistema, diseño del sistema, diseño detallado, su implementación y
desarrollo físico, realizar pruebas del sistema y cambios y mejoras. De esta
manera se puede hacer un análisis y evaluar si sus beneficios van en
proporción con los servicios que prestan evaluando su disponibilidad,
necesidad de los usuarios, efectos en los usuarios, congruencia con otros
sistemas y si cumple con los objetivos con los que fue creado y si sus costos
de creación y mantenimiento se ajustan con los beneficios.

Las organizaciones pueden contar con el software adecuado de

diferentes maneras y de acuerdo a sus necesidades de diferentes maneras,
este puede ser el elaborado por el usuario, el compartido o regalado, el
software transportable, que pueden contar con un usuario o multiusuario que
permita su fácil accesibilidad, pero además se debe tener en cuenta que
dentro de la elaboración o adquisición de un sistema se debe considerar su
compatibilidad con otros sistemas que permitan compartir información y que se
ajuste a los requerimientos de los usuarios.

En un sistema hay diferentes factores que pueden afectar su correcto

funcionamiento como deficiente análisis costo beneficio, control débil, falta de
estándares de desarrollo, falta de participación de la gerencia y usuarios,
dificultad de mantenimiento, procesos no autorizados entre otros… Y aquí es
donde entra la auditoría para identificar y evaluar qué causa el problema y
dónde hace falta corregir para que el sistema funcione de manera correcta.
 Evaluación de los Sistemas

Según Hernández (1993) “La función de auditoría de informática debe

generar al igual que todas las áreas del negocio, un plan de proyectos que
justifiquen su trabajo durante un cierto periodo, de igual manera deberán de
contemplar cada uno de esos proyectos un análisis costo/beneficio y la
estructura de los mismos con un enfoque metodológico, lo anterior con la
finalidad de que también dicha función pueda ser evaluada en base a su
desempeño, con parámetros que sean lo más tangibles y medibles posibles.”

Esto se refiere que debe aplicarse cierta metodología para la evaluación

de los sistemas, cuyos cambios realizados deben ser evaluados para conocer
los problemas que este pueda presentar, se pueden utilizar medidas
cuantitativas bajo unas mismas condiciones para ver el progreso real del
sistema y compararlo consigo mismo o con otros pero debe definirse bien que
representan los números o datos con los cuales se hace la evaluación. En las
etapas iniciales de un desarrollo pueden utilizarse medidas cualitativas.

Perfil de auditores del auditor de sistemas

Alonso A.(2003 “Para poder desempeñar adecuadamente la función de

auditoría de sistemas, el auditor debe ser un profesional íntegro, poseedor de
excelentes capacidades académicas, éticas y morales, tener conocimiento
suficiente y experiencia en aspectos informáticos a nivel de hardware, software,
comunicaciones, en análisis, diseño, puesta en marcha y mantenimiento de
sistemas de información.”.

Control de los sistemas de información

Alonso A.(2003) Sugiere que “Una de las razones fundamentales que

justifican la aplicación del control en el área de informática se debe a la
creciente dependencia de las industrias y empresas de producción, servicios y
educación, tanto del sector público como privado, en los equipos de
computación, en el software y en el procesamiento de la información, debido a
que el uso de las computadoras acarrea riesgos de errores, omisiones, fraudes
y otros sucesos adversos, que ameritan su permanente control y supervisión en
mayor grado a los procesos que se llevan manualmente, para garantizar la
confiabilidad, confidencialidad y seguridad de los sistemas de información. “

Clasificación de los controles

Para identificar algún percance a tiempo y poder tomar las debidas
acciones es necesario aplicar bien sea, según el autor Alonso A. (2003):

Control interno​: Es aquel proceso que se ejerce internamente en las

organizaciones y es impulsado por las directivas, administradores y demás
personal que está vinculado a ella, el cual posee la suficiente ética y moral, así
como formación académica, que le amerite credibilidad a sus hallazgos y
conclusiones y tiene como propósito lograr el cumplimiento de los objetivos
institucionales.

Control externo​: Es aquel ejercido por personal ajeno a la organización y su

propósito es establecer en qué medida, los resultados alcanzados por las
entidades o personas sujetas al control, satisfacen las metas y objetivos
trazados en las políticas, planes, programas y propósitos fijados por la
administración.

La evaluación de cualquier tecnología debe ir acompañada de un

conjunto de medidas estándar propuestas para tal fin. La disponibilidad de
bases de datos y de protocolos o procedimientos para la evaluación de estos
sistemas ha sido un componente muy importante, casi fundamental, en el
progreso alcanzado en este campo y ha permitido compartir nuevas ideas, e
incluso compararlas con otras ya consolidadas. Los progresos en la evaluación
de sistemas de comprensión del lenguaje hablado están comenzando. Algunos
acuerdos alcanzados en la evaluación de sistemas:

Evaluación del Sistema como Caja Negra

La evaluación de los componentes de un sistema es una tarea
importante durante el desarrollo del mismo, aunque no es especialmente útil
para comparar sistemas entre sí, al menos que los sistemas a comparar sean
muy similares, lo que no suele ser el caso. La motivación para evaluar los
componentes de un sistema es puramente interna, por tanto, no es
absolutamente necesario llegar a acuerdos en la comunidad internacional
sobre la metodología de evaluación de los mismos. Las medidas de evaluación
de los componentes internos de un sistema pueden utilizarse para evaluar las
tecnologías empleadas en cada componente como una función de sus
parámetros de diseño.

Evaluación Cuantitativa vs. Cualitativa

Una evaluación cualitativa de un sistema (p. ej. lo que parece gustar a
los usuarios del sistema) puede ser animador, pero mucho más convincente
para aquellos que no pueden observar el sistema son las medidas cuantitativas
llevadas a cabo de forma automática. Las medidas deberían ser
estandarizadas en la medida de lo posible, y ser reproducibles, para
considerarlas significativas. El proceso automatizado evita errores humanos
debido a fatiga, falta de atención, malas intenciones, etc. y además, permite
capturar muchos más datos que en un caso manual, y sacar conclusiones
sobre el funcionamiento de ciertos procesos o hechos que ocurren, con una
mayor fiabilidad.
Captura de Datos para Evaluación
Para capturar los datos que necesitamos para evaluar los sistemas de
lenguaje hablado, se han desarrollado técnicas y sistemas especiales
conocidos como ​PNAMBIC ​(“​P​ay ​N​o ​A​ttention to the ​M​an ​B​ehind the ​C​urtain”)
o ​Mago de Oz​, que implica la existencia de un experto cooperando con un
sistema más o menos automático y completo, pero del que no es consciente el
usuario, quién piensa que interacciona sólo con un sistema completamente
automático. Realmente, el “mago” introduce las peticiones del usuario
transcribiendo la frase hablada a texto y enviándola a la pantalla del usuario,
así como interaccionando con un sistema de información (p.e. de gestión de
bases de datos), para conseguir las respuesta a la pregunta o petición del
usuario y poder mandarla.

No se permite que el “mago” realice tareas complejas, sólo puede enviar

los datos obtenidos de la base de datos, o frases que indiquen ciertos
problemas, indicaciones al usuario, como “su pregunta requiere un proceso que
sobrepasa las posibilidades del sistema”. En general, la actuación del “mago”
viene condicionada por el hecho de que comprenda o no la pregunta del
usuario y sobre su conocimiento sobre las posibilidades de la base de datos.
Los datos deben ser analizados a posteriori para determinar si la actuación del
“mago” fue o no correcta.

Convenios sobre las Transcripciones

La transcripción de las sesiones, lo cual implica que bajo el mecanismo
o proceso de auditoría se plantearán un conjunto de opiniones y salvedades de
los auditores con respecto a la organización y sus datos relacionados con los
estados. La responsabilidad de los auditores es expresar su opinión sobre los
estados financieros y para llevar a cabo evaluaciones automáticas, se debe
llegar a un cierto acuerdo sobre los convenios a utilizar para representar lo que
el usuario ha dicho, y se deben implementar los procedimientos necesarios que
aseguren que estos convenios sean realmente implementados.

Respuestas Canónicas y Obtención de Medidas

Las respuestas canónicas son, en general, las respuestas enviadas al
usuario bajo el control del “mago”. Estas respuestas deberán ser modificadas si
el “mago” comete un error, o si la respuesta depende del contexto en que fue
generada debido a la posible cooperación (diálogo) entre el “mago” y el
usuario. El auditor debe tener en cuenta que la obtención de evidencia
suficiente y adecuada es esencial para evaluar el proceso de la organización,
mediante la realización de las pruebas de auditoría que se consideren
necesarias, al objeto de obtener una base de juicio razonable sobre los datos
contenidos en los sistemas que se examinan y poder expresar una opinión
respecto de las mismas. La obtención de estas medidas se llevan a cabo con
programas estándar y convenios para las entradas y salidas.

Según Bautista (2005) “La auditoría va más allá de la simple revisión

sistemática y evaluación de una actividad o situación, se hace presente que su
finalidad es la de emitir una opinión profesional que sea independiente a la
entidad, empresa u organización y que al llevar a cabo dicha auditoría se
deben respetar los principios generalmente aceptados por dicha actividad o
situación.”

Según Luis Otake (2012) “La auditoría de sistemas de información o

auditoría informática es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo eficazmente los fines de la organización
y utiliza eficientemente los recursos.”
 La auditoría en informática deberá comprender no sólo la evaluación de
los equipos de cómputo o de un sistema de procedimiento específico sino que
además habrá que evaluar los sistemas de información en general desde sus
entradas, procedimientos, comunicación, controles, archivos, seguridad,
personal (desarrollador, operador, usuarios) y obtención de información.

Se debe incluir los equipos de cómputo por ser la herramienta que

permite obtener una información adecuada y una organización específica
(departamento de cómputo, departamento de informática, gerencia de procesos
electrónicos, etc.), y el personal que hará posible el uso de los equipos de
cómputo.

En el marco de los estándares para llevar a cabo la auditoría de

sistemas de información, es necesario un conjunto ordenado de acciones y
procesos específicos, atendiendo el requerimiento de las necesidades
especiales de la organización. Por ende una metodología de revisión nos
permitirá realizar el diseño correcto de los pasos a seguir, haciendo de forma
sencilla e intuitiva el seguimiento, desarrollo y aplicación de las etapas y
eventos propuestos.

La auditoría según el planteamiento que propone Muñoz Razo (2002),

sugiere que el auditor de sistemas de información tome en cuenta su
metodología como una guía para los procesos estructurados en las siguientes
etapas:

La primera etapa, comprende la planeación de la auditoría que se basa

en identificar su origen, realizando una revisión preliminar al área que será
evaluada. También son establecidos ciertos objetivos y puntos que serán
utilizados para la evaluación de la auditoría, además se toma en cuenta que
para la elaboración de estos planes y programas es esencial realizar un
presupuesto bajo el costo/beneficio.

Se identifican y seleccionan métodos, herramientas, instrumentos y

procedimientos para proceder a asignar los recursos y sistemas
computacionales para la auditoría.

La segunda etapa, se ocupa de la ejecución de la auditoría realizando

una serie de acciones programadas para dicha auditoría, aplicando
instrumentos y herramientas que son de utilidad para luego identificar y
elaborar el levantamiento de los documentos de desviaciones encontradas,
finalmente se realiza un dictamen preliminar de todo lo acometido y llevarlo a
un ámbito de discusión para refinar ciertos aspectos, integrando además el
legado de papeles de trabajo de la auditoría.

La tercera etapa, debe reflejar el dictamen de la auditoría y básicamente

se realiza un análisis de la información que comprende los aspectos
cuantitativos y cualitativos como base para la elaboración de un informe de
situaciones detectadas, finiquitando el dictamen final que conlleva una decisión
sobre los controles que fueron estudiados y presentar un informe final.

La auditoría en los sistemas informáticos debe evaluar a través de

herramientas metodológicas todo el software para lograr determinar las causas
del problema para poder definirlo y estudiarlo y resolver para tener los cambios
y las mejoras. ​Los progresos realizados en un sistema deben ser medidos o
evaluados para conocer las deficiencias y problemas que éste presenta.
Aunque una evaluación cualitativa puede resultar útil en las etapas iniciales del
desarrollo del sistema, medidas cuantitativas bajo unas mismas condiciones
resultan de vital importancia para ver el progreso real del sistema y compararlo
consigo mismo o con otros. Los números no aportan información si se
desconoce de dónde proceden, es decir, qué representan.
 Referencias

Hernández, E. (1993). Auditoría de Informática (Un enfoque

metodológico). Obtenido de: ​http://eprints.uanl.mx/6977/1/1020073604.PDF

Otake, L. (2012). Auditoría de Sistemas de Información. Obtenido de:

https://issuu.com/ingenieriaarquitecturausat/docs/auditoria_de_sistemas_de_inf
ormacion

Echenique, J. Auditoría en Informática. (UNAM), 1990, McGraw-Hill.

Tamayo A. (2003). Auditoria de sistemas. Una visión práctica.

Recuperado el 03 de junio de 2018 desde
https://books.google.co.ve/books?id=HdtpS3UBCuMC&pg=PA1&lpg=PA1&dq=
auditoria+de+sistemas+una+vision+practica&source=bl&ots=Il2WFLSS0T&sig=
NSD_PGyw0wtIgfnRWGb86aDqu70&hl=es&sa=X&ved=0ahUKEwimg8H-m7vb
AhUQyFkKHeXFCDoQ6AEILzAC#v=onepage&q=auditoria%20de%20sistemas
%20una%20vision%20practica&f=false

Pasamontes, J (2001), Estrategias de incorporación de conocimiento

sintactico y semantico en sistemas de comprensión de habla continua en
español, capítulo 2.7 Evaluación de Sistemas.