Se busca la opinión de la alta dirección para estimar el grado de satisfacción y confianza que tiene en los productos, servicios y recursos de informática del negocio; asimismo, es posible detectar las fortalezas, aciertos y apoyo que brinda dicha función desde la perspectiva de los directivos del negocio. Un punto importante que debe quedar plasmado en esta fase son las áreas de oportunidad que tiene informática para hacer más competitivo y rentable el negocio, sea este soporte directo o indirecto, en alto o menor grado. Es conveniente aclarar que no se debe tratar esta etapa como un conjunto de tareas que requieren muchos recursos involucrados ni un tiempo considerable; es simplemente un aspecto necesario y generalizado para entender los puntos débiles y fuertes de la función de informática desde un punto de vista de los usuarios clave y la alta dirección. Todas las actividades del auditor en informática deben estar claramente definidas en todos los componentes formales que integran cualquier trabajo dentro de una organización. Los aspectos por evaluar son al menos los tres mencionados a continuación. Ahora bien, si el auditor considera .que la complejidad del negocio, la fusión o compra de la empresa, la informalidad palpable en informática o alguna consideración específica para el líder de proyectos o a petición de la alta dirección requieren más puntos por considerar y un tiempo más prolongado, conviene que los integre en esta fase, ya que aquí se detectan los primeros síntomas de informática que, a la postre, pueden ser los más relevantes. Los temas evaluación de los sistemas, objetivos específicos de la evaluación de los sistemas, evaluación del sistema lógico, evaluación del desarrollo de sistemas y auditoría informática de comunicaciones y redes entre otros, corresponden a las obras elaboradas por Oscar Toro, Núñez de Balboa, Eduardo Horacio Quinn y Julián Gutiérrez Melo. La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos. El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes: ¿Cuáles servicios se implementarán? ¿Cuándo se pondrán a disposición de los usuarios?44 ¿Qué características tendrán? ¿Cuántos recursos se requerirán? La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados: ¿Qué aplicaciones serán desarrolladas y cuando? ¿Qué tipo de archivos se utilizarán y cuando? ¿Qué bases de datos serán utilizarán y cuando? ¿Qué lenguajes se utilizarán y en que software? ¿Qué tecnología será utilizada y cuando se implementará? ¿Cuantos recursos se requerirán aproximadamente? ¿Cuál es aproximadamente el monto de la inversión en hardware y software? En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia. ¿Qué estudios van a ser realizados al respecto? ¿Qué metodología se utilizará para dichos estudios? ¿Quién administrará y realizará dichos estudios? En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos. Por último, el plan estratégico determina la planeación de los recursos. ¿Contempla el plan estratégico las ventajas de la nueva tecnología? ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios? El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta actualmente. Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial. el cual a su vez debe comenzar con el de factibilidad. La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo. Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quiénes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.45 En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el estudio de factibilidad. Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema. Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en fa práctica son costos directos, indirectos y de operación. Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad. Se encarga de llevar a cabo la evaluación de normas, técnicas y procedimientos que se tiene establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoria que promueve y aplica conceptos de auditoría en el área de sistemas de información. El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.
