Indice
1.
Introducción
2. Auditoria interna y auditoria externa
Hildeya
3. Alcance de la auditoria
informática
4. Características de la
auditoria tecnológica
5. Tipos y clases de
auditorias
6. Revisión de controles de la
gestión informática
7. Bibliografia
El trabajo que expondremos a continuación trata
sobre "El Auditor frente a la Evolución
Tecnológica". En esta práctica estudiaremos varios
temas que consideramos son de importancia para nosotros como
futuros profesionales en el área de contabilidad.
En espera de que dicho tema sea comprendido por todos, a
continuación el desarrollo del
mismo.
A finales del siglo XX, los Sistemas
Informáticos se constituyeron en las herramientas
más poderosas para materializar uno de los conceptos
más vitales y necesarios para cualquier organización empresarial, los Sistemas de
Información de la empresa.
La evolución tecnológica hoy, está subsumida
en la gestión
integral de la empresa, y por
eso las normas y
estándares propiamente informáticos deben estar,
por lo tanto, sometidos a los generales de la misma. En
consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado el
"management" o gestión de la empresa. Cabe aclarar que la
tecnología
no gestiona propiamente la empresa, ayuda a la toma de
decisiones, pero no decide por sí misma. Por ende,
debido a su importancia en el funcionamiento de una empresa,
existe la Auditoria Informática.
El término
de Auditoria se ha empleado incorrectamente con frecuencia ya que
se ha considerado como una evaluación
cuyo único fin es detectar errores y señalar
fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria"
como sinónimo de que, en dicha entidad, antes de
realizarse la auditoria, ya se habían detectado fallas. El
concepto de
auditoria es mucho más que esto.
La palabra auditoria proviene del latín auditorius, y de
esta proviene la palabra auditor, que se refiere a todo aquel que
tiene la virtud de oír.
De todo esto sacamos como deducción que la auditoria es un
examen crítico pero no mecánico, que no implica la
preexistencia de fallas en la entidad auditada y que persigue el
fin de evaluar y mejorar la eficacia y
eficiencia de
una sección o de un organismo.
El auditor informático ha de velar por la correcta
utilización de los amplios recursos que la
empresa pone en juego para
disponer de un eficiente y eficaz Sistema de
Información. Claro está, que para la
realización de una auditoria informática eficaz, se
debe entender a la empresa en su más amplio sentido, ya
que una Universidad, un
Ministerio o un Hospital son tan empresas como una
Sociedad
Anónima o empresa Pública. Todos utilizan la
tecnología para gestionar sus "negocios" de
forma rápida y eficiente con el fin de obtener beneficios
económicos y reducción de costes.
Por eso, al igual que los demás órganos de la
empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas
Informáticos están sometidos al control
correspondiente, o al menos debería estarlo. La
importancia de llevar un control de esta herramienta se puede
deducir de varios aspectos. He aquí algunos:
- Las computadoras
y los Centros de Proceso de
Datos se
convirtieron en blancos apetecibles no solo para el espionaje,
sino para la delincuencia
y el terrorismo.
En este caso interviene la Auditoria Informática de
Seguridad. - Las computadoras creadas para procesar y difundir
resultados o información elaborada pueden producir
resultados o información errónea si dichos datos
son, a su vez, erróneos. Este concepto obvio es a veces
olvidado por las mismas empresas que terminan perdiendo de
vista la naturaleza y
calidad de los
datos de entrada a sus Sistemas Informáticos, con la
posibilidad de que se provoque un efecto cascada y afecte a
Aplicaciones independientes. En este caso interviene la
Auditoria Informática de Datos. - Un Sistema
Informático mal diseñado puede convertirse en una
herramienta harto peligrosa para la empresa: como las maquinas
obedecen ciegamente a las órdenes recibidas y la
modelización de la empresa está determinada por
las computadoras que materializan los Sistemas de
Información, la gestión y la
organización de la empresa no puede depender de un
Software y
Hardware mal
diseñados. Estos son solo algunos de los varios
inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoria de
Sistemas.
La función
auditora debe ser absolutamente independiente; no tiene carácter
ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de
la empresa tomar las decisiones pertinentes. La auditoria
contiene elementos de análisis, de verificación y de
exposición de debilidades y disfunciones.
Aunque pueden aparecer sugerencias y planes de acción para
eliminar las disfunciones y debilidades antedichas; estas
sugerencias plasmadas en el Informe final
reciben el nombre de Recomendaciones.
Las funciones de
análisis y revisión que el auditor
informático realiza, puede chocar con la psicología del
auditado, ya que es un informático y tiene la necesidad de
realizar sus tareas con racionalidad y eficiencia. La reticencia
del auditado es comprensible y, en ocasiones, fundada. El nivel
técnico del auditor es a veces insuficiente, dada la gran
complejidad de los Sistemas, unidos a los plazos demasiado breves
de los que suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al
auditado a una serie de cuestionario.
Dichos cuestionarios, llamados check List, son guardados
celosamente por las empresas auditoras, ya que son activos
importantes de su actividad. Las Check List tienen que ser
comprendidas por el auditor al pie de la letra, ya que si son mal
aplicadas y mal recitadas se pueden llegar a obtener resultados
distintos a los esperados por la empresa auditora. La Check List
puede llegar a explicar cómo ocurren los hechos pero no
por qué ocurren. El cuestionario debe estar subordinado a
la regla, a la norma, al método.
Sólo una metodología precisa puede
desentrañar las causas por las cuales se realizan
actividades teóricamente inadecuadas o se omiten otras
correctas.
El auditor sólo puede emitir un juicio global o parcial
basado en hechos y situaciones incontrovertibles, careciendo de
poder para
modificar la situación analizada por él
mismo.
2. Auditoria interna y
auditoria externa Hildeya
Las auditorias
pueden clasificarse del siguiente modo.
- En función del sujeto: interna-externa,
pública-privada - En función del alcance: totales o completos
parciales o de alcance limitado - En función del origen del mandato:
obligatorias voluntarias - En función del objetivo:
S.I. datos personales calidad, cuentas fiscal
seguridad - Según el sector económico: Industria
Servicio,
etc..
De acuerdo con esta clasificación, las auditorias
del Reglamento de Seguridad de Datos de carácter personal es
privada, puede ser interna o externa, su alcance es total en
función de las medidas, resulta obligatoria por el origen
del mandato y el objetivo viene definido por el tratamiento de
datos personales a partir del nivel medio. En relación con
el sector económico, afecta de hecho a cualquier entidad
de cualquier sector en la que se traten datos personales del
nivel correspondiente.
Se ha dicho que el dilema sobre el desarrollo de Internet se encuentra entre
la Tecnología y los Contenidos. Efectivamente, en los SI
existen ambos componentes, que son polifacéticos
(también los recursos
humanos, los grandes olvidados), y ello obliga a pensar ante
el hecho de que en menos de medio siglo se ha pasado de los
sistemas manuales al
Proceso de Datos/Informática (términos casi
equivalentes), y de ahí al complejo TI – S.I. A esto
se suma el fenómeno de crecimiento de las grandes
corporaciones, que ha provocado una especie de fusión-manía.
Sin embargo, hoy en día, tanto en Estados Unidos
como en la UE, se considera como esencial para el sistema
mantener la competencia. Por
tanto, la independencia
profesional tiene y va a tener connotaciones muy estrictas, y
está claro en todos los casos que la consultoría y la asesoría no pueden
ser compatibles con la auditoria, especialmente en lo
concerniente a las auditorias obligatorias, incluso aunque se
crearan sociedades
diferentes dentro del grupo.
3. Alcance de la auditoria
informática
El alcance ha de definir con precisión el entorno
y los límites en
que va a desarrollarse la auditoria informática, se
complementa con los objetivos de
ésta. El alcance ha de figurar expresamente en el Informe
Final, de modo que quede perfectamente determinado no solamente
hasta que puntos se ha llegado, sino cuales materias fronterizas
han sido omitidas. Ejemplo: ¿Se someterán los
registros
grabados a un control de integridad exhaustivo*? ¿Se
comprobará que los controles de validación de
errores son adecuados y suficientes*? La indefinición de
los alcances de la auditoria compromete el éxito
de la misma.
*Control de integridad de registros:
Hay Aplicaciones que comparten registros, son registros comunes.
Si una Aplicación no tiene integrado un registro
común, cuando lo necesite utilizar no lo va encontrar y,
por lo tanto, la aplicación no funcionaría como
debería.
*Control de validación de errores:
Se corrobora que el sistema que se aplica para detectar y
corregir errores sea eficiente. Hasta aquí.
4. Características de la auditoria
tecnológica
La información de la empresa y para la empresa,
siempre importante, se ha convertido en un Activo Real de la
misma, con sus Stocks o materias primas si las hay. Por ende, han
de realizarse inversiones
informáticas, materia de la
que se ocupa la Auditoria de Inversión Informática.
Del mismo modo, los Sistemas Informáticos o
tecnológicos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditoria de
Seguridad
Informática en general, o a la auditoria de Seguridad
de alguna de sus áreas, como pudieran ser Desarrollo o
Técnica de Sistemas.
Cuando se producen cambios estructurales en la
Informática, se reorganiza de alguna forma su
función: se está en el campo de la Auditoria de
Organización Informática o tecnológica
Estos tres tipos de auditorias engloban a las actividades
auditoras que se realizan en una auditoria parcial. De otra
manera: cuando se realiza una auditoria del área de
Desarrollo de Proyectos de la
Informática de una empresa, es porque en ese Desarrollo
existen, además de ineficiencias, debilidades de
organización, o de inversiones, o de seguridad, o alguna
mezcla de ellas.
Síntomas de necesidad de una auditoria
informática:
Las empresas acuden a las auditorias externas cuando existen
síntomas bien perceptibles de debilidad. Estos
síntomas pueden agruparse en clases:
- Síntomas de descoordinación y
desorganización:
No coinciden los objetivos de la Informática de
la Compañía y de la propia
Compañía.
Los estándares de productividad se
desvían sensiblemente de los promedios conseguidos
habitualmente.
- Síntomas de mala imagen e
insatisfacción de los usuarios:
– No se atienden las peticiones de cambios de los
usuarios. Ejemplos: cambios de Software en los terminales de
usuario, refrescamiento de paneles, variación de los
ficheros que deben ponerse diariamente a su disposición,
etc.
– No se reparan las averías de Hardware ni se resuelven
incidencias en plazos razonables. El usuario percibe que
está abandonado y desatendido permanentemente.
– No se cumplen en todos los casos los plazos de entrega de
resultados periódicos. Pequeñas desviaciones pueden
causar importantes desajustes en la actividad del usuario, en
especial en los resultados de Aplicaciones críticas y
sensibles.
- Síntomas de debilidades
económico-financiero:
– Incremento desmesurado de costes.
– Necesidad de justificación de Inversiones
Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones).
– Desviaciones Presupuestarias significativas.
– Costes y plazos de nuevos proyectos (deben auditarse
simultáneamente a Desarrollo de Proyectos y al
órgano que realizó la petición).
- Síntomas de Inseguridad:
Evaluación de nivel de riesgos
– Seguridad Lógica
– Seguridad Física
– Confidencialidad
[Los datos son propiedad
inicialmente de la organización que los genera. Los datos
de personal son especialmente confidenciales]
- Centro de Proceso de Datos fuera de control. Si tal
situación llegara a percibirse, sería
prácticamente inútil la auditoria. Esa es la
razón por la cual, en este caso, el síntoma debe
ser sustituido por el mínimo indicio.
5. Tipos y clases de
auditorias
El departamento de Informática posee una
actividad proyectada al exterior, al usuario, aunque el
"exterior" siga siendo la misma empresa. He aquí, la
Auditoria Informática de Usuario. Se hace esta
distinción para contraponerla a la informática
interna, en donde se hace la informática cotidiana y real.
En consecuencia, existe una Auditoria Informática de
Actividades Internas.
El control del funcionamiento del departamento de
informática con el exterior, con el usuario se realiza por
medio de la Dirección. Su figura es importante, en
tanto en cuanto es capaz de interpretar las necesidades de la
Compañía. Una informática eficiente y eficaz
requiere el apoyo continuado de su Dirección frente al
"exterior". Revisar estas interrelaciones constituye el objeto de
la Auditoria Informática de Dirección. Estas tres
auditorias, mas la auditoria de Seguridad, son las cuatro
Áreas Generales de la Auditoria Informática
más importantes.
Dentro de las áreas generales, se establecen las
siguientes divisiones de Auditoria Informática: de
Explotación, de Sistemas, de Comunicaciones
y de Desarrollo de Proyectos. Estas son las Áreas
Especificas de la Auditoria Informática más
importantes.
Áreas Específicas | Áreas Generales | |||
Interna | Dirección | Usuario | Seguridad | |
Explotación | ||||
Desarrollo | ||||
Comunicaciones | ||||
Seguridad |
Cada Área Especifica puede ser
auditada desde los siguientes criterios generales:
- Desde su propio funcionamiento interno.
- Desde el apoyo que recibe de la Dirección y,
en sentido ascendente, del grado de cumplimiento de las
directrices de ésta. - Desde la perspectiva de los usuarios, destinatarios
reales de la informática. - Desde el punto de vista de la seguridad que ofrece la
Informática en general o la rama auditada.
Estas combinaciones pueden ser ampliadas y reducidas
según las características de la empresa
auditada.
6. Revisión de
controles de la gestión
informática
Una vez conseguida la Operatividad de los Sistemas, el
segundo objetivo de la auditoria es la verificación de la
observancia de las normas teóricamente existentes en el
departamento de Informática y su coherencia con las del
resto de la empresa. Para ello, habrán de revisarse
sucesivamente y en este orden:
- Las Normas Generales de la Instalación
Informática. Se realizará una revisión
inicial sin estudiar a fondo las contradicciones que pudieran
existir, pero registrando las áreas que carezcan de
normativa, y sobre todo verificando que esta Normativa General
Informática no está en contradicción con
alguna Norma General no informática de la
empresa. - Los Procedimientos
Generales Informáticos. Se verificará su
existencia, al menos en los sectores más importantes.
Por ejemplo, la recepción definitiva de las máquinas
debería estar firmada por los responsables de
Explotación. Tampoco el alta de una nueva
Aplicación podría producirse si no existieran los
Procedimientos de Backup y Recuperación
correspondientes. - Los Procedimientos Específicos
Informáticos. Igualmente, se revisara su existencia en
las áreas fundamentales. Así, Explotación
no debería explotar una Aplicación sin haber
exigido a Desarrollo la pertinente documentación. Del mismo modo,
deberá comprobarse que los Procedimientos
Específicos no se opongan a los Procedimientos
Generales. En todos los casos anteriores, a su vez,
deberá verificarse que no existe contradicción
alguna con la Normativa y los Procedimientos Generales de la
propia empresa, a los que la Informática debe estar
sometida.
- www/Google.com.do
Internet Explorer
- www/altavista.com.do
Internet Explorer
- Auditoria un Enfoque Integral O. Ray Whittington/
Kart P. (12ava. Edicion)
Autor:
Patricia Alcantara