1º INTRODUCCION. 2º OBJETIVOS DE LA INFORMATICA.

Anuncio
1º INTRODUCCION.
2º OBJETIVOS DE LA INFORMATICA.
3º OBJETIVOS DE LA AUDITORIA INFORMATICA.
4º PRINCIPIOS Y REGLAS DE AUDITORIA.
5º LOS MEDIOS DISPONIBLES Y ESPECIFICOS
DE AUDITORIA.
BIBLIOGRAFIA
INTRODUCCION :
A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los
Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares
propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia,
las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la
empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones,
pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe
la Auditoría Informática.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una
evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene
Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado
fallas.
El concepto de auditoría es mucho más que esto. La palabra auditoría proviene del latín auditorius, y de esta
proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio
esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la
eficiencia y eficacia.
Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos dice: " La
auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos
resultados, una vez llevado a cabo son de carácter indudable."
De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que no
implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y
eficiencia de una sección o de un organismo.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en
juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una
auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad,
1
un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan
la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios
económicos y reducción de costes.
Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos,
etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La
importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:
• Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo
para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría
Informática de Seguridad.
• Las computadoras creadas para procesar y difundir resultados o información elaborada pueden
producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio
es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad
de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto
cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de
Datos.
• Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la
empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la
empresa está determinada por las computadoras que materializan los Sistemas de Información, la
gestión y la organización de la empresa no puede depender de un Software y Hardware mal
diseñados.
Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la
necesidad de la Auditoría de Sistemas.
OBJETIVOS DE LA INFORMATICA:
El término informática es un neologismo creado en Francia en 1962 por Philippe Dreyfus. El término frances
es informatique y está formado por la contracción de las palabras information automatique. Este término fue
aceptado en el resto de países. En España se tradujo por informática (información automática), aunque en los
países anglosajones se utiliza el termino computer science (ciencia de las computadoras).
Existen muchas definiciones posibles de informática. La Academia Francesa de la Lengua la define en 1966
como la ciencia del tratamiento racional, por medio de maquinas automáticas, de la información, considerada
ésta como soporte de los conocimientos humanos y de las comunicaciones, en los campos técnicos,
económico y social. La definición que nos da la Real Academia Española de la Lengua nos dice que la
informática es el conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático
de la información por medio de computadoras electrónicas.
De ambas definiciones podemos obtener una tercera, más completa, que nos define la informática como la
ciencia que estudia el tratamiento automático y racional de la información mediante el uso de computadoras
electrónicas. En esta definición hablamos de tratamiento automático porque son las propias máquinas las que
realizan las tareas de captura, proceso y presentación de la información, y también hablamos de tratamiento
racional porque todo el proceso está regulado a través de una secuencia de instrucciones.
El hombre se ha tenido que enfrentar a problemas, ue han justificado el hecho de automatizar las más diversas
tareas humanas. Enumeremos las principales razones que han obligado a la automatización del tratamiento de
las informaciones, que son a la postre los objetivos perseguidos por la informática:
• La primera, es el tener que realizar funciones que el hombre por sí solo no puede cubrir, como serían
las comunicaciones a largas distancias, el radar, el sonar, etc.
2
• A veces es necesario realizar funciones que el hombre puede aboradar por sí mismo, pero llevarían un
tiempo muy largo incluso si son ejecutadas por muchos individuos juntos, de tal modo que se
conseguiria la operatividad y el fin perseguido. Podría ser el caso de unos cálculos muy complejos,
necesarios en el seguimiento y control de naves espaciales.
• La necesidad de obtener una seguridad en algunas tareas, sobre todo en aquellas de tipo reiterativo, en
las que el hombre comete errores con alguna frecuencia, los cuales estánpaliados por la perfección de
las máquinas.
• La sustitución de mano de obra para tareas monótonas que no desarrollan las facultades nobles del
hombre. Mediante la automatización se pueden abandonar dichas tareas, pudiendo entonces
dedicarse el esfuerzo humano a funciones más decisivas. Pensemos por ejemplo en tareas repetitivas de la
gestión administrativa o del control de las máquinas herramientas.
Con todo esto podemos afirmar que son pocas las actividades humanas que nada tiene que ver con la
informática, y aunque no nos demos cuenta está presente en casi todos los lugares: supermercados, oficinas,...,
e incluso en nuestro propio hogar.
Algunos campos de aplicación de la informática son las siquientes:
• Investigación científica y humanística
Se usan la las computadoras para la resolución de de cálculos matemáticos, recuentos numéricos, etc. Algunas
de estas operaciones:
• Resolución de ecuaciones
• Análisis de datos de medidas experimentales,encuestas,..
• Análisis automáticos de textos
• Aplicaciones técnicas
Usa la computadora para facilitar diseños de ingeniería y de productos comerciales, trazado de planos, etc.
Algunas de estas operaciones:
• Análisis y diseño de circuitos de computadora
• Cálculo de estructuras en obras de ingeniería
• Minería
• Cartografía
• Documentación e información
Es uno de los campos más importantes para la utilización de computadoras. Estas se usan para el
almacenamiento de grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos.
Ejemplos de este campo de aplicación son:
• Documentación científica y técnica
• Archivos automatizados de bibliotecas
• Bases de datos jurídicas
• Gestión administrativa
Automatiza las funciones de gestión típicas de una empresa. Existen programas que realizan las siguientes
actividades:
3
• Contabilidad
• Facturación
• Control de existencias
• Nóminas
• Inteligencia artificial
Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas
responden como previsiblemente lo haría una persona inteligente. Aplicaciones como:
• Reconocimiento del lenguaje natural
• Programas de juego complejos (ajedrez)
• Instrumentación y control
Instrumentación electrónica, electromedicina, robots industriales,...
• Otras aplicaciones
Otros campos de aplicación no vistos anteriormente: video−juegos, aplicaciones en el arte, procesamiento de
imágenes.
OBJETIVOS DE LA AUDITORIA INFORMATICA:
La Auditoría Informática la podemos definir como el conjunto de procedimientos y técnicas para evaluar y
controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las
normativas informáticas y generales prefijades en la organización.
La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema
o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde
sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe
evaluar todo: informática, organización de centros de información, hardware y software.
La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene
como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de
información en que se sustenta.
En un principio hablaremos de todo lo relacionado con la seguridad, luego trateremos todo aquello
relacionado con la eficacia y terminar con la evalución del sistema informático.
Los aspectos relativos al control de la Seguridad de la Información tiene tres líneas básicas en la auditoria
del sistema de información:
• Aspectos generales relativos a la seguridad. En este grupo de aspectos habría que considerar, entre
otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares,
seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad físics
de las instalaciones, del personal informático, etc.
• Aspectos relativos a la confidencialidad y seguridad de la información. Estos aspectos se refieren no
4
solo a la protección del material, el logicial, los soportes de la información, sino también al control de
acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir
modificaciones en la misma).
• Aspectos jurídicos y económicos relativos a la seguridad de la información. En este grupo de aspectos
se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al
derecho a la intimidad y el derecho a la información, y controlar los cada vez más frecuentes delitos
informáticos que se
cometen en la empresa. La propia dinamicidad de las tecnologías de la información y su cada vez más amplia
aplicación en la empresa, ha propiciado la aparición de estos delitos informáticos. En general, estos delitos
pueden integrarse en dos grandes grupos: delitos contra el sistema informático y delitos cometidos por medio
del sistema informático. En el primer grupo se insertan figuras delictivas tipificadas en cualquier código
penal, como hurto, robo, revelación de secretos, etc..., y otro conjunto de delitos que ya no es tan frecuente
encontrar, al menos con carácter general, perfectamente tipifiados, como el denominado hurto de tiempo,
destrucción de logiciales y datos, delitos contra la propiedad (material, terminales, cintas magneticas,...).
En el conjunto de delitos informáticos cometido por medio de sistenas informáticos cabría señalar, siempre
con carácter doloso, manipulaciones fraudulentas de logiciales, informaciones contenidas en bases de datos,
falsificaciones, estafas, etc...
Merece la pena por su frecuencia y la dificultad de prueba el llamado hurto de uso. Este delito suele
producirse cuando se utilizan los eqipos informáticos de una organización para fines privados (trabajos
externos, simple diversión,...). Los prejuicios, sobre todo económicos, que para la empresa puede significar
esta modalidad de hurto de tiempo máquina, pueden ser cuantiso, sobre todo cuando en el mismo interviene
además el elemento comunicaciones. Se trata, en definitiva, de la utilización de unos equipos si tener derecho
a ello o para un uso distinto del autorizado, y en el que lo lesionado no es la propiedad, sino una de las
facultadas inherentes a la misma.
De la misma manera, a través de la auditoria del sistema de información sera necesario controlar el adecuado
equilibrio entre riesgos y costes de seguridad y la eficacia del propio sistema.
En cuanto a la Eficacia del Sistema, esta vendrá determinada, basicamente, por la aportación a la empresa de
una información válida, exacta, completa, actualizada y oportuna que ayude a la adopción de decisiones, y
todo ello medido en términos de calidad, plazo y coste. Sin el adecuado control, mendiante la realización de
auditorías al sistema de información, esos objetivos serían díficiles de conseguir, con la siguiente repercusión
en una adecuada dirección y gestión en la empresa.
Uno de los aspectos más significativos de la Auditoría Informática se refiere a los datos relativos a la
Rentabilidad del Sistema, homogeneizadas en unidades económicas de cuenta.
La rentabilidad del sistema debe ser medida mediante el análisis de tres valores fundamentales: la evaluación
de los costes actuales, la comparación de esos costes actuales con magnitudes representativas de la
organización, y la comparación de los costes del sistema de información de la empresa con los de empresas
similares, preferentemente del mismo sector de actividad.
Como evaluar de forma concreta estos tres aspectos fundamentales, que conforman la rentabilidad del sistema
de información, es lo que se analiza seguidamente.
• Evalución de los costes actuales. Conocer, en términos económicos, los costes que para una empresa
supone su sistema de información, constituye uno de los aspectos básicos de la auditoría informática. Se
trata de cuantificar los costes de los distintos elementos que configuran el sistema de información y que en
5
términos generales son los siguientes:
• Hardware. Se trata de analizar la evolución histórica del hardware en la empresa, justificando dicha
evolución. Es importante conocer el coste del material (unidad central, periféricos, soporte,...) durante los
últimos cinco años. También será necesario analizar la utilización de cada elemento hardware de la
configuración, cifrandola en horas/mes, asegurando que la configuración utilizada se corresponde con el
menor valor utilización/coste, y examinar la coherencia del mismo.
• Software. Análisis de los costes relativos al sistema lógico, tanto en sus aspectos relativos a la esplotación
(adecuación del sistema operativo, versión del software utilizado,...) como en los aspectos relativos a la
programación de las distintas aplicaciones (prioridades de ejecución, lenguaje utilizado, ...).
• Capturas de datos. Análisis de los costes relativos a la captura de datos, de las fuentes de información,
tanto internas como externas de la empresa.
• Grabación de datos. Es necesario conocer también los costes relativos a la transcripción de datos en los
soportes adecuados (costes de personal, equipos y máquinas auxiliares).
• Explotación. Análisis de los costes imputados a los factores relativos a la explotación en sentido amplio
(tratamiento manual, tiempos de realización de aplicaciones, tiempo de respuesta, control errores, etc...)
• Aplicaciones. Se trata de evluar los costes del análisis funcional, el análisis orgánico, la programación, las
pruebas de programas, preparación de datos y costes de dasarrollo de cada aplicación medido en horas.
• Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categorias, equilibrio entre
esas categorias, remuneraciones salariales, horas extraordinarias), se trata de
analizar los costes de personal directamente relaciondo con el sistema de información. En este apartado
deberán tenerse en cuenta también los costes relativos a la formación del personal.
• Documentación. Es necesario no sólo verificar que la documentación relativa al sistema de información sea
clara, precisa, actualizada y completa, sino tambien los costes relativos a su elaboración y actualización.
• Difusión de la inlórmación. Se trata de evaluar los costes de di−fundir la información, es decir, hacer llegar
a los usuarios del sistema la información demandada o aquella considerada necesaria en los dis-tintos
niveles de la organización.
Se trata, en definitiva, de conocer y analizar los costes que para la empresa supone disponer del sistema de
información.
2) Comparación de los costes actuales con magnitudes representa-tivas de la organización. No es suficiente
conocer los costes totales del sistema de información; es necesario, además, comparar este cos-te con
magnitudes representativas de la empresa.
Se trata de conocer los porcentajes que en relación con el coste total son imputables al hardware, al software,
a la captura de datos, grabación, explotación, aplicaciones, suministros, mantenimiento, personal,
docu-mentación y difusión de la información. Conocer la relación de cos-tes/ahorro/productividad del
personal (analistas, programadores, opera-dores, auxiliares, etc.) y analizar la evolución del coste de la hora
útil de la memoria central. Pero ese análisis de costes adquiere su especial sig-nificado cuando éstos se
relacionan con magnitudes representativas de la empresa, por ejemplo: la cifra de negocios, la cifra de ventas,
etc.
El dato de costes del sistema y su comparación con otras magni-tudes constituye una valiosa información que
deberá ser especificada en las conclusiones de la auditoría informática y que tendrá una no-table incidencia
respecto a los planteamientos de futuro del sistema de información.
3) Comparación de los costes del sistema de información de la em-presa con los de empresas similares. El
análisis de costes y su com-paración con otras magnitudes representativas, debe completarse, siempre que ello
sea posible, con los costes de los sistemas de infor-mación de empresas similares a la que es objeto de
auditoría.
6
Es imprescindible conocer los costes que representa la obtención, tratamiento y difusión de la información en
la empresa. La informa-ción es un recurso de la empresa y por lo tanto un activo de la mis-ma. De ahí la
importancia de poder disponer de una comparación de los costes del sistema de información con los de otras
empresas. Esa comparación
debe realizarse con empresas del mismo sector. Ello per-mite comparar el nivel de costes del sistema de
información de la em-presa auditada con la media del sector.
Los tres aspectos analizados en relación con los costes aportarán una importante información que permitirá
adoptar correctas decisio-nes, a partir de la auditoría realizada sobre el sistema de información de la empresa.
PRINCIPIOS Y REGLAS DE AUDITORIA.
• Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de éstas los medios y
las acciones de investigación que se consideren necesarios y suficientes.
La auditoría informática sólo tiene sentido si se define su finalidad: examen de la eficacia o seguridad de un
sistema, de la fiabilidad de una aplicación, verificación de la aplicación,etc...
La finalidad está en emitir un juicio sobre el mangement del sistema de Informaciones.
• Regla : la auditoría informática consiste en comparar uno o varios actos de management, desde uno o
varios puntos de vista, con los que deberían ser.
La auditoría informática siempre llegará a una conclusión cuando los medios asignados sean suficientes y las
acciones sean posibles. La auditoría informática jamás debe empañar su finalidad ni limitarse a lo que es más
sencillo de examinar,so pena de que el juicio que emita carezca de valor al caer fuera de la cuestión verdadera.
Debe ser completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la solidez de
todo el control.
• Regla: los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad
de la auditoría, siendo coherentes entre sí y, desde luego,fiables y seguros.
En determinados casos la tarea del auditor puede ser muy compleja, para ello deberá dividirla en funciones
obteniendo conclusiones parciales de éstas y establecer un plan de aquellas que resulten ser más significativas.
Pese a la apariencia de complejidad de la auditoría informática apreciamos cómo el buen uso del ordenador
proporciona una mayor garantía y fiabilidad que cuando éste no es utilizado.
MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA.
• MEDIOS TECNICOS:
A.1) Equipo físico y locales.
A.2) Software básico.
• MEDIOS HUMANOS.
• MEDIOS FINANCIEROS.
A.1) Equipo físico y locales:
7
• Comprende el ordenador propiamente dicho, el hardware anejo y los soportes físicos de los ficheros,
así como los locales donde se instalan estas máquinas.
• Aspectos a tener en cuenta:
1.− Los equipos físicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, tanto cualitativas
como cuantitativas.
2.− Dada la evolutividad de los objetivos el equipo físico debe ser también evolutivo sin dejar de resultar
adecuado y modular.
3.− Cada componente del equipo físico de formar parte de un todo homogéneo.
4.− Otros criterios de elección son la fiabilidad del material y la rapidez de las restauraciones.
5.− Para garantizar la consecución de la finalidad se hace necesario garantizar la seguridad del hardware. Es
conveniente disponer de un plan preventivo y curativo para garantizar esa seguridad.
El plan preventivo debe prever catástrofes generales ( incendio, inundación,...) así como otros sucesos ( cortes
de fluído eléctrico, aumentos de tensión, presencia de polvo,...).
El plan curativo está formado por soluciones de emergencia en circunstancias diversas. Resulta fundamental
la salvaguarda en lugares distintos de un número suficiente de generaciones de ficheros, de programas y su
modo de empleo.
6.− Una documentación actualizada y disponible debe describir las característica técnicas del equipo físico.
• Herramientas de auditoría específica:
• La auditoría del equipo físico debe comprobar si se aplican las reglas anteriores: adaptabilidad,
homogeneidad, seguridad, fiabilidad,... Para ello, el auditor debe estar provisto de unos conocimientos
técnicos sólidos.
• El auditor valorará la adaptación a los objetivos y a las acciones tomando como base de juicio la evolución
histórica.
• El interés del auditor por las ejecuciones trás la adaptación a las finalidades.
• Estimación de la homogeneidad de los componentes y su fiabilidad atendiendo a las estadísticas de tiempo
de utilización y la conservación de grabaciones en caso de fallos.
• El estudio del presupuesto de seguridad evaluando los medios en función del sevicio que prestan y
conforme a la probabilidad de fallo que pueden tener. También se examinará la seguridad del material
suplementario y los formularios que contienen talonarios y letras.
La conservación se evalúa a partir de los contratos y de los informes de indisponibilidad. Puede ser preventiva
(mantenimiento) o curativa (restauración).
A.2) Software básico:
• Constituye una parte creciente del coste de un sistema. Tiene una importancia primordial en la
seguridad de las operaciones pero a medida que va creciendo más compleja es su evaluación.
• Aspectos a tener en cuenta:
1.−El software básico se adapta a las finalidades siempre y cuando permita una correcta utilización del
8
hardware con el lenguaje y en el modo de explotación elegidos para ejecutar las aplicaciones.
El software posee muchas posibilidades pero lo más interesante a nivel práctico es la posibilidad de poder
incorporarse en gran parte al equipo físico.
2.−La evolutividad del software exige una transparencia de su dependencia con respecto a las aplicaciones del
equipo físico.
Los límites de las posibilidades del software deben encontrarse bastante alejados, así como los obstáculos no
deben ser tan rígidos.
Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro de un estudio como
ya ocurre con el hardware.
3.−Los componentes del software básico deben estar adaptados entre sí y con la configuración del equipo
físico siempre en función de la finalidad.
Por otro lado, también ha de adaptarse a los medios humanos, tanto para aquellos que desarrollan las
aplicaciones como también para los que las usan.
4.−La fiabilidad del software básico se consigue mediante el registro de las anomalías para su posterior
análisis y rectificación por el constructor aunque el software debe emplear ayudas para diagnóstico de fallos.
Resulta esencial que el software permita implantar los puntos de enlace eficazmente utilizables mediante la
reinicialización en la eventualidad de un mal funcionamiento, como una adecuada recuperación de los
ficheros.
En definitiva, la fiabilidad de una base de datos está señalada en su sistema de gestión.
5.−Para la seguridad del software básico se requiere una protección contra los accesos prohibidos,
especialmente en el modo interactivo y en un sistema de base de datos.
Se aconseja la protección de los programas y datos temporales alojados en la memoria central, así como
recomendable la rápida destucción de ficheros con información confidencial.
Las distintas protecciones del software deben registrar el intento de acceso ilegal. Aunque resulta difícil
obtener una protección eficaz contra el acceso no autorizado en pequeños sistemas debiendo colocar los
ficheros en soportes que sólo se manejen a la hora de su empleo.
6.−Resulta importante que el software contenga una documentación completa y actualizada que le sirva de
referencia al usuario.
• Herramienta de auditoría específica:
a) La auditoría del software básico, en primer lugar, puede tener por fin la evaluación de su adaptación y de su
evolutividad así como de su homogeneidad con los otros componentes.
Igualmente, la auditoría del software básico puede versar sobre la fiabilidad y/o la seguridad.
b) El auditor ha de ser realista pues al examinar el software directamente no puede hacer más que comprobar
reducidos fragmentos, incluso cuando la documentación existe y está bien hecha.
9
Es indispensable que el auditor adquiera los conocimientos para comprender el funcionamiento y poder
intentar encontrar las deficiencias o la mala realización como si fuera un sistema de gestión de ficheros
ordinarios.
c) El auditor ha de examinar la consulta de la documentación pues ésto le indica la complejidad del software o
bien su falta de actualización.
B) Medios humanos.
• Aspectos a tener en cuenta:
1.− Las personas tienen su propia finalidad la cuál tratan de satisfacer, aún así en una empresa se ha de
respetar la realización de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la
ostilidad particular.
2.− Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo ha de contar con un
escaso número de miembros, incluso resulta aconsejable una rotación de las responsabilidades.
3.− Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace debe ser conocido
globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y
revisado racionalmente.
También es importante una formación y una información suficiente para que el personal tenga una visión
bastante amplia de los problemas y de las interrelaciones.
4.− Se ha de proceder a una verificación de las informaciones transmitidas y tratadas por cada miembro del
personal. Las comprobaciones deben ser tales que se detecte con rapidez el error humano y se rectifique antes
de que se produzcan grandes consecuencias.
La documentación e información recíprocas deben ser suficientes para que nadie resulte insustituible.
5.− La seguridad comienza por la selección del personal y continúa por el control mutuo en la realización de
las tareas más importantes.
Aún así, es preciso precaverse contra un posible sabotaje directo o indirecto.
6.− Sin información no hay motivación, por tanto los fines y métodos adoptados han de ser comprendidos y
aceptados, a la vez que la formación del personal es en sí mismo una finalidad.
• Herramientas de auditoría específica:
• Es conveniente tener el historial general del servicio y de los movimientos del personal.
b) Comprobar la adecuación al plan de los medios humanos por medio de los organigramas y fichas de
función.
c) Los medios humanos del sistema de informaciones son también piezas externas al servicio informático.
d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas de consola nos indican
la fiabilidad de las operaciones de explotación.
La separación de funciones, un examen de todas las protecciones materiales y lógicas y un conocimiento de
10
los modos operativos proporcionan en su conjunto la seguridad humana.
La realización de cursos como la utilización de libros y revistas conllevan una mejor documentación y una
mayor formación.
C) Medios financieros.
• La elección de los medios financieros ha de considerarse de forma global. No sólo consiste en
determinar qué equipos físicos, programas o realizaciones cuestan más o menos, sino también abarca
otros aspectos, además del económico, tales como: fiabilidad, velocidad de procesamiento,
rentabilidad, etc....
• Aspectos a tener en cuenta:
1.− La adecuación de los medios financieros a la finalidad se mide por la proporción entre los gastos exigidos
y los resultados (financieros o no) obtenidos.
Los métodos de control de gestión y contabilidad presupuestaria clásicos sirven para prever y posteriormente
controlar la adecuación a los objetivos.
La evolutividad implica un presupuesto no sólo flexible sino modulado en el tiempo, ya que los costes son
importantes.
2.− Los métodos clásicos de la contabilidad analítica permiten establecer los estándares de homogeneidad de
los medios financieros.
También es muy útil verificar periódicamente si los costes imputados son todavía competitivos con relación a
un servicio exterior.
3.− Para elaborar un sistema equitativo sería preciso que dos servicios semejantes diera lugar a una misma
valoración.
Los costos deben ser registrados de forma fiable, completa y pertinente, y los cálculos y agrupaciones
efectuados deben ser legítimos. El trabajo del personal debe ser registrado o repartido según conceptos para
que las cifras conserven algún sentido.
4.− La seguridad financiera se obtiene por una rentabilidad duradera de la financiación de hardware y el
software.
A la hora de la entrega de los equipos informáticos, el contrato debe recoger un plan y un informe de gastos
que condujo a su elección. La garantía de fiabilidad material reside en una cláusula que fija el plazo de
intervención, en caso de avería, y el grado de fiabilidad de los componentes.
También puede contratarse un seguro para una garantía eficaz de los equipos.
5.− Tanto los contratos de adquisición y seguro como los documentos contables comprenden la
documentación sobre los medios financieros.
• Herramientas de auditoría específica:
a) Unos mínimos conocimientos por el auditor a nivel de contabilidad analítica y presupuestaria así como de
derecho comercial y seguros, con lo que podrá comprobar la existencia y la adecuación de los presupuestos de
11
inversión, la corrección de las previsiones y medios de control, así como la forma de financiación.
b) Para la seguridad de los medios financieros el auditor consultará todos los documentos contractuales que
vinculan a la empresa.
BIBLIOGRAFIA:
• Fundamentos Informáticos
Universidad de Cádiz, Servicio de Publicaciones, 1996
• Informática
Instituto Hidrográfico de la Marina, Servicio de Publicaciones de la
Armada, 1990
• Llacer Rubio, Enrique; Informática y Empresa
Editado por la Caja Rural Provincial de Sevilla, 1983
• Santodomingo, Adolfo; Introducción a la informática
Editorial Ariel S.A., 1997
• Thorin, Marc; La Auditoría Informática: métodos, reglas, normas
Ed. Masson, S.A., 1989
12
Descargar