1º INTRODUCCION. 2º OBJETIVOS DE LA INFORMATICA. 3º OBJETIVOS DE LA AUDITORIA INFORMATICA. 4º PRINCIPIOS Y REGLAS DE AUDITORIA. 5º LOS MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA. BIBLIOGRAFIA INTRODUCCION : A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas. El concepto de auditoría es mucho más que esto. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia. Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos dice: " La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable." De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, 1 un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costes. Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos: • Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad. • Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos. • Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas. OBJETIVOS DE LA INFORMATICA: El término informática es un neologismo creado en Francia en 1962 por Philippe Dreyfus. El término frances es informatique y está formado por la contracción de las palabras information automatique. Este término fue aceptado en el resto de países. En España se tradujo por informática (información automática), aunque en los países anglosajones se utiliza el termino computer science (ciencia de las computadoras). Existen muchas definiciones posibles de informática. La Academia Francesa de la Lengua la define en 1966 como la ciencia del tratamiento racional, por medio de maquinas automáticas, de la información, considerada ésta como soporte de los conocimientos humanos y de las comunicaciones, en los campos técnicos, económico y social. La definición que nos da la Real Academia Española de la Lengua nos dice que la informática es el conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de computadoras electrónicas. De ambas definiciones podemos obtener una tercera, más completa, que nos define la informática como la ciencia que estudia el tratamiento automático y racional de la información mediante el uso de computadoras electrónicas. En esta definición hablamos de tratamiento automático porque son las propias máquinas las que realizan las tareas de captura, proceso y presentación de la información, y también hablamos de tratamiento racional porque todo el proceso está regulado a través de una secuencia de instrucciones. El hombre se ha tenido que enfrentar a problemas, ue han justificado el hecho de automatizar las más diversas tareas humanas. Enumeremos las principales razones que han obligado a la automatización del tratamiento de las informaciones, que son a la postre los objetivos perseguidos por la informática: • La primera, es el tener que realizar funciones que el hombre por sí solo no puede cubrir, como serían las comunicaciones a largas distancias, el radar, el sonar, etc. 2 • A veces es necesario realizar funciones que el hombre puede aboradar por sí mismo, pero llevarían un tiempo muy largo incluso si son ejecutadas por muchos individuos juntos, de tal modo que se conseguiria la operatividad y el fin perseguido. Podría ser el caso de unos cálculos muy complejos, necesarios en el seguimiento y control de naves espaciales. • La necesidad de obtener una seguridad en algunas tareas, sobre todo en aquellas de tipo reiterativo, en las que el hombre comete errores con alguna frecuencia, los cuales estánpaliados por la perfección de las máquinas. • La sustitución de mano de obra para tareas monótonas que no desarrollan las facultades nobles del hombre. Mediante la automatización se pueden abandonar dichas tareas, pudiendo entonces dedicarse el esfuerzo humano a funciones más decisivas. Pensemos por ejemplo en tareas repetitivas de la gestión administrativa o del control de las máquinas herramientas. Con todo esto podemos afirmar que son pocas las actividades humanas que nada tiene que ver con la informática, y aunque no nos demos cuenta está presente en casi todos los lugares: supermercados, oficinas,..., e incluso en nuestro propio hogar. Algunos campos de aplicación de la informática son las siquientes: • Investigación científica y humanística Se usan la las computadoras para la resolución de de cálculos matemáticos, recuentos numéricos, etc. Algunas de estas operaciones: • Resolución de ecuaciones • Análisis de datos de medidas experimentales,encuestas,.. • Análisis automáticos de textos • Aplicaciones técnicas Usa la computadora para facilitar diseños de ingeniería y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones: • Análisis y diseño de circuitos de computadora • Cálculo de estructuras en obras de ingeniería • Minería • Cartografía • Documentación e información Es uno de los campos más importantes para la utilización de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos. Ejemplos de este campo de aplicación son: • Documentación científica y técnica • Archivos automatizados de bibliotecas • Bases de datos jurídicas • Gestión administrativa Automatiza las funciones de gestión típicas de una empresa. Existen programas que realizan las siguientes actividades: 3 • Contabilidad • Facturación • Control de existencias • Nóminas • Inteligencia artificial Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo haría una persona inteligente. Aplicaciones como: • Reconocimiento del lenguaje natural • Programas de juego complejos (ajedrez) • Instrumentación y control Instrumentación electrónica, electromedicina, robots industriales,... • Otras aplicaciones Otros campos de aplicación no vistos anteriormente: video−juegos, aplicaciones en el arte, procesamiento de imágenes. OBJETIVOS DE LA AUDITORIA INFORMATICA: La Auditoría Informática la podemos definir como el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales prefijades en la organización. La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software. La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se sustenta. En un principio hablaremos de todo lo relacionado con la seguridad, luego trateremos todo aquello relacionado con la eficacia y terminar con la evalución del sistema informático. Los aspectos relativos al control de la Seguridad de la Información tiene tres líneas básicas en la auditoria del sistema de información: • Aspectos generales relativos a la seguridad. En este grupo de aspectos habría que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad físics de las instalaciones, del personal informático, etc. • Aspectos relativos a la confidencialidad y seguridad de la información. Estos aspectos se refieren no 4 solo a la protección del material, el logicial, los soportes de la información, sino también al control de acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma). • Aspectos jurídicos y económicos relativos a la seguridad de la información. En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar los cada vez más frecuentes delitos informáticos que se cometen en la empresa. La propia dinamicidad de las tecnologías de la información y su cada vez más amplia aplicación en la empresa, ha propiciado la aparición de estos delitos informáticos. En general, estos delitos pueden integrarse en dos grandes grupos: delitos contra el sistema informático y delitos cometidos por medio del sistema informático. En el primer grupo se insertan figuras delictivas tipificadas en cualquier código penal, como hurto, robo, revelación de secretos, etc..., y otro conjunto de delitos que ya no es tan frecuente encontrar, al menos con carácter general, perfectamente tipifiados, como el denominado hurto de tiempo, destrucción de logiciales y datos, delitos contra la propiedad (material, terminales, cintas magneticas,...). En el conjunto de delitos informáticos cometido por medio de sistenas informáticos cabría señalar, siempre con carácter doloso, manipulaciones fraudulentas de logiciales, informaciones contenidas en bases de datos, falsificaciones, estafas, etc... Merece la pena por su frecuencia y la dificultad de prueba el llamado hurto de uso. Este delito suele producirse cuando se utilizan los eqipos informáticos de una organización para fines privados (trabajos externos, simple diversión,...). Los prejuicios, sobre todo económicos, que para la empresa puede significar esta modalidad de hurto de tiempo máquina, pueden ser cuantiso, sobre todo cuando en el mismo interviene además el elemento comunicaciones. Se trata, en definitiva, de la utilización de unos equipos si tener derecho a ello o para un uso distinto del autorizado, y en el que lo lesionado no es la propiedad, sino una de las facultadas inherentes a la misma. De la misma manera, a través de la auditoria del sistema de información sera necesario controlar el adecuado equilibrio entre riesgos y costes de seguridad y la eficacia del propio sistema. En cuanto a la Eficacia del Sistema, esta vendrá determinada, basicamente, por la aportación a la empresa de una información válida, exacta, completa, actualizada y oportuna que ayude a la adopción de decisiones, y todo ello medido en términos de calidad, plazo y coste. Sin el adecuado control, mendiante la realización de auditorías al sistema de información, esos objetivos serían díficiles de conseguir, con la siguiente repercusión en una adecuada dirección y gestión en la empresa. Uno de los aspectos más significativos de la Auditoría Informática se refiere a los datos relativos a la Rentabilidad del Sistema, homogeneizadas en unidades económicas de cuenta. La rentabilidad del sistema debe ser medida mediante el análisis de tres valores fundamentales: la evaluación de los costes actuales, la comparación de esos costes actuales con magnitudes representativas de la organización, y la comparación de los costes del sistema de información de la empresa con los de empresas similares, preferentemente del mismo sector de actividad. Como evaluar de forma concreta estos tres aspectos fundamentales, que conforman la rentabilidad del sistema de información, es lo que se analiza seguidamente. • Evalución de los costes actuales. Conocer, en términos económicos, los costes que para una empresa supone su sistema de información, constituye uno de los aspectos básicos de la auditoría informática. Se trata de cuantificar los costes de los distintos elementos que configuran el sistema de información y que en 5 términos generales son los siguientes: • Hardware. Se trata de analizar la evolución histórica del hardware en la empresa, justificando dicha evolución. Es importante conocer el coste del material (unidad central, periféricos, soporte,...) durante los últimos cinco años. También será necesario analizar la utilización de cada elemento hardware de la configuración, cifrandola en horas/mes, asegurando que la configuración utilizada se corresponde con el menor valor utilización/coste, y examinar la coherencia del mismo. • Software. Análisis de los costes relativos al sistema lógico, tanto en sus aspectos relativos a la esplotación (adecuación del sistema operativo, versión del software utilizado,...) como en los aspectos relativos a la programación de las distintas aplicaciones (prioridades de ejecución, lenguaje utilizado, ...). • Capturas de datos. Análisis de los costes relativos a la captura de datos, de las fuentes de información, tanto internas como externas de la empresa. • Grabación de datos. Es necesario conocer también los costes relativos a la transcripción de datos en los soportes adecuados (costes de personal, equipos y máquinas auxiliares). • Explotación. Análisis de los costes imputados a los factores relativos a la explotación en sentido amplio (tratamiento manual, tiempos de realización de aplicaciones, tiempo de respuesta, control errores, etc...) • Aplicaciones. Se trata de evluar los costes del análisis funcional, el análisis orgánico, la programación, las pruebas de programas, preparación de datos y costes de dasarrollo de cada aplicación medido en horas. • Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categorias, equilibrio entre esas categorias, remuneraciones salariales, horas extraordinarias), se trata de analizar los costes de personal directamente relaciondo con el sistema de información. En este apartado deberán tenerse en cuenta también los costes relativos a la formación del personal. • Documentación. Es necesario no sólo verificar que la documentación relativa al sistema de información sea clara, precisa, actualizada y completa, sino tambien los costes relativos a su elaboración y actualización. • Difusión de la inlórmación. Se trata de evaluar los costes de di−fundir la información, es decir, hacer llegar a los usuarios del sistema la información demandada o aquella considerada necesaria en los dis-tintos niveles de la organización. Se trata, en definitiva, de conocer y analizar los costes que para la empresa supone disponer del sistema de información. 2) Comparación de los costes actuales con magnitudes representa-tivas de la organización. No es suficiente conocer los costes totales del sistema de información; es necesario, además, comparar este cos-te con magnitudes representativas de la empresa. Se trata de conocer los porcentajes que en relación con el coste total son imputables al hardware, al software, a la captura de datos, grabación, explotación, aplicaciones, suministros, mantenimiento, personal, docu-mentación y difusión de la información. Conocer la relación de cos-tes/ahorro/productividad del personal (analistas, programadores, opera-dores, auxiliares, etc.) y analizar la evolución del coste de la hora útil de la memoria central. Pero ese análisis de costes adquiere su especial sig-nificado cuando éstos se relacionan con magnitudes representativas de la empresa, por ejemplo: la cifra de negocios, la cifra de ventas, etc. El dato de costes del sistema y su comparación con otras magni-tudes constituye una valiosa información que deberá ser especificada en las conclusiones de la auditoría informática y que tendrá una no-table incidencia respecto a los planteamientos de futuro del sistema de información. 3) Comparación de los costes del sistema de información de la em-presa con los de empresas similares. El análisis de costes y su com-paración con otras magnitudes representativas, debe completarse, siempre que ello sea posible, con los costes de los sistemas de infor-mación de empresas similares a la que es objeto de auditoría. 6 Es imprescindible conocer los costes que representa la obtención, tratamiento y difusión de la información en la empresa. La informa-ción es un recurso de la empresa y por lo tanto un activo de la mis-ma. De ahí la importancia de poder disponer de una comparación de los costes del sistema de información con los de otras empresas. Esa comparación debe realizarse con empresas del mismo sector. Ello per-mite comparar el nivel de costes del sistema de información de la em-presa auditada con la media del sector. Los tres aspectos analizados en relación con los costes aportarán una importante información que permitirá adoptar correctas decisio-nes, a partir de la auditoría realizada sobre el sistema de información de la empresa. PRINCIPIOS Y REGLAS DE AUDITORIA. • Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de éstas los medios y las acciones de investigación que se consideren necesarios y suficientes. La auditoría informática sólo tiene sentido si se define su finalidad: examen de la eficacia o seguridad de un sistema, de la fiabilidad de una aplicación, verificación de la aplicación,etc... La finalidad está en emitir un juicio sobre el mangement del sistema de Informaciones. • Regla : la auditoría informática consiste en comparar uno o varios actos de management, desde uno o varios puntos de vista, con los que deberían ser. La auditoría informática siempre llegará a una conclusión cuando los medios asignados sean suficientes y las acciones sean posibles. La auditoría informática jamás debe empañar su finalidad ni limitarse a lo que es más sencillo de examinar,so pena de que el juicio que emita carezca de valor al caer fuera de la cuestión verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la solidez de todo el control. • Regla: los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditoría, siendo coherentes entre sí y, desde luego,fiables y seguros. En determinados casos la tarea del auditor puede ser muy compleja, para ello deberá dividirla en funciones obteniendo conclusiones parciales de éstas y establecer un plan de aquellas que resulten ser más significativas. Pese a la apariencia de complejidad de la auditoría informática apreciamos cómo el buen uso del ordenador proporciona una mayor garantía y fiabilidad que cuando éste no es utilizado. MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA. • MEDIOS TECNICOS: A.1) Equipo físico y locales. A.2) Software básico. • MEDIOS HUMANOS. • MEDIOS FINANCIEROS. A.1) Equipo físico y locales: 7 • Comprende el ordenador propiamente dicho, el hardware anejo y los soportes físicos de los ficheros, así como los locales donde se instalan estas máquinas. • Aspectos a tener en cuenta: 1.− Los equipos físicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, tanto cualitativas como cuantitativas. 2.− Dada la evolutividad de los objetivos el equipo físico debe ser también evolutivo sin dejar de resultar adecuado y modular. 3.− Cada componente del equipo físico de formar parte de un todo homogéneo. 4.− Otros criterios de elección son la fiabilidad del material y la rapidez de las restauraciones. 5.− Para garantizar la consecución de la finalidad se hace necesario garantizar la seguridad del hardware. Es conveniente disponer de un plan preventivo y curativo para garantizar esa seguridad. El plan preventivo debe prever catástrofes generales ( incendio, inundación,...) así como otros sucesos ( cortes de fluído eléctrico, aumentos de tensión, presencia de polvo,...). El plan curativo está formado por soluciones de emergencia en circunstancias diversas. Resulta fundamental la salvaguarda en lugares distintos de un número suficiente de generaciones de ficheros, de programas y su modo de empleo. 6.− Una documentación actualizada y disponible debe describir las característica técnicas del equipo físico. • Herramientas de auditoría específica: • La auditoría del equipo físico debe comprobar si se aplican las reglas anteriores: adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para ello, el auditor debe estar provisto de unos conocimientos técnicos sólidos. • El auditor valorará la adaptación a los objetivos y a las acciones tomando como base de juicio la evolución histórica. • El interés del auditor por las ejecuciones trás la adaptación a las finalidades. • Estimación de la homogeneidad de los componentes y su fiabilidad atendiendo a las estadísticas de tiempo de utilización y la conservación de grabaciones en caso de fallos. • El estudio del presupuesto de seguridad evaluando los medios en función del sevicio que prestan y conforme a la probabilidad de fallo que pueden tener. También se examinará la seguridad del material suplementario y los formularios que contienen talonarios y letras. La conservación se evalúa a partir de los contratos y de los informes de indisponibilidad. Puede ser preventiva (mantenimiento) o curativa (restauración). A.2) Software básico: • Constituye una parte creciente del coste de un sistema. Tiene una importancia primordial en la seguridad de las operaciones pero a medida que va creciendo más compleja es su evaluación. • Aspectos a tener en cuenta: 1.−El software básico se adapta a las finalidades siempre y cuando permita una correcta utilización del 8 hardware con el lenguaje y en el modo de explotación elegidos para ejecutar las aplicaciones. El software posee muchas posibilidades pero lo más interesante a nivel práctico es la posibilidad de poder incorporarse en gran parte al equipo físico. 2.−La evolutividad del software exige una transparencia de su dependencia con respecto a las aplicaciones del equipo físico. Los límites de las posibilidades del software deben encontrarse bastante alejados, así como los obstáculos no deben ser tan rígidos. Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro de un estudio como ya ocurre con el hardware. 3.−Los componentes del software básico deben estar adaptados entre sí y con la configuración del equipo físico siempre en función de la finalidad. Por otro lado, también ha de adaptarse a los medios humanos, tanto para aquellos que desarrollan las aplicaciones como también para los que las usan. 4.−La fiabilidad del software básico se consigue mediante el registro de las anomalías para su posterior análisis y rectificación por el constructor aunque el software debe emplear ayudas para diagnóstico de fallos. Resulta esencial que el software permita implantar los puntos de enlace eficazmente utilizables mediante la reinicialización en la eventualidad de un mal funcionamiento, como una adecuada recuperación de los ficheros. En definitiva, la fiabilidad de una base de datos está señalada en su sistema de gestión. 5.−Para la seguridad del software básico se requiere una protección contra los accesos prohibidos, especialmente en el modo interactivo y en un sistema de base de datos. Se aconseja la protección de los programas y datos temporales alojados en la memoria central, así como recomendable la rápida destucción de ficheros con información confidencial. Las distintas protecciones del software deben registrar el intento de acceso ilegal. Aunque resulta difícil obtener una protección eficaz contra el acceso no autorizado en pequeños sistemas debiendo colocar los ficheros en soportes que sólo se manejen a la hora de su empleo. 6.−Resulta importante que el software contenga una documentación completa y actualizada que le sirva de referencia al usuario. • Herramienta de auditoría específica: a) La auditoría del software básico, en primer lugar, puede tener por fin la evaluación de su adaptación y de su evolutividad así como de su homogeneidad con los otros componentes. Igualmente, la auditoría del software básico puede versar sobre la fiabilidad y/o la seguridad. b) El auditor ha de ser realista pues al examinar el software directamente no puede hacer más que comprobar reducidos fragmentos, incluso cuando la documentación existe y está bien hecha. 9 Es indispensable que el auditor adquiera los conocimientos para comprender el funcionamiento y poder intentar encontrar las deficiencias o la mala realización como si fuera un sistema de gestión de ficheros ordinarios. c) El auditor ha de examinar la consulta de la documentación pues ésto le indica la complejidad del software o bien su falta de actualización. B) Medios humanos. • Aspectos a tener en cuenta: 1.− Las personas tienen su propia finalidad la cuál tratan de satisfacer, aún así en una empresa se ha de respetar la realización de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la ostilidad particular. 2.− Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo ha de contar con un escaso número de miembros, incluso resulta aconsejable una rotación de las responsabilidades. 3.− Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente. También es importante una formación y una información suficiente para que el personal tenga una visión bastante amplia de los problemas y de las interrelaciones. 4.− Se ha de proceder a una verificación de las informaciones transmitidas y tratadas por cada miembro del personal. Las comprobaciones deben ser tales que se detecte con rapidez el error humano y se rectifique antes de que se produzcan grandes consecuencias. La documentación e información recíprocas deben ser suficientes para que nadie resulte insustituible. 5.− La seguridad comienza por la selección del personal y continúa por el control mutuo en la realización de las tareas más importantes. Aún así, es preciso precaverse contra un posible sabotaje directo o indirecto. 6.− Sin información no hay motivación, por tanto los fines y métodos adoptados han de ser comprendidos y aceptados, a la vez que la formación del personal es en sí mismo una finalidad. • Herramientas de auditoría específica: • Es conveniente tener el historial general del servicio y de los movimientos del personal. b) Comprobar la adecuación al plan de los medios humanos por medio de los organigramas y fichas de función. c) Los medios humanos del sistema de informaciones son también piezas externas al servicio informático. d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas de consola nos indican la fiabilidad de las operaciones de explotación. La separación de funciones, un examen de todas las protecciones materiales y lógicas y un conocimiento de 10 los modos operativos proporcionan en su conjunto la seguridad humana. La realización de cursos como la utilización de libros y revistas conllevan una mejor documentación y una mayor formación. C) Medios financieros. • La elección de los medios financieros ha de considerarse de forma global. No sólo consiste en determinar qué equipos físicos, programas o realizaciones cuestan más o menos, sino también abarca otros aspectos, además del económico, tales como: fiabilidad, velocidad de procesamiento, rentabilidad, etc.... • Aspectos a tener en cuenta: 1.− La adecuación de los medios financieros a la finalidad se mide por la proporción entre los gastos exigidos y los resultados (financieros o no) obtenidos. Los métodos de control de gestión y contabilidad presupuestaria clásicos sirven para prever y posteriormente controlar la adecuación a los objetivos. La evolutividad implica un presupuesto no sólo flexible sino modulado en el tiempo, ya que los costes son importantes. 2.− Los métodos clásicos de la contabilidad analítica permiten establecer los estándares de homogeneidad de los medios financieros. También es muy útil verificar periódicamente si los costes imputados son todavía competitivos con relación a un servicio exterior. 3.− Para elaborar un sistema equitativo sería preciso que dos servicios semejantes diera lugar a una misma valoración. Los costos deben ser registrados de forma fiable, completa y pertinente, y los cálculos y agrupaciones efectuados deben ser legítimos. El trabajo del personal debe ser registrado o repartido según conceptos para que las cifras conserven algún sentido. 4.− La seguridad financiera se obtiene por una rentabilidad duradera de la financiación de hardware y el software. A la hora de la entrega de los equipos informáticos, el contrato debe recoger un plan y un informe de gastos que condujo a su elección. La garantía de fiabilidad material reside en una cláusula que fija el plazo de intervención, en caso de avería, y el grado de fiabilidad de los componentes. También puede contratarse un seguro para una garantía eficaz de los equipos. 5.− Tanto los contratos de adquisición y seguro como los documentos contables comprenden la documentación sobre los medios financieros. • Herramientas de auditoría específica: a) Unos mínimos conocimientos por el auditor a nivel de contabilidad analítica y presupuestaria así como de derecho comercial y seguros, con lo que podrá comprobar la existencia y la adecuación de los presupuestos de 11 inversión, la corrección de las previsiones y medios de control, así como la forma de financiación. b) Para la seguridad de los medios financieros el auditor consultará todos los documentos contractuales que vinculan a la empresa. BIBLIOGRAFIA: • Fundamentos Informáticos Universidad de Cádiz, Servicio de Publicaciones, 1996 • Informática Instituto Hidrográfico de la Marina, Servicio de Publicaciones de la Armada, 1990 • Llacer Rubio, Enrique; Informática y Empresa Editado por la Caja Rural Provincial de Sevilla, 1983 • Santodomingo, Adolfo; Introducción a la informática Editorial Ariel S.A., 1997 • Thorin, Marc; La Auditoría Informática: métodos, reglas, normas Ed. Masson, S.A., 1989 12