Auditoría de Sistemas. Sistemas informáticos. Auditoría Interna y Auditoría Externa. Síntomas de Necesidad de una Auditoría Informática. Gestión informática.
Auditoría Informática
Introducción:
A finales del
siglo XX, los Sistemas Informáticos se han constituido en las herramientas más
poderosas para materializar uno de los conceptos más vitales y necesarios para
cualquier organización empresarial, los Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la
gestión integral de la empresa, y por eso las normas y estándares propiamente
informáticos deben estar, por lo tanto, sometidos a los generales de la misma.
En consecuencia, las organizaciones informáticas forman parte de lo que se ha
denominado el “management” o gestión de la empresa. Cabe aclarar que la
Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones,
pero no decide por sí misma. Por ende, debido a su importancia en el
funcionamiento de una empresa, existe la Auditoría Informática.
El término de Auditoría se ha empleado incorrectamente con
frecuencia ya que se ha considerado
como una evaluación cuyo único fin es detectar errores y señalar fallas. A
causa de esto, se ha tomado la frase “Tiene Auditoría” como sinónimo de que, en
dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.
El concepto de auditoría es mucho
más que esto. Es un examen crítico que
se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un
organismo, una entidad, etc.
La palabra auditoría proviene del
latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo
aquel que tiene la virtud de oír.
Por otra parte, el diccionario
Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio
esta definición carece de la explicación del objetivo fundamental que persigue
todo auditor: evaluar la eficiencia y eficacia.
Si consultamos el Boletín de Normas
de auditoría del Instituto mexicano de contadores nos dice: “ La auditoría no
es una actividad meramente mecánica que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez llevado a cabo son de carácter
indudable.”
De todo esto sacamos como deducción que la auditoría es un examen
crítico pero no mecánico, que no implica la preexistencia de fallas en la
entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y
eficiencia de una sección o de un organismo.
Los principales objetivos que constituyen a la auditoría Informática son
el control de la función informática, el análisis de la eficiencia de los
Sistemas Informáticos que comporta, la verificación del cumplimiento de la
Normativa general de la empresa en este ámbito y la revisión de la eficaz
gestión de los recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los
amplios recursos que la empresa pone en juego para disponer de un eficiente y
eficaz Sistema de Información. Claro está, que para la realización de una
auditoría informática eficaz, se debe entender a la empresa en su más amplio
sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas
como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para
gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener
beneficios económicos y de costes.
Por eso, al igual que los demás órganos de la empresa (Balances y
Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están
sometidos al control correspondiente, o al menos debería estarlo. La
importancia de llevar un control de esta herramienta se puede deducir de varios
aspectos. He aquí algunos:
·
Las computadoras y los Centros de Proceso de Datos se convirtieron en
blancos apetecibles no solo para el espionaje, sino para la delincuencia y el
terrorismo. En este caso interviene la Auditoría Informática de Seguridad.
·
Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son,
a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas
empresas que terminan perdiendo de vista la naturaleza y calidad de los datos
de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque
un efecto cascada y afecte a Aplicaciones independientes. En este caso
interviene la Auditoría Informática de Datos.
·
Un Sistema Informático mal diseñado puede convertirse en una herramienta
harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las
órdenes recibidas y la modelización de la empresa está determinada por las
computadoras que materializan los Sistemas de Información, la gestión y la
organización de la empresa no puede depender de un Software y Hardware mal
diseñados.
Estos
son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoría
de Sistemas.
Auditoría:
La auditoría nace como un órgano de
control de algunas instituciones estatales y privadas. Su función inicial es
estrictamente económico-financiero, y los casos inmediatos se encuentran en las
peritaciones judiciales y las contrataciones de contables expertos por parte de
Bancos Oficiales.
La función auditora debe ser absolutamente
independiente; no tiene carácter ejecutivo, ni son vinculantes sus
conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La
auditoría contiene elementos de análisis, de verificación y de exposición de
debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de
acción para eliminar las disfunciones y debilidades antedichas; estas
sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones.
Las funciones de
análisis y revisión que el auditor informático realiza, puede chocar con la
psicología del auditado, ya que es un informático y tiene la necesidad de
realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado
es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a
veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los
plazos demasiado breves de los que suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una
serie de cuestionario. Dichos cuestionarios, llamados Check List, son guardados
celosamente por las empresas auditoras, ya que son activos importantes de su
actividad. Las Check List tienen que ser comprendidas por el auditor al pie de
la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a
obtener resultados distintos a los esperados por la empresa auditora. La Check
List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren.
El cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo
una metodología precisa puede desentrañar las causas por las cuales se realizan
actividades teóricamente inadecuadas o se omiten otras correctas.
El auditor sólo
puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada
por él mismo.
Auditoría Interna y Auditoría Externa:
La auditoría interna es la realizada
con recursos materiales y personas que pertenecen a la empresa auditada. Los
empleados que realizan esta tarea son remunerados económicamente. La auditoría
interna existe por expresa decisión de la Empresa, o sea, que puede optar por
su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a
la empresa auditada; es siempre
remunerada. Se presupone una mayor objetividad que en la Auditoría Interna,
debido al mayor distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales
muy importantes respecto de la auditoría externa, las cuales no son tan
perceptibles como en las auditorías convencionales. La auditoría interna tiene
la ventaja de que puede actuar periódicamente realizando Revisiones globales,
como parte de su Plan Anual y de su actividad normal. Los auditados conocen
estos planes y se habitúan a las Auditorías, especialmente cuando las
consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e
informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz,
pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente
posible aquellas necesidades. La empresa necesita controlar su Informática y ésta
necesita que su propia gestión esté sometida a los mismos Procedimientos y
estándares que el resto de aquella. La conjunción de ambas necesidades
cristaliza en la figura del auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer
una Auditoría propia y permanente, mientras que el resto acuden a las
auditorías externas. Puede ser que algún profesional informático sea trasladado
desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe.
Finalmente, la propia Informática requiere de su propio grupo de Control
Interno, con implantación física en su estructura, puesto que si se ubicase
dentro de la estructura Informática ya no sería independiente. Hoy, ya existen
varias organizaciones Informáticas dentro de la misma empresa, y con diverso
grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de
Información de las Empresas.
Una Empresa o Institución que posee auditoría interna puede y debe en
ocasiones contratar servicios de auditoría externa. Las razones para hacerlo
suelen ser:
·
Necesidad de auditar una materia de gran especialización, para la cual
los servicios propios no están suficientemente capacitados.
·
Contrastar algún Informe interno con el que resulte del externo, en
aquellos supuestos de emisión interna de graves recomendaciones que chocan con
la opinión generalizada de la propia empresa.
·
Servir como mecanismo protector de posibles auditorías informáticas
externas decretadas por la misma empresa.
·
Aunque la auditoría interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le
realicen auditorías externas como para tener una visión desde afuera de la
empresa.
La auditoría
informática, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz “político” ajeno a la propia estrategia y política
general de la empresa. La función auditora puede actuar de oficio, por
iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de
la dirección o cliente.
Alcance de la Auditoría Informática:
El alcance ha de
definir con precisión el entorno y los límites en que va a desarrollarse la
auditoría informática, se complementa con los objetivos de ésta. El alcance ha
de figurar expresamente en el Informe Final, de modo que quede perfectamente
determinado no solamente hasta que puntos se ha llegado, sino cuales materias
fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados
a un control de integridad exhaustivo*? ¿Se comprobará que los controles
de validación de errores son adecuados y suficientes*? La indefinición de
los alcances de la auditoría compromete el éxito de la misma.
*Control de integridad de registros:
Hay Aplicaciones que comparten registros, son registros
comunes. Si una Aplicación no tiene integrado un registro común, cuando lo
necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no
funcionaría como debería.
*Control de validación de errores:
Se corrobora que el sistema que se aplica para detectar y corregir
errores sea eficiente.
Características de la Auditoría Informática:
La información de la empresa y para la empresa, siempre importante, se
ha convertido en un Activo Real de la misma, como sus Stocks o materias primas
si las hay. Por ende, han de realizarse inversiones informáticas, materia de la
que se ocupa la Auditoría de Inversión
Informática.
Del mismo modo, los Sistemas
Informáticos han de protegerse de modo global y particular: a ello se debe la
existencia de la Auditoría de Seguridad
Informática en general, o a la auditoría de Seguridad de alguna de sus
áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza
de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.
Estos tres tipos de auditorías
engloban a las actividades auditoras que se realizan en una auditoría parcial.
De otra manera: cuando se realiza una auditoria del área de Desarrollo de
Proyectos de la Informática de una empresa, es porque en ese Desarrollo
existen, además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
Síntomas de Necesidad de una Auditoría Informática:
Las empresas
acuden a las auditorías externas cuando existen síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en clases:
·
Síntomas de descoordinacion y desorganización:
- No coinciden los objetivos de la Informática
de la Compañía y de la propia Compañía.
- Los
estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente.
[Puede ocurrir
con algún cambio masivo de personal, o en una reestructuración fallida de
alguna área o en la modificación de alguna Norma importante]
·
Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios.
Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de
paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc.
- No se reparan
las averías de Hardware ni se resuelven incidencias en plazos razonables. El
usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen
en todos los casos los plazos de entrega de resultados periódicos. Pequeñas
desviaciones pueden causar importantes desajustes en la actividad del usuario,
en especial en los resultados de Aplicaciones críticas y sensibles.
·
Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.
- Necesidad de
justificación de Inversiones Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones
Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse
simultáneamente a Desarrollo de Proyectos
y al órgano que realizó la petición).
·
Síntomas de
Inseguridad: Evaluación
de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
[Los datos son propiedad inicialmente de la organización que
los genera. Los datos de personal son especialmente confidenciales]
- Continuidad del Servicio. Es un concepto aún más
importante que la Seguridad. Establece las estrategias de continuidad entre
fallos mediante Planes de Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal
situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es
la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo
indicio.
*Planes de Contingencia:
Por ejemplo, la
empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro
lugar? Lo que generalmente se pide es que se hagan Backups de la información
diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro
afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean
servicios básicos (luz, teléfono, agua) distintos de los de la empresa
principal, es decir, si a la empresa principal le proveía teléfono Telecom, a
las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia
de Sistemas en la empresa principal, se utilizaría el Backup para seguir
operando en las oficinas paralelas. Los Backups se pueden acumular durante dos
meses, o el tiempo que estipule la empresa, y después se van reciclando.
Tipos y clases de Auditorías:
El departamento de
Informática posee una actividad proyectada al exterior, al usuario, aunque el
“exterior” siga siendo la misma empresa. He aquí, la Auditoría Informática de Usuario. Se hace esta distinción para
contraponerla a la informática interna, en donde se hace la informática
cotidiana y real. En consecuencia, existe una Auditoría Informática de Actividades Internas.
El control del funcionamiento del departamento de informática con el
exterior, con el usuario se realiza por medio de la Dirección. Su figura es
importante, en tanto en cuanto es capaz de interpretar las necesidades de la
Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su
Dirección frente al “exterior”. Revisar estas interrelaciones constituye el
objeto de la Auditoría Informática de
Dirección. Estas tres auditorías, mas la auditoría de Seguridad, son las
cuatro Areas Generales de la Auditoría Informática más importantes.
Dentro de las áreas generales, se establecen las siguientes divisiones
de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de
Desarrollo de Proyectos. Estas son las Areas Especificas de la Auditoría
Informática más importantes.
|
Areas
Específicas
|
Areas
Generales
|
|
Interna
|
Dirección
|
Usuario
|
Seguridad
|
|
Explotación
|
|
|
|
|
|
Desarrollo
|
|
|
|
|
|
Sistemas
|
|
|
|
|
|
Comunicaciones
|
|
|
|
|
|
Seguridad
|
|
|
|
|
Cada Area Especifica puede ser
auditada desde los siguientes criterios generales:
·
Desde su propio funcionamiento interno.
·
Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del
grado de cumplimiento de las directrices de ésta.
·
Desde la perspectiva de los usuarios, destinatarios reales de la
informática.
·
Desde el punto de vista de la seguridad que ofrece la Informática en
general o la rama auditada.
Estas combinaciones pueden ser ampliadas y reducidas según
las características de la empresa auditada.
Objetivo fundamental de la auditoría informática: Operatividad
La operatividad es
una función de mínimos consistente en que la organización y las maquinas
funcionen, siquiera mínimamente. No es admisible detener la maquinaria
informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe
iniciar su actividad cuando los Sistemas están operativos, es el principal
objetivo el de mantener tal situación. Tal objetivo debe conseguirse tanto a
nivel global como parcial.
La operatividad de los Sistemas ha de constituir entonces la principal
preocupación del auditor informático. Para conseguirla hay que acudir a la
realización de Controles Técnicos
Generales de Operatividad y Controles
Técnicos Específicos de Operatividad, previos a cualquier actividad de
aquel.
·
Los Controles Técnicos Generales son los que se realizan para verificar
la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el
Software de base con todos los subsistemas existentes, así como la
compatibilidad del Hardware y del Software instalados. Estos controles son
importantes en las instalaciones que cuentan con varios competidores, debido a
que la profusión de entornos de trabajo muy diferenciados obliga a la
contratación de diversos productos de Software básico, con el consiguiente
riesgo de abonar más de una vez el mismo producto o desaprovechar parte del
Software abonado. Puede ocurrir también con los productos de Software básico
desarrolla-dos por el personal de Sistemas Interno, sobre todo cuando los
diversos equipos están ubicados en Centros de Proceso de Datos geográficamente
alejados. Lo negativo de esta situación es que puede producir la inoperatividad
del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando
independientemente, pero no será posible la interconexión e intercomunicación
de todos los Centros de Proceso de Datos si no existen productos comunes y
compatibles.
·
Los Controles Técnicos Específicos, de modo menos acusado, son
igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo
de lo que se puede encontrar mal son parámetros de asignación automática de
espacio en disco* que dificulten o impidan su utilización posterior por una
Sección distinta de la que lo generó. También, los periodos de retención de
ficheros comunes a varias Aplicaciones pueden estar definidos con distintos
plazos en cada una de ellas, de modo que la pérdida de información es un hecho
que podrá producirse con facilidad, quedando inoperativa la explotación de
alguna de las Aplicaciones mencionadas.
*Parámetros de asignación automática de espacio en
disco:
Todas las Aplicaciones que se desarrollan
son super-parametrizadas , es decir, que tienen un montón de parámetros que
permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación
va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no
analizó cual es la operatoria y el tiempo que le va a llevar ocupar el espacio
asignado, y se pone un valor muy chico, puede ocurrir que un día la Aplicación
reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicación se
cae, el volver a levantarla, con la
nueva asignación de espacio, si hay que hacer reconversiones o lo que sea,
puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme.
Revisión de Controles de la Gestión Informática:
Una vez conseguida la Operatividad
de los Sistemas, el segundo objetivo de la auditoría es la verificación de la
observancia de las normas teóricamente existentes en el departamento de
Informática y su coherencia con las del resto de la empresa. Para ello, habrán
de revisarse sucesivamente y en este orden:
Monografías
