GENERALIDADES EN LA AUDITORÍA


Roberto Gómez López

VIII.- AUDITORÍA E INFORMÁTICA

El concepto de auditoria es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. La Informática hoy, está dentro de la gestión integral de la empresa, y por eso, las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, desde el momento en que es una herramienta adecuada de colaboración. En este sentido y debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

Los principales objetivos que constituyen a la auditoria Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Información. Claro está, que para la realización de una auditoria informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministro o un Hospital son tan empresas como una sociedad anónima o empresa pública. Todos utilizan la informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios económicos y de coste.

Los Sistemas Informáticos están sometidos al control correspondientes. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz herramienta de colaboración en el sistema de información.

Por eso, al igual que los demás órganos de la los Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no se debe olvidar . La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos que pasamos a citar:

- Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.

- Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.

- Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, de ahí, la necesidad de la Auditoría de Sistemas.

Alcance de la auditoría informática

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos. En este sentido un ejemplo de este control surge al plantearse las siguientes cuestiones ¿Se someterán los registros grabados a un control de integridad exhaustivo- ¿Se comprobará que los controles de validación de errores son adecuados y suficiente-

La indefinición de los alcances de la auditoria compromete el éxito de la misma. Caracteristicas de la auditoría informática.

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informática, materia de la que se ocupa la Auditoria de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular, ello se debe la existencia de la Auditoria de Seguridad Informática en general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnicas de Sistema.

Cuando se produce cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoria de Organización Informática.

Estos tres tipos de auditorias engloban a las actividades auditorias que se realizan en una auditoria parcial. Además cuando se realiza una auditoria del área de Desarrollo de Proyecto de la Informática de una empresa , es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

La operatividad es una función de mínimo consistente en que la organización y las maquinas funcionan, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoria debe iniciar su actividad cuando los Sistemas están operativos, lo cual constituye el principal objetivo a mantener. Tal objetivo debe conseguirse tanto a nivel global como parcial.

Es por ello, por lo que la operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de controles técnicos, generales de operatividad y control técnicos específicos de operatividad, previos a cualquier actividad de aquel.

Los controles gécnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir también con los productos de Software básico desarrolla dos por el personal de sistema interno, sobre todo cuando los diversos equipos están ubicados en centros de proceso de datos geográficos alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada centro de proceso de datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los centros de proceso de datos si no existen productos comunes y compatibles.

Los controles técnicos específicos, de modo menos acusado, son igualmente necesario para lograr la Operatividad de los Sistemas.

Todas las Aplicaciones que se desarrollan son muy parametrizadas, es decir, que tienen un montón de parámetro que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en disco.

Si uno no analizó cual es la operatoria y el tiempo que le va a llevar a ocupar el espacio asignado, y se pone un valor muy pequeño, puede ocurrir que un día la Aplicación se caiga. Si esto sucede en medio de la operatoria y la Aplicación se cae, el volver a levantarla, con la nueva asignación de espacio, si hay por ejemplo que hacer reconversiones puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme.

Volver al índice

Enciclopedia Virtual
Tienda
Libros Recomendados

El conjunto de métodos aplicados al conocimiento de la ciencia, derivan de la Epistemología, que es una rama de la filosofía. La Epistemología es la aplicación de los principios de la Teoría del Conocimiento, en este caso, al conocimiento de la ciencia Económica. Al dar comienzo a esta obra, postulo que la ciencia económica y, con ella, su método, es la más teñida por los intereses ideológicos.
Libro gratis
Congresos

14 al 28 de junio
I Congreso EUMEDNET sobre

Los Tratados de Libre Comercio

07 al 21 de junio
I Congreso EUMEDNET sobre

Desarrollo Económico, Social y Empresarial en Iberoamérica

15 al 29 de julio
X Congreso EUMEDNET sobre

Turismo y Desarrollo

4 al 18 de agosto
I Congreso sobre

Filosofía de la Sustentabilidad de Vivienda Tradicional “Transformando comunidades hacia el desarrollo local”

06 al 20 de octubre
I Congreso EUMEDNET sobre

Políticas públicas ante la crisis de las commodities

10 al 25 de noviembre
I Congreso EUMEDNET sobre

Migración y Desarrollo

15 al 30 de noviembre
III Congreso EUMEDNET sobre

Filosofia de la Ciencia y Sustentabilidad

01 al 16 de diciembre
IV Congreso EUMEDNET sobre

Transformación e innovación en las organizaciones

12 al 30 de diciembre
I Congreso EUMEDNET sobre

Economía y Cambio Climático

Enlaces Rápidos

Fundación Inca Garcilaso
Enciclopedia y Biblioteca virtual sobre economía
Universidad de Málaga