La auditoria computacional o informatizada

La auditoria computacional o informatizada

Justificación

Con la aparición de la computadora se inició un cambio en el trabajo de los auditores. La dificultad se daba en que era un elemento desconocido hasta entonces, gobernado por programas realizados con complicados lenguajes, y con poca documentación, que sé imponía como un componente más a estudiar en el trabajo o la información.

La idea de que el riesgo era menor que el existente venía de que la computadora era confiable, sin considerar que la máquina ejecuta programas según las estrictas instrucciones proporcionadas por los programadores y que es controlada por operadores, tratándose en ambos casos de personas con absoluta confianza.

A raíz de la gran cantidad de problemas que surgieron, aparece una nueva postura que consiste en minimizar el riesgo de esos desastres, en hacerlos menos probables y en disminuir su impacto sobre la empresa en caso de que se produzca.

Se comienza a tener conciencia de que puede ser atacado el centro de proceso de datos, es tanto o mayor que la de cualquier otro departamento en la empresa. Se hace patente la posibilidad de que este pueda sufrir algún percance dado que con frecuencia es posible hallar una fuerte cantidad de dinero invertido en computadoras, y el valor que se pueda otorgar a la información contenida dentro puede ser comparable o incluso superior. Gracias a este reconocimiento se crean centros con suficiente información de medidas de seguridad ubicados en lugares estratégicos, en vez de ubicarse en lugares céntricos y ser mostrados a todos los visitantes, como venían ocurriendo anteriormente.

Ante esta situación, se entiende y establece que la función de auditoria debe prestar especial atención a lo que ocurre en el desarrollo y explotación de sistemas computarizados, aplicando en algunos casos técnicas tan clásicas como al de verificar la adecuada separación de funciones y responsabilidades así como la adecuada implantación de controles que permitan detectar rápidamente un fraude o error y tomar las medidas apropiadas para subsanarlo. En la actualidad se considera al departamento de computación como un servicio más, sometido a los mismos controles de eficacia y beneficios, que los restantes de la empresa.

La auditoria computacional surge como respuesta a una serie de riesgos planteados por el uso de la computadora en las empresas, como: físicos, económicos, de descontrol, incapacidad, ineficacia, costos y, por otra parte, a la importancia que asume la información dentro de la empresa.

Funciones de la auditoria computacional

Existen tres grupos de funciones a realizar por el auditor computacional:

1. Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones computacionales, así como las fases análogas de realización de cambios importantes.

2. Revisar y juzgar los controles implantados en los sistemas computacionales para verificar que se adecuen a las órdenes e instrucciones de la dirección, requerimientos legales, protección confidencial y cobertura ante errores y fraudes.

3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de equipos e información.

Se hace notar que las cifras no indican la importancia relativa de las tareas, sino los consumos de esfuerzos que implican. La auditoria de un sistema computarizado debe abordar el análisis y revisión no solo en el ambiente del departamento sino que ha de estudiar los sistemas desde que se originan los datos de entrada, en los departamentos usuarios, hasta que se reciba la información de salida.

El auditor computacional debe realizar parte de sus tareas sobre procesos y circuitos fuera del departamento de computación.

Metodología de la auditoria computacional

Definición de ámbito y objetivos

Consiste en una serie de reuniones o entrevistas con el que solicita la realización la auditoria o si sé tratara de implantar la función de la auditoria computacional, con la persona o empresa a quien le interesa y se le prepara un documento en que figuraran las alternativas siguientes:

1. Desarrollo de la totalidad de la función de auditoria en la empresa, revisando incluso la utilidad para los usuarios finales, por medio de muestreos, entrevistas o análisis agotables.

2. Auditoria exclusiva de la anterior del departamento de computación.

3. Auditoria de algún subsistema o aplicación, como pudiera ser del parque de computadoras, su adecuación, utilización, eficacia, etc.

4. Auditoria de alguna función en particular como, por ejemplo, de las medidas de seguridad y privacidad.

5. Auditoria de la metodología de análisis y desarrollo de sistemas computarizados.

Se ha de tener un acuerdo formal sobre objetivos y ámbitos de trabajo escritos en un documento de especificaciones iniciales, firmado y validado. En cuanto a los objetivos pueden consistir en:

1. Mejorar costos, plazos o calidad

2. Aumentar la seguridad o la finalidad

3. Evaluar el funcionamiento de una organización

Estos objetivos posibles afectan a:

1. Funciones administrativas: organización y personal, planeación, análisis de costos y confiabilidad, de desarrollo de procedimientos administrativos, asuntos legales.

2. Función de desarrollo de sistemas: desarrollo en sí y mantenimiento

3. Función de operación: operación en si, control de entrada y salida, teleproceso, soporte técnico, etc.

4. Servicios exteriores: servicios suministrados y servicios recibidos.

5. Soporte de la propia auditoria: organización, planeación y formación.

Estudio inicial

Deberá realizar un estudio global que permita conocer volúmenes y complejidad de las tareas a realizar.

El trabajo se realiza a través de entrevistas,

...