La auditoria computacional o informatizada

Justificación 

Con la aparición de la computadora se inició un cambio en el trabajo de los auditores. La dificultad se daba en que era un elemento desconocido hasta entonces, gobernado por programas realizados con complicados lenguajes, y con poca  documentación, que sé imponía como un componente más a estudiar en el trabajo  o  la  información. 

La idea de que el riesgo era menor que el existente venía de que  la computadora era confiable, sin considerar que la máquina ejecuta programas según las estrictas instrucciones proporcionadas por los programadores y que es controlada por operadores, tratándose en ambos casos de personas con absoluta confianza. 

A raíz de la gran cantidad de problemas que surgieron, aparece una nueva postura que consiste en minimizar el riesgo de esos desastres, en hacerlos menos probables y en disminuir su impacto sobre la empresa en caso de que se produzca. 

Se comienza a tener conciencia de que puede ser atacado el centro de proceso de datos, es tanto o mayor que la de cualquier otro departamento en la empresa. Se hace patente la posibilidad de que este pueda sufrir algún percance dado que con frecuencia es posible hallar una fuerte cantidad de dinero invertido en computadoras, y el valor que se pueda otorgar a la información contenida dentro puede ser comparable o incluso superior. Gracias a este reconocimiento se crean centros con suficiente información de  medidas de seguridad ubicados en lugares estratégicos, en vez de ubicarse en lugares céntricos y ser mostrados a todos los visitantes, como venían ocurriendo anteriormente. 

Ante esta situación, se entiende y establece que la función de auditoria debe prestar especial atención a lo que ocurre en el desarrollo y explotación de sistemas computarizados, aplicando en algunos casos técnicas tan clásicas como al de verificar la adecuada separación de funciones y responsabilidades así como la adecuada implantación de controles que permitan detectar rápidamente un fraude o error y tomar las medidas apropiadas para subsanarlo. En la actualidad se considera al departamento de computación como un servicio más, sometido a los mismos controles de eficacia y beneficios, que los restantes de la empresa. 

La auditoria computacional surge como respuesta a una serie de riesgos planteados por el uso de la computadora en las empresas, como: físicos, económicos, de descontrol, incapacidad,  ineficacia, costos y, por otra parte, a la importancia que asume la información  dentro de la empresa.  

Funciones de la auditoria computacional 

Existen tres grupos de funciones a realizar por el auditor computacional:

1.      Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones computacionales, así como las fases análogas de realización de cambios importantes.

2.      Revisar y juzgar los controles  implantados en los sistemas computacionales para verificar que se adecuen a las órdenes e instrucciones de la dirección, requerimientos legales, protección  confidencial y cobertura ante errores y fraudes.

3.      Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de equipos e información. 

Se hace notar que las cifras no indican la importancia relativa de las tareas, sino los consumos de esfuerzos que implican. La auditoria de un sistema computarizado debe abordar el análisis y revisión no solo en el ambiente del departamento sino que ha de estudiar los sistemas desde que se originan los datos de entrada, en los departamentos usuarios, hasta que se reciba la información de salida. 

El auditor computacional debe realizar parte de sus tareas sobre procesos y circuitos fuera del departamento de computación. 

Metodología de la auditoria computacional 

            Definición de ámbito y objetivos 

Consiste en una serie de reuniones o entrevistas con el que solicita la realización  la auditoria o si sé tratara de implantar la función de la auditoria computacional, con la persona o empresa a quien le interesa  y se le prepara un documento en que figuraran las alternativas siguientes: 

1.      Desarrollo de la totalidad de la función de auditoria en la empresa, revisando incluso la utilidad para los usuarios finales, por medio de muestreos, entrevistas o análisis agotables.

2.      Auditoria exclusiva de la anterior del departamento de computación.

3.      Auditoria de algún subsistema o aplicación, como pudiera ser del parque de computadoras, su adecuación, utilización, eficacia, etc.

4.      Auditoria de alguna función en particular como, por ejemplo, de las medidas de seguridad y privacidad.

5.      Auditoria de la metodología de análisis y desarrollo de sistemas computarizados.  

Se ha de tener un acuerdo formal sobre objetivos y ámbitos de trabajo escritos en un documento de especificaciones iniciales, firmado y validado. En cuanto a los objetivos pueden consistir en: 

1.      Mejorar costos, plazos o calidad

2.      Aumentar la seguridad o la finalidad

3.      Evaluar el funcionamiento de una organización 

Estos objetivos posibles afectan a: 

1.      Funciones administrativas: organización y personal, planeación, análisis de costos y confiabilidad, de desarrollo de procedimientos administrativos, asuntos legales.

2.      Función de desarrollo de sistemas: desarrollo en sí y mantenimiento

3.      Función de operación: operación en si, control de entrada y salida, teleproceso, soporte técnico, etc.

4.      Servicios exteriores: servicios suministrados y servicios recibidos.

5.      Soporte de la propia auditoria: organización, planeación y formación. 

            Estudio inicial 

Deberá realizar un estudio global que permita conocer volúmenes y complejidad de las tareas a realizar.

El trabajo se realiza a través de entrevistas, cuestionarios y, posiblemente, muestreos para obtener una idea de la dimensión y complejidad del ámbito de estudio, lo que permitirá estimar esfuerzos 

            Determinación de perfiles 

Perfiles técnicos precisos de las personas que abran de colaborar en la realización de la auditoria. Fundamentalmente se tratara de: 

1.      Expertos en comunicación

2.      Expertos en base de datos

3.      Expertos en configuración de hardware; adecuación y medidas de eficacia y rendimiento.

4.      Expertos en organización y realización del trabajo administrativo

5.      Técnicos  computacionales en general

6.      Psicólogos

Del mismo modo se estimarán los recursos materiales necesarios en cuanto a: 

1.      Software

a)     Paquetes de auditoria

b)     Compiladores

c)      Lenguajes

d)     Monitores

e)     Informes contables

2.      Hardware

a)     Tiempo de computadora

b)     Equipos específicos 

            Elaboración de planes 

Se llevará acabo la elaboración de un plan, en el que se indicará: 

1.      Listas de actividades a realizar, estructurada según su secuencia lógica, así como perfiles de las personas para ejecutarlas e inventarios de medios necesarios.

2.      Esfuerzos estimados para cada actividad por cada recurso preciso

3.      Se deben basar en lo siguiente para la realización de la auditoria: 

a)     Personal técnico y administrativo

b)     Software (equipo, tiempo de máquina)

c)      Presupuesto inicial

d)     Contenido (aspectos) de los informes finales

e)     Boceto 

El plan se discute con los que necesitan de la auditoria hasta obtener un acuerdo  provisional sobre todo de los cuatro últimos apartados.                                                                                       

            Elaboración de programas 

Un plan se convierte en  programa cuando las actividades pasan de estar asignadas a recurso  tipo  (perfiles) a ser asignadas a recursos concretos (personas u organizaciones), con fechas de iniciación y terminación previstas para la realización.

Como resultado de esta etapa se obtendrá: el programa, el calendario  y el presupuesto. 

            Realización de las actividades 

Se puede comenzar la realización de la auditoria, teniendo en cuenta que puede abordarse: 

1.      Por temas o funciones. Por ejemplo, realizando en primer lugar todos los trabajos relacionados con seguridad; en segundo lugar, todos los relacionados con estructura, etc.

2.      Por organizaciones auditadas, por ejemplo, se hace el estudio completo de la sección  “x”  y luego de la sección  “y”  etc. 

En el primer caso la realización de las actividades se lleva más tiempo, pero se obtiene un trabajo de más calidad. Si se opta por escoger la segunda alternativa se ahorra tiempo, las actividades se pueden realizar más rápidamente, pero se obtiene un trabajo de menos calidad.  

            Elaboración del informe final 

En cada fase del trabajo se entregan borradores de los informes, a las personas implicadas, ya que puede haber existido algún error de apreciación, que en la crítica y validación del borrador, debería detectarse. 

A partir de una sistematización de estos informes parciales, se obtiene el informe final cuyo contenido consistirá en: 

1.      Presentación

2.      Definición de ámbitos y objetivos.

3.      Enumeración de temas, componentes, aplicaciones, etc., Considerados.

4.      Análisis

v     Situación prevista

v     Situación real

v     Tendencias

v     Puntos débiles y amenazas que suponen

v     Puntos fuertes y oportunidades

5.      Recomendaciones

v     Descripción

v     Plan de implantación

v     Beneficios

v     Plan de seguimiento y control 

Reglas básicas en la realización de una auditoria 

1.      Fomentar la cooperación de los elementos auditados. Normalmente se suele adoptar una actitud defensiva ante el auditor, ya que se piensa que este busca culpables. Para  evitar esa situación, o incluso que se llegue a un rompimiento de relaciones del auditor con la empresa, es preciso convencer a todos los implicados de que el auditor solo busca mejoras y soluciones.

2.      Contar con el apoyo de la dirección, ya que  se deberán realizar entrevistas y solicitar documentación y posiblemente trabajos de los elementos auditados.

3.      Cuidar aspectos protocolarios; Explicar al jefe de una unidad que es lo que se desea obtener en una entrevista con un subordinado suyo; establecer una diferencia clara entre los jefes y los empleados.

4.      Realizar una presentación o entrevista inicial en que se explique el objetivo, su justificación y se aclaren dudas.

5.      Solicitar con la antelación precisa la información inicial a obtener. Es decir, solicitar la información precisa antes de  comenzar los trabajos (manuales de normas, etc.)

6.      No adelantar resultados parciales sobre un área o función determinadas; Las visiones o análisis parciales pueden impresiones falsas y además ser erróneas.

7.      Comentar con los interesados los resultados obtenidos antes de presentarlos a niveles superiores. 

Evidentemente, en caso de que se investiguen posibles fraudes o irregularidades, la estrategia es distinta, debiendo cuidar que se realicen y preparen  los trabajos pertinentes con el mayor cuidado posible. 

1.      No emitir juicios que no estén sólidamente basado.

2.      El auditor observa, juzga, recomienda. Al ser un personaje independiente de la función o elemento auditado, no es responsable. Ni realizador, ni usuario.

 

Técnicas y herramientas  utilizadas en la auditoria computacional

Las técnicas utilizadas son las habituales de la auditoria: muestreo, revisión, entrevista, prueba y simulación. 

Las herramientas utilizadas se pueden mencionar: cuestionarios, estándares, simuladores, paquetes de auditoria, matrices de riesgo y monitores. 

            Simuladores 

Para ayudas en el diseño  de redes de comunicaciones, por ejemplo, se pueden usar productos que simulan y predicen el comportamiento de una configuración ante un suceso determinado, indicando capacidad de proceso, cuellos de botella, etc. O bien que rastrean el comportamiento de un elemento de una situación real. 

            Paquetes de auditoria 

Son herramientas comúnmente usadas por personas que realizan auditoria por medio de la computadora. Son programas o conjuntos de programas que permiten de forma sencilla y de pequeño formato, generar programas que realizan funciones típicas de muestreo al azar, según otros criterios, selección de información que cumplan determinados requisitos, estudios estadísticos, edición de información, etc. 

Estos paquetes permiten un ahorro considerable de necesidad de información computacional por parte del auditor, así como una elevada velocidad de realización de los programas precisos. 

            Monitores 

Se trata de software, hardware, o combinación de ambos, que miden el comportamiento de un sistema o sus componentes, en una situación e instante real, se diferencian de los simuladores en que estos predicen o infieren el comportamiento de un elemento, mientras que los monitores sólo miden, no provocan o simulando determinadas situaciones. 

            Matrices de riesgo 

También llamadas de amenazas, son las herramientas utilizadas para analizar riesgo y establecer medidas de cobertura.  Se define la exposición a un suceso como la probabilidad de que se produzca ese suceso, mientras que el riesgo de un suceso viene determinando como el producto de la exposición por el costo del suceso. 

Es importante calcular el riesgo de una instalación o un sistema ante un suceso determinado ya que el análisis del conjunto de los riesgos se deriva de la definición de prioridades y recursos que deben dedicarse a cubrirlos.