Professional Documents
Culture Documents
A finales del siglo XX, los Sistemas Inform�ticos se han constituido en las
herramientas m�s poderosas para materializar uno de los conceptos m�s vitales y
necesarios para cualquier organizaci�n empresarial, los Sistemas de Informaci�n de
la empresa.
El concepto de auditor�a es mucho m�s que esto. Es un examen cr�tico que se realiza
con el fin de evaluar la eficacia y eficiencia de una secci�n, un organismo, una
entidad, etc.
Por otra parte, el diccionario Espa�ol Sopena lo define como: Revisor de Cuentas
colegiado. En un principio esta definici�n carece de la explicaci�n del objetivo
fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
De todo esto sacamos como deducci�n que la auditor�a es un examen cr�tico pero no
mec�nico, que no implica la preexistencia de fallas en la entidad auditada y que
persigue el fin de evaluar y mejorar la eficacia y eficiencia de una secci�n o de
un organismo.
Por eso, al igual que los dem�s �rganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Inform�ticos est�n sometidos al
control correspondiente, o al menos deber�a estarlo. La importancia de llevar un
control de esta herramienta se puede deducir de varios aspectos. He aqu� algunos:
Auditor�a:
Adem�s del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente
por las empresas auditoras, ya que son activos importantes de su actividad. Las
Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si
son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a
los esperados por la empresa auditora. La Check List puede llegar a explicar c�mo
ocurren los hechos pero no por qu� ocurren. El cuestionario debe estar subordinado
a la regla, a la norma, al m�todo. S�lo una metodolog�a precisa puede desentra�ar
las causas por las cuales se realizan actividades te�ricamente inadecuadas o se
omiten otras correctas.
Por otro lado, la auditor�a externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditor�a Interna, debido al mayor distanciamiento entre auditores y auditados.
En cuanto a empresas se refiere, solamente las m�s grandes pueden poseer una
Auditor�a propia y permanente, mientras que el resto acuden a las auditor�as
externas. Puede ser que alg�n profesional inform�tico sea trasladado desde su
puesto de trabajo a la Auditor�a Interna de la empresa cuando �sta existe.
Finalmente, la propia Inform�tica requiere de su propio grupo de Control Interno,
con implantaci�n f�sica en su estructura, puesto que si se ubicase dentro de la
estructura Inform�tica ya no ser�a independiente. Hoy, ya existen varias
organizaciones Inform�ticas dentro de la misma empresa, y con diverso grado de
autonom�a, que son coordinadas por �rganos corporativos de Sistemas de Informaci�n
de las Empresas.
Una Empresa o Instituci�n que posee auditor�a interna puede y debe en ocasiones
contratar servicios de auditor�a externa. Las razones para hacerlo suelen ser:
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicaci�n
no tiene integrado un registro com�n, cuando lo necesite utilizar no lo va
encontrar y, por lo tanto, la aplicaci�n no funcionar�a como deber�a.
Se corrobora que el sistema que se aplica para detectar y corregir errores sea
eficiente.
Del mismo modo, los Sistemas Inform�ticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditor�a de Seguridad Inform�tica
en general, o a la auditor�a de Seguridad de alguna de sus �reas, como pudieran ser
Desarrollo o T�cnica de Sistemas.
Estos tres tipos de auditor�as engloban a las actividades auditoras que se realizan
en una auditor�a parcial. De otra manera: cuando se realiza una auditoria del �rea
de Desarrollo de Proyectos de la Inform�tica de una empresa, es porque en ese
Desarrollo existen, adem�s de ineficiencias, debilidades de organizaci�n, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
Las empresas acuden a las auditor�as externas cuando existen s�ntomas bien
perceptibles de debilidad. Estos s�ntomas pueden agruparse en clases:
- Seguridad F�sica
- Confidencialidad
[Los datos son propiedad inicialmente de la organizaci�n que los genera. Los datos
de personal son especialmente confidenciales]
*Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energ�a o explota, �C�mo sigo
operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la
informaci�n diariamente y que aparte, sea doble, para tener un Backup en la empresa
y otro afuera de �sta. Una empresa puede tener unas oficinas paralelas que posean
servicios b�sicos (luz, tel�fono, agua) distintos de los de la empresa principal,
es decir, si a la empresa principal le prove�a tel�fono Telecom, a las oficinas
paralelas, Telef�nica. En este caso, si se produce la inoperancia de Sistemas en la
empresa principal, se utilizar�a el Backup para seguir operando en las oficinas
paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que
estipule la empresa, y despu�s se van reciclando.
Areas Espec�ficas
Areas Generales
Interna
Direcci�n
Usuario
Seguridad
Explotaci�n
Desarrollo
Sistemas
Comunicaciones
Seguridad
Cada Area Especifica puede ser auditada desde los siguientes criterios generales: