UNIDAD I: LA INFORMATICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO

Transcripción

1 UNIDAD I: LA INFORMATICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO Definición del entorno Sin la pretensión de que lo que se exponga en este trabajo sea indiscutible, parece muy conveniente delimitar el campo en que nos desenvolvemos. Dentro de una especialidad tan reciente y expansiva como la llamada auditoría informática, cabe perfectamente la confusión conceptual tanto entre los diferentes aspectos, áreas o enfoques en sí mismos, debida a la vertiginosa evolución que experimenta la especialidad. Pero como ya pretende explicitar el título del capítulo, vamos a tratar de auditoría financiera. Parece indicarse que en cierta medida nos apartamos del contenido general del curso y nos desviamos hacia las auditorías financieras. No es exactamente así. Si desmenuzamos el contenido de la auditoría y su evolución podemos observar que el concepto permanece inamovible y son su objeto y finalidad lo que puede variar. También parece procedente hacer una alusión específica a la consultoría como especialidad profesional, ya que se hace preciso delimitar sus respectivos campos que en ocasiones se confunden y superponen. Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. Podemos descomponer este concepto en los elementos fundamentales que a continuación se especifican: 1. Contenido : una opinión. 2. Condición : profesional. 3. Justificación : sustentada en determinados procedimientos. 4. Objeto : una determinada información obtenida en un cierto soporte. 5. Finalidad : determinar si presenta adecuadamente la realidad o ésta responde a las expectativas que le son atribuidas, es decir, su fiabilidad.

2 En todo caso es una función que se acomete a posteriori, en relación con actividades ya realizadas, sobre las que hay que emitir una opinión. Clases de Auditoría Los elementos 4 y 5 distinguen de qué clase o tipo de auditoría se trata. El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el estudio, definen el tipo de auditoría de que se trata. Procedimientos La opinión profesional, elemento esencial de la auditoria, se fundamenta y justifica por medio de unos procedimientos específicos tendentes a proporcionar una seguridad razonable de lo que se afirma. Como es natural, cada una de las clases o tipos de auditoria posee sus propios procedimientos para alcanzar el fin previsto, aun cuando puedan en muchos casos coincidir. El alcance de la auditoria, concepto de vital importancia, nos viene dado por los procedimientos. La amplitud y profundidad de los procedimientos que se apliquen nos define su alcance. Estos han de tomar en consideración todos los aspectos, áreas, elementos, operaciones, circunstancias, etc. Que sean significativas. Para ello se establecen unas normas y procedimientos que en cuanto a la ejecución de la auditoria se resumen en que: El trabajo se planificará apropiadamente y se supervisará adecuadamente, Se estudiará y evaluará el sistema de control interno, Se obtendrá evidencia suficiente y adecuada que se recogerá en un informe como justificación y soporte del trabajo efectuado y la opinión expresada. Inicialmente, cuando el objeto de la auditoria, los documentos financieros a auditar, eran relativamente cortos y contenían mas bien escasas operaciones, los procedimientos llamados de arriba abajo,

3 eran adecuados, suficientes y viables. Cuando llego la revolución cuantitativa, trajo consigo la creación de sociedades con importantes medios, que las operaciones se multiplicarán enormemente y que la gestión y propiedad se diferenciarán cada vez mas claramente, el método tradicional resultó laborioso, tedioso, largo, ineficaz y económicamente inviable. No era posible verificar la totalidad de las muy cuantiosas operaciones y, por tanto, había que reducir el campo de acción del auditor a parte de la numerosa información. Siglo XX. El Sistema Bancario no estaba interesado en la exactitud administrativa de las cuentas sino en la calidad y representatividad de los balances. Este nuevo planteamiento, sin embargo, traía implícito un riesgo evidente, al no verificarse la totalidad de los movimientos. Al no someterse a revisión todas y cada una de las operaciones, cabe la posibilidad de que escape a la atención del auditor alguna irregularidad significativa (casual o voluntaria). El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de límites razonables. Esto podría representarse de forma aritmética como: R (c) * r (d) = s (e) R (c) = riesgo de control interno (establecido por la entidad auditada) R (d) = riesgo de detección (establecido por los procedimientos utilizados por el auditor). S (e) = riesgo de auditoria que se desea mantener (constante). Para definir el riesgo de detección que se esta dispuesto a admitir, ha de evaluarse primero el riesgo de control interno existente. El auditor confía en: El control interno establecido por la entidad auditada para reducir el primer riesgo En sus pruebas de detalle y en sus otros procedimientos para disminuir el segundo.

4 Variación del objeto Es innegable e indiscutible, que con mayor o menor profundidad la gestión de las entidades ha experimentado un cambio sustancial y hoy, salvo casos dignos de Guinness, se utiliza la TI (tecnología de la información) en todo proceso contable. Se ha introducido un nuevo elemento cualitativo en el objeto de la auditoria, el uso de la informática como factor sustancial a la gestión, con la introducción de la tecnología de la información (TI) en los sistemas, basada en las ventajas que aporta la informatización con respecto al trabajo manual: Este nuevo elemento, la tecnología de la información, puede estar y de hecho tiende a estar en todos los niveles del sistema. Este hecho impone un nuevo condicionante al auditor: ha de trabajar ante y con nuevos elementos de tecnología de la información. La auditoria sigue siendo auditoria con la diferencia de que en su objeto, el mismo de siempre, es decir de la información financiera, se ha introducido la TI. Se presenta la alternativa al auditor de utilizar los listados de los archivos magnéticos como fuente de información o acceder directamente a los archivos electrónicos y proceder a su análisis de forma también electrónica. La situación se hace mas dramática por el hecho cada vez mas extendido de que el soporte documental de los apuntes electrónicos no existan en absoluto. El rastro de auditoria tradicional ha desaparecido como por ejemplo, en el EDI (electronic data interchange) o EFT (electronic found transfer). La TI, que incide en los procedimientos que el auditor ha de aplicar proporciona paralelamente medios de ejecutarlos en forma eficiente y directa. Las CAATS (técnicas de auditoría asistidas por computador) ponen a disposición del auditor una amplia variedad de herramientas que no solo viabilizan los nuevos procedimientos sino que mejoran sensiblemente su aplicación y amplían la gama posible. Por tanto, deducimos claramente que la introducción de la TI en los sistemas de información afecta a los auditores de una forma dual: Cambia el soporte del objeto de su actividad.

5 Posibilita la utilización de medios informatizados (CAATS) para la realización de sus procedimientos. De todo ello se desprende la nueva situación del auditor financiero: Ha de aplicar procedimientos que utilizan técnicas asistidas por computador a un objeto consistente en un sistema de información basado en la ti. Consultoría. Concepto Conviene distinguir su concepto del de Auditoría para precisar nuestro entorno con más exactitud. La consultoría consiste en dar asesoramiento o consejo sobre lo que se ha de hacer ó como llevar adecuadamente una determinada actividad para obtener los fines deseados. Las diferencias se hacen evidentes. Podemos descomponer este concepto en los elementos fundamentales que a continuación se especifican: 1. Contenido : dar asesoramiento o consejo 2. Condición : de carácter especializado 3. Justificación : en base a un examen o análisis 4. Objeto : la actividad o cuestión sometida a consideración 5. Finalidad : establecer la manera de llevarla a cabo adecuadamente. Es una función que se acomete a priori, con el fin de determinar cómo llevar a cabo una función o actividad de forma que obtenga los resultados pretendidos. Auditoria: Opinar sobre unos resultados vs. Consultoría: Dar asesoramiento o consejo en relación con una actividad a desarrollar. Definición formal de auditoria informática Un conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existente en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente. (j.j. Acha)

6 La auditoria informática abarca conceptos tanto de auditoria como de consultaría (no son términos equivalentes y es preciso distinguirlos). Eficacia : virtud, actividad y poder para obrar Eficaz : activo, fervoroso, poderoso para obrar. Eficiencia : virtud y facultad para lograr un efecto determinado. Acción con que se logra este efecto. Aptitud, competencia, eficacia en el cargo que se ocupa o trabajo que se desempeña. Economía : utilización racional de los recursos productivos, adecuándolos con la tecnología existente. Eficiente : que tiene eficiencia. Ventajas de la informática como herramienta de la auditoría financiera Grado de informatización Introducción e influencia de la ti en el Objeto: una simple PC con un par de aplicaciones básicas, a un sistema complejo, distribuido, utilizando base de datos en cliente servidor, integrado y comunicado con otros sistemas con los que interactúa directamente (edi electronic data interchange). Mientras más desarrollado es el sistema, más problemático resulta el enfoque por parte del auditor. Grado o intensidad de la utilización de los Procedimientos: (técnicas) que las tres normas de ejecución (diapositiva Nº 13) de la auditoria establecen como medios de los que debe valerse el auditor en la ejecución de su trabajo: INSPECCIÓN (1) : como la comparación de datos en dos archivos o cuentas distintas, conciliaciones OBSERVACIÓN AVERIGUACIÓN CÁLCULO (1) : de amortizaciones, provisiones, ratios, etc., ANÁLISIS (1) : regresiones o datos que cumplan determinadas condiciones, CONFIRMACIÓN (1) : calculo estadístico, selección y emisión de muestras, cumplimiento. Etc.

7 (1) se ejecutan más eficientemente con medios informáticos Mejora de las técnicas habituales No resulta difícil justificar que las posibilidades del auditor, utilizando medios electrónicos se amplia enormemente con respecto a trabajos manuales sobre listados en papel. El incremento en velocidad, eficiencia y seguridad es evidente. Por todo ello el auditor puede valerse sustancialmente de las diversas herramientas informáticas que tiene a su disposición. Evolución Se puede definir un camino hacia la plena institución de un sistema de auditoria informatizado: hipótesis de la evolución. Las firmas de auditoria mas avanzadas han cubierto las dos primeras etapas y actualmente algunas intentan introducirse en la tercera. Las otras son buenos deseos para el futuro. De llegar: la auditoria se convierte en una herramienta para la construcción de realidades políticas y económicas donde la auditoria y la consultaría se entrelazan. Grado de utilización El grado de utilización, de esta posibilidad, realizado por los auditores es bajo y en muchos casos iniciales? Costo económico: falta de convencimiento en cuanto a la disminución de costos. No se ve con claridad que la inversión necesaria se vea compensada por la eficiencia que se alcanza Complejidad técnica: cierto temor reverencial a una nueva técnica que mirada desde el exterior parece sumamente compleja y algo mágico que de por si ahuyenta. Falta de entrenamiento y experiencia: las técnicas de auditoria asistidas por computador requieren un mínimo de entrenamiento y conocimiento (perfectamente asequibles y consiguen que el auditor retenga el control del proceso de auditoria).

8 Cualidades del auditor: Ser experto auditor (financiero) Entender el diseño y modo de operar del SI. Tener conocimientos básicos de técnicas y lenguajes de programación. Estar familiarizados con sistemas operativos. Serle factible poder identificar problemas con los formatos y estructuras de base de datos. Ser capaz de tender un puente con el profesional de la TI Saber cuando pedir apoyo de un especialista. Los principales objetivos que constituyen a la auditoría Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes. Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos: Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad. Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso

9 interviene la Auditoría Informática de Datos. Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede Auditoría Interna y Auditoría Externa: La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.

10 En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa. La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente. Alcance de la Auditoría Informática: El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el

11 Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: Se someterán los registros grabados a un control de integridad exhaustivo*? Se comprobará que los controles de validación de errores son adecuados y suficientes*? La indefinición de los alcances de la auditoría compromete el éxito de la misma. *Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería. *Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente. Características de la Auditoría Informática: La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

12 Objetivo fundamental de la auditoría informática: Operatividad La operatividad es una función de mínimos consistente en que la organización y las máquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial. La operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a cualquier actividad de aquel. Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultáneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir también con los productos de Software básico desarrolla-dos por el personal de Sistema Interno, sobre todo cuando los diversos equipos están ubicados en Centros de Proceso de Datos geográficamente alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles. Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parámetros de asignación automática de espacio en disco* que dificulten o impidan su utilización posterior por una Sección distinta de la que lo generó. También, los periodos de retención de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la pérdida de información es un hecho que

13 podrá producirse con facilidad, quedando inoperativa la explotación de alguna de las Aplicaciones mencionadas. *Parámetros de asignación automática de espacio en disco: Todas las Aplicaciones que se desarrollan son super-parametrizadas, es decir, que tienen un montón de parámetros que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no analizó cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un día la Aplicación reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicación se cae, el volver a levantarla, con la nueva asignación de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme. Auditoría Informática de Explotación: La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. La Explotación Informática se divide en tres grandes áreas:planificación, Producción y Soporte Técnico. Auditoría Informática de Sistemas: Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas. Sistemas Operativos: Engloba los Subsistemas de Teleproceso, Entrada/Salída, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con

14 las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquellas. Deben revisarse los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor. Software Básico: Es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. Esto, por razones económicas y por razones de comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente. En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe verificar que éste no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en términos de costes, por si hubiera alternativas más económicas. Software de Teleproceso (Tiempo Real): No se incluye en Software Básico por su especialidad e importancia. Las consideraciones anteriores son válidas para éste también. Tunning: Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de Técnica de Sistemas. El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados. Se pueden realizar: o Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema o De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y están planificados y organizados de antemano. El auditor deberá conocer el número de Tunning realizados en el último año, así como sus resultados. Deberá analizar los modelos de

15 carga utilizados y los niveles e índices de confianza de las observaciones. Optimización de los Sistemas y Subsistemas: Técnica de Sistemas debe realizar acciones permanentes de optimización como consecuencia de la realización de tunnings preprogramados o específicos. El auditor verificará que las acciones de optimización* fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crítico de producción diaria de Explotación. *Optimización: Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicación se va poniendo cada vez más lenta; porque todas las referencias a tablas es cada vez más grande, la información que está moviendo es cada vez mayor, entonces la Aplicación se tiende a poner lenta. Lo que se tiene que hacer es un análisis de performance, para luego optimizarla, mejorar el rendimiento de dicha Aplicación. Administración de Base de Datos: El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito de Técnica de Sistemas, y de acuerdo con las áreas de Desarrollo y usuarios de la empresa. Al conocer el diseño y arquitectura de éstas por parte de Sistemas, se les encomienda también su administración. Los auditores de Sistemas han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Técnica de Sistemas tiene sobre la problemática general de los usuarios de Bases de Datos. La administración tendría que estar a cargo de Explotación. El auditor de Base de Datos debería asegurarse que Explotación conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizará los Sistemas de salvaguarda existentes, que competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos. Investigación y Desarrollo: Como empresas que utilizan y necesitan de informáticas desarrolladas, saben que sus propios efectivos están desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su uso interno, pueden ser susceptibles de adquisición por otras empresas, haciendo competencia a las Compañías del ramo. La auditoría informática deberá cuidar de que la actividad de Investigación y

16 Desarrollo no interfiera ni dificulte las tareas fundamentales internas. Herramientas y Técnicas para la Auditoría Informática: Cuestionarios: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado. Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Trazas y/o Huellas:

17 Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo. Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignación de unidades de servicio para según cuales tipos carga. Estas actuaciones, en principio útiles, pueden resultar contraproducentes si se traspasan los límites. Software de Interrogación: Hasta hace ya algunos años se han utilizado productos software llamados genéricamente, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación. En la actualidad, los productos Software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación. Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar información de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones más autorizadas indican que el trabajo de campo del auditor informático

18 debe realizarse principalmente con los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Gráficos, Hojas de Cálculo, etc. Informe Final La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría. Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) Puntos débiles y amenazas. d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e) Redacción posterior de la Carta de Introducción o Presentación.

19