Auditora informtica

La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza
eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que estn

implantados en una empresa u organizacin, determinando si los mismos son adecuados
y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden
ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una
contingencia.

Los objetivos de la auditora Informtica son:

El control de la funcin informtica

El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

Eficiencia
Eficacia
Rentabilidad
Seguridad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes areas:

Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Proteccin y Seguridad
Planes de continuidad y Recuperacin de desastres

Actualmente la certificacin de ISACA para ser CISA Certified Information Systems

Auditor es una de las mas reconocidas y avaladas por los estandares internacionales ya
que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad
de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.

Objetivo fundamental de la auditora informtica

Operatividad

La operatividad es una funcin de mnimos consistente en que la organizacin y las

maquinas funcionen, siquiera mnimamente. No es admisible detener la maquinaria
informtica para descubrir sus fallos y comenzar de nuevo. La auditora debe iniciar su
actividad cuando los Sistemas estn operativos, es el principal objetivo el de mantener
tal situacin. Tal objetivo debe conseguirse tanto a nivel global como parcial.

La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del

auditor informtico. Para conseguirla hay que acudir a la realizacin de Controles
Tcnicos Generales de Operatividad y Controles Tcnicos Especficos de Operatividad,
previos a cualquier actividad de aquel.

Los Controles Tcnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software
de base con todos los subsistemas existentes, as como la compatibilidad del
Hardware y del Software instalados. Estos controles son importantes en las
instalaciones que cuentan con varios competidores, debido a que la profusin de
entornos de trabajo muy diferenciados obliga a la contratacin de diversos
productos de Software bsico, con el consiguiente riesgo de abonar ms de una vez
el mismo productoo desaprovechar parte del Software abonado. Puede ocurrir
tambin con los productos de Software bsico desarrollados por el personal de
Sistemas Interno, sobre todo cuando los diversos equipos estn ubicados en Centros
de Proceso de Datos geogrficamente alejados. Lo negativo de esta situacin es que
puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal
vez sea operativo trabajando independientemente, pero no ser posible la
interconexin e intercomunicacin de todos los Centros de Proceso de Datos si no
existen productos comunes y compatibles.
Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente
necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se
puede encontrar mal son parmetros de asignacin automtica de espacio en disco*
que dificulten o impidan su utilizacin posterior por una Seccin distinta de la que
lo gener. Tambin, los periodos de retencin de ficheros comunes a varias
Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de
modo que la prdida de informacin es un hecho que podr producirse con
facilidad, quedando inoperativa la explotacin de alguna de las Aplicaciones
mencionadas.

*Parmetros de asignacin automtica de espacio en disco:

Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que

tienen un montn de parmetros que permiten configurar cual va a ser el
comportamientodel Sistema. Una Aplicacin va a usar para tal y tal cosa cierta
cantidad de espacio en disco. Si uno no analiz cual es la operatoria y el tiempo
que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico,
puede ocurrir que un da la Aplicacin reviente, se caiga. Si esto sucede en medio
 de la operatoria y la Aplicacin se cae, el volver a levantarla, con la nueva
asignacin de espacio, si hay que hacer reconversiones o lo que sea, puede llegar
a demandar muchsimo tiempo, lo que significa un riesgo enorme.

Tipos de Auditora informtica

Dentro de la auditora informtica destacan los siguientes tipos (entre otros):

Auditora de la gestin: Referido a la contratacin de bienes y servicios,

documentacin de los programas, etc.
Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y
analisis de los flujogramas.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de
integridad y calidad de los datos.
Auditora de la seguridad: Referidos a datos e informacin verificando
disponibilidad, integridad, confidencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin
fsica de esta. Tambin est referida a las protecciones externas (arcos de
seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de
los sistemas de informacin.
Auditora de las comunicaciones.
Auditora de la seguridad en produccin: Frente a errores, accidentes y
fraudes.

Perfil del Auditor Informtico General

Es un profesional dedicado al anlisis de sistemas de informacin que est especializado
en alguna de las ramas de la auditora informtica, que tiene conocimientos generales de
los mbitos en los que sta se mueve, adems de contar con conocimientos
empresariales generales.
El auditor puede actuar como consultor con su auditado, dndole ideas de cmo enfocar
la construccin de los elementos de control y administracin que le sean propios.
Adems, puede actuar como consejero con la organizacin en la que est desarrollando
su labor. Un entorno informtico bien controlado puede ser ineficiente si no es
consistente con los objetivos de la organizacin.

Perfiles profesionales de la funcin de Auditora Informtica

El auditor informtico debe ser una persona con un alto grado de calificacin tcnica y
al mismo tiempo estar integrado a las corrientes organizativas empresariales. Se deben
contemplar las siguientes caractersticas de un perfil profesional adecuado y
actualizado:
1. Se deben poseer una mezcla de conocimientos de auditora financiera y de
informtica en general. En el rea informtica, se debe tener conocimientos bsicos
de:
Desarrollo de SI (administracin de proyectos, ciclo de vida de desarrollo)
Administracin del Departamento de Informtica
Anlisis de riesgos en un entorno informtico
Sistemas operativos
Telecomunicaciones
Administracin de Bases de Datos
Redes locales
Seguridad fsica
Operacin y planificacin informtica (efectividad de las operaciones y
rendimiento del sistema)
Administracin de seguridad de los sistemas (planes de contingencia)
Administracin del cambio
Administracin de Datos
Automatizacin de oficinas (ofimtica)
Comercio electrnico
Encriptacin de datos
2. Especializacin en funcin de la importancia econmica que tienen distintos
componentes financieros dentro del entorno empresarial Por ejemplo, en un entorno
financiero pueden tener mucha importancia las comunicaciones, por lo que se debe
tener una especializacin en esa rama.
3. Debe conocer tcnicas de administracin de empresas y de cambio, ya que las
recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la
empresa y a los recursos que se poseen.
4. Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones y trabajo
sean reconocidos como un elemento valioso dentro de la empresa y que los
resultados sean aceptados en su totalidad.

Principales pruebas y herramientas para efectuar una auditora informtica

En la realizacin de una auditora informtica el auditor puede realizar las siguientes

pruebas:

Pruebas clsicas: Consiste en probar las aplicaciones / sistemas con datos datos
de prueba, observando la entrada, la salida esperada, y la salida obtenida.
Existen paquetes que permiten la realizacin de estas pruebas.
Pruebas sustantivas: Aportan al auditor informtico las suficientes evidencias y
que se pueda formar un juicio. Se suelen obtener mediante observacin,
clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y
conciliaciones. Verifican asimismo la exactitud, integridad y validez de la
informacin.
 Pruebas de cumplimiento: Determinan si un sistema de control interno funciona
adecuadamente (segn la documentacin, segn declaran los auditados y segn
las polticas y procedimientos de la organizacin).

Las principales herramientas de las que dispone un auditor informtico son:

Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujogramas
Listas de checkeo
Mapas conceptuales

Herramientas y Tcnicas para la Auditora Informtica:

Cuestionarios:

Las auditoras informticas se materializan recabando informacin y documentacin de

todo tipo. Los informes finales de los auditores dependen de sus capacidades para
analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de
campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un
juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin
evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de

cuestionarios preimpresos que se envan a las personas concretas que el auditor cree
adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales
de las diversas reas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su
forma.

Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento
de ambos tipos de informacin es una de las bases fundamentales de la auditora.

Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido
por otro medios la informacin que aquellos preimpresos hubieran proporcionado.

Entrevistas:
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace
de tres formas:

1. Mediante la peticin de documentacin concreta sobre alguna materia de su

responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de
antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms importante del auditor; en ellas,

ste recoge ms informacin, y mejor matizada, que la proporcionada por medios
propios puramente tcnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevistaentre auditor y auditado se

basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor,
interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado
siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la
forma de una conversacin correcta y lo menos tensa posible, el auditado conteste
sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin
embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy
elaborada y sistematizada, y que es diferente para cada caso particular

Checklist:

El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios
en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus
cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo
cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas
que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas
"normales", que en realidad servirn para la cumplimentacin sistemtica de sus
Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor
informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.
El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener
respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes.
El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las
Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin
a cualquier otra forma.

Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde
posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente
informtico de profesin, percibe con cierta facilidad el perfil tcnico y los
conocimientos del auditor, precisamente a travs de las preguntas que ste le formula.
Esta percepcin configura el principio de autoridad y prestigio que el auditor debe
poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su
formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists,
pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe
olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica.

El auditor deber aplicar el Checklist de modo que el auditado responda clara y

escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos
en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones,
se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y
en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas
diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos
contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar
preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la
homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del
auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.

Trazas y/o Huellas:

Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para
ello se apoya en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a travs del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las

validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto
el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se
convendr de antemano las fechas y horas ms adecuadas para su empleo.

Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean
productos que comprueban los valoresasignados por Tcnica de Sistemas a cada uno de
los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros
variables deben estar dentro de un intervalo marcado por el fabricante. A modo de
ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de
determinados entornos o toman criterios especialmente restrictivos o permisivos en la
asignacin de unidades de servicio segn cuales tipos carga. Estas actuaciones, en
principio tiles, pueden resultar contraproducentes si se traspasan los lmites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la

auditora informtica de Sistemas: el auditor informtico emplea preferentemente la
amplia informacin que proporciona el propio Sistema: As, los ficheros de
<Accounting> o de <contabilidad>, en donde se encuentra la produccin completa de
aqul, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos
y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automticamente exacta informacin sobre el

tratamiento de errores de maquina central, perifricos, etc.

[La auditora financiero-contable convencional emplea trazas con mucha frecuencia.

Son programas encaminados a verificar lo correcto de los clculos de nminas, primas,
etc.].

*Log:

El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se
llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de
una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y
todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa
transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando
la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la
transaccin se cort por x razn, lo que se hace es volver para atrs. El log te permite
analizar cronolgicamente que es lo que sucedi con la informacin que est en el
Sistema o que existe dentro de la base de datos.

Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente
<paquetes de auditora>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informtico.

Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos

que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una
instalacin.

En la actualidad, los productos Software especiales para la auditora informtica se

orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y
bases de datos de la empresa auditada. Estos productos son utilizados solamente por los
auditores externos, por cuanto los internos disponen del software nativo propio de la
instalacin.

Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-

Servidor", han llevado a las firmas de software a desarrollar interfaces de transportede
datos entre computadoras personales y mainframe, de modo que el auditor informtico
copia en su propia PC la informacin ms relevante para su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e
informacin parcial generada por la organizacin informtica de la Compaa.

Efectivamente, conectados como terminales al "Host", almacenan los datos

proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve
obligado (naturalmente, dependiendo del alcance de la auditora) a recabar informacin
de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los
polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el
trabajo de campo del auditor informtico debe realizarse principalmente con los
productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione

personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible
una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas
de Clculo, etc.
PRINCIPIOS Y REGLAS DE AUDITORIA.

Principio: auditar racionalmente significa explicitar sus finalidades, y deducir

de stas los medios y las acciones de investigacin que se consideren necesarios y
suficientes.
La auditora informtica slo tiene sentido si se define su finalidad: examen de la
eficacia o seguridad de un sistema, de la fiabilidad de una aplicacin, verificacin de la
aplicacin,etc...
La finalidad est en emitir un juicio sobre el mangement del sistema de Informaciones.

Regla : la auditora informtica consiste en comparar uno o varios actos de

management, desde uno o varios puntos de vista, con los que deberan ser.

La auditora informtica siempre llegar a una conclusin cuando los medios asignados
sean suficientes y las acciones sean posibles. La auditora informtica jams debe
empaar su finalidad ni limitarse a lo que es ms sencillo de examinar,so pena de que el
juicio que emita carezca de valor al caer fuera de la cuestin verdadera. Debe ser
completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la
solidez de todo el control.

Regla: los medios y las acciones elegidas por el auditor deben adaptarse
exclusivamente a la finalidad de la auditora, siendo coherentes entre s y, desde
luego,fiables y seguros.

En determinados casos la tarea del auditor puede ser muy compleja, para ello deber
dividirla en funciones obteniendo conclusiones parciales de stas y establecer un plan de
aquellas que resulten ser ms significativas.
Pese a la apariencia de complejidad de la auditora informtica apreciamos cmo el
buen uso del ordenador proporciona una mayor garanta y fiabilidad que cuando ste no
es utilizado.

MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA.

A) MEDIOS TECNICOS:

A.1) Equipo fsico y locales.

A.2) Software bsico.

B) MEDIOS HUMANOS.
C) MEDIOS FINANCIEROS.

A.1) Equipo fsico y locales:

Comprende el ordenador propiamente dicho, el hardware anejo y los soportes

fsicos de los ficheros, as como los locales donde se instalan estas mquinas.

Aspectos a tener en cuenta:

1.- Los equipos fsicos y locales han de adaptarse a la finalidad, es decir, a las
aplicaciones, tanto cualitativas como cuantitativas.

2.- Dada la evolutividad de los objetivos el equipo fsico debe ser tambin evolutivo sin
dejar de resultar adecuado y modular.

3.- Cada componente del equipo fsico de formar parte de un todo homogneo.

4.- Otros criterios de eleccin son la fiabilidad del material y la rapidez de las
restauraciones.

5.- Para garantizar la consecucin de la finalidad se hace necesario garantizar la

seguridad del hardware. Es conveniente disponer de un plan preventivo y curativo
para garantizar esa seguridad.

El plan preventivo debe prever catstrofes generales ( incendio, inundacin,...) as como

otros sucesos ( cortes de fludo elctrico, aumentos de tensin, presencia de polvo,...).

El plan curativo est formado por soluciones de emergencia en circunstancias

diversas. Resulta fundamental la salvaguarda en lugares distintos de un nmero
suficiente de generaciones de ficheros, de programas y su modo de empleo.

6.- Una documentacin actualizada y disponible debe describir las caracterstica

tcnicas del equipo fsico.

Herramientas de auditora especfica:

a) La auditora del equipo fsico debe comprobar si se aplican las reglas anteriores:
adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para ello, el auditor debe estar
provisto de unos conocimientos tcnicos slidos.

b) El auditor valorar la adaptacin a los objetivos y a las acciones tomando como

base de juicio la evolucin histrica.
c) El inters del auditor por las ejecuciones trs la adaptacin a las finalidades.

d) Estimacin de la homogeneidad de los componentes y su fiabilidad atendiendo a

las estadsticas de tiempo de utilizacin y la conservacin de grabaciones en caso de
fallos.

e) El estudio del presupuesto de seguridad evaluando los medios en funcin del

sevicio que prestan y conforme a la probabilidad de fallo que pueden tener. Tambin se
examinar la seguridad del material suplementario y los formularios que contienen
talonarios y letras.

La conservacin se evala a partir de los contratos y de los informes de

indisponibilidad. Puede ser preventiva (mantenimiento) o curativa (restauracin).

A.2) Software bsico:

Constituye una parte creciente del coste de un sistema. Tiene una importancia
primordial en la seguridad de las operaciones pero a medida que va creciendo ms
compleja es su evaluacin.

Aspectos a tener en cuenta:

1.-El software bsico se adapta a las finalidades siempre y cuando permita una correcta
utilizacin del hardware con el lenguaje y en el modo de explotacin elegidos para
ejecutar las aplicaciones.
El software posee muchas posibilidades pero lo ms interesante a nivel prctico es la
posibilidad de poder incorporarse en gran parte al equipo fsico.

2.-La evolutividad del software exige una transparencia de su dependencia con respecto
a las aplicaciones del equipo fsico.

Los lmites de las posibilidades del software deben encontrarse bastante alejados, as
como los obstculos no deben ser tan rgidos.
Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro
de un estudio como ya ocurre con el hardware.

3.-Los componentes del software bsico deben estar adaptados entre s y con la
configuracin del equipo fsico siempre en funcin de la finalidad.
Por otro lado, tambin ha de adaptarse a los medios humanos, tanto para aquellos que
desarrollan las aplicaciones como tambin para los que las usan.

4.-La fiabilidad del software bsico se consigue mediante el registro de las anomalas
para su posterior anlisis y rectificacin por el constructor aunque el software debe
emplear ayudas para diagnstico de fallos.
Resulta esencial que el software permita implantar los puntos de enlace eficazmente
utilizables mediante la reinicializacin en la eventualidad de un mal funcionamiento,
como una adecuada recuperacin de los ficheros.
En definitiva, la fiabilidad de una base de datos est sealada en su sistema de gestin.

5.-Para la seguridad del software bsico se requiere una proteccin contra los accesos
prohibidos, especialmente en el modo interactivo y en un sistema de base de datos.
Se aconseja la proteccin de los programas y datos temporales alojados en la memoria
central, as como recomendable la rpida destuccin de ficheros con informacin
confidencial.
Las distintas protecciones del software deben registrar el intento de acceso ilegal.
Aunque resulta difcil obtener una proteccin eficaz contra el acceso no autorizado en
pequeos sistemas debiendo colocar los ficheros en soportes que slo se manejen a la
hora de su empleo.

6.-Resulta importante que el software contenga una documentacin completa y

actualizada que le sirva de referencia al usuario.

Herramienta de auditora especfica:

a) La auditora del software bsico, en primer lugar, puede tener por fin la evaluacin
de su adaptacin y de su evolutividad as como de su homogeneidad con los otros
componentes.
Igualmente, la auditora del software bsico puede versar sobre la fiabilidad y/o la
seguridad.

b) El auditor ha de ser realista pues al examinar el software directamente no puede

hacer ms que comprobar reducidos fragmentos, incluso cuando la documentacin
existe y est bien hecha.

Es indispensable que el auditor adquiera los conocimientos para comprender el

funcionamiento y poder intentar encontrar las deficiencias o la mala realizacin como si
fuera un sistema de gestin de ficheros ordinarios.

c) El auditor ha de examinar la consulta de la documentacin pues sto le indica la

complejidad del software o bien su falta de actualizacin.

B) Medios humanos.

Aspectos a tener en cuenta:

1.- Las personas tienen su propia finalidad la cul tratan de satisfacer, an as en una
empresa se ha de respetar la realizacin de los objetivos definidos, sin quedar
bloqueado por la reticencia de rutina y por la ostilidad particular.
2.- Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo
ha de contar con un escaso nmero de miembros, incluso resulta aconsejable una
rotacin de las responsabilidades.

3.- Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace
debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su
vez, debe ser un trabajo organizado y revisado racionalmente.
Tambin es importante una formacin y una informacin suficiente para que el personal
tenga una visin bastante amplia de los problemas y de las interrelaciones.

4.- Se ha de proceder a una verificacin de las informaciones transmitidas y tratadas por

cada miembro del personal. Las comprobaciones deben ser tales que se detecte con
rapidez el error humano y se rectifique antes de que se produzcan grandes
consecuencias.
La documentacin e informacin recprocas deben ser suficientes para que nadie resulte
insustituible.

5.- La seguridad comienza por la seleccin del personal y contina por el control mutuo
en la realizacin de las tareas ms importantes.
An as, es preciso precaverse contra un posible sabotaje directo o indirecto.

6.- Sin informacin no hay motivacin, por tanto los fines y mtodos adoptados han de
ser comprendidos y aceptados, a la vez que la formacin del personal es en s mismo
una finalidad.
 Herramientas de auditora especfica:

a) Es conveniente tener el historial general del servicio y de los movimientos del

personal.

b) Comprobar la adecuacin al plan de los medios humanos por medio de los

organigramas y fichas de funcin.

c) Los medios humanos del sistema de informaciones son tambin piezas externas al
servicio informtico.

d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas
de consola nos indican la fiabilidad de las operaciones de explotacin.
La separacin de funciones, un examen de todas las protecciones materiales y lgicas y
un conocimiento de los modos operativos proporcionan en su conjunto la seguridad
humana.
La realizacin de cursos como la utilizacin de libros y revistas conllevan una mejor
documentacin y una mayor formacin.

C) Medios financieros.

La eleccin de los medios financieros ha de considerarse de forma global. No slo

consiste en determinar qu equipos fsicos, programas o realizaciones cuestan ms o
menos, sino tambin abarca otros aspectos, adems del econmico, tales como:
fiabilidad, velocidad de procesamiento, rentabilidad, etc....

Aspectos a tener en cuenta:

1.- La adecuacin de los medios financieros a la finalidad se mide por la proporcin

entre los gastos exigidos y los resultados (financieros o no) obtenidos.
Los mtodos de control de gestin y contabilidad presupuestaria clsicos sirven para
prever y posteriormente controlar la adecuacin a los objetivos.
La evolutividad implica un presupuesto no slo flexible sino modulado en el tiempo, ya
que los costes son importantes.

2.- Los mtodos clsicos de la contabilidad analtica permiten establecer los estndares
de homogeneidad de los medios financieros.
Tambin es muy til verificar peridicamente si los costes imputados son todava
competitivos con relacin a un servicio exterior.
3.- Para elaborar un sistema equitativo sera preciso que dos servicios semejantes diera
lugar a una misma valoracin.
Los costos deben ser registrados de forma fiable, completa y pertinente, y los clculos y
agrupaciones efectuados deben ser legtimos. El trabajo del personal debe ser registrado
o repartido segn conceptos para que las cifras conserven algn sentido.

4.- La seguridad financiera se obtiene por una rentabilidad duradera de la financiacin

de hardware y el software.
A la hora de la entrega de los equipos informticos, el contrato debe recoger un plan y
un informe de gastos que condujo a su eleccin. La garanta de fiabilidad material
reside en una clusula que fija el plazo de intervencin, en caso de avera, y el grado de
fiabilidad de los componentes.
Tambin puede contratarse un seguro para una garanta eficaz de los equipos.

5.- Tanto los contratos de adquisicin y seguro como los documentos contables
comprenden la documentacin sobre los medios financieros.

Herramientas de auditora especfica:

a) Unos mnimos conocimientos por el auditor a nivel de contabilidad analtica y

presupuestaria as como de derecho comercial y seguros, con lo que podr comprobar la
existencia y la adecuacin de los presupuestos de inversin, la correccin de las
previsiones y medios de control, as como la forma de financiacin.

b) Para la seguridad de los medios financieros el auditor consultar todos los

documentos contractuales que vinculan a la empresa.