Auditoría informática La auditoria informática es el proceso de - PDF - PDF

Document Sample
Auditoría informática La auditoria informática es el proceso de - PDF - PDF Powered By Docstoc
					Auditoría informática

La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, determinando si los mismos son adecuados
y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos. Los mecanismos de control pueden
ser directivos, preventivos, de detección, correctivos o de recuperación ante una
contingencia.

Los objetivos de la auditoría Informática son:

      El control de la función informática
      El análisis de la eficiencia de los Sistemas Informáticos
      La verificación del cumplimiento de la Normativa en este ámbito
      La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

      Eficiencia
      Eficacia
      Rentabilidad
      Seguridad

Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:

      Gobierno corporativo
      Administración del Ciclo de vida de los sistemas
      Servicios de Entrega y Soporte
      Protección y Seguridad
      Planes de continuidad y Recuperación de desastres

Actualmente la certificación de ISACA para ser CISA Certified Information Systems
Auditor es una de las mas reconocidas y avaladas por los estandares internacionales ya
que el proceso de selección consta de un examen inicial bastante extenso y la necesidad
de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

Objetivo fundamental de la auditoría informática

Operatividad

La operatividad es una función de mínimos consistente en que la organización y las
maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria
informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su
actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener
tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial.

La operatividad de los Sistemas ha de constituir entonces la principal preocupación del
auditor informático. Para conseguirla hay que acudir a la realización de Controles
Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad,
previos a cualquier actividad de aquel.

       Los Controles Técnicos Generales son los que se realizan para verificar la
    compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software
    de base con todos los subsistemas existentes, así como la compatibilidad del
    Hardware y del Software instalados. Estos controles son importantes en las
    instalaciones que cuentan con varios competidores, debido a que la profusión de
    entornos de trabajo muy diferenciados obliga a la contratación de diversos
    productos de Software básico, con el consiguiente riesgo de abonar más de una vez
    el mismo productoo desaprovechar parte del Software abonado. Puede ocurrir
    también con los productos de Software básico desarrollados por el personal de
    Sistemas Interno, sobre todo cuando los diversos equipos están ubicados en Centros
    de Proceso de Datos geográficamente alejados. Lo negativo de esta situación es que
    puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal
    vez sea operativo trabajando independientemente, pero no será posible la
    interconexión e intercomunicación de todos los Centros de Proceso de Datos si no
    existen productos comunes y compatibles.
       Los Controles Técnicos Específicos, de modo menos acusado, son igualmente
    necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se
    puede encontrar mal son parámetros de asignación automática de espacio en disco*
    que dificulten o impidan su utilización posterior por una Sección distinta de la que
    lo generó. También, los periodos de retención de ficheros comunes a varias
    Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de
    modo que la pérdida de información es un hecho que podrá producirse con
    facilidad, quedando inoperativa la explotación de alguna de las Aplicaciones
    mencionadas.

*Parámetros de asignación automática de espacio en disco:

Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que
tienen un montón de parámetros que permiten configurar cual va a ser el
comportamientodel Sistema. Una Aplicación va a usar para tal y tal cosa cierta cantidad
de espacio en disco. Si uno no analizó cual es la operatoria y el tiempo que le va a llevar
ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un día la
Aplicación reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicación
se cae, el volver a levantarla, con la nueva asignación de espacio, si hay que hacer
reconversiones o lo que sea, puede llegar a demandar muchísimo tiempo, lo que
significa un riesgo enorme.




Tipos de Auditoría informática

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

      Auditoría de la gestión: Referido a la contratación de bienes y servicios,
       documentación de los programas, etc.
      Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
       analisis de los flujogramas.
      Auditoría de las bases de datos: Controles de acceso, de actualización, de
       integridad y calidad de los datos.
      Auditoría de la seguridad: Referidos a datos e información verificando
       disponibilidad, integridad, confidencialidad, autenticación y no repudio.
      Auditoría de la seguridad física: Referido a la ubicación de la organización,
       evitando ubicaciones de riesgo, y en algunos casos no revelando la situación
       física de esta. También está referida a las protecciones externas (arcos de
       seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
      Auditoría de la seguridad lógica: Comprende los métodos de autenticación de
       los sistemas de información.
      Auditoría de las comunicaciones.
      Auditoría de la seguridad en producción: Frente a errores, accidentes y
       fraudes.

Perfil del Auditor Informático General
Es un profesional dedicado al análisis de sistemas de información que está especializado
en alguna de las ramas de la auditoría informática, que tiene conocimientos generales de
los ámbitos en los que ésta se mueve, además de contar con conocimientos
empresariales generales.
El auditor puede actuar como consultor con su auditado, dándole ideas de cómo enfocar
la construcción de los elementos de control y administración que le sean propios.
Además, puede actuar como consejero con la organización en la que está desarrollando
su labor. Un entorno informático bien controlado puede ser ineficiente si no es
consistente con los objetivos de la organización.

Perfiles profesionales de la función de Auditoría Informática
El auditor informático debe ser una persona con un alto grado de calificación técnica y
al mismo tiempo estar integrado a las corrientes organizativas empresariales. Se deben
contemplar las siguientes características de un perfil profesional adecuado y
actualizado:
1. Se deben poseer una mezcla de conocimientos de auditoría financiera y de
   informática en general. En el área informática, se debe tener conocimientos básicos
   de:
      Desarrollo de SI (administración de proyectos, ciclo de vida de desarrollo)
      Administración del Departamento de Informática
      Análisis de riesgos en un entorno informático
      Sistemas operativos
      Telecomunicaciones
      Administración de Bases de Datos
      Redes locales
      Seguridad física
      Operación y planificación informática (efectividad de las operaciones y
       rendimiento del sistema)
      Administración de seguridad de los sistemas (planes de contingencia)
      Administración del cambio
      Administración de Datos
      Automatización de oficinas (ofimática)
      Comercio electrónico
      Encriptación de datos
2. Especialización en función de la importancia económica que tienen distintos
   componentes financieros dentro del entorno empresarial Por ejemplo, en un entorno
   financiero pueden tener mucha importancia las comunicaciones, por lo que se debe
   tener una especialización en esa rama.
3. Debe conocer técnicas de administración de empresas y de cambio, ya que las
   recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la
   empresa y a los recursos que se poseen.
4. Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo
   sean reconocidos como un elemento valioso dentro de la empresa y que los
   resultados sean aceptados en su totalidad.



Principales pruebas y herramientas para efectuar una auditoría informática

En la realización de una auditoría informática el auditor puede realizar las siguientes
pruebas:

      Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos datos
       de prueba, observando la entrada, la salida esperada, y la salida obtenida.
       Existen paquetes que permiten la realización de estas pruebas.
      Pruebas sustantivas: Aportan al auditor informático las suficientes evidencias y
       que se pueda formar un juicio. Se suelen obtener mediante observación,
       cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y
       conciliaciones. Verifican asimismo la exactitud, integridad y validez de la
       información.
      Pruebas de cumplimiento: Determinan si un sistema de control interno funciona
       adecuadamente (según la documentación, según declaran los auditados y según
       las políticas y procedimientos de la organización).
Las principales herramientas de las que dispone un auditor informático son:

      Observación
      Realización de cuestionarios
      Entrevistas a auditados y no auditados
      Muestreo estadístico
      Flujogramas
      Listas de checkeo
      Mapas conceptuales

Herramientas y Técnicas para la Auditoría Informática:

Cuestionarios:

Las auditorías informáticas se materializan recabando información y documentación de
todo tipo. Los informes finales de los auditores dependen de sus capacidades para
analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de
campo del auditor consiste en lograr toda la información necesaria para la emisión de un
juicio global objetivo, siempre amparado en hechos demostrables, llamados también
evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de
cuestionarios preimpresos que se envían a las personas concretas que el auditor cree
adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales
de las diversas áreas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su
forma.

Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis
determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento
de ambos tipos de información es una de las bases fundamentales de la auditoría.

Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido
por otro medios la información que aquellos preimpresos hubieran proporcionado.

Entrevistas:

El auditor comienza a continuación las relaciones personales con el auditado. Lo hace
de tres formas:

   1. Mediante la petición de documentación concreta sobre alguna materia de su
      responsabilidad.
   2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
      método estricto de sometimiento a un cuestionario.
   3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de
      antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales más importante del auditor; en ellas,
éste recoge más información, y mejor matizada, que la proporcionada por medios
propios puramente técnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevistaentre auditor y auditado se
basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor,
interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado
siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la
forma de una conversación correcta y lo menos tensa posible, el auditado conteste
sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin
embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy
elaborada y sistematizada, y que es diferente para cada caso particular

Checklist:

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios
en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus
cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo
cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas
que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas
"normales", que en realidad servirán para la cumplimentación sistemática de sus
Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor
informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.
El profesionalismo pasa por un procesamiento interno de información a fin de obtener
respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes.
El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las
Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización
a cualquier otra forma.

Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde
posiciones muy distintas y con disposición muy variable. El auditado, habitualmente
informático de profesión, percibe con cierta facilidad el perfil técnico y los
conocimientos del auditor, precisamente a través de las preguntas que éste le formula.
Esta percepción configura el principio de autoridad y prestigio que el auditor debe
poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su
formulación. Las empresas externas de Auditoría Informática guardan sus Checklists,
pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe
olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.

El auditor deberá aplicar el Checklist de modo que el auditado responda clara y
escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos
en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones,
se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y
en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas
diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos
contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar
preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la
homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del
auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.

Trazas y/o Huellas:

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para
ello se apoya en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a través del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las
validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto
el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se
convendrá de antemano las fechas y horas más adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean
productos que comprueban los valoresasignados por Técnica de Sistemas a cada uno de
los parámetros variables de las Librerías más importantes del mismo. Estos parámetros
variables deben estar dentro de un intervalo marcado por el fabricante. A modo de
ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de
determinados entornos o toman criterios especialmente restrictivos o permisivos en la
asignación de unidades de servicio según cuales tipos carga. Estas actuaciones, en
principio útiles, pueden resultar contraproducentes si se traspasan los límites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la
auditoría informática de Sistemas: el auditor informático emplea preferentemente la
amplia información que proporciona el propio Sistema: Así, los ficheros de
<Accounting> o de <contabilidad>, en donde se encuentra la producción completa de
aquél, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos
y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automáticamente exacta información sobre el
tratamiento de errores de maquina central, periféricos, etc.

[La auditoría financiero-contable convencional emplea trazas con mucha frecuencia.
Son programas encaminados a verificar lo correcto de los cálculos de nóminas, primas,
etc.].

*Log:

El log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando
(información). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se
llaman las transacciones. Las transacciones son unidades atómicas de cambios dentro de
una base de datos; toda esa serie de cambios se encuadra dentro de una transacción, y
todo lo que va haciendo la Aplicación (grabar, modificar, borrar) dentro de esa
transacción, queda grabado en el log. La transacción tiene un principio y un fin, cuando
la transacción llega a su fin, se vuelca todo a la base de datos. Si en el medio de la
transacción se cortó por x razón, lo que se hace es volver para atrás. El log te permite
analizar cronológicamente que es lo que sucedió con la información que está en el
Sistema o que existe dentro de la base de datos.

Software de Interrogación:

Hasta hace ya algunos años se han utilizado productos software llamados genéricamente
<paquetes de auditoría>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informático.

Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos
que permitieran la obtención de consecuencias e hipótesis de la situación real de una
instalación.
En la actualidad, los productos Software especiales para la auditoría informática se
orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y
bases de datos de la empresa auditada. Estos productos son utilizados solamente por los
auditores externos, por cuanto los internos disponen del software nativo propio de la
instalación.

Del mismo modo, la proliferación de las redes locales y de la filosofía "Cliente-
Servidor", han llevado a las firmas de software a desarrollar interfaces de transportede
datos entre computadoras personales y mainframe, de modo que el auditor informático
copia en su propia PC la información más relevante para su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e
información parcial generada por la organización informática de la Compañía.

Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve
obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar información
de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los
polivalentes productos descritos. Con todo, las opiniones más autorizadas indican que el
trabajo de campo del auditor informático debe realizarse principalmente con los
productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible
una cierta soltura en el manejo de Procesadores de Texto, paquetes de Gráficos, Hojas
de Cálculo, etc.
PRINCIPIOS Y REGLAS DE AUDITORIA.


       Principio: auditar racionalmente significa explicitar sus finalidades, y deducir
de éstas los medios y las acciones de investigación que se consideren necesarios y
suficientes.

La auditoría informática sólo tiene sentido si se define su finalidad: examen de la
eficacia o seguridad de un sistema, de la fiabilidad de una aplicación, verificación de la
aplicación,etc...
La finalidad está en emitir un juicio sobre el mangement del sistema de Informaciones.

     Regla : la auditoría informática consiste en comparar uno o varios actos de
management, desde uno o varios puntos de vista, con los que deberían ser.

La auditoría informática siempre llegará a una conclusión cuando los medios asignados
sean suficientes y las acciones sean posibles. La auditoría informática jamás debe
empañar su finalidad ni limitarse a lo que es más sencillo de examinar,so pena de que el
juicio que emita carezca de valor al caer fuera de la cuestión verdadera. Debe ser
completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la
solidez de todo el control.


       Regla: los medios y las acciones elegidas por el auditor deben adaptarse
exclusivamente a la finalidad de la auditoría, siendo coherentes entre sí y, desde
luego,fiables y seguros.

En determinados casos la tarea del auditor puede ser muy compleja, para ello deberá
dividirla en funciones obteniendo conclusiones parciales de éstas y establecer un plan de
aquellas que resulten ser más significativas.
Pese a la apariencia de complejidad de la auditoría informática apreciamos cómo el
buen uso del ordenador proporciona una mayor garantía y fiabilidad que cuando éste no
es utilizado.




    MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA.


A)    MEDIOS TECNICOS:

A.1) Equipo físico y locales.
A.2) Software básico.

B)    MEDIOS HUMANOS.

C)    MEDIOS FINANCIEROS.



A.1) Equipo físico y locales:


     Comprende el ordenador propiamente dicho, el hardware anejo y los soportes
físicos de los ficheros, así como los locales donde se instalan estas máquinas.

     Aspectos a tener en cuenta:
1.- Los equipos físicos y locales han de adaptarse a la finalidad, es decir, a las
aplicaciones, tanto cualitativas como cuantitativas.

2.- Dada la evolutividad de los objetivos el equipo físico debe ser también evolutivo sin
dejar de resultar adecuado y modular.

3.- Cada componente del equipo físico de formar parte de un todo homogéneo.

4.- Otros criterios de elección son la fiabilidad del material y la rapidez de las
restauraciones.

5.- Para garantizar la consecución de la finalidad se hace necesario garantizar la
seguridad del hardware. Es conveniente disponer de un plan preventivo y   curativo
para garantizar esa seguridad.

El plan preventivo debe prever catástrofes generales ( incendio, inundación,...) así como
otros sucesos ( cortes de fluído eléctrico, aumentos de tensión, presencia de polvo,...).

El plan curativo está formado por soluciones de emergencia en circunstancias
diversas. Resulta fundamental la salvaguarda en lugares distintos de un número
suficiente de generaciones de ficheros, de programas y su modo de empleo.




6.- Una documentación actualizada y disponible debe describir las característica
técnicas del equipo físico.


    Herramientas de auditoría específica:

a) La auditoría del equipo físico debe comprobar si se aplican las reglas anteriores:
adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para ello, el auditor debe estar
provisto de unos conocimientos técnicos sólidos.

b) El auditor valorará la adaptación a los objetivos y a las acciones tomando como
base de juicio la evolución histórica.

c)   El interés del auditor por las ejecuciones trás la adaptación a las finalidades.

d) Estimación de la homogeneidad de los componentes y su fiabilidad atendiendo a
las estadísticas de tiempo de utilización y la conservación de grabaciones en caso de
fallos.

e) El estudio del presupuesto de seguridad evaluando los medios en función del
sevicio que prestan y conforme a la probabilidad de fallo que pueden tener. También se
examinará la seguridad del material suplementario y los formularios que contienen
talonarios y letras.
La conservación se evalúa a partir de los contratos y de los informes de
indisponibilidad. Puede ser preventiva (mantenimiento) o curativa (restauración).


A.2) Software básico:


 Constituye una parte creciente del coste de un sistema. Tiene una importancia
primordial en la seguridad de las operaciones pero a medida que va creciendo más
compleja es su evaluación.

 Aspectos a tener en cuenta:

1.-El software básico se adapta a las finalidades siempre y cuando permita una correcta
utilización del hardware con el lenguaje y en el modo de explotación elegidos para
ejecutar las aplicaciones.
El software posee muchas posibilidades pero lo más interesante a nivel práctico es la
posibilidad de poder incorporarse en gran parte al equipo físico.

2.-La evolutividad del software exige una transparencia de su dependencia con respecto
a las aplicaciones del equipo físico.



Los límites de las posibilidades del software deben encontrarse bastante alejados, así
como los obstáculos no deben ser tan rígidos.
Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro
de un estudio como ya ocurre con el hardware.

3.-Los componentes del software básico deben estar adaptados entre sí y con la
configuración del equipo físico siempre en función de la finalidad.
Por otro lado, también ha de adaptarse a los medios humanos, tanto para aquellos que
desarrollan las aplicaciones como también para los que las usan.

4.-La fiabilidad del software básico se consigue mediante el registro de las anomalías
para su posterior análisis y rectificación por el constructor aunque el software debe
emplear “ ayudas” para diagnóstico de fallos.
Resulta esencial que el software permita implantar los puntos de enlace eficazmente
utilizables mediante la reinicialización en la eventualidad de un mal funcionamiento,
como una adecuada recuperación de los ficheros.
En definitiva, la fiabilidad de una base de datos está señalada en su sistema de gestión.

5.-Para la seguridad del software básico se requiere una protección contra los accesos
prohibidos, especialmente en el modo interactivo y en un sistema de base de datos.
Se aconseja la protección de los programas y datos temporales alojados en la memoria
central, así como recomendable la rápida destucción de ficheros con información
confidencial.
Las distintas protecciones del software deben registrar el intento de acceso ilegal.
Aunque resulta difícil obtener una protección eficaz contra el acceso no autorizado en
pequeños sistemas debiendo colocar los ficheros en soportes que sólo se manejen a la
hora de su empleo.

6.-Resulta importante que el software contenga una documentación completa y
actualizada que le sirva de referencia al usuario.


    Herramienta de auditoría específica:


a) La auditoría del software básico, en primer lugar, puede tener por fin la evaluación
de su adaptación y de su evolutividad así como de su homogeneidad con los otros
componentes.
Igualmente, la auditoría del software básico puede versar sobre la fiabilidad y/o la
seguridad.

b) El auditor ha de ser realista pues al examinar el software directamente no puede
hacer más que comprobar reducidos fragmentos, incluso cuando la documentación
existe y está bien hecha.


Es indispensable que el auditor adquiera los conocimientos para comprender el
funcionamiento y poder intentar encontrar las deficiencias o la mala realización como si
fuera un sistema de gestión de ficheros ordinarios.

c) El auditor ha de examinar la consulta de la documentación pues ésto le indica la
complejidad del software o bien su falta de actualización.


B) Medios humanos.


   Aspectos a tener en cuenta:


1.- Las personas tienen su propia finalidad la cuál tratan de satisfacer, aún así en una
empresa se ha de respetar la realización de los objetivos definidos, sin quedar
bloqueado por la reticencia de rutina y por la ostilidad particular.

2.- Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo
ha de contar con un escaso número de miembros, incluso resulta aconsejable una
rotación de las responsabilidades.

3.- Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace
debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su
vez, debe ser un trabajo organizado y revisado racionalmente.
También es importante una formación y una información suficiente para que el
personal tenga una visión bastante amplia de los problemas y de las interrelaciones.
4.- Se ha de proceder a una verificación de las informaciones transmitidas y tratadas por
cada miembro del personal. Las comprobaciones deben ser tales que se detecte con
rapidez el error humano y se rectifique antes de que se produzcan grandes
consecuencias.
La documentación e información recíprocas deben ser suficientes para que nadie resulte
insustituible.

5.- La seguridad comienza por la selección del personal y continúa por el control mutuo
en la realización de las tareas más importantes.
Aún así, es preciso precaverse contra un posible sabotaje directo o indirecto.

6.- Sin información no hay motivación, por tanto los fines y métodos adoptados han de
ser comprendidos y aceptados, a la vez que la formación del personal es en sí mismo
una finalidad.
   Herramientas de auditoría específica:


a) Es conveniente tener el historial general del servicio y de los movimientos del
personal.

b) Comprobar la adecuación al plan de los medios humanos por medio de los
organigramas y fichas de función.

c) Los medios humanos del sistema de informaciones son también piezas externas al
servicio informático.


d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas
de consola nos indican la fiabilidad de las operaciones de explotación.
La separación de funciones, un examen de todas las protecciones materiales y lógicas y
un conocimiento de los modos operativos proporcionan en su conjunto la seguridad
humana.
La realización de cursos como la utilización de libros y revistas conllevan una mejor
documentación y una mayor formación.


C) Medios financieros.


 La elección de los medios financieros ha de considerarse de forma global. No sólo
consiste en determinar qué equipos físicos, programas o realizaciones cuestan más o
menos, sino también abarca otros aspectos, además del económico, tales como:
fiabilidad, velocidad de procesamiento, rentabilidad, etc....


   Aspectos a tener en cuenta:


1.- La adecuación de los medios financieros a la finalidad se mide por la proporción
entre los gastos exigidos y los resultados (financieros o no) obtenidos.
Los métodos de control de gestión y contabilidad presupuestaria clásicos sirven para
prever y posteriormente controlar la adecuación a los objetivos.
La evolutividad implica un presupuesto no sólo flexible sino modulado en el tiempo, ya
que los costes son importantes.

2.- Los métodos clásicos de la contabilidad analítica permiten establecer los estándares
de homogeneidad de los medios financieros.
También es muy útil verificar periódicamente si los costes imputados son todavía
competitivos con relación a un servicio exterior.
3.- Para elaborar un sistema equitativo sería preciso que dos servicios semejantes diera
lugar a una misma valoración.
Los costos deben ser registrados de forma fiable, completa y pertinente, y los cálculos y
agrupaciones efectuados deben ser legítimos. El trabajo del personal debe ser registrado
o repartido según conceptos para que las cifras conserven algún sentido.

4.- La seguridad financiera se obtiene por una rentabilidad duradera de la financiación
de hardware y el software.
A la hora de la entrega de los equipos informáticos, el contrato debe recoger un plan y
un informe de gastos que condujo a su elección. La garantía de fiabilidad material
reside en una cláusula que fija el plazo de intervención, en caso de avería, y el grado de
fiabilidad de los componentes.
También puede contratarse un seguro para una garantía eficaz de los equipos.

5.- Tanto los contratos de adquisición y seguro como los documentos contables
comprenden la documentación sobre los medios financieros.


        Herramientas de auditoría específica:


a) Unos mínimos conocimientos por el auditor a nivel de contabilidad analítica y
presupuestaria así como de derecho comercial y seguros, con lo que podrá comprobar la
existencia y la adecuación de los presupuestos de inversión, la corrección de las
previsiones y medios de control, así como la forma de financiación.

b) Para la seguridad de los medios financieros el auditor consultará todos los
documentos contractuales que vinculan a la empresa.