Capítulo 6.htm

Una vez definida la Auditoría Informática, sus fines y utilidades, así como expuestas sus clases y tipos, procedemos a describir el método de trabajo que el equipo auditor ha de seguir, desde la contratación por parte del cliente o la orden de la Dirección (según que la auditoría sea externa o interna), hasta la confección y entrega por escrito del Informe final. Toda la función auditora se comprendía en la entrega del mencionado Informe a quien lo solicitó.

5. Actividades propiamente dichas de la Auditoría ( Análisis, entrevistas, etc.).

7. Redacción de la "Carta de Introducción" o "Carta de Presentación" del Informe Final.

Como su propio nombre indica, el alcance de la Auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre autoridades y clientes sobre las funciones, las materias y las organizaciones auditadas.

Así, por ejemplo, en la auditoría de una Explotación deberá fijarse previamente si ha de incluirse o no la función de Soporte Técnico, dependiendo de su ubicación en el organigrama.

Del mismo modo, se fijaría de antemano si ha de auditarse la percepción de los usuarios, o solamente la eficiencia interna de Explotación, etc.

Especial importancia tendría la determinación del ámbito de la auditoría cuando se incluyan áreas no informáticas de la empresa u Oficinas de Servicios Informáticos ajenos a la misma, Soporte de la firma constructora, etc.

A estos efectos, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir, manifestar por escrito cuáles materias o funciones no van a ser auditadas.

Tanto el alcance de la auditoría como las excepciones del mismo, han de figurarse al comienzo del documento final.

Auditoría ha de conocer con la mayor precisión los objetivos que sus acciones pretenden. Debe comprender con exactitud los deseos y pretensiones, del cliente, de forma que los objetivos perseguidos sean susceptibles de ser cumplidos.

Bien determinados los objetivos, en lo sucesivo llamados objetivos específicos, el auditor tendrá siempre presente que éstos se añadirán a los dos objetivos generales y comunes a toda auditoría informática: La Operatividad de los Sistemas y los Controles de Gestión Informática.

Por lo demás, los objetivos más habituales pueden ser: Evaluación de funcionamiento de áreas informáticas, aumentos de Seguridad y Fiabilidad, Conectividad, Compatibilidad, aumento de Calidad, Costos y Plazos, etc.

Dentro de este apartado de Alcance y Objetivos debe incluirse la fijación de los interlocutores del equipo auditor.

El concepto de interlocución comprende la determinación previa de las personas que tienen poder de decisión y de validación dentro de la empresa.

Igualmente, los auditores conocerán con exactitud la persona o personas destinatarias del Informe.

La metodología de trabajo del equipo auditor comporta un estudio inicial de la situación general, aun en el caso de que la auditoría a realizar sea solamente sectorial.

Para realizar dicho estudio han de examinarse las funciones y actividades generales de la informática siguientes, a saber:

Organización:Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. No podrá realizar su misión sin conocer con bastante aproximación la estructura organizativa de la Informática sujeta a auditoría. Al menos, se deberán fijar los conceptos que siguen:

Organigrama: El organigrama expresa inicialmente la estructura oficial de la organización a auditar. El propio equipo auditor dibujará el organigrama oficial con todo detalle, sin omitir las casillas que realicen funciones auxiliares o complementarias no informáticas. Si el número de niveles es elevado, se fraccionará. Los textos de los recuadros del organigrama deberán ser autoexplicativos.

Obsérvese que se ha hecho referencia al organigrama oficial. El auditor podrá comprobar con facilidad la identidad que debe existir entre lo oficial y lo real.

Si se descubriera a través de los flujos de información y de las relaciones funcionales y jerárquicas, que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia y las derivadas de ella.

Departamentos: Se entienden ahora como departamentos los órganos qu siguen inmediatamente tras la Dirección. El equipo auditor describirá breve y claramente las funciones más importantes de los recuadros del organigrama que constituyen cada uno de ellos, y los que dependen directamente de éste.

Además del organigrama y de las funciones principales de cada Departamento, el equipo auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas, o por el contrario, detectará, por ejemplo, si algún empleado tiene dos jefes.

Las relaciones de jerarquía implican la correspondiente subordinación. Las funcionales, por el contrario, indican relaciones de naturaleza complementaria y no estrictamente subordinales. Estas relaciones deben estar bien definidas por el nivel inmediato superior, el cual nivel deberá informar a sus propios grupos horizontales de la existencia de tales relaciones, así como de cualquier variación en ellas.

En principio, las relaciones no jerárquicas contribuyen a proporcionar mayor flexibilidad a las estructuras. Sin embargo, y también como principio, deberán restringirse al máximo las "depencias funcionales".

Como veremos enseguida al referirnos a "flujos de información", las dependencias funcionales, significan imprecisiones organizativas de diversa importancia y género, aceptables tan sólo en circunstancias excepcionales, y siempre que esté prevista su desaparición a plazo fijo.

Además de las corrientes verticales intradepartamentales y de las directrices de la Dirección, la estructura organizativa, cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales.

Los flujos de información entre los grupos de una organización son necesarios y aun imprescindibles para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.

En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales de información alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa.

Se ha dicho con verdad que no existe el organigrama perfecto, por lo que puede resultar inevitable la existencia de flujos de información no deseados, pero esta realidad no debe excusar la proliferación de dichos flujos.

Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización.

Particular importancia tienen los llamados "puenteos" en el vocabulario empresarial, sobre todo cuando está involucrada la propia Dirección.

El equipo auditor comprobará que los nombres de los Puestos de Trabajo de la organización auditada corresponden a funciones reales distintas.

Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes en los diferentes grupos de la instalación.

Esta situación pone de manifiesto deficiencias estructurales; los auditores pondrán de manifiesto tal circunstancia y expresarán el número de Puestos de Trabajo verdaderamente diferentes.

Piénsese que difícilmente existen más de 5 o 6 Puestos operativos distintos por cada rama informática, mientras que en muchas organizaciones aparecen hasta 10 o 12 denominaciones por rama.

Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal o la falta de plantilla en algunas secciones y la sobran en otras, determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.

Los auditores deberán exponer el número de empleados reales de cada sección auditada. De este modo, se ponen de manifiesto una distribución ineficiente de recursos o la necesidad de un reorganización para modificar la estructura oficial.

El equipo de auditoría informático debe poseer una adecuada referencia del entorno en el que ha de desenvolverse.

Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

Se determinará la ubicación geográfica de los Centros de Proceso de Datos distintos de la empresa. De acuerdo con dicha ubicación, se verificará la existencia de responsables por cada uno de ellos, así como el uso de los mismos estándares de trabajo.

Sobre todo cuando existen varios Centro de Proceso de Datos, es fundamental la configuración elegida para cada uno de ellos en tanto deben constituir un Sistema compatible e intercomunicado. La configuración de los Sistemas está muy ligada a las políticas de Seguridad Lógica Informática de las Compañías.

Los Planes de Contingencia Total que cada empresa suele buscar con fruición, rara vez tienen materialización efectiva cuando, desgraciadamente, llega la ocasión.

Las experiencias de los últimos años indican que cuando un Centro de Proceso de Datos queda inoperativo, su sustitución por otro no es una operación inmediata. Se exceptúan los servicios estratégicos principales de los Estados. Deben tenerse en cuenta los elevados costos que para una empresa supone disponer de un Centro Informático Alternativo, que basa su utilidad potencial en la ejecución de cargas reducidas mientras llega el desastre.

En otro orden, la organización informática necesita una configuración muy flexible, facilitada en la actualidad por la versatilidad de los Sistemas.

Sobre todo, los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de canales y discos.

El equipo auditor recabará información escrita de la empresa, en donde figuren todas los elementos físicos y lógicos de la instalación. En cuanto a Hardware, figurarán las CPU, procesadores intermedios, unidades de control locales y remotas, periféricos de todo tipo, terminales, ordenadores personales, etc. Es conveniente que el inventario físico figuren igualmente las líneas disponibles con los datos fundamentales de cada una de ellas.

El inventario software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.

En el estudio inicial, los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la empresa.

No existen inconvenientes para que toda la información de líneas y Redes figure en el mismo Inventario del punto anterior. Por el contrario, debe estimularse la construcción de un Inventario Hardware y Software único.

En todo caso, la ausencia o desactualización de los datos anteriores suponen una debilidad importante que el auditor deberá rercoger con severidad.

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada.

El entorno auditable se pone de manifiesto principalmente por medio de las siguientes características:

El equipo de auditoría informática hallará un promedio de los conceptos epigrafiados. Se pondrá especial énfasis en la periodicidad de ejecuciones de la carga.

Se calificará globalmente la existencia total o parcial de metodologías en el desarrollo de las Aplicaciones. Si se han utilizado varias a lo largo del tiempo se pondrá de manifiesto tal circunstancia.

Aún se pondrá más de relieve el hecho de que se hayan desarrollado simultáneamente varias Aplicaciones con metodologías diferentes. Esta simulación comporta un evidente desaprovechamiento de recursos.

Desde el punto de vista práctico, la existencia de una adecuada documentación de las Aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.

Una documentación correcta es aún más importante que la homogeneidad metodología. En efecto, la documentación de programas disminuye grandemente el mantenimiento de los mismos.

La actividad de mantenimiento de Aplicaciones es en la actualidad uno de los problemas más importantes, y representa a veces hasta un 70% del total de los recursos de Desarrollo.

El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relacionales y jerárquicas. Hallará un promedio de número de accesos a ellas por horas o días. Esta operación se repetirá con los archivos, así como la frecuencia de actualizaciones de los mismos.

Estos datos proporcionan una visión aceptable de las características de la carga informática.

Mediante los resultados del estudio inicial realizado, se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.

Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente, sobre el cual gravita el aumento de carga y las interferencias sobre el desarrollo normal de su trabajo.

Las herramientas software propias del equipo auditor van a utilizarse igualmente en el Sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre auditor y cliente.

Programas propios de la Auditoría. Se indicó en su momento que son muy potentes y flexibles. Habitualmente, se añaden a las ejecuciones de los procesos del cliente pura verificar los recorridos de aquéllos.

Monitores. Se utilizan en función del grado de desarrollo observado en la activividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Es una máxima de la auditoría informática que los procesos de control deben efectuarse necesariamente en los Ordenadores del auditado.

Por tanto, habrán de convenirse, fundamentalmente, tiempo de máquina y oportunidad de fecha, hora y duración de las sesiones de medida.

Finalmente, se convendrán: Cantidad de pantallas, espacio en disco, montajes de cintas, impresoras ocupadas y líneas de comunicaciones si van a utilizarse en exclusiva.

El auditor deberá calcular con la mayor precisión posible los incrementos de carga por él generados.

La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado depende de la materia auditable.

Suponiendo una auditoría general, es habitual la presencia de personas no informáticas pero expertas en temas de organización y análisis de costos.

Debe resaltarse que el equipo auditor no es solamente la agregación de expertos. Por el contrario, es necesaria la cohesión entre sus integrantes. Esta suele ser proporcionada por un informático generalista.

Es igualmente reseñable que la Auditoría Informática y la Auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.

Sin ánimo exhaustivo, y de modo sinóptico en el siguiente cuadro, se han relacionado los perfiles profesionales de lo que podría ser un equipo auditor informático para abordar una Revisión General de la Informática de una Organización.

PROFESION	ACTIVIDADES Y CONOCIMIENTOS DESEABLES
Informático Generalista	Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos	Amplia experiencia como responsable de Proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.
Técnico de Sistemas	Experto en Sistemas Operativos y Software Básico. Conocedor de los Productos equivalentes en el mercado. Amplios conocimientos de Explotación.
Experto en Base de datos y administración de las mismas	Con experiencia en mantenimiento de BD. Conocimiento de Productos compatibles y equivalentes. Buenos conocimientos de Explotación.
Experto en Software de Comunicaciones	Alta especialización dentro de la Técnica de Sistemas. Conocimientos profundos de Redes. Muy experto en Subsistemas de Teleproceso.
Experto en Explotación y Gestión de Centro de Proceso de Datos	Responsable de algún Centro de Cómputo. Amplia experiencia en Automatización de Trabajos. Experto en relaciones humanas. Buenos conocimientos de los Sistemas.
Técnico de Organización	Experto organizador y coordinador. Especialista en el análisis de flujos de información.
Técnico de evaluación de Costos	Economista con conocimientos de informática. Gestión de Costos.

Una vez asignadas los recursos, el responsable de la auditoría y sus colaboradores establece un plan de trabajo. Decidido éste, se procede a la programación del mismo por parte del responsable de cada sector o de cada especialista, que los reportan el mencionando responsable de la auditoría para la aprobación final.

El Plan de Auditoría se elabora teniendo en cuenta, entre otros criterios, los siguientes:

a) Si la Revisión ha de realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración final es más compleja y costosa, lo cual redonda en una superior calidad.

b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias de personal.

Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente flexible como para permitir modificaciones a lo largo del proyecto.

En ellos se asignan los recursos humanos y materiales concretos para cada sector del Plan. En en Programa de Trabajo se establece el calendario real de actividades a realizar. La auditoría informática necesita de Planificación y Programación detallada. Posee la naturaleza de un verdadero Proyecto, y por ello le son aplicables las reglas generales de los mismos.

En este Apartado vamos a hacer un repaso de las acciones auditoras, las técnicas concretas que se utilizan y las herramientas de las que se ayudan.

La auditoría informática general se realiza por áreas generales o por áreas específicas. El método de trabajo es diferente: Si se examina por grandes temas, por ejemplo desde el punto de vista de la Seguridad, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos. Piénsese en que revisada la Seguridad, pasaríamos luego a la identificación de la Dirección con el modelo informático de la empresa en todas sus áreas, luego a la percepción de los usuarios finales respecto a la Explotación, el Desarrollo, etc., y finalmente al funcionamiento interno de la informática como centro de trabajo.

Por el contrario, cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a las mismas, de forma que el resultado se obtiene más rápidamente y con menor calidad.

Así, cuando se aborda la Auditoría de Desarrollo de Aplicaciones, se tienen en cuenta todos los factores que le afectan, como la Seguridad, la percepción del usuario, etc. Una vez finalizada la revisión del área de Desarrollo, no es preciso volver sobre el mismo concepto, sino comenzar el análisis de otra rama específica, Explotación por ejemplo.

Basta con enumerarlas, ya las hemos conocido a través de los Capítulos anteriores:

Es conveniente ahondar en este último concepto. Las matrices de riesgo tienen la doble particularidad de que deben ser incorporadas al Informe Final y de que pueden considerarse también como elementos decisorios para la realización de una Auditoría Informática de Seguridad.

La función auditora se materializa exclusivamente por escrito. El auditor avala personalmente su juicio de forma documental.

Por tanto, la elaboración del Informe Final es la única referencia constatable de toda auditoría, y el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales y previos al citado informe final, ya que es el método más adecuado para equilibrar las técnicas analíticas utilizadas durante la auditoría, con las sintéticas que la confección del informe necesita.

Los borradores e informes parciales son los elementos de contraste de opiniones entre auditor y auditado y pueden descubrir fallos de apreciación en el auditor.

Nuevamente ha de resaltarse que la auditoría difiere sustancialmente de cualquier actuación cohercitiva. El auditado no es un acusado sino un profesional informático. En todo caso, la ética auditora ha de facilitar la información aproximada, pero clara, de los resultados provisionales de aquél.

El Informe se inicia con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen asimismo los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la Jefatura, responsabilidad o puesto de trabajo que ostente.

Antes de tratarlos en profundidad , se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.

Para cada tema objeto de auditoría, se seguirá el siguiente orden, a saber:

a) Situación actual. Cuando se trate de una Revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real.

b) Tendencias. Se tratarán de hallar parámetros de correlación que permitan establecer tendencias de situación futura. No siempre es posible tal pretensión.

c) Puntos débiles y amenazas. Deberán explicarse por sí mismos, sin referencias a otros lugrares del informe.

d) Recomendaciones y Planes de Acción. Constituyen, junto con la exposición de puntos débiles, el verdadero objeto de la auditoría informática.

El modelo de Informe final de auditoría informática por el que hemos optado es utilizado por Compañías y auditores independientes prestigiosos. Se basa en los dos principios fundamentales siguientes:

La inclusión de hechos poco relevantes o accesorios desvía la atención del que lo lee y desvirtúa el informe en su conjunto.

En auditoría, el término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados.

La consolidación de los hechos debe satisfacer, al menos, los siguientes criterios básicos:

Cumplidos los dos principios y los criterios de consolidación expuestos, el hecho pasa al Informe.

La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad qu ha de ser corregida. Veamos el modelo de flujo del hecho o debilidad, y el orden, desde su aparición hasta la recomendación del auditor para eliminarla:

La Carta de Introducción tiene especial importancia porque en un máximo de 3 ó 4 folios ha de resumirse la auditoría realizada.

Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargó o contrató la misma, o a la persona en quién ella hubiese delegado expresamente.

Así como pueden existir tantas copias del Informe Final como solicite el cliente, siempre que éste especifique los nombres de los destinatarios, la Auditoría no hará copias de la citada Carta de Introducción.

Se entiende que la Carta de Presentación o Carta de Introducción del Informe debe sintetizar al máximo el contenido de aquél. El máximo responsable del cliente debe poder formarse una idea aproximada dela situación con la lectura de esta sucinta Carta.

- Tendrá una longitud máxima de 4 folios, aunque la auditoría tenga centenares de ellos.

- Proporcionará una conclusión general, concretando las áreas de gran debilidad.

- Presentará las debilidades en orden de importancia y gravedad, de mayor a menor. (Obsérvese cómo el orden del Informe y de la Carta no tienen por qué coincidir).

- En la Carta de Introducción no se escribirán nunca Recomendaciones. (Las Recomendaciones se expresan siempre en los Informes).

Párrafos: En cada párrafo debe tratarse un solo asunto. Cada párrafo debe tener 8 ó 10 líneas como máximo. Cuando exceda de esta cantidad, se dividirá en dos.

Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por el verbo. Por ello, cada frase contendrá un verbo, dos como máximo.

No deben cambiarse verbos por nombres. No se debe escribir "... hemos realizado un examen..."; hay que escribir "... hemos examinado...".

- Utilizar lenguaje sobrio normal, no excesivamente culto. Se permiten anglicismos y palabras técnicas muy conocidas.

- Omitir palabras innecesarias. No deben usarse expresiones como "Con referencia a", "Consecuentemente con", "en nuestra opinión", "creemos que", "consideramos que", etc.

- Evitar redundancias de lenguaje. No podrá redactarse, por ejemplo, "hemos revisado y analizado".

-No expresarse por medio de adverbios y adjetivos simultáneamente. Ejemplo: No debe redactarse "es estrictamente necesario que ...".