4.

INTRODUCCION A LA AUDITORA DE SISTEMAS DE INFORMACIN

4.1 4.2 4.3 4.4 4.5 4.6 4.7 AUDITORIA INFORMTICA ORDENADOR vs AUDITORIA POR MEDIO DEL

BREVE HISTORIA DE LA AUDITORA DE SI RAZONES PARA LA AUDITORIA Y EL CONTROL DE LOS SI DEFINICIN DE AUDITORIA DE SISTEMAS DE INFORMACIN EFECTOS DEL PROCESO ELECTRNICO DE DATOS SOBRE LOS CONTROLES INTERNOS EFECTOS DEL PED SOBRE LA AUDITORA FUNDAMENTOS DE LA AUDITORA DE SI

4.1 AUDITORIA INFORMTICA vs AUDITORIA POR MEDIO DEL ORDENADOR

Es frecuente encontrar una confusin entre dos funciones bien distintas; a veces se denomina auditora informtica a la auditora financiera o contable realizada por auditores que utilizan las facilidades de elevada capacidad de seleccin, acceso, clasificacin y clculo de los ordenadores. Dichos auditores utilizan el ordenador como una herramienta de trabajo, igual que utilizan una calculadora de mesa o un bolgrafo. El uso del ordenador, con sus peculiaridades, les obliga a tener una serie de conocimientos sobre el mismo, o a utilizar el apoyo de un tcnico informtico. El objetivo de la auditora que realizan estas personas no es el ordenador, el centro en que est ubicado, la existencia y cumplimiento de normas de seguridad, etc. sino el de la auditora financiera o contable. En adelante, se dir que este personal hace auditora por medio del ordenador o por medio de la informtica, y se reservar el trmino auditora informtica para referirse a aquella auditora cuyo objetivo a examinar sean productos informticos, procesos informticos, un departamento de informtica como unidad organizativa, o en su mbito ms amplio, la funcin informtica dentro de una organizacin, estudiando y evaluando no solo los procesos informticos en si, sino tambin los procesos administrativos y la organizacin que interacta con aquellos.

4.2 BREVE HISTORIA DE LA AUDITORA DE SI

La Auditora de los Sistemas de Informacin ha surgido cuando las empresas e instituciones han tomado conciencia de que la informacin que adquieren, conservan,
40

procesan y emiten, es vital para su propia supervivencia diaria y proyeccin de progreso. Por tanto, han elevado a la categora de sistemas crticos prcticamente todos los sistemas internos que manejan informacin, agregndolos en uno solo denominado sistema de informacin. En consecuencia, por su naturaleza crtica, el enfoque de auditora debe adoptar una perspectiva que se adecue absolutamente a estos sistemas, sea mediante la transformacin de mtodos, tcnicas y procedimientos de la auditora tradicional, o sea mediante la creacin de unos nuevos. Pero al principio esto no era as. La introduccin de las mquinas de proceso de datos en las empresas se produjo en los aos 50, principalmente dedicadas a sustituir a los empleados en las tareas repetitivas en el clculo de nminas y facturas de clientes. Dada su utilizacin como supercalculadoras, con un volumen considerable de datos de entrada, y un volumen similar de datos de salida en funcin de los anteriores, el auditor se limitaba a verificar la correccin de los datos de salida frente a los datos de entrada, ignorando la lgica y funcionamiento interno de las mquinas de proceso de datos. Este tipo de auditora se suele denominar auditora alrededor del ordenador. Prcticamente era una auditora convencional con un elemento extico que produca informacin de distinta manera que los empleados de la empresa. Esta situacin se prolong hasta mediados de la dcada de los 60, cuando las organizaciones de auditora propugnaron un cambio en el enfoque, en base a los resultados de baja calidad obtenidos en las auditoras de reas que comportaban proceso de datos a travs de ordenadores. Este cambio consista fundamentalmente en la adaptacin de los criterios para la evaluacin del control interno, en los sistemas organizativos, financieros y contables, al centro de proceso de datos y, concretamente, a la sala del ordenador. Esta etapa se suele denominar auditora del ordenador. Con la introduccin de nuevas tecnologas, como las comunicaciones entre ordenadores en tiempo real, pronto se detectaron las limitaciones del enfoque, ya que se producan prdidas progresivas de las pistas de auditora y el auditor era incapaz de controlar determinadas actividades. As, a finales de los aos 70, se llega a una tercera etapa: la auditora a travs del ordenador. En este enfoque se estudia tambin el tratamiento lgico de la informacin a travs de los programas y las aplicaciones que los integran. Posteriormente, a principios de los aos 80, se empieza a aplicar tcnicas de tratamiento de la informacin por medio de ordenadores, como apoyo a la labor de los auditores. El auditor de sistemas de informacin empieza a ser tambin experto en el uso de lenguajes informticos que le sirven para escribir, compilar y ejecutar programas para la consecucin de pruebas y obtencin de evidencia. Surge de este modo la denominada auditora con el ordenador. En la misma dcada se empieza a aplicar los principios bsicos de la auditora operativa a la auditora de los sistemas de informacin, dando lugar a la auditora operativa de proceso de datos, que se centra principalmente en la eficacia y eficiencia del tratamiento automtico de los datos.

41

4.3 RAZONES PARA LA AUDITORIA Y EL CONTROL DE LOS SISTEMAS DE INFORMACIN

Debido a la cada vez mayor dependencia de las organizaciones de su sistema informtico, dado que los ordenadores juegan un papel decisivo en el procesamiento de los datos y en la toma de decisiones, es importante que su utilizacin sea controlada. Hay 7 razones principales, que se muestran en la figura 4.1, para establecer una funcin que examine los controles establecidos sobre el procesamiento de datos por ordenador. Los siguientes apartados examinan estas razones.

Figura 4.1 Factores que llevan a una organizacin hacia el control y la auditora

Costes organizacionales por prdida de los datos Los datos de una organizacin son un recurso crtico necesario para que esta contine operando. Los datos suministran a las organizaciones una imagen de s mismas, su entorno, su historia y su futuro. Si esta imagen es precisa, se incrementa la habilidad de una organizacin para adaptarse y sobrevivir en un entorno cada vez ms cambiante.
Consideremos el caso de una organizacin que pierda su fichero de cuentas a pagar. No podra pagar sus deudas a tiempo y sufrira tanto una prdida de su nivel de crdito nivel de crdito como cualquier descuento que pudiese tener por pronto pago. Si pidiese ayuda a sus acreedores, tendra que confiar en la honestidad de sus acreedores para saber la cantidad adeudada. Adems, los acreedores pondran en cuestin la competencia de dicha organizacin y podran eliminar el nivel del crdito en el futuro. Tales prdidas pueden provenir de controles dbiles en los sistemas informticos. La direccin puede no haber previsto respaldos adecuados de los ficheros, por lo que la prdida de un fichero debida a un error en un programa, a un sabotaje, o a un desastre natural significara que el fichero no se podra recuperar y las operaciones de la organizacin quedaran deterioradas.

Toma de decisiones incorrectas La importancia de la exactitud de los datos depende del tipo de decisiones que se tomen en una organizacin. Por ejemplo, los datos utilizados en la toma de decisiones de nivel estratgico probablemente tolerarn cierto margen de error debido a la naturaleza de las decisiones estratgicas su perspectiva a largo plazo y su nivel de incertidumbre -. Sin embargo, las decisiones del nivel del control y de las operaciones normalmente requieren datos exactos. Los datos inexactos pueden acarrear costosas investigaciones o procesos fuera de control sin detectar.

42

Incluso personas de fuera de la organizacin, accionistas, gobierno, sindicatos, grupos de presin como los medioambientales, pueden necesitar datos exactos para tomar decisiones sobre la organizacin. Fraude informtico Una definicin de fraude informtico puede ser cualquier incidente asociado con la tecnologa informtica en el que una vctima sufre o puede sufrir prdidas y un causante intencionadamente gana o puede ganar. El control del fraude informtico es a menudo difcil debido a temas legales. Puede ser muy difcil encausar a alguien que realiza una utilizacin de un sistema informtico de forma no autorizada, debido a que la ley no considera que un ordenador sea una persona fsica o jurdica- y solo las personas pueden ser defraudadas. Valor del hardware, software y del personal Adems de los datos, el hardware, software y el personal son recursos crticos en una organizacin. Incluso con aseguramiento adecuado, la perdida intencionada o no del hardware puede causar interrupciones considerables. Si el software se corrompe o destruye, puede que la organizacin no pueda continuar las operaciones si no lo recupera prontamente. Finalmente, el personal siempre es un recurso muy valioso, particularmente en el entorno informtico debido al alto nivel de cualificacin requerido. Altos costes de los errores informticos Los sistemas informticos realizan muchas funciones crticas. Controlan robots, monitorizan las condiciones de un paciente durante una operacin, calculan y pagan intereses en cuentas de inversin, dirigen el rumbo de un barco. Consecuentemente, el coste de un error informtico puede ser muy alto. Privacidad Hoy en da se recogen muchos datos acerca de nosotros como individuos, impuestos, crditos, datos de salud, de educacin, empleo, residencia, etc. Aunque antes tambin se recogan este tipo de datos, la posibilidad del procesamiento automtico de estos datos hace que la gente se pregunte si se est erosionando la privacidad de los datos personales y de las organizaciones. Muchas naciones consideran que la privacidad es un derecho humano y que la responsabilidad del personal informtico es que el uso de la informtica no pase al nivel en que los diferentes datos personales puedan ser recogidos, integrados, procesados y recuperados rpidamente. Otra responsabilidad es que los datos solo sean utilizados para el nico propsito para el que hayan sido recogidos. La evolucin controlada del uso de las tecnologas de la informacin La tecnologa es neutral, ni buena ni mala. Es su uso el que puede producir problemas sociales. An se tienen que tomar grandes decisiones en como se deben utilizar los ordenadores en nuestra sociedad, por ejemplo, hasta qu nivel se puede permitir a la informtica desplazar el trabajo de las personas? Concierne a los gobiernos, asociaciones profesionales y grupos de presin la evaluacin del uso de la tecnologa, pero tambin se entiende que las organizaciones deben tener una conciencia social del uso de la informtica.
43

4.4 DEFINICIN INFORMACIN

DE

AUDITORIA

DE

SISTEMAS

DE

La Auditora de Sistemas de Informacin es el proceso de recoger y evaluar las evidencias para determinar la seguridad de los sistemas informticos, la salvaguarda de los activos, la integridad de los datos y conseguir los objetivos de la organizacin con eficacia y con consumo de recursos eficiente. Por tanto, la Auditora de Sistemas de Informacin mantiene la obtencin de los objetivos de la Auditora tradicional, que tiene como foco la salvaguarda de los activos y la integridad de los datos, y adems los objetivos de eficacia y eficiencia. El proceso de la Auditora de Sistemas de Informacin se puede concebir como una fuerza que ayuda a las organizaciones a conseguir mejor estos objetivos (figura 4.2).

Figura 4.2 Impacto de la funcin de auditora de sistemas de informacin en las organizaciones

Objetivos de salvaguarda de los activos Los activos de un sistema informtico incluyen hardware software, personal, ficheros de datos, documentacin del sistema y suministros. Al igual que cualquier otro tipo de activo de una organizacin deben estar protegidos por un sistema de control interno. El hardware se puede daar maliciosamente, el software y los ficheros de datos pueden ser robados. Debido a la concentracin de activos en la localizacin donde se encuentre el ordenador, la salvaguarda de los activos es un objetivo especialmente importante. Objetivos de integridad de los datos La integridad de los datos es un concepto fundamental en la auditora de SSII. La integridad de los datos tiene varios aspectos: completitud, robustez, pureza y fiabilidad. Si no se mantiene la integridad de los datos, una organizacin no tiene una verdadera representacin de s misma ni de los eventos del mundo real. La integridad solo se puede conseguir a un coste. Los beneficios obtenidos deben superar al coste de los procedimientos de control que se necesiten.

44

El valor que representa un elemento de datos para una organizacin es funcin de dos factores (a) el valor del contenido informacional del elemento de datos para la toma de decisiones individuales y (b) el nivel al que un elemento de datos es compartido entre los que toman las decisiones. El valor del elemento de datos determina lo importante que es el mantenimiento de la integridad del dato. El valor del contenido informacional de un dato depende de su contribucin a la reduccin de la incertidumbre que hay alrededor de una decisin. A su vez, el valor de la reduccin de la incertidumbre depende del beneficio que la decisin reporte. Estas nociones estn bien desarrolladas en la teora de la decisin estadstica. Si los datos se comparten, su corrupcin afecta no solo a un nico usuario sino a mltiples. El valor de un dato es una funcin de agregacin del valor que tiene para cada uno de los usuarios del dato. Por tanto, en un entorno de datos compartido, el mantenimiento de la integridad de los datos pasa a ser ms crtico. Objetivos de efectividad del sistema Un sistema de informtico efectivo es aquel que consigue sus objetivos. La evaluacin de la efectividad implica el conocimiento de las necesidades de los usuarios. Para evaluar si un sistema suministra informacin de manera que facilita la toma de decisiones por sus usuarios, el auditor debe conocer las caractersticas de los usuarios y el marco de la toma de decisiones. La auditora de la efectividad normalmente se realiza despus de que un sistema ha estado funcionando cierto tiempo. Esta evaluacin provee informacin para decidir si continuar con el sistema, modificarlo o eliminarlo. Tambin se puede auditar la efectividad de un sistema durante la fase de diseo. Los diseadores de sistemas tienen una difcil tarea en asegurarse de que los usuarios comunican sus necesidades y entienden y aceptan el diseo que se les proponen. Si un sistema es complejo y costoso de implementar, la gerencia puede querer una evaluacin independiente de la probabilidad de que el diseo responda a las necesidades de los usuarios. El auditor puede ser el responsable de realizar esta evaluacin independiente para la gerencia. Objetivos de eficiencia del sistema Un sistema eficiente es el que utiliza un mnimo de recursos para conseguir sus objetivos. Los sistemas informticos consumen varios tipos de recursos: tiempo de mquina, perifricos, canales, software de base, trabajo. Los recursos son escasos y diferentes sistemas demandan su utilizacin. La pregunta de s un sistema informtico es eficiente no tiene una respuesta clara. La eficiencia de un sistema especfico no se puede considerar de forma aislada de otros sistemas. Ocurren problemas de suboptimizacin cuando se optimiza un sistema a cuenta de otro sistema. Por ejemplo, minimizar el tiempo de ejecucin de una aplicacin puede requerir la
dedicacin total de un canal a esta aplicacin; y el recurso que normalmente estaba disponible para otras aplicaciones deja de estarlo.

La eficiencia de un sistema informtico es especialmente importante cuando dicho sistema no tiene excesiva capacidad. El rendimiento de las aplicaciones individuales normalmente se degrada tiempo de respuesta mas lento- y la gerencia tiene que decidir si mejorar la eficiencia o comprar recursos extras. Como el hardware y software es caro, la gerencia tiene que saber si la capacidad disponible ha sido agotada debido a que las

45

aplicaciones individuales son ineficientes o la asignacin de recursos est causando un cuello de botella. Aqu, tambin, la gerencia puede pedir a los auditores, debido a su independencia, que realicen o que ayuden en la evaluacin de la eficiencia.

4.5 EFECTOS DEL PROCESO ELECTRNICO DE DATOS (PED) SOBRE LOS CONTROLES INTERNOS
En un sistema de PED el sistema de control interno sigue teniendo los mismos componentes que uno manual, pero la implementacin de estos componentes queda afectada en diferentes formas, como se presenta brevemente a continuacin. Segregacin de funciones En un sistema manual, distintas personas se responsabilizan de iniciar las transacciones, registrar las transacciones y custodiar los activos. Como control bsico la segregacin de funciones previene o detecta errores e irregularidades. En un sistema informatizado esto no siempre puede aplicarse; por ejemplo, un programa
puede reconciliar una factura de un proveedor contra el albarn de entrega e imprimir un taln por la cantidad adeudada al proveedor. En este caso, el programa realiza funciones que en un sistema manual se podran considerar como incompatibles. No obstante, la segregacin de funciones sigue existiendo pero de una forma diferente, una vez que se ha determinado que el programa funciona correctamente, se deben separar la capacidad de ejecutar el programa en el entorno de produccin y la capacidad de modificar el programa.

En entornos de miniordenadores, la segregacin de funciones puede ser difcil de conseguir. Muchas veces los usuarios pueden cambiar los datos y los programas fcilmente, en este caso si el miniordenador no tiene la capacidad de llevar un registro de los cambios, puede ser muy difcil determinar si los usuarios han realizado o no funciones incompatibles. Delegacin de la responsabilidad y de la autoridad Una especificacin clara de la responsabilidad y de la autoridad es un control esencial, tanto en sistemas manuales como informatizados. En un sistema informatizado, la delegacin de la responsabilidad y de la autoridad de una forma no ambigua puede ser difcil de conseguir porque hay recursos que estn compartidos por distintos usuarios. Por ejemplo, cuando mltiples usuarios acceden a los mismos
datos y la integridad de los datos es violada de alguna manera, no siempre es fcil determinar quien es el responsable de dicha violacin y quien es responsable de detectar y corregir el error.

Existencia de personal competente y de confianza La tecnologa informtica es cada vez ms compleja, por lo que se necesita personal muy cualificado para desarrollar, modificar, mantener y operar los sistemas informticos actuales. As, la existencia de personal competente y de confianza es cada vez ms importante, ya que un relativamente pequeo nmero de personas asume la responsabilidad de la integridad de los datos. La alta rotacin del personal informtico hace a veces difcil para la direccin el evaluar la adecuada cualificacin de dicho personal. Sistema de autorizaciones

46

La direccin da dos tipos de autorizacin para ejecutar las transacciones: las generales y las especficas. Las generales establecen polticas a seguir, por ejemplo, una lista fija de precios para usar
por el personal cuando venda los productos.

Las especficas aplican a transacciones especficas, por ejemplo, que las compras por encima de un determinado valor deban ser aprobadas por el comit de direccin. En un sistema manual los auditores evalan el adecuado seguimiento de las autorizaciones examinando el trabajo de los empleados. En un sistema informtico, el procedimiento de autorizacin est, a menudo, implementado en un programa, por lo que los auditores, adems tendrn que verificar la veracidad del programa. Documentacin y registros adecuados En un sistema manual hay un soporte documental para permitir un rastro de auditora. En un sistema informtico, muchas veces no hay un soporte documental para iniciar, ejecutar y registrar algunas transacciones, por ejemplo, en un sistema de entrada de
pedidos, los pedidos de los clientes recibidos va telfono se introducen directamente en el sistema. Igualmente, algunas transacciones pueden ser activadas automticamente, por ejemplo, un programa de reaprovisionamiento de inventario puede iniciar una orden de compra cuando el nivel de inventario de un articulo cae por debajo de una determinada cantidad.

La ausencia de un rastro de auditora visible no es un problema para el auditor si el sistema registra todos los eventos y se puede acceder a estos registros. Pero, no todos los sistemas estn bien diseados. Algunos paquetes para miniordenadores tienen controles de acceso y de registro inadecuados para conseguir un rastro de auditora exacto y completo. Cuando a esto se le aade una habilidad decreciente para segregar funciones incompatibles pueden aparecer serios problemas de control. Control fsico sobre activos y registros Este tipo de control es crtico tanto en sistemas manuales como informticos. Los sistemas informatizados difieren de los manuales en que aquellos tienden a concentrar sus activos y registros. Esta concentracin incrementa la prdida que puede suceder debido a un fraude informtico o a un desastre, por ejemplo, si sucede un incendio que destruye los archivos
maestros y no se tiene el adecuado respaldo, puede suceder que no se puedan continuar las operaciones.

Adecuada supervisin de la gestin En un sistema manual esto puede ser relativamente fcil de conseguir dado que los supervisores y los subordinados estn, a menudo, en la misma localizacin geogrfica. Sin embargo, uno informtico puede permitir, debido a las redes de comunicaciones, que los empleados estn ms cerca de sus clientes, lo que hace ms difcil la supervisin. Se deben implementar controles de supervisin en el sistema informtico que compensen los controles que antes se hacan por observacin y consulta. Verificacin independiente de las operaciones En un sistema manual se realizan pruebas de las operaciones por personal independiente, ya que los empleados pueden cometer errores, intencionados o no. La verificacin independiente (por otra persona distinta a la que ha realizado la operacin) ayuda a detectar los errores e irregularidades que puedan ocurrir.

47

Sin embargo, en un sistema informtico, debido a que el cdigo del programa est autorizado, es exacto y completo, el sistema siempre seguir los procedimientos, haciendo que la verificacin sea innecesaria. Aqu, el nfasis cambia a asegurar la veracidad del programa evaluando los controles establecidos para el desarrollo y mantenimiento de los programas. Comparacin peridica de los registros contabilizados con los activos Peridicamente, hay que comparar los datos y los activos que los datos pretenden representar para determinar si hay inexactitudes en los datos o prdidas de activos. En un sistema manual, personal independiente prepara los datos para realizar la comparacin. En un sistema informtico esta preparacin la puede realizar un programa. Si se realizan modificaciones no autorizadas a los programas o a los ficheros de datos que utilizan los programas, se podra no descubrir una irregularidad. Aqu tambin, el control cambia a asegurar la veracidad de los programas ya que la segregacin de funciones ya no se necesita para la preparacin de los datos.

4.6 EFECTOS DEL PED SOBRE LA AUDITORA

Los auditores han de ser competentes e independientes para evaluar la correspondencia entre las actividades de una organizacin y los estndares o criterios establecidos. El PED ha impactado en las dos funciones bsicas de la auditora: la recogida de las evidencias la evaluacin de las evidencias Cambios en la recogida de las evidencias La recogida de las evidencias en un sistema informtico es ms compleja que en un sistema manual. Los auditores tienen que evaluar un conjunto de controles tecnolgicos, variado y complejo, que no exista en un sistema manual. por ejemplo, una operacin precisa y
completa de un dispositivo de disco requiere un conjunto de controles de hardware. Un auditor que tenga que evaluar la fiabilidad de estos controles tiene que entender estos controles para poder recoger las evidencias, de una forma competente.

Entender los controles tecnolgicos no es fcil, dado que el hardware y el software evolucionan rpidamente y, aunque con un cierto desfase, los controles asociados tambin evolucionan, por ejemplo, debido a la gran cantidad de informacin de todo tipo que viaja por las lneas de
comunicaciones ha habido una actividad de investigacin muy fuerte en el desarrollo de controles criptogrficos para proteger la privacidad de los datos.

Los auditores deben estar al tanto de estos desarrollos para poder evaluar la fiabilidad de las redes de comunicaciones. Por otra parte, la continua evolucin de los controles tecnolgicos hace ms difcil recoger la evidencia de forma manual, por lo que los auditores tambin necesitan sistemas de PED para poder recoger la evidencia. Cambios en la evaluacin de las evidencias

48

Debido a la continua evolucin de los sistemas de PED y de los controles tecnolgicos que llevan asociados, es ms difcil el evaluar las consecuencias de las fortalezas y debilidades de los controles en la fiabilidad total del sistema. Primero, el auditor debe entender cuando un control est funcionando bien o mal. Despus, debe rastrear las consecuencias de la debilidad o de la fortaleza del control a travs del sistema. En un entorno compartido, esto puede ser una tarea difcil, por ejemplo,
una simple transaccin de entrada de datos puede actualizar mltiples elementos de datos que son utilizados por mltiples usuarios ubicados en distintas localizaciones geogrficas. Algunas veces los auditores deben rastrear las consecuencias de un error en una transaccin de entrada para todos los usuarios del dato actualizado.

Las consecuencias de los errores en un sistema informtico pueden ser ms graves que en un sistema manual. Los errores en un sistema manual suelen darse de una forma estocstica, por ejemplo un administrativo comete peridicamente un error al introducir un precio de un
artculo. Sin embargo, en un sistema informtico los errores tienden a presentarse de una forma determinista, un programa errneo siempre producir el mismo error.

Adems los errores se generan a una alta velocidad y el coste de corregir y reejecutar un programa puede ser alto. Los errores en los programas pueden conllevar un gran trabajo de rediseo y reprogramacin, por lo que se tienen que implementar controles que aseguren que los sistemas se disean, implementan y mantienen con una alta calidad. La responsabilidad de los auditores es asegurar que estos controles son suficientes para mantener la salvaguarda de los activos, la integridad de los datos y la efectividad y la eficiencia del sistema y que, dichos controles, funcionan.

4.7 FUNDAMENTOS DE LA AUDITORA DE SISTEMAS DE INFORMACIN

La auditora de los SSII no es una simple extensin de la auditora tradicional. El reconocimiento de la necesidad de una funcin de Auditora de SSII emana de dos direcciones: Los auditores se han dado cuenta de que los ordenadores han impactado su habilidad para la realizacin de la funcin de dar una clara prueba La alta direccin considera que los sistemas informticos son recursos valiosos que necesitan ser controlados como cualquier otro recurso valioso dentro de una organizacin. En la figura 4.3 se muestra como la Auditora de SSII es una interseccin de cuatro disciplinas:

49

Figura 4.3 La auditora de sistemas de informacin como una interseccin de otras disciplinas.

La Auditora de SSII toma la mayor parte de su teora y metodologas de: la auditora tradicional, la gestin de sistemas de informacin, las ciencias del comportamiento y las de los ordenadores. Auditora tradicional La auditora tradicional aporta un importante bagaje de conocimientos y experiencia en control interno. Hay trabajos administrativos como las actividades de preparacin de datos para introducir en el sistema informtico. Estas actividades deben estar sujetas a principios de control interno tales como segregacin de funciones, personal competente y de confianza, etc. La aplicacin de estos principios incrementa la integridad de los datos antes de que se introduzcan en un sistema informtico y en la consiguiente distribucin de la los datos de salida una vez procesado los datos. Por otra parte, conceptos tales como totales de control son relevantes en la actualizacin de los ficheros por un programa. Un programa debe asegurar que todas las transacciones se procesan correctamente de la misma forma que un sistema manual debe asegurarlo. Muchos de los controles que se han utilizado en los sistemas manuales se han llevado directamente a los sistemas informticos. Tambin, la larga tradicin de la auditora tradicional resalta la importancia crtica que tienen la evidencia objetiva y verificable y la evaluacin independiente de los sistemas. Quizs lo ms importante que aporta la auditora tradicional a la Auditoria de SI es la filosofa del control. La naturaleza de esta filosofa es difcil de articular. No obstante, se pueden recoger elementos de esta filosofa leyendo literatura de auditora u observando el trabajo de los auditores. La filosofa comprende examinar el proceso de los datos con espritu crtico, cuestionando la habilidad de un sistema para salvaguardar los activos, mantener la integridad de los datos y conseguir sus objetivos de una forma efectiva y eficiente. Gestin de sistemas de informacin La historia de la informtica muestra espectaculares desastres en la implantacin de los sistemas informticos. Muchos investigadores se han dedicado a conseguir mejores formas de desarrollar e implementar sistemas de informacin, se han introducido tcnicas de direccin de proyectos en el rea de los sistemas de informacin, cada vez ms se recalca la utilizacin de estndares y generacin de documentacin. Todo esto impacta en la auditora porque, al final, afecta a la salvaguarda de los activos, la integridad de los datos y la efectividad y eficiencia del sistema. Ciencias del comportamiento Hay estudios que han demostrado que la principal razn de que fallen los sistemas informticos es la ignorancia de los problemas del comportamiento de las personas involucradas en el desarrollo e implementacin de los sistemas. Los auditores de SSII
50

deben conocer las condiciones que llevan a problemas de comportamiento y al posible fallo del sistema. Los especialistas en organizacin han contribuido mucho a entender los problemas de las personas dentro de las organizaciones. Este conocimiento se est aplicando al desarrollo e implementacin de los sistemas. Cada vez ms se est enfatizando en la necesidad de que los desarrolladores de sistemas consideren a la vez el impacto de un sistema informtico en el cumplimiento de las tareas - el sistema tcnico -, y la calidad de vida en el trabajo de los individuos - el sistema social -. Tecnologas de la informacin A los especialistas en TTII tambin les concierne la salvaguarda de los activos, la integridad de los datos y la efectividad y eficiencia del sistema. El conocimiento tcnico de alto nivel de los especialistas en TTII produce, a la vez, beneficios y problemas a los auditores de SSII. Por una parte, permite al auditor estar ms confiado acerca de la fiabilidad de cierto componente de un SI. Por otra parte, si se abusa del conocimiento tcnico, puede ser muy difcil para el auditor detectar el abuso. Un abuso cometido por un programador de sistemas muy cualificado puede ser casi imposible de detectar por un auditor si no tiene el suficiente nivel de conocimiento tcnico.

51