La Auditoría Informática verifica la utilización eficiente de los recursos informáticos disponibles o por disponer, en función de las estrategia de la Empresa y de los objetivos previstos. La Auditoría Informática para diferenciarla de la convencional, no aborda otro tipo de fraude que aquellos que se pueden realizar en forma directa desde, o con las computadoras. Del mismo modo, la Auditoría de Seguridad Informática se realiza en el contexto de preservar y garantizar la información de la empresa y su confidencialidad.

AUDITORIA INTERNA Y EXTERNA

Los responsables de "Sistemas" de una empresa acuden a sus Comités Ejecutivos y a sus organismos de administración y dirección, Ello es así, porque "Sistemas" es el único ente capaz de elaborar un Sistema Informático que la Empresa necesita.Sistemas sugiere las posibilidades técnicas que se precisan, como así también los costos asociados para realizar el mencionado Sistema Informático.

Con voz , pero casi siempre sin voto, Sistemas trata de satisfacer sus necesidades para la realización de su función, como consecuencia, las inversiones pertinentes en hardware y software son cuantiosas, de modo que se hace urgente priorizar alternativas y controlar las mismas.

En forma paralela, crecen los costos en personal calificado y que probablemente tendran un nivel salarial superior al de la media, entonces las empresas necesitan controlar a Sistemas y Sistemas necesita estar sometida a los mismos estándares y "procedures" que el resto de la organización.

El nexo de ambas necesidades se vislumbra en la figura del Auditor Interno Informático.

Cabe acotar, que solamente las grandes empresas pueden poseer auditores internos, el resto de las organizaciones, acude a Auditores Externos de Sistemas, pero en general lo hacen cuando la situación es grave o está totalmente fuera de control. El elemento para analizar es la independencia del auditor interno y de la confianza que genere, limitando su radio de acción a describir hechos y situaciones débiles de la informática y de su entorno inmediato, sin opiniones carentes de prueba, estos son los pilares de su existencia, sino, habrá fracasado como Auditor Interno, aunque no la Auditoría Informática, cuya función final y de utilidad debe ser firme y sólida.

Un buen auditor es aquel que terminada su función en esta tarea, puede desarrollarse en otras dentro del mismo departamento auditado (Sistemas), conviviendo con sus anteriores compañeros de trabajo.

Para contratar Auditoría Externa en general se deben dar tres circunstancias a saber:

a) Necesitar auditar una materia de gran especialización, para lo cual los propios integrantes no están capacitados.

b) Contrastar algún informe interno con el que resulte del externo, en aquellos casos que las recomendaciones internas contrasten con la opinión generalizada de la empresa.

c) Servir como protector de posibles auditorías informáticas externas que se contraten por la empresa. Observando que en estos casos la auditoría informática interna cumple una doble función.

Las auditorías informáticas externas e internas no son, pues, excluyentes, si bien tendrán que acotar la convivencia de ambas a casos de excepción, aunque sea por meras razones económicas.

La auditoría informática ya sea interna o externa debe ser una función que no contenga contenidos o matices de tipo "político empresarial" que esté fuera del contexto de la propia empresa y de sus normativas generales.

El desconocimiento de dichos objetivos o el conocimiento de perseguir objetivos nada claros descalifica la función.

El objetivo principal y permanente del auditor es la ética profesional y personal en todos los casos.

 

OBJETIVO DE LA AUDITORIA INFORMATICA

El objetivo principal y prioritario es: el mantenimiento de la Operatividad de las Computadoras.

La Operatividad es una función de mínimos consistente en que la empresa y todo el hardware funcionen, aunque sea minimamente. No está previsto detener la informática para descubrir fallas y empezar de nuevo.

Tal objetivo debe conseguirse tanto a nivel general como en algún área específica.

La Operatividad de los Sistemas ha de constituir entonces la principal función del auditor informático.

Para lograrlo hay que realizar Controles Técnicos Generales que son los que se efectúan para hacer la verificación de la compatibilidad de funcionamiento simultáneo del Sistema Operativo y el software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y el Software en existencia. Su inobservancia conduce a no aprovechar lo que ya está adquirido por la empresa.

Y los Controles Técnicos específicos que son igualmente necesarios para lograr la operatividad de los sistemas.

A menudo se han encontrado parámetros de asignaciones automáticas de espacio en el disco que dificultaban o no permitían su utilización a posteriori por una sección distinta a la que la produjo. Del mismo modo, los intervalos de tiempo de retención de archivos comunes a varias aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la pérdida de información resulta altamente probable.

Debe hacerse un análisis especial en aquellas empresas que posean mas de un Centro de Procesamiento de Datos.

La operatividad de los Sistemas adquieren problemas adicionales si no se encuentran anexados a Planes de contingencia parciales o totales. Por el contrario, si se encuentran contemplados, la posibilidad de hacer backup´s hará posible la operatividad de los mismos.

El tema de planes de contingencia lo veremos en el campo de Seguridad informática, que es un tema posterior.