| |
REDESII | | |
Auditoría de datos
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como
una
evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase
"Tiene Auditoría" como
sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.
El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de
evaluar la
eficacia y eficiencia de una sección, un organismo, una entidad, etc.
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor,
que se refiere a todo aquel
que tiene la virtud de oír. Por otra parte, el diccionario Español Sopena lo define como: Revisor de
Cuentas colegiado. En un
principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor:
evaluar la eficiencia y
eficacia.
Los principales objetivos que constituyen a la auditoría de datos son el control de la función informática,
el análisis de la
eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa
general de la empresa
en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
El auditor de datos ha de velar por la correcta utilización de los amplios recursos que la empresa pone
en juego para
disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una
auditoría informática
eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio
o un Hospital son tan
empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus
"negocios" de
forma rápida y eficiente con el fin de obtener beneficios económicos y de costes
Auditoría:
La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función
inicial es estrictamente
económico-financiero, y los casos inmediatos se encuentran en las peritaciones judiciales y las contrataciones
de contables
expertos por parte de Bancos Oficiales.
La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes
sus conclusiones.
Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoría contiene elementos de análisis,
de verificación y
de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para
eliminar las
disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el nombre
de
Recomendaciones.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario. Dichos
cuestionarios,
llamados Check List, son guardados celosamente por las empresas auditoras, ya que son activos importantes
de su
actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son
mal aplicadas y mal
recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La
Check List puede llegar
a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a
la regla, a la norma,
al método. Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan actividades
teóricamente
inadecuadas o se omiten otras correctas.
Auditoría Interna y Auditoría Externa
La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa
auditada. Los empleados
que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión
de la Empresa, o
sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es
realizada por personas
afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría
Interna,
debido al mayor distanciamiento entre auditores y auditados. La auditoría informática interna cuenta
con algunas ventajas
adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como
en las auditorías
convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando
Revisiones globales,
como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan
a las Auditorías,
especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.
La auditoría de datos, tanto externa como interna, debe ser una actividad exenta de cualquier contenido
o matiz "político"
ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio,
por iniciativa del
propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.
Control de integridad de registros:
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado
un registro común,
cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.
Control de validación de errores:
Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
Objetivo fundamental de la auditoría de datos: Operatividad
La operatividad es una función de mínimos consistente en que la organización y las maquinas funcionen,
siquiera
mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar
de nuevo. La auditoría
debe iniciar su actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener
tal situación. Tal
objetivo debe conseguirse tanto a nivel global como parcial.
La operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático.
Para conseguirla
hay que acudir a la realización de Controles Técnicos Generales de Operatividad
y Controles Técnicos Específicos de
Operatividad, previos a cualquier actividad de aquel.
Parámetros de asignación automática de espacio en disco:
Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que tienen un montón
de parámetros que
permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación va a usar para tal y
tal cosa cierta cantidad
de espacio en disco. Si uno no analizó cual es la operatoria y el tiempo que le va a llevar ocupar el
espacio asignado, y se
pone un valor muy chico, puede ocurrir que un día la Aplicación reviente, se caiga. Si esto sucede en
medio de la operatoria
y la Aplicación se cae, el volver a levantarla, con la nueva asignación de espacio, si hay que hacer
reconversiones o lo que
sea, puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme.
Revisión de Controles de la Gestión Informática:
Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditoría es la verificación
de la observancia
de las normas teóricamente existentes en el departamento de Informática y su coherencia con las del
resto de la empresa.
Para ello, habrán de revisarse sucesivamente y en este orden:
-
Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin estudiar a
fondo las
contradicciones que pudieran existir, pero registrando las áreas que carezcan de normativa, y sobre
todo verificando
que esta Normativa General Informática no está en contradicción con alguna Norma General no informática
de la
empresa.
-
Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los sectores más
importantes.
Por ejemplo, la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación.
Tampoco el alta de una nueva Aplicación podría producirse si no existieran los Procedimientos de Backup
y
Recuperación correspondientes.
-
Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las áreas fundamentales.
Así,
Explotación no debería explotar una Aplicación sin haber exigido a Desarrollo la pertinente documentación.
Del
mismo modo, deberá comprobarse que los Procedimientos Específicos no se opongan a los Procedimientos
Generales. En todos los casos anteriores, a su vez, deberá verificarse que no existe contradicción alguna
con la
Normativa y los Procedimientos Generales de la propia empresa, a los que la Informática debe estar sometida.
Control de Entrada de Datos:
Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de
plazos y calendarios de
tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará
que los controles de
integridad y calidad de datos se realizan de acuerdo a Norma.
Planificación y Recepción de Aplicaciones:
Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento
y su calidad de
interlocutor único. Deberán realizarse muestreos selectivos de la Documentación de las Aplicaciones
explotadas. Se inquirirá
sobre la anticipación de contactos con Desarrollo para la planificación a medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la explotación
Informática ejecuta
procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras
que las Aplicaciones de
Teleproceso están permanentemente activas y la función de Explotación se limita a vigilar y recuperar
incidencias, el trabajo
Batch absorbe una buena parte de los efectivos de Explotación. En muchos Centros de Proceso de Datos,
éste órgano
recibe el nombre de Centro de Control de Batch. Este grupo determina el éxito de la explotación, en
cuanto que es uno de
los factores más importantes en el mantenimiento de la producción.
Batch y Tiempo Real:
Las Aplicaciones que son Batch son Aplicaciones que cargan mucha información durante el día y durante
la noche se corre
un proceso enorme que lo que hace es relacionar toda la información, calcular cosas y obtener como salida,
por ejemplo,
reportes. O sea, recolecta información durante el día, pero todavía no procesa nada. Es solamente un
tema de "Data Entry"
que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar
al día siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la información
correspondiente,
inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real.
|