Caractersticas

de la auditoria tecnolgica

La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, con sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditoria de Inversin Informtica. Del mismo modo, los Sistemas Informticos o tecnolgicos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informtica en general, o a la auditoria de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas. Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditoria de Organizacin Informtica o tecnolgica Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas. Sntomas de necesidad de una auditoria informtica: Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases: Sntomas de descoordinacin y desorganizacin: No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa. Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. Sntomas de mala imagen e insatisfaccin de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. - No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido

permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles. Sntomas de debilidades econmico-financiero: - Incremento desmesurado de costes. - Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). - Desviaciones Presupuestarias significativas. - Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin). Sntomas de Inseguridad: Evaluacin de nivel de riesgos - Seguridad Lgica - Seguridad Fsica - Confidencialidad [Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales] Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditoria. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio. 2- PAPEL DE UN AUDITOR DE SISTEMAS Los responsables-gestores de las empresas o de los diferentes departamentos, estn acostumbrados a delegar la funcin de calidad puesto que conocer en detalle las posibilidades de mejora que tienen en sus respectivas empresas les roba tiempo (ms posibilidades de mejora cuanto ms se profundiza). El tan trado dicho de que siempre existen oportunidades de mejora, descansa sobre la profundizacin en la propia gestin y el conocimiento detallado del negocio. Por ello, qu mejor que auditarlo si lo que se desea es mejorarlo.

Propuesto este escenario es necesario concienciarse de que las auditoras suponen una revisin de la situacin con el nico fin de identificar los puntos dbiles o posibles riesgos con el fin de evitarlos y los puntos fuertes con objeto de reforzarlos. Las auditoras son una herramienta para facilitar estas identificaciones. Todo lo que hacemos en la gestin de nuestras empresas debe tener un porqu y perseguir un fin claro. Sin esta premisa es muy difcil que podamos guiar a nadie por los caminos de la mejora de los resultados. En el mundo empresarial existe el disparate de creer que basta con preparar la auditora unos das antes de la misma, eso s, con una gran atencin, para que cuando lleguen los auditores vean una capa de maquillaje, a poder ser impenetrable, que oculte la realidad. El problema es doble. Por un lado existe el compromiso del auditado, al que su empresa le requiere la ocultacin de toda pista que lleve al auditor a descubrir alguna no-conformidad, y por otro el compromiso del auditor ante la necesidad de que la auditora sirva para mejorar. La situacin que se presenta es compleja ya que no admite mejora lo que en realidad se quiere mostrar como correcto y sin problemas. Se necesita trabajar con cierta dosis de trasparencia. En las empresas hay que conjugar lo que se quiere conseguir con el sistema de gestin con lo que requieren la norma y los clientes. Los objetivos de un sistema de gestin son facilitar el logro de los resultados/objetivos de la Estrategia de la Organizacin por medio de mejora continua, prevencin de defectos, disminucin de los desperdicios y reduccin de la variacin en los procesos. Todo ello requiere un enfoque basado en procesos y la consideracin de la satisfaccin de los clientes tanto internos y como externos. Teniendo en cuenta todo esto, un auditor debe llevar a cabo su trabajo buscando los riesgos que puedan dificultar a la organizacin el conseguir los objetivos definidos en su estrategia.

Una vez constatados y consensuados los riesgos con el auditado, solamente hay que poner en marcha las acciones para eliminar y/o reducir los mismos. Estas acciones siempre deben tener un responsable, una fecha de implantacin y la autorizacin de los recursos que fueran necesarios por parte de la Direccin. El papel del auditor acaba cuando ha conseguido que los responsables de las diferentes reas conozcan e interioricen los riesgos reales. Es entonces cuando empieza la funcin de los ejecutivos, con la planificacin e implantacin de las acciones derivadas de la auditora.