Herramientas y técnicas para la Auditoría Informática

Las técnicas son los procedimientos que se usan en el desarrollo de un proyecto de auditoría informática. Estas son algunas de las técnicas más comunes y aceptadas:

·         Análisis y diseño estructurado

·         Gráficas de Pert

·         Gráficas de Gantt

·         Documentación

·         Programación estructurada

·         Modulación de datos y procesos

Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones definidas en las técnicas. Las herramientas utilizadas son: cuestionarios, entrevistas, checklist, trazas y software de interrogación.

Cuestionario

 Los cuestionarios son una de las formas de recopilación de información de mayor utilidad para el auditor; por esta razón, a continuación presentamos una definición de cuestionario:

Es la recopilación de datos mediante preguntas impresas en cédulas o fichas, en las que el encuestado responde de acuerdo con su criterio; de esta manera, el auditor obtiene información útil que puede concentrar, clasificar e interpretar por medio de su tabulación y análisis, para evaluar lo que está auditando y emitir una opinión sobre el aspecto investigado.

El cuestionario tiene la gran ventaja de que puede recopilar una gran cantidad de información, debido a que contiene preguntas sencillas cuyas respuestas no implican ninguna dificultad; además, como en otros métodos, su aplicación es de carácter impersonal y libre de influencias y compromisos para el entrevistado.

Ventajas y desventajas de los cuestionarios

Los cuestionarios son los instrumentos más populares para la recopilación de información, sobre todo para la información relacionada con las auditorías de cualquier tipo.

Ventajas

Facilitan la recopilación de información y no se necesitan muchas explicaciones ni una gran preparación para aplicarlos.

Permiten la rápida tabulación e interpretación de los datos, proporcionándoles la confiabilidad requerida.

Evitan la dispersión de la información requerida, al concentrarse en preguntas de elección forzosa.

Por su diseño, los cuestionarios son muy rápidos de aplicar y ayudan a captar mucha información en poco tiempo.

En el ambiente de sistemas es fácil capturar, concentrar y obtener información útil a partir de las respuestas, mediante el uso de la computadora. Incluso se pueden proyectar los datos y hacer gráficas.

Hacen impersonal la aportación de respuestas; por lo tanto, en una auditoría ayudan a obtener información útil y confiable, si se plantean bien las preguntas.

Desventajas

·         Falta de profundidad en las respuestas y no se puede ir más allá del cuestionario.

·         Se necesita una buena elección del universo y de las muestras utilizadas.

·         Pueden provocar la obtención de datos equivocados si se formulan deficientemente las preguntas, si se distorsionan o si se utilizan términos ilegibles, poco usados o estereotipados.

·         La interpretación y el análisis de los datos pueden ser muy simples si el cuestionario no está bien estructurado o no contempla todos los puntos requeridos.

·         Limitan la participación del auditado, ya que éste puede evadir preguntas importantes o se puede escudar en el anonimato que dan los cuestionarios.

·         Hacen impersonal la participación del personal auditado, por lo que la aportación de la información útil para la auditoría es limitada.

·         Denotan la falta de experiencia y pocos conocimientos del auditor que las aplica si éste no plantea ni estructura correctamente las preguntas, lo cual puede provocar que su trabajo sea rechazado.

Entrevistas

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular.

Checklis

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.

El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.

Trazas y/o Huellas.

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignación de unidades de servicio para según cuales tipos carga. Estas actuaciones, en principio útiles, pueden resultar contraproducentes si se traspasan los límites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la auditoría informática de Sistemas: el auditor informático emplea preferentemente la amplia información que proporciona el propio Sistema: Así, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la producción completa de aquél, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de errores de maquina central, periféricos, etc.

*Log:

El log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando (información). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atómicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación (grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. La transacción tiene un principio y un fin, cuando la transacción llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transacción se cortó por x razón, lo que se hace es volver para atrás. El log permite analizar cronológicamente qué es lo que sucedió con la información que está en el Sistema o que existe dentro de la base de datos.

Documentos de la Auditoría

Son el conjunto de documentos que contienen la información obtenida por el auditor en su revisión, así como los resultados de los procedimientos y pruebas de auditoría aplicados; con ellos se sustentan las observaciones, recomendaciones, opiniones y conclusiones contenidas en el informe correspondiente.

La documentación de auditoría es el recurso más importante para demostrar por medio de documentos que una auditoria fue realizada de forma adecuada y conforme a las normas de auditoría generalmente aceptadas

 Documentación  de la empresa

Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer lo siguiente:

1.    Organización:

Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:

a.    Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.

b. Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.

c.   Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes.

2.    Flujos de Información: 

El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas.

3.    Número de Puestos de trabajo:

  Número de personas por Puesto de Trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.

4.    Entorno Operacional: 

El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse.

Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

  Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada uno de ellos, así como el uso de los mismos estándares de trabajo.

  Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de las compañías.

  Situación geográfica de los Sistemas: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remoto, periféricos de todo tipo, etc.

  Comunicación y Redes de Comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones.

Documentación realizada durante el proceso de auditoría.

  Se debe definir los objetivos y el alcance del trabajo.

  El relevamiento de información de las actividades a auditarse en la que se apoyará el análisis.

  Los recursos que se necesitarán para llevar a cabo el proyecto de auditoría.

  Los canales de comunicación necesarios entre los involucrados en el proyecto de auditoría.

  El procedimiento apropiado a utilizarse para realizar una inspección física que permita la obtención del conocimiento de la manera como se ejecutan las actividades y controles a auditar, así como de las áreas críticas en las que se debe poner mayor énfasis al realizar la auditoría.

  La declaración por escrito del programa de auditoría.

  Determinar los responsables de analizar los resultados de la auditoría, los plazos de tiempo en los que se deberá llevar a cabo el proyecto de auditoría y la forma en la que se presentarán los resultados de la misma.

  La aprobación del plan de trabajo de auditoría.

Papeles de Trabajo.

Los papeles de trabajo son registros que mantiene el auditor de los procedimientos aplicados, pruebas desarrolladas, información obtenida y conclusiones pertinentes a que se llegó en el trabajo.  Algunos ejemplos de papeles de trabajo son los programas de auditoría, los análisis, los memorandos, las cartas de confirmación y declaración, resúmenes de documentos de la compañía y cédulas o comentarios preparados u obtenidos por el auditor.  Los papeles de trabajo también pueden  obtener la forma de información almacenada en cintas, películas u otros medios.

Debemos señalar que el contenido de los papeles de trabajo puede variar de un auditor a otro y de un tipo de auditoría a otra, ya que en cada trabajo existen procedimientos, técnicas y métodos de evaluación especiales que forzosamente harán diferente la recolección de los documentos. Lo mismo ocurre con la forma de obtener evidencias e incluso con la forma de concentrar los papeles de trabajo.

A continuación presentaremos una propuesta para integrar estos papeles:

• Hoja de identificación.

• Índice de contenido de los papeles de trabajo.

• Dictamen preliminar (borrador).

• Resumen de desviaciones detectadas (las más importantes).

• Situaciones encontradas (situaciones, causas y soluciones).

• Programa de trabajo de auditoría.

• Guía de auditoría.

• Inventario de software.

• Inventario de hardware.

• Inventario de consumibles.

• Manual de organización.

• Descripción de puestos.

• Reportes de pruebas y resultados.

• Respaldos (backups) de datos, disquetes y programas de aplicación de auditoría.

• Respaldos (backups) de las bases de datos y de los sistemas.

• Guías de claves para el señalamiento de los papeles de trabajo.

• Cuadros y estadísticas concentradores de información.

• Anexos de recopilación de información.

• Diagramas de flujo, de programación y de desarrollo de sistemas.

• Testimoniales, actas y documentos legales de comprobación y confirmación.

• Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema.

• Otros documentos de apoyo para el auditor.

Informe del Auditor

Es una opinión formal, o renuncia de los mismos, expedido por un auditor interno o por un auditor externo independiente como resultado de una auditoria interna o externa o evaluación realizada sobre una entidad jurídica o sus subdivisiones (llamado "auditado").

La elaboración del informe representa el momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculación con el factor de riesgo, tarea eminentemente de carácter profesional y ético, según el leal saber y entender del Auditor Informático.

No existe un formato específico.   

Existen esquemas recomendados con los requisitos mínimos aconsejables respecto a estructura y contenido. El orden y la forma del Informe puede variar de acuerdo con la creatividad y estilo de los AI

El Informe de Auditoría deberá ser:

- claro
- adecuado
- suficiente
- comprensible

El formato del Informe debe reflejar una presentación lógica y organizada.
El informe debe incluir suficiente información para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas. 

Requisitos del Informe

Los requisitos de un Informe de Auditoría son:
1- Ser veraz
2- Estar documentado formalmente
3- Mostrar las observaciones (debilidades) encontradas
4- Tener recomendaciones y soluciones para cada observación
5- Reflejar las áreas de oportunidad y cursos de acción

Desarrollo del Informe

Los puntos esenciales de un Informe de Auditoría son:

1- Identificación del Informe. El título del Informe deberá identificarse como objeto de disitnguirlo de otros informes

2- Identificación del Cliente. Debe identificarse a los destinatarios y a las personas que efectúen el encargo

3- Identificación de la Entidad auditada. Identificación de la entidad objeto de la Auditoría Informática

4- Objetivos de la Auditoría Informática. Declaración de los objetivos de la Auditoría para identificar su propósito, señalando los objetivos incumplidos.

5- Normativa aplicativa y excepciones. Identificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la Auditoría

6- Alcance de la Auditoría.Concretar la naturaleza y extensión del trabajo realizado: área organizativa, período de auditoría, sistemas de información..., señalando limitaciones del alcance y restricciones del auditado

7- Conclusiones: Informe corto de opinión

Definición y tipos de informes

1) Informe Estándar: 

            Es conocido también como Opinión sin Reservas/Salvedades, emitido por un auditor cuando los estados presentados están libres de errores significativos y están representados de forma equitativa

Los elementos básicos del Informe Estándar / Opinión sin Reservas/Salvedades, son los siguientes:

Opinión Estándar: 

            El informe estándar del auditor declara que los estados que se presentan razonablemente, en todos los aspectos significativos, la situación de la entidad y los resultados de su operación. El informe estándar del auditor identifica los estados auditados en un párrafo inicial (párrafo introductorio), describe la naturaleza de la auditoria en un párrafo de alcance y expresa la opinión en un párrafo de opinión por separado.

Párrafo Explicativo: 

       Son párrafos que se agregan al informe estándar. Existen ciertas circunstancias en las que es necesario que el auditor agregue un párrafo explicativo a su informe, sin que ello constituya la expresión de una salvedad.

2) Informe No Estándar: 

Los Informes No Estándar se clasifican en:

Informe con Salvedades                          

Una opinión con salvedades declara que excepto por los efectos del asunto a que se refiere la salvedad de  los estados que se presentan, en todos sus aspectos significativos, la situación de la entidad, los resultados de sus operaciones y el flujo de efectivo.

Este tipo de opinión es muy similar a una "opinión limpia" sin reservas o, pero el informe señala que los estados se presentan razonablemente, con una excepción de algunos que de otro modo inexactitud.

Informe Abstención de Opinión o sin Opinión:

Conocido simplemente como una renuncia, se emite cuando el auditor no puede formar, y por lo tanto se niega a presentar un dictamen sobre los estados actuales. Esta declara que el auditor no expresa una opinión sobre los estados reales.

Este tipo de informe se emite cuando el auditor trató de auditoría de una entidad, pero no pudo completar el trabajo debido a diversas razones y no emitir un dictamen.

Informe de Opinión Adverso /Rechazado:

Una opinión adversa declara que los estados no se presentan razonablemente, ni la situación actual de la entidad, ni los resultados de sus operaciones.