Las técnicas son
los procedimientos que se usan en el desarrollo de un proyecto
de auditoría informática. Estas son algunas de las técnicas más comunes y
aceptadas:
·
Análisis y diseño estructurado
·
Gráficas de Pert
·
Gráficas de Gantt
·
Documentación
·
Programación estructurada
·
Modulación de datos y procesos
Las
herramientas son el conjunto de elementos que permiten llevar a cabo las
acciones definidas en las técnicas. Las herramientas utilizadas son: cuestionarios,
entrevistas, checklist, trazas y software de interrogación.
Cuestionario
Los
cuestionarios son una de las formas de recopilación de información de mayor
utilidad para el auditor; por esta razón, a continuación presentamos una
definición de cuestionario:
Es
la recopilación de datos mediante preguntas impresas en cédulas o fichas, en
las que el encuestado responde de acuerdo con su criterio; de esta manera, el
auditor obtiene información útil que puede concentrar, clasificar e interpretar
por medio de su tabulación y análisis, para evaluar lo que está auditando y
emitir una opinión sobre el aspecto investigado.
El
cuestionario tiene la gran ventaja de que puede recopilar una gran cantidad de
información, debido a que contiene preguntas sencillas cuyas respuestas no
implican ninguna dificultad; además, como en otros métodos, su aplicación es de
carácter impersonal y libre de influencias y compromisos para el entrevistado.
Ventajas y desventajas de los
cuestionarios
Los
cuestionarios son los instrumentos más populares para la recopilación de
información, sobre todo para la información relacionada con las auditorías de
cualquier tipo.
Ventajas
Facilitan la recopilación de información y no
se necesitan muchas explicaciones ni una gran preparación para aplicarlos.
Permiten la rápida tabulación e
interpretación de los datos, proporcionándoles la confiabilidad requerida.
Evitan la dispersión de la información
requerida, al concentrarse en preguntas de elección forzosa.
Por su diseño, los cuestionarios son muy
rápidos de aplicar y ayudan a captar mucha información en poco tiempo.
En el ambiente de sistemas es fácil capturar,
concentrar y obtener información útil a partir de las respuestas, mediante el
uso de la computadora. Incluso se pueden proyectar los datos y hacer gráficas.
Hacen impersonal la aportación de respuestas;
por lo tanto, en una auditoría ayudan a obtener información útil y confiable,
si se plantean bien las preguntas.
Desventajas
·
Falta de profundidad en las respuestas y no
se puede ir más allá del cuestionario.
·
Se necesita una buena elección del universo y
de las muestras utilizadas.
·
Pueden provocar la obtención de datos
equivocados si se formulan deficientemente las preguntas, si se distorsionan o
si se utilizan términos ilegibles, poco usados o estereotipados.
·
La interpretación y el análisis de los datos
pueden ser muy simples si el cuestionario no está bien estructurado o no
contempla todos los puntos requeridos.
·
Limitan la participación del auditado, ya que
éste puede evadir preguntas importantes o se puede escudar en el anonimato que
dan los cuestionarios.
·
Hacen impersonal la participación del
personal auditado, por lo que la aportación de la información útil para la
auditoría es limitada.
·
Denotan la falta de experiencia y pocos
conocimientos del auditor que las aplica si éste no plantea ni estructura
correctamente las preguntas, lo cual puede provocar que su trabajo sea
rechazado.
Entrevistas
La
entrevista es una de las actividades personales más importante del auditor; en
ellas, éste recoge más información, y mejor matizada, que la proporcionada por
medios propios puramente técnicos o por las respuestas escritas a
cuestionarios.
Aparte
de algunas cuestiones menos importantes, la entrevista entre auditor y auditado
se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un
auditor, interroga y se interroga a sí mismo. El auditor informático experto
entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversación correcta y lo menos tensa
posible, el auditado conteste sencillamente y con pulcritud a una serie de
preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo
aparente. Tras ella debe existir una preparación muy elaborada y sistematizada,
y que es diferente para cada caso particular.
Checklis
El
auditor profesional y experto es aquél que reelabora muchas veces sus
cuestionarios en función de los escenarios auditados. Tiene claro lo que
necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de
análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de
someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy
por el contrario, el auditor conversará y hará preguntas "normales",
que en realidad servirán para la cumplimentación sistemática de sus
Cuestionarios, de sus Checklists.
Hay
opiniones que descalifican el uso de las Checklists, ya que consideran que
leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica
al auditor informático. Pero esto no es usar Checklists, es una evidente falta
de profesionalismo. El profesionalismo pasa por un procesamiento interno de
información a fin de obtener respuestas coherentes que permitan una correcta
descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer
preguntas muy estudiadas que han de formularse flexiblemente.
El
conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones,
las Checklists deben ser contestadas oralmente, ya que superan en riqueza y
generalización a cualquier otra forma.
Según
la claridad de las preguntas y el talante del auditor, el auditado responderá
desde posiciones muy distintas y con disposición muy variable. El auditado,
habitualmente informático de profesión, percibe con cierta facilidad el perfil
técnico y los conocimientos del auditor, precisamente a través de las preguntas
que éste le formula. Esta percepción configura el principio de autoridad y
prestigio que el auditor debe poseer.
Por
ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todavía lo es más el
modo y el orden de su formulación. Las empresas externas de Auditoría
Informática guardan sus Checklists, pero de poco sirven si el auditor no las
utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se
ejerce sobre bases de autoridad, prestigio y ética.
El
auditor deberá aplicar la Checklist de modo que el auditado responda clara y
escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los
casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor
amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente
la presión sobre el mismo.
Algunas
de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en
fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los
puntos contradictorios; el auditor deberá analizar los matices de las
respuestas y reelaborar preguntas complementarias cuando hayan existido
contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe
percibir un excesivo formalismo en las preguntas. El auditor, por su parte,
tomará las notas imprescindibles en presencia del auditado, y nunca escribirá
cruces ni marcará cuestionarios en su presencia.
Trazas y/o Huellas.
Con
frecuencia, el auditor informático debe verificar que los programas, tanto de
los Sistemas como de usuario, realizan exactamente las funciones previstas, y
no otras. Para ello se apoya en productos Software muy potentes y modulares
que, entre otras funciones, rastrean los caminos que siguen los datos a través
del programa.
Muy
especialmente, estas "Trazas" se utilizan para comprobar la ejecución
de las validaciones de datos previstas. Las mencionadas trazas no deben
modificar en absoluto el Sistema. Si la herramienta auditora produce
incrementos apreciables de carga, se convendrá de antemano las fechas y horas
más adecuadas para su empleo.
Por
lo que se refiere al análisis del Sistema, los auditores informáticos emplean
productos que comprueban los valores asignados por Técnica de Sistemas a cada
uno de los parámetros variables de las Librerías más importantes del mismo.
Estos parámetros variables deben estar dentro de un intervalo marcado por el
fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de
iniciadores de trabajos de determinados entornos o toman criterios
especialmente restrictivos o permisivos en la asignación de unidades de
servicio para según cuales tipos carga. Estas actuaciones, en principio útiles,
pueden resultar contraproducentes si se traspasan los límites.
No
obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la
descripción de la auditoría informática de Sistemas: el auditor
informático emplea preferentemente la amplia información que proporciona el
propio Sistema: Así, los ficheros de <Accounting> o de
<contabilidad>, en donde se encuentra la producción completa de aquél, y
los <Log*> de dicho Sistema, en donde se recogen las modificaciones de
datos y se pormenoriza la actividad general.
Del
mismo modo, el Sistema genera automáticamente exacta información sobre el
tratamiento de errores de maquina central, periféricos, etc.
*Log:
El log vendría
a ser un historial que informa que fue cambiando y cómo fue cambiando
(información). Las bases de datos, por ejemplo, utilizan el log para
asegurar lo que se llaman las transacciones. Las transacciones son unidades
atómicas de cambios dentro de una base de datos; toda esa serie de cambios se
encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación
(grabar, modificar, borrar) dentro de esa transacción, queda grabado en
el log. La transacción tiene un principio y un fin, cuando la transacción
llega a su fin, se vuelca todo a la base de datos. Si en el medio de la
transacción se cortó por x razón, lo que se hace es volver para atrás.
El log permite analizar cronológicamente qué es lo que sucedió con la
información que está en el Sistema o que existe dentro de la base de datos.
No hay comentarios:
Publicar un comentario