***** A L O H A *****

TÉCNICAS DE LA AUDITORIA:

Cuestionarios:

Las auditorias informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría.

Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado.

Entrevistas:

El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:

Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.

Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.

Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular.

Checklist:

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.

El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.

Ejemplo de Checklist de rango:

Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados:

1 : Muy deficiente.

2 : Deficiente.

3 : Mejorable.

4 : Aceptable.

5 : Correcto.

Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeño guión. La cumplimentación de la Checklist no debe realizarse en presencia del auditado.

-¿Existe personal específico de vigilancia externa al edificio?

-No, solamente un guarda por la noche que atiende además otra instalación adyacente.

<Puntuación: 1>

-Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno en los aledaños del Centro de Cálculo?

-Si, pero sube a las otras 4 plantas cuando se le necesita.

<Puntuación: 2>

-¿Hay salida de emergencia además de la habilitada para la entrada y salida de máquinas?

-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.

<Puntuación: 2>

-El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras?

-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por causa muy justificada, y avisando casi siempre al Jefe de Explotación.

<Puntuación: 4>

El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente.

Trazas y/o Huellas

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignación de unidades de servicio para según cuales tipos carga. Estas actuaciones, en principio útiles, pueden resultar contraproducentes si se traspasan los límites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la auditoría informática de Sistemas: el auditor informático emplea preferentemente la amplia información que proporciona el propio Sistema: Así, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la producción completa de aquél, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de errores de maquina central, periféricos, etc.

[La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.].

AUDITORÍA   INFORMÁTICA

EVALUACION DE LA ESTRUCTURA  ÓRGANICA

Estructura Orgánica:

 Bases Jurídicas

Ø   ¿Se ajusta la estructura orgánica actual a las disposiciones jurídicas vigentes?

_____________________________________________________

_____________________________________________________

Ø   ¿Cuáles son los ordenamientos legales en que se sustenta la dirección?

___________________________________________________________

­­­­­­­­­­___________________________________________________________

Objetivo de la Estructura:

¿La estructura actual está encaminada a la consecución de los objetivos del área?

___________________________________________________________

_____________________________________________________

¿Permite la estructura actual está encaminada a la consecución de los objetivos del área?

Explique en que Forma:

_____________________________________________________

¿Permite la estructura actual que se lleven a cabo con eficiencia:

Ø      Las atribuciones encomendadas?                                             SÍ         NO

Ø      Las funciones establecidas?                                                     SÍ         NO

Ø      Las distribución del trabajo                                                       SÍ         NO

Ø      El control interno                                                                     SÍ         NO

Si alguna de las respuestas es negativa, explique cuál es la razón:

_____________________________________________________

 Puestos

¿Los puestos actuales son adecuados a las necesidades que tiene el área para llevar a cabo sus funciones?                                                       SÍ         NO

NO. ¿Por qué razón? ____________________________________________

_____________________________________________________

El número de empleados que trabajan actualmente es adecuado para cumplir con las funciones encomendadas?                                     SÍ         NO

Solicite el manual de descripción de puestos de:

Análisis

Programación

Técnicos

            Operación

            Captura

            Dirección

            Administrativos

            Otros

¿El número de personas es el adecuado en cada uno de los puestos? SÍ   NO

¿Por qué?_____________________________________________________

_____________________________________________________

            No, ¿Cuál es el numero de personal que consideraría adecuado (Señale el puesto o los puestos)?

___________________________________________________________

_____________________________________________________

 Expectativas.

            ¿Considera que debe revisarse la estructura actual, a fin de hacerla mas eficiente?                                                                                           SÍ         NO

SÍ. ¿Por qué razón? ____________________________________________

_____________________________________________________

¿Cuál es la estructura que propondría?

___________________________________________________________

_____________________________________________________

            De realizar una modificación a la estructura, ¿Cuándo considera que debería hacerse?

___________________________________________________________

 Autoridad

            ¿Se encuentra definida adecuadamente la línea de autoridad?     SÍ         NO

NO, ¿Por qué razón? ____________________________________________

_____________________________________________________

            ¿Su autoridad va de acuerdo a su responsabilidad?                    SÍ         NO

NO, ¿Por qué razón? ____________________________________________

_____________________________________________________

¿En su área se han presentado conflictos por el ejercicio de la autoridad?

                                                                                                          SÍ         NO

SÍ, Explique en qué casos ________________________________________

_____________________________________________________

¿Existe en el área algún sistema de sugerencias y quejas por parte del personal?                                                                                              SÍ         NO

FUNCIONES:

 Existencia

            ¿Se Han establecido funciones del área?                                              SÍ         NO

¿Por qué no?___________________________________________________

_____________________________________________________

¿Las funciones están de acuerdo con las atribuciones legales?   SÍ         NO

¿Por qué no están de acuerdo?

___________________________________________________________

_____________________________________________________

¿Están por escrito en algún documento las funciones del área?     SÍ       NO

¿Cuál es la causa de que no  estén por escrito?

___________________________________________________________

_____________________________________________________

¿Cuál es la forma de darlas a conocer?

___________________________________________________________

_____________________________________________________

¿Participó el área en su formulación?                                       SÍ         NO

¿Por qué causas no participó?

___________________________________________________________

_____________________________________________________

¿Quién las autorizó o aprobó?

___________________________________________________________

_____________________________________________________

 ADECUADAS

            ¿Son adecuadas a la Realidad las Funciones?                            SÍ         NO

¿Por qué no son  adecuadas?

_____________________________________________________________

            _____________________________________________________________

            ¿Son adecuadas a las necesidades actuales?                          &n

Tags: TÉCNICAS DE LA AUDITORIA