Capítulo 5.htm

Free Web Hosting Provider - Web Hosting - E-commerce - High Speed Internet - Free Web Page

Cuestionarios Previos:Las auditorías informáticas se materializan recopilando información y documentación de todo tipo. Los Informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos.

El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, también llamados evidencias.

Para ello, suele ser habitual comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor estima adecuadas, sin que sea obligatorio que dichas personas sena las responsables oficiales de las diversas áreas a auditar.

Estos preimpresos no pueden ni deben ser repetidos para instalaciones distintas sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y en su forma.

Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría.

No obstante, esta primera fase puede omitirse cuando los auditores hayan adquirido por otros medios la información que aquéllos preimpresos hubieran proporcionado.

Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado.

a) Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.

b) Mediante "entrevistas" en las que no se sigue un plan determinado ni un método estricto de sometimiento a un cuestionario.

c) Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales más importantes del auditor. En ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas otras cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio. Es esto y no otra cosa, lo que hace el auditor: interrogar, e interrogarse a sí mismo.

El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es sólo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular.

Checklist: Existen opiniones que descalifican el uso de checklist. Sin duda se refieren a la situación de un inexperto auditor que recita preguntas y espera respuestas. Pero esto no es utilizar Checklist's, esto es una evidente falta de profesionalidad.

La profesionalidad pasa por un procesamiento interno de la información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. La profesionalidad pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de checklist. Salvo excepciones que se explicarán en su lugar, las checklist's deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste la fórmula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aún siendo muy importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan celosamente su checklist's, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.

El auditor deberá aplicar la checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso se deberá evitar absolutamente la presión sobre el mismo.

Algunas de las preguntas de las checklist's utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El método descripto es habitual en toda auditoría, proporcionando el necesario rigor del análisis de la situación.

El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.

Los cuestionarios o checklist responden fundamentalmente a dos tipos de filosofía de calificación o evaluación, a saber:

a) Checklist de rango: Contiene preguntas que el auditor debe puntuar dentro de un rango prestablecido ( por ejemplo de 1 a 5 , siendo 1 la respuesta más negativa y 5 el valor más positivo).

Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de accesos de personas y cosas del Centro de Cómputo.

Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tienen los siguientes significados: 1: Muy deficiente. 2: Deficiente. 3: Mejorable. 4: Aceptable. 5: Correcto.

Se figuran posibles respuestas de los auditados. Se insiste nuevamente en que las preguntas deben sucederse sin que parezcan clasificadas previamente. Basta con que el auditor lleve un pequeño guión. La cumplimentación de la Checklist no debe realizarse debe realizarse en presencia del auditado.

-¿ Existe personal específico de vigilancia externa al edificio? "No. Solamente un guarda por la noche que atiende además otra instalación adyacente".

- Para la vigilancia interna del edificio, ¿ Hay al menos un vigilante por turno en los aledaños del Centro de Cómputo?. "Sí, pero sube a las otras 4 plantas cuando se le necesita".

-¿ Hay salida de emergencia además de la habilitada para la entrada y salida de máquinas? "Sí, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan".

-El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras? "No, Sólo tiene la tarjeta el Jefe de Comunicaciones. No se la a su gente mas que por causa muy justificada, y avisando casi siempre al jefe de Explotación".

Es la contituída por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a "1" o "0", respectivamente.

Se supone que se está realizando una Revisión de los métodos de pruebas de programas en el ámbito de Desarrollo de Proyectos

-¿Existe Normativa de que el usuario final compruebe los resultados de las pruebas finales de los programas? Punt. "1"

-¿Conoce el personal de Desarrollo la existencia de la anterior normativa? Punt."1"

-¿Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copias de Bases de datos reales? Punt. "0"

Obsérvese cómo en este caso están contestadas las preguntas siguientes, que serían:

Las Checklist's de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que la checklist binaria. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor.

Las Checklist's Binarias siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construídas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el incoveniente genérico del "sí o no" frente a la mayor riqueza del intervalo.

Trazas y/o Huellas: Con frecuencia, el auditor infomático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras.

Para ello se apoya en productos software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueben los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante.

A título de ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignación de unidades de servicio para según cuales tipos de carga.

Estas actuaciones, en principio útiles y correctas, pueden resultar contraproducentes si se traspasan ciertos límites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la auditoría informática de Sistemas: el auditor informático emplea preferentemente la amplia información que proporciona el propio Sistema: Así, los archivos "Accounting" o de contabilidad, en donde se encuentra la producción completa de aquél, y los "Log" de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de errores de máquina central, periféricos, etc.

La auditoría finaciero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los cálculos de sueldos (nóminas), primas, etc.

Software de Interrogación: Hasta hace pocos años se han utilizado productos software, llamados genéricamente "paquetes de auditoría", capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático.

Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que extrapolaran aceptablemente la situación real de una instalación.

En la actualidad, los productos de software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de archivos y bases de datos de la empresa auditada.

Obviamente, estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.

Del mismo modo, la proliferación de las redes locales y de la filosofía "Cliente/Servidor", han llevado a las firmas de software a desarrollar interfases de transporte de datos entre computadores personales y mainframe, de modo que el auditor informático copia en su propio PC la información más relevante para su trabajo.

No debe olvidarse que en la actualidad casi todos los usuarios finales poseen datos e información parcial generada por la organización informática de la Compañía.

Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por éste, que son tratados posteriormente en modo PC.

El auditor se halla obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar información de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descriptos.

Con todo, las opiniones más autorizadas indican que el trabajo de campo del auditor informático debe realizarse principalmente con los productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resula casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Gráficos, Hojas de Cálculo, etc.