TÉCNICAS Y HERRAMIENTAS PARA LA AUDITORÍA INFORMÁTICA



TÉCNICAS Y HERRAMIENTAS PARA LA AUDITORÍA INFORMÁTICA

 Las auditorías informáticas se materializan recabando información y documentación de todo tipo. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, debiendo ser muy cuidados en su fondo y su forma.



ENTREVISTAS

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo.

El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:
-          Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. 
 
-          Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario

-          Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.



La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.
La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo.
El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas.

CHECKLIST

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados.

Tiene claro lo que necesita saber, y por qué.
-          Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que estos servirán para la complementación sistemática de sus cuestionarios al someter al auditado a unas preguntas estereotipadas que no conducen a nada.

-          Muy por el contrario, el auditor conversará y hará preguntas "normales", de sus Checklists.

-          Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable.




El auditor deberá aplicar el Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta.


Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación:
-          Checklist de Rango
-          Checklist Binaria 

CHECKLIST DE RANGO

Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido
-          (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y 5 el valor más positivo)

Ejemplo de Checklist de rango:
-          Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo.

Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados:
-          Muy deficiente
-          Deficiente
-          Mejorable
-          Aceptable
-          Correcto.


Se figuran posibles respuestas de los auditados.
-          Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente.
-          Basta con que el auditor lleve un pequeño guión.
-          La calificación del Checklist no debe realizarse en presencia del auditado.

CHECKLIST BINARIA

Es la constituida por preguntas con respuesta única y excluyente:
Si o No: Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente.

Ejemplo de Checklist Binaria:
-          Se supone que se está realizando una Revisión de los métodos de pruebas de programas en el ámbito de Desarrollo de Proyectos.
-          ¿Existe Normativa de que el usuario final compruebe los resultados finales de los programas?
<Puntuación: 1>
-          ¿Conoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuación: 1>
¿Se aplica dicha norma en todos los casos?
<Puntuación: 0>




Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en los checklist binarios.

Metodología CRMR (Evaluación de la gestión de recursos informáticos).
La metodología abreviada CRMR es más aplicable a deficiencias organizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un Centro de Procesos de Datos.

El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:
-          Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.
-          Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el momento oportuno.
-          Se genera con alguna frecuencia información errónea por fallos de datos o proceso.

El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan a continuación:
-          Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.
-          Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el momento oportuno.
-          Se genera con alguna frecuencia información errónea por fallos de datos o proceso.

-          Existen sobrecargas frecuentes de capacidad de proceso.
-          Existen costes excesivos de proceso en el Centro de Proceso de Datos.
-          Efectivamente, son éstas y no otras las situaciones que el auditor informático encuentra con mayor frecuencia.
-          Aunque pueden existir factores técnicos que causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestión.



Áreas de aplicación:
Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicación señaladas en el punto anterior:
-          Gestión de Datos.
-          Control de Operaciones.
-          Control y utilización de recursos materiales y humanos.
-          Interfaces y relaciones con usuarios.
-          Planificación.
-          Organización y administración.




Comentarios

Publicar un comentario

Entradas populares de este blog

ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA

Imagen
ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA Normas de control interno COSO         Algunos grupos de interés de países como: Canadá, Estados Unidos, Reino Unido, Francia, Nueva Zelanda entre otros integraron la (Comisión Treadway), quienes   realizaron muchos esfuerzos para definir formalmente el Modelo de Control Interno COSO,   que contiene objetivos y elementos del control interno, así mismo establecieron los roles de todos los interesados incluyendo la Junta Directiva, los directivos, los jefes de mandos medios, los supervisores y empleados. Descripción de la metodología La presente metodología está estructurada en tres secciones principales: a)     La organización del proyecto b)     Las fases para el desarrollo de sistemas de información c)     La evolución de los sistemas de información En la primera de estas secciones se hace referencia a las funciones y responsabilidades de cada uno de los involucrados en el desarrollo del proy
Leer más

SOFTWARE DE AUDITORIA

Imagen
SOFTWARE DE AUDITORIA El software de auditoría ayuda a centralizar la información de auditoría para que las empresas puedan tomar decisiones coordinadas con una idea generalizada de las estadísticas financieras de la empresa. El software de auditoría también se suele diseñar para acelerar los procesos de auditoría para que las empresas no tengan que dedicarle tanto tiempo. Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería. El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Además permiten extraer información para su revisión, comparación y así obtene
Leer más

INFORME COSO

Imagen
INFORME COSO Es un sistema que permite implementar el control interno en cualquier tipo de entidad u organización. Sus siglas se refieren al Comité De Organizaciones Patrocinadoras De La Comisión De Normas. (Committee of Sponsoring Organizations of The Treadway Commission), quienes evaluaron y llegaron a la conclusión que la ausencia de orden en los procesos de una entidad, representa una diversidad de riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta inmediata para evitar los posibles fraudes o errores que pudieren surgir. La evolución a lo largo de la historia de la estructura del Sistema COSO ha sido efectiva a partir del año 1992, en cuyo año se denominó Marco del Control Interno (COSO I), para el año 2004 se da a conocer la mejora en el Sistema de COSO I con el Marco Integral de Riesgos (COSO II ERM), y para el año 2006 se da a conocer el Sistema de COSO III para pequeñas y medianas empresas. Para facilitar a las empresas a evaluar y mejorar
Leer más