TÉCNICAS Y HERRAMIENTAS PARA LA AUDITORÍA INFORMÁTICA
TÉCNICAS Y
HERRAMIENTAS PARA LA AUDITORÍA INFORMÁTICA
Las
auditorías informáticas se materializan recabando información y documentación
de todo tipo. El trabajo de campo del auditor consiste en lograr toda la
información necesaria para la emisión de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados también evidencias.
Estos cuestionarios
no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes
y muy específicos para cada situación, debiendo ser muy cuidados en su fondo y
su forma.
ENTREVISTAS
La
entrevista es una de las actividades personales más importante del auditor; en
ellas, éste recoge más información, y mejor matizada, que la proporcionada por
medios propios puramente técnicos o por las respuestas escritas a
cuestionarios.
La
entrevista entre auditor y auditado se basa fundamentalmente en el concepto de
interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo.
El
auditor comienza a continuación las relaciones personales con el auditado. Lo
hace de tres formas:
-
Mediante la petición de documentación
concreta sobre alguna materia de su responsabilidad.
-
Mediante "entrevistas" en las que
no se sigue un plan predeterminado ni un método estricto de sometimiento a un
cuestionario
-
Por medio de entrevistas en las que el
auditor sigue un método preestablecido de antemano y busca unas finalidades
concretas.
La entrevista es una
de las actividades personales más importante del auditor; en ellas, éste recoge
más información, y mejor matizada, que la proporcionada por medios propios
puramente técnicos o por las respuestas escritas a cuestionarios.
La entrevista entre
auditor y auditado se basa fundamentalmente en el concepto de interrogatorio;
es lo que hace un auditor, interroga y se interroga a sí mismo.
El auditor
informático experto entrevista al auditado siguiendo un cuidadoso sistema
previamente establecido, consistente en que bajo la forma de una conversación
correcta y lo menos tensa posible, el auditado conteste sencillamente y con
pulcritud a una serie de preguntas variadas, también sencillas.
CHECKLIST
El auditor
profesional y experto es aquél que reelabora muchas veces sus cuestionarios en
función de los escenarios auditados.
Tiene
claro lo que necesita saber, y por qué.
-
Sus cuestionarios son vitales para el trabajo
de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que
estos servirán para la complementación sistemática de sus cuestionarios al
someter al auditado a unas preguntas estereotipadas que no conducen a nada.
-
Muy por el contrario, el auditor conversará y
hará preguntas "normales", de sus Checklists.
-
Según la claridad de las preguntas y el
talante del auditor, el auditado responderá desde posiciones muy distintas y
con disposición muy variable.
El auditor deberá
aplicar el Checklist de modo que el auditado responda clara y escuetamente. Se
deberá interrumpir lo menos posible a éste, y solamente en los casos en que las
respuestas se aparten sustancialmente de la pregunta.
Algunas
de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas.
Los
cuestionarios o Checklists responden fundamentalmente a dos tipos de
"filosofía" de calificación o evaluación:
-
Checklist
de Rango
-
Checklist
Binaria
CHECKLIST DE RANGO
Contiene
preguntas que el auditor debe puntuar dentro de un rango preestablecido
-
(por
ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y 5 el valor más
positivo)
Ejemplo
de Checklist de rango:
-
Se supone que se está realizando una auditoría sobre la seguridad
física de una instalación y, dentro de ella, se analiza el control de los
accesos de personas y cosas al Centro de Cálculo.
Podrían
formularse las preguntas que figuran a continuación, en donde las respuestas
tiene los siguientes significados:
-
Muy deficiente
-
Deficiente
-
Mejorable
-
Aceptable
-
Correcto.
Se figuran posibles respuestas de los
auditados.
-
Las
preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas
previamente.
-
Basta
con que el auditor lleve un pequeño guión.
-
La
calificación del Checklist no debe realizarse en presencia del auditado.
CHECKLIST BINARIA
Es
la constituida por preguntas con respuesta única y excluyente:
Si o No: Aritméticamente, equivalen a 1(uno) o 0(cero),
respectivamente.
Ejemplo
de Checklist Binaria:
-
Se supone que se está realizando
una Revisión de los métodos de pruebas de programas en el ámbito de Desarrollo
de Proyectos.
-
¿Existe Normativa de que el
usuario final compruebe los resultados finales de los programas?
<Puntuación: 1>
-
¿Conoce
el personal de Desarrollo la existencia de la anterior normativa?
<Puntuación: 1>
¿Se aplica dicha norma en todos los
casos?
<Puntuación: 0>
Los
Checklists de rango son adecuados si el equipo auditor no es muy grande y
mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una
mayor precisión en la evaluación que en los checklist binarios.
Metodología CRMR (Evaluación
de la gestión de recursos informáticos).
La
metodología abreviada CRMR es más aplicable a deficiencias organizativas y
gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un
Centro de Procesos de Datos.
El
método CRMR puede aplicarse cuando se producen algunas de las situaciones que
se citan:
-
Se detecta una mala respuesta a las
peticiones y necesidades de los usuarios.
-
Los resultados del Centro de Procesos de
Datos no están a disposición de los usuarios en el momento oportuno.
-
Se genera con alguna frecuencia información
errónea por fallos de datos o proceso.
El
método CRMR puede aplicarse cuando se producen algunas de las situaciones que
se citan a continuación:
-
Se
detecta una mala respuesta a las peticiones y necesidades de los usuarios.
-
Los
resultados del Centro de Procesos de Datos no están a disposición de los
usuarios en el momento oportuno.
-
Se
genera con alguna frecuencia información errónea por fallos de datos o proceso.
-
Existen
sobrecargas frecuentes de capacidad de proceso.
-
Existen
costes excesivos de proceso en el Centro de Proceso de Datos.
-
Efectivamente,
son éstas y no otras las situaciones que el auditor informático encuentra con
mayor frecuencia.
-
Aunque
pueden existir factores técnicos que causen las debilidades descritas, hay que
convenir en la mayor incidencia de fallos de gestión.
Áreas de aplicación:
Las
áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas
a las condiciones de aplicación señaladas en el punto anterior:
-
Gestión de Datos.
-
Control de Operaciones.
-
Control
y utilización de recursos materiales y humanos.
-
Interfaces y relaciones con usuarios.
-
Planificación.
-
Organización y administración.
Comentarios
Publicar un comentario