Herramientas para la auditoría informática Auditoría de sistemas Herramientas para la auditoría informática

Herramientas del Auditor de Sistemas Las auditorías informáticas se materializan recabando información y documentación de todo tipo. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Entre las herramientas de las que se sirve un auditor de sistemas están: entrevistas y cuestionarios, entre otros. Examinaremos los detalles de estas dos herramientas.

Entrevistas La entrevista se basa fundamentalmente en el concepto de interrogatorio que hace un auditor de sistemas a los distintos miembros de una organización informática con el fin de obtener información que mas tarde le ayude a elaborar una opinión profesional del sistema u organización informática que está auditando. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas.

Entrevistas La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Esto se debe a que el auditor durante una entrevista no sólo capta las palabras del auditado, sino que además puede captar las reacciones del auditado; que pueden observarse fácilmente en los gestos y cambios en el tono de la voz.

Entrevistas Se deberá interrumpir lo menos posible al auditado durante la entrevista y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. Se debe tener presente que según la claridad de las preguntas y talante del auditor de sistemas , el auditado responderá desde posiciones muy distintas y con disposición muy variable. Por esta razón el auditor procurará mantener un ambiente lo menos tenso posible durante la entrevista.

Cuestionarios Los cuestionarios son un conjunto de preguntas concernientes al sistema u organización a auditar. Las preguntas pueden estar dirigidas a departamentos o personas concretas de la organización. Las respuestas al cuestionario constituye la materia prima que necesita el auditor de sistemas para poder obtener la información que le permita luego emitir una opinión profesional del sistema u organización informática que esta auditando. Estos cuestionarios no pueden ni deben ser repetidos para organizaciones distintas a auditar, por el contrario se recomienda que sean diferentes y muy específicos para cada situación. Los cuestionarios pueden contener preguntas para desarrollo y selección simple mejor conocidos también como checklist. Los cuestionarios con preguntas de desarrollo no están muy recomendadas. En su lugar es mas recomendado el uso de las entrevistas ya que libera al auditado de la tediosa tarea de poner por escrito sus respuestas con todo detalle, mientras que muy probablemente pueda responder mas cómodamente a las mismas preguntas en una amigable entrevista, además en una entrevista el auditor puede captar una gama mayor de respuestas ya que además de la información que escucha puede observar la reacción del entrevistado al momento de responder.

Cuestionarios Los cuestionarios de selección simple o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación: CHECKLIST DE RANGO CHECKLIST BINARIA

CHECKLIST DE RANGO Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y 5 el valor más positivo)

CHECKLIST DE RANGO Ejemplo de Checklist de rango: Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados: 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable. 4 : Aceptable. 5 : Correcto.

CHECKLIST BINARIA Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente.

CHECKLIST BINARIA Ejemplo de Checklist Binaria: Se supone que se está realizando una Revisión de los métodos de pruebas de programas en el ámbito de Desarrollo de Proyectos. -¿Existe Normativa que le permita al usuario final compruebar los resultados finales de los programas? El conjunto de respuestas para esta pregunta en un checklist binario seria: 0: No. 1: Sí.

CHECKLIST BINARIA -¿Conoce el personal de Desarrollo la existencia de la anterior normativa? 0: No. 1: Sí. -¿Se aplica dicha norma en todos los casos? Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en los checklist binarios.