Herramientas y Tecnicas Para La Auditoria de Sistemas

7/22/2019 Herramientas y Tecnicas Para La Auditoria de Sistemas

1/42

Profesor: Estudiantes:

Lcda. Martha Eraso

Barinas, 21 de Abril del 2013.-

Repblica Bolivariana de Venezuela.Ministerio del Poder Popular para la Educacin

Universitaria.U.P.T. Jos Flix RibasFundacin Misin Sucre.

Aldea Universitaria Yuri Gagarin.P.N.F. Ingeniera de Sistemas

Trayecto 4 Periodo 1

Duarte, Noyaxi C.I.18.393.657

Garca, Adelmar C.I.16.126.598

Gmez, Argenis C.I. 10.382.332

Mrquez, Maryuri C.I. 19.453.991

Montilla, Lisbeth C.I. 11.457.705Santos, Isaura C.I. 13.791.351


2/42

Introduccin:

A continuacin se va a desarrollar, el tema nmero 6, del contenidoprogramtico de Auditoria y Mantenimiento de Sistemas; el cual es uno de

los contenidos que forma a futuros Ingenieros en Sistemas e Informtica;

como responsables de la verificacin y evaluacin de sistemas informticos;

para que los mismos tengan un funcionamiento ptimo y permitan el buen

desempeo, preservando as los datos contenidos en los sistemas como tal,

para que cumple con el objetivo, para los cuales fueron sido creados.

El propsito de esta monografa es la de dar a conocer las

herramientas y tcnicas necesarias, para recabar informacin acerca de los

sistemas a auditar; estos mtodos son: El Cuestionario, la Entrevista, los

Cheklist, Trazas y/o Huellas, Log y Software de Interrogacin; los cuales

permiten la recopilacin de informacin para realizar el diagnostico de los

procesos informticos de un sistema; a su vez tambin se desarrolla, el punto

de los documentos de la auditoria, los cuales son la documentacin de laempresa y la documentacin realizada durante el proceso de auditoria; en

donde se presenta todo lo concerniente acerca de los requerimientos que

debe presentar la empresa a auditar y los papeles generados en el desarrollo

de la auditoria de informtica.

Por ltimo se presenta el punto acerca de los papeles de trabajo, endonde se realiza una recopilacin de datos que permiten ser utilizados por el

auditor y por terceros que deseen verificar lo desarrollado en la Auditoria

Informtica.


3/42

ndice:

Contenido N de Pagina

Herramientas y Tcnicas para la Auditora Informtica: 5

Entrevistas 5

Cuestionarios 17

Checklist 23

Trazas y/o Huellas 28 Log 29

Software de Interrogacin 30

Documentacin de la Auditoria: 31

Documentacin de la empresa 32

Documentacin realizada durante el proceso de

Auditoria

33

Papeles de trabajo 33

Conclusiones 36

Referencias Bibliogrficas 37


4/42

La auditora informtica es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un Sistema de Informacin salvaguarda el

activo empresarial, mantiene la integridad de los datos, lleva a cabo

eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

El auditor informtico es el profesional que ha de velar por la correcta

utilizacin de los diversos recursos de la organizacin y debe comprobar que

se est llevando a cabo un eficiente y eficaz Sistema de Informacin y la

Tecnologa de la Informacin. Pues estos dos puntos en la actualidadsoportan la Auditora y Control de los Sistemas e Informtica en la Gestin

moderna.

Para ejecutar de manera eficiente y rpida estas auditoras el auditor

cuenta con un buen nmero de herramientas que le permiten levantar la

informacin pertinente para analizar las variables del entorno y llegar a una

posible solucin o sugerencia si el caso lo amerita.

A continuacin se desarrolla una recopilacin de algunas

herramientas que pueden ser aplicadas en la Auditora Informtica, tales

como:

Entrevistas

Cuestionarios

Checklist

Trazas y/o Huellas.


5/42

Log.

Software de Interrogacin.

Entre las diferentes herramientas con que se cuenta para la

ejecucin de una auditoria, se har mencin de las ms usadas y efectivas:

Herramientas y Tcnicas para la Auditora Informtica:

Entrevistas:

La principal actividad de un auditor, sin importar el tipo de auditoria

que realice, es la recopilacin de informacin sobre el aspecto que va a

auditar, pues concreta y tabula esa informacin en cuadros y estadsticas,

analiza sus resultados y emite un juicio sobre el aspecto que evalu.

Una de las tcnicas ms utilizadas por los auditores es la entrevista,

ya que a travs de esta obtienen informacin sobre lo que auditara; adems,

bien aplicada, les permite obtener guas que sern importantes para su

trabajo, e incluso, muchas veces se entera de tipos que le permitirn conocer

ms sobre los puntos que pueden evaluar o debe analizar y mucha ms

informacin.

La entrevista podra entenderse como la recopilacin de informacin

que se realiza forma directa, cara a cara y a travs de algn medio de

captura de datos, es decir, el auditor interroga, investiga y confirma


6/42

directamente con el entrevistado sobre los aspectos que est auditando en la

aplicacin de esta tcnica, el auditor utiliza una gua de entrevista, la cual

contiene una serie de preguntas preconcebidas que va adaptando conforme

recibe la informacin del entrevistado, de acuerdo con las circunstancias que

se le presentan y en busca de obtener ms informacin til para su trabajo.

Ciclo de la entrevista de auditoria:

Es conveniente sealar que para realizar una entrevista adecuada es

indispensable entender y seguir un procedimiento bien estructurado, cuya

eficacia en las auditorias tradicionales y en las ciencias sociales, donde es

muy utilizada esta tcnica, est plenamente comprobada. Esto le servir al

auditor de sistemas computacionales para llevar a cabo una buena

investigacin, apoyado en una serie de preguntas previamente establecidas

y enfocadas al objetivo de la entrevista; con este mtodo se busca captar

una mayor informacin sobre lo que se auditara; adems, esta informacin

es ms valiosa que la que se puede obtener por medio de un cuestionario,una observacin o cualquier otra tcnica de auditoria.

El siguiente procedimiento es indispensable para realizar una buena

entrevista:

Inicio.

Apertura.

Clima o climax. Cierre.

Inicio:


7/42

Aqu es donde se inicia la entrevista, a travs de una breve

presentacin con la cual busca romper el hielo, y con una corta explicacin

del objetivo de la entrevista, si es necesario, aqu se hace la solicitud de

cooperacin por parte del entrevistado (personal auditado) para que este

proporcionar la informacin requerida por el auditor.

En un ambiente puramente practico, esta es quiz la misin ms

difcil del auditor, ya que por la misma naturaleza de la misin que debe

realizar (la de evaluar), lleva implcito el rechazo por parte de la persona aquien va a entrevistar; evidentemente, la apertura es un camino muy difcil

bajo estas condiciones, pero es indispensable para el xito en la aplicacin

de esta tcnica. Algunas veces es importante iniciar con una breve pltica

informal o con algn tema de inters mutuo.

Apertura:

Tambin conocida como el inicio formal de la entrevista o despertar

el inters del entrevistado, es la parte donde el auditor inicia formalmente su

interrogatorio, con preguntas breves, simples y de sondeo, sin profundizar

sobre algn tema en especial, el propsito bsico de este punto es obtener

posibles respuestas para inicias la conversacin, tratando de concentrar la

pltica sobre un tema de inters comn entre el auditado y el auditor, de

preferencia relacionado con el aspecto que se pretende evaluar.

Este punto, la apertura de la entrevista, es de suma importancia para

el trabajo del auditor, pues aqu es donde inicia la conversacin formal con

el entrevistado, en el cual se busca evitar cualquier posible rechazo y

resistencia de su parte; debemos tomar en cuenta que muchas veces el


8/42

auditado est a la defensiva, es evasivo y frio, por lo que suele responder en

forma vaga, evitando, hasta donde le es posible, proporcionar alguna

informacin comprometedora para l o sus compaeros. Saber aplicar esta

tcnica de auditoria es quizs el trabajo ms difcil para el auditor, ya que

requiere de una amplia experiencia y habilidad, adems de slidos

conocimientos sobre sus caractersticas, uso y forma de aplicacin.

Clima o Climax:

Esta es la parte de la entrevista en donde el auditor, con base en su

habilidad y experiencia, obtiene la informacin medular para la investigacin,

la cual se va propiciando conforme el tema objeto de la entrevista adquiere

mayor inters.

Con una buena aplicacin de este punto, el auditor obtiene la

informacin necesaria para evaluar las opiniones, comentarios y datosarrojados en la entrevista.

Cierre:

Esta es la parte final de la entrevista, en donde el auditor proporciona

una absoluta libertad al entrevistado por si puede o quiere agregar algo que

le permita complementar los datos antes recopilados; en muchas ocasiones,

y ms en la aplicacin de una auditoria, esta es una parte sustantiva, pues el

entrevistado supone que la entrevista ya termino; entonces, libre de presin,

proporciona al auditor la informacin de mayor utilidad que le permite a este

ltimo confirmar, avalar o rectificar lo captado anteriormente. Adems,


9/42

mediante una hbil conduccin del cierre, el auditor consigue tipos,

comentarios y orientaciones que le sern de mucha utilidad para continuar

con la evaluacin del aspecto auditado.

Evidentemente en esta etapa se debe agradecer la participacin del

entrevistado. La entrevista a diferencia de otras tcnicas y mtodos de

recopilacin, requiere una amplia capacitacin, conocimientos y experiencia

por parte del auditor, as como un juicio sereno y libre de cualquier influencia

para poder captar las verdaderas opiniones del entrevistado, y no agregar niquitar nada de la informacin obtenida.

Adems, a diferencia del cuestionario, la observacin, el muestreo y

otras tcnicas y mtodos del auditoria, en la entrevista no es fcil obtener

datos cuantitativos medibles y tabulables, y despus concentrar e interpretar

dichos datos, debido a que se requiere un profundo anlisis de los resultados

obtenidos. Aunque en muchos casos esta informacin verbal es ms valiosa

que la obtenida con otras herramientas.

La aplicacin de esta herramienta exige una gran habilidad y

experiencia del auditor, ya que el entrevistado siempre estar a la defensiva

durante su desarrollo y, en muchas ocasiones, si no es adecuadamente

conducida, ser difcil que se obtenga informacin suficiente sobre algn

tema relacionado con el trabajo del auditor.

Tipos de entrevistas para auditoria:


10/42

Hay dos tipos de auditoria, las que se hacen de manera libre yespontnea, sin formalidades ni limitaciones, y las destinadas a la

participacin del entrevistado, mediante un mtodo previamente establecido.

Para el caso de la auditoria tambin podramos agregar, otros tipos de

entrevistas, por ejemplo, las utilizadas para iniciar una evaluacin, otras que

sirven para corroborar y comprobar aspectos detectados con anterioridad o

las empleadas para que el auditor informe o confronte los hechos y actores

en determinadas situaciones. Concretamente, los tipos de entrevistas para la

auditoria de sistemas computacionales sern los siguientes:

Entrevistas libres:

Son las entrevistas en las que se sigue un guin bsico para obtener

la informacin requerida, pero la participacin del entrevistado es libre y sin

ninguna atadura. Con este tipo de entrevista se pretende dar libertad al

entrevistado para que se explaye; el propsito es tener una mayor intimidad

en la pltica para que la informacin sea ms verdica y con ms

profundidad; aunque se corre el riesgo de que el entrevistado se aparte del

tema central y pueda perderse temas intranscendentes.

Es bueno utilizar este tipo de entrevistas para cualquier evaluacin

de sistemas, pues ayudan am que el auditado se extienda libremente en

comentarios y aportaciones sobre lo que se est investigando, aunque se

corre el grave riesgo de desviarse del tema sustantivo, deliberada o

inconscientemente y que el entrevistado acte casi siempre a la defensiva.


11/42

Entrevistas dirigidas:

En estas entrevistas siempre se dirige las opiniones del entrevistado,

forzando supuestas dentro de un parmetro o guion preestablecido, sin

admitir ni permitir alguna variacin significativa. Aqu, de acuerdo con la

habilidad del auditor para conducir la entrevista, la participacin del

entrevistado puede llegar a tener mayor profundidad y claridad de los datos,

aunque se puede variar en cuanto a contenido y la utilidad de informacin

para la evaluacin del auditor.

Este tipo de entrevistas es recomendable para rectificar o ratificar

datos del entrevistado, siempre que se establezca perfectamente el guion a

seguir durante la entrevista.

Entrevista de Explotacin:

Es una auditoria de sistemas es recomendable que el primer

contacto con las auditados sea a travs de este tipo de entrevistas, pues por

lo general son de carcter libre y pueden ser muy tiles para buscar punto de

partida para la evaluacin. Adems ayudan al auditor a obtener informacin

importante para explorar el contorno y apreciar los alcances que pudiera

tener la revisin; tambin le ayudan a conocer el ambiente en el que se

desarrollaran la auditoria y cmo ser la participacin del entrevistado en la

misma.


12/42

Las entrevistas de explotacin tambin se hacen con la intencin de

familiarizar al auditor, con los sistemas que van a evaluar, debido a que

existen muchos tipos de sistemas, programas y paqueteras; utilizados en

una institucin de acuerdo con sus necesidades especficas; por esta razn,

el auditor debe entender dichos sistemas para poder evaluarlos, y le ayudan

a identificar el mejor punto de partida de la auditoria.

Entrevista de Comprobacin:

Estas entrevistas son de mucha utilidad para el auditor, ya que se

realizan para comprobar la veracidad de la informacin recopilada durante la

evaluacin y permiten corroborar o rectificar los datos y percepciones sobre

las observaciones encontradas con las pruebas e instrumentos aplicados en

la auditoria; adems, ayudan a profundizar en la evaluacin, a reforzar su

orientacin o a cambiar el rumbo de la evaluacin.

Este tipo de entrevistas requiere una amplia experiencia y

conocimientos sobre las tcnicas de entrevista, pues cuando se da este tipo

de conversaciones, por lo general el auditado est a la defensiva y es difcil

conducirlas, sin embargo, cuando se conducen bien, son muy tiles para

ratificar o rectificar datos de una auditoria.

Entrevistas de Informacin:

En la metodologa propuesta para desarrollar una auditoria de

sistemas hablamos de la necesidad de comentar las observaciones con las

auditados o con los funcionarios responsables del rea de sistemas, segn


13/42

sea el caso; para ese se utiliza este tipo de entrevistas, para que el auditor

comente cada una de las observaciones que reporta en su informa, y con

ello obtiene informacin valiosa del entrevistado que le sirve para rectificar o

ratificar las situaciones que est informando; adems le ayudan para

recopilar datos tiles para encontrar las causas y soluciones que

complementen sus observaciones.

No es fcil llevar a cabo este tipo de entrevistas, ya que requieren de

mucha habilidad y experiencia por parte del auditor; recordemos que no esnada fcil comentar con el auditado las desviaciones de su trabajo o su

responsabilidad en el manejo de los sistemas auditados. Sin embargo, es

indispensable llevar a cabo estas entrevistas y realizarlas de la mejor manera

posible.

Entrevistas Informales:

Estas entrevistas son de suma importancia aunque propiamente no

sean entrevistas de trabajo, ya que cuando el auditor las aplica de manera

correcta, le ayudan a conocer algn tipo de problemtica que solo se expresa

cuando no existe la presin de una entrevista formal como las indicadas

anteriormente.

Por lo general, estas entrevistas son totalmente ajenas al ambiente

de trabajo casi personales y casi siempre son conversaciones informales que

se dan entre personas para tratar temas sin importancia, sin embargo, el


14/42

auditor aprovecha estos encuentros para conocer algn problema especfico

que pueda influir en la evaluacin y que de otra manera no conocerla.

Tipos de Preguntas para Entrevistas:

As como sealamos los tipos de entrevistas que se pueden realizar,

tambin es necesario que demos a conocer los tipos de preguntas y la

manera en que se pueden plantear estas durante una entrevista; estas

preguntas se hacen de acuerdo con las necesidades y caractersticas de

cada entrevista, y se pueden agrupar en los siguientes tipos:

Preguntas Abiertas:

Las entrevistas realizadas con este tipo de preguntas son aquellas

donde el entrevistado tiene libertad absoluta para expresar su opinin sin

ningn lmite, aunque a veces se salga del tema que se le plantea.

El auditor de sistemas que aplique esta tcnica debe saber

aprovechar este tipo de preguntas, pues si las emplea correctamente, puede

obtener informacin muy valiosa para su evaluacin; adems, si sabe motivar

al entrevistado, este le puede proporcionar informacin valiosa que puede

validar posteriormente con otro tipo de herramientas de auditoria de

sistemas.

Preguntas Cerradas:


15/42

Las entrevistas desarrolladas con preguntas cerradas (o concretas)

se realizan con el propsito de centrar las respuestas del auditado hacia el

objeto de la entrevista sin dejarlo salir del tema. Este tipo de preguntas

puede ser de mucha utilidad para el auditor, pues le ayudan a limitar las

respuestas hacia el tema central de la entrevista.

Pregunta de Sondeo:

Este tipo de preguntas se puede hacer al inicio o durante el

desarrollo de la entrevista y se utiliza para determinar el grado de

cooperacin y participacin del auditado durante la misma; el propsito es

averiguar la manera en que el auditado colabora con responder a estos

interrogantes. El auditor debe utilizar este tipo de preguntas principalmente

para comprobar la veracidad de las respuestas del auditado y as estar en las

condiciones de medir su grado de cooperacin, o tambin las puede utilizar

para obtener mayor informacin.

Preguntas de cierre:

Antes de concluir la entrevista es importante realizar las llamadas

preguntas de cierre, las cuales se hacen para terminar con el interrogatorio y

como una forma de obtener informacin adicional del ltimo momento, esta

informacin surge al cerrar la entrevista, cuando el entrevistado, libre de la

presin de la misma, proporciona la informacin muy til para normar

criterios de evaluacin o corroborar datos.


16/42

Debemos hacer notar que estas preguntas pueden ser de las ms

transcendentales en la recopilacin de la informacin necesaria para la

evaluacin de los sistemas, pues el auditor puede aprovechar que el

entrevistado deja de estar a la defensiva porque cree que la entrevista ya

termin, y puede proporcionar informacin muy valiosa para la evaluacin.

Preguntas Mixtas:

Es la combinacin de dos o ms de los tipos de preguntas anteriores,

para tratar de hacer ms gil y eficiente la recopilacin de la informacin

necesaria para la auditoria. El auditor debe saber elaborara este tipo de

preguntas para aprovechar las posibilidades de la entrevista.

Conviene finalizar el tratamiento de este tema, haciendo nfasis en la

aplicacin de estos tipos de preguntas, a fin de que el auditor pueda obtener

informacin valiosa que pueda corroborar posteriormente con otrasherramientas de auditoria, pero lo importante es que sepa utilizar dichos tipos

de preguntas como un eficaz instrumento de captacin de informacin.

Formas de recopilar la informacin en las entrevistas de auditoria:

Ya destacamos la importancia y formas de realizar las entrevistas de

auditoria, sin embargo, ahora debemos hacer algunas recomendaciones para

obtener la informacin del entrevistado; al respecto, debemos sealar que no

es fcil capturar la informacin que proporciona el entrevistado, pues existen

ciertos impedimentos fsicos o personales que dificultan esta tarea, adems


17/42

de que se necesita de mucha habilidad y experiencia por parte del auditor,

as como de la aplicacin de tcnicas especiales.

A continuacin presentamos algunas de las principales formas de

recopilar la informacin:

Entrevistas Grabadas:

En estas entrevistas se hace la recopilacin de la in formacin por

medio de algn instrumento electromagnetismo o de video, a fin de registrar

todos los detalles de la entrevista, para posteriormente hacer un anlisis de

las aportaciones que hace el entrevistado. En algunos casos, esta

informacin se puede utilizar como evidencia de algunas situaciones

reportadas.

Aunque este tipo de captura de datos es la ms sencilla y quizs el

ms recomendable, para los entrevistados es el menos favorable, pues les

atemoriza saber que los estn grabando porque suponen que los datos que

proporcionan se pueden utilizar como evidencia en la auditoria.

Tomar Notas:

Otra de las modalidades ms socorridas para recopilar informacin

en una entrevista, es recopilar los datos tomando notas en forma directa, es

decir, cuando el auditor toma notas personalmente de lo que dice el

auditado.


18/42

Para aplicar esta tcnica de recopilacin de informacin, el auditorrequiere de una gran habilidad, experiencia y, en muchos casos, del uso de

tcnicas especiales como taquigrafa, toma de dictado o alguna otra

herramienta que le permita tomar notas eficientemente.

La principal ventaja de esta tcnica es que crea menor resistencia en

el entrevistado y se puede interpretar la informacin al momento de

capturarla; por otro lado su principal desventaja es que puede malinterpretar

la informacin y perder datos valiosos cuando no se tiene mucha practica en

esta tcnica.

Captar lo esencial sin notas:

Una de las formas utilizadas de captar informacin en la auditoria de

sistemas, sin tomar notas en forma directa, o cuando menos sin que sea tan

evidente como en el caso anterior; aunque es indudable que en esta tcnica

tambin se requiere de una gran experiencia y habilidad por parte del auditor,

adems de una gran memoria, concentracin y capacidad de sntesis, entre

otras muchas habilidades.

El auditor aplica esta tcnica de manera natural en la prctica

cotidiana de la auditoria, a cada momento y con la intensidad que le

demanda la recopilacin de la informacin, ya que al consultar e interrogar al

entrevistado sobre algn tpico que esta auditando, al mismo tiempo est

tomado nota mentalmente de lo consultado, obteniendo as la informacin


19/42

que requiere sin la formalidad de una entrevista. Obviamente, obtener

buenos resultados con esta tcnica depender de la experiencia y habilidad

del auditor.

Otras Formas:

En la auditoria de sistemas existen otros tipos existen otros tipos de

entrevistas para recopilar informacin, pero cada auditor las aplica de

acuerdo con sus necesidades; por esta razn, solo mencionaremos algunos

posibles ejemplos:

Entrevistas de segunda mano, realizadas a personas que no estn

involucradas directamente en el aspecto auditado, pero que aportan

informacin relacionada.

Entrevistas Ocultas, en las que otra persona entrevista al auditado y

este no sabe que se est recopilando informacin que proporciona.

Entrevista disfrazadas de platica informal sobre cualquier aspecto

que aparentemente no tiene relacin con el trabajo, pero en las que se est

recopilando la informacin que proporciona el entrevistado.

Cuestionarios:

Los cuestionarios son una de las formas de recopilacin de

informacin de mayor utilidad para el auditor; por esta razn, a continuacin

presentamos una definicin de cuestionario:


20/42

Es la recopilacin de datos mediante preguntas impresas en cedulas

o fichas, en las que el encuestado responde de acuerdo con su criterio; de

esta manera, el auditor obtiene informacin til que puede concentrar,

clasificar e interpretar po0r medio de su tabulacin y anlisis, para evaluar lo

que auditando y emitir una opinin sobre el aspecto investigado.

El cuestionario tiene la gran ventaja de que puede recopilar una gran

cantidad de informacin, debido a que contiene preguntas sencillas cuyas

respuestas no implican ninguna dificultad; adems, como en otros mtodos,su aplicacin es de carcter impersonal y libre de influencias y compromisos

para el entrevistado. Tambin tiene la ventaja de poder seleccionar los tipos

de preguntas que se deben realizar los cuales sealaremos a continuacin:

Preguntas Abiertas:

Son las preguntas en donde el encuestado es libre de responder deacuerdo con su criterio, o en las que tiene mltiples opciones para responder

sin ninguna limitacin, ni en tamao, ni en profundidad y le permiten que la

expresin de sus ideas y opiniones fluya sin limitaciones.

La ventaja de este tipo de preguntas es que se puede obtener ms

informacin de la esperada; tambin dejan abierta la posibilidad de

profundizar sobre tpicos no contemplados inicialmente, aunque tienen la

desventaja de que dificultan la tabulacin de los datos, e incluso pueden

provocar que se desvi la atencin del encuestado.


21/42

Preguntas Cerradas:

Con este tipo de preguntas el encuestado tiene la oportunidad deelegir la respuesta que sea acorde con su opinin de entre las opciones

presentadas. Hay varias formas de preguntas cerradas, entre las cuales

tenemos siguientes:

Preguntas Dicotmicas:

Estas preguntas solo tienen dos posibles respuestas que por logeneral son opuestas entre s, por ejemplo:

( ) S ( ) No

( ) Masculino ( ) Femenino

( ) Presente ( ) Ausente

( ) Hardware ( ) Software

Preguntas Tricotmicas:

Son aquellas que tienen tres opciones de respuestas, por ejemplo:

( ) S ( ) No ( ) Sin respuestas

( ) Redes ( ) Equipo Mayor ( ) PCs

Preguntas de Opcin mltiple:


22/42

Tambin conocidas como preguntas peine o tems, presentan varias

respuestas de entre las que se puede elegir solo una; por lo general, estos

tems tienen una gama de respuestas que varan de un extremo a otro, por

ejemplo:

Elija la respuesta marcando con una X

Soltero ( ) Excelente ( ) Empleado ( )

Divorciado ( ) Bueno ( ) Usuario ( )

Viudo ( ) Regular ( ) Proveedor ( )

Unin Libre ( ) Malo ( ) Asesor ( )

Casado ( ) Deficiente ( ) Directivo ( )

Preguntas de Opcin de rangos o grupos:

Son las preguntas cuyas respuestas se encuentran comprendidas enciertos rangos o grupos, dentro de los cuales el encuestado puede elegir solo

una de las respuestas, por ejemplo:

Elija su tiempo de trabajo en computadora de entre alguno de los

siguientes rangos:

Menos de 2 horas al da ( )

De 2 a 4 horas al da ( )




23/42

Ms de 8 horas al da ( )

Nunca la utiliza ( )

Preguntas Matriz:

Estas preguntas tienen la peculiaridad de que se elaboren en

cualquier medio, en cuadernillo, en grupo, en hojas sueltas u otro medio,

pero son contestadas en una hoja de forma de matriz, logrando con esto

mayor congruencia, una rpida tabulacin y mayor veracidad en lasrespuestas.

Adems, tienen la gran ventaja de poder agruparse en obtencin de

datos aparentemente distintos y desconectados entre s, pero que le pueden

ayudar al auditor a conocer aspectos especiales que desee auditar, por

ejemplo:

Edad

Antigedad Nivel

de

Ingreso

Funciones que realiza

Puesto rea Directivo Decisin Supervisor O peracin

Gerente

Lder de

Proyecto

Analista

Programador

Operador

Administrativo


24/42

El propio auditor puede elaborar estas preguntas para poder validar

las respuestas en el momento que las recibe, y las puede elaborar en grupo

o de manera individual, pero es l quien debe anotar las respuestas de los

encuestados. Es recomendable elaborar las preguntas previamente y

efectuar pruebas piloto antes de aplicarlas, adems pueden aplicarse de

manera grupal o individual.

Ventajas y desventajas de los cuestionarios:

Los cuestionarios son los instrumentos ms populares para la

recopilacin de informacin, sobre todo para la informacin relacionado con

las auditorias de cualquier tipo.

Por esta razn son muy utilizados y tienen muchas ventajas para

obtener grandes volmenes de datos, aunque tambin tienen grandes

desventajas que limitan su aplicacin. A continuacin presentamos algunas

de las ventajas y desventajas ms comunes de los cuestionarios.

Ventajas:

Facilitan la recopilacin de informacin y no se necesitan

muchas explicaciones ni una gran preparacin para aplicarlos.

Permiten la rpida tabulacin e interpretacin de los datos,

proporcionndoles la confiabilidad requerida.


25/42

Evitan la dispersin de la informacin requerida, al

concentrarse en preguntas de eleccin forzosa.

Por su diseo, los cuestionarios son muy rpidos de aplicar y

ayudan a captar mucha informacin en poco tiempo.

En el ambiente de sistemas es fcil capturar, concentrar y

obtener informacin til a partir de las respuestas, mediante el

uso de la computadora. Incluso se pueden proyectar los datos

y hacer grficas.

Hacen Impersonal la aportacin de respuesta; por lo tanto, en

una auditoria ayudan a obtener informacin til y confiable, si

se plantean bien las preguntas.

Desventajas:

Falta de profundidad en las respuestas y no se pueden ir ms

all del cuestionario.

Se necesita una buena eleccin del universo y de lasmuestras utilizadas.

Pueden provocar la obtencin de datos equivocados si se

formulan deficientemente las preguntas, si se distorsionan o si

se utilizan trminos ilegibles pocos usados o estereotipados.

La interpretacin y el anlisis de los datos pueden ser muy

simples si el cuestionario no est bien estructurado o no

contempla todos los puntos requeridos.

Limitan la participacin del auditado, ya que este puede evadir

preguntas importantes o se puede escudar en el anonimato

que dan los cuestionarios.


26/42

Hacen impersonal la participacin del personal auditado, por lo

que la aparicin de la informacin til para la auditoria es

limitada.

Denotan la falta de experiencia y pocos conocimientos del

auditor que las aplica, si este no plantea ni estructura

correctamente las preguntas, lo cual puede provocar que su

trabajo sea rechazado.

Mtodo para disear y aplicar los cuestionarios:

Ya sealamos al principio de este punto que el cuestionario, es uno

de los instrumentos ms utilizados en la recopilacin de informacin para

cualquier tipo de auditoria, por esta razn, en la auditoria de sistemas

computacionales este valioso instrumento se puede aprovechar para la

recopilacin de informacin sobre algunos aspectos concretos de los

sistemas computacionales, sin embargo, para aplicarlo correctamente se

necesita un procedimiento especfico que permita utilizar eficientemente estetipo de instrumentos de auditoria; basndonos en ello, a continuacin

proponemos los siguientes pasos:

Determinar el objetivo del cuestionario.

Elaborar un borrador del cuestionario.

Aplicar una prueba piloto

Elaborar el cuestionario final.

Determinar el universo y la muestra. Aplicar el cuestionario

Tabular la informacin del cuestionario y elaborar grficas y

cuadros.

Interpretar los resultados.


27/42

Elaborar las observaciones.

Checklist:

El auditor profesional y experto es aqul que reelabora muchas

veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro

lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo

de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya

de someter al auditado a unas preguntas estereotipadas que no conducen a

nada. Muy por el contrario, el auditor conversar y har preguntasnormales, que en realidad servirn para la cumplimentacin sistemtica de

sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que

consideran que leerle una pila de preguntas recitadas de memoria o ledas

en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists,

es una evidente falta de profesionalismo. El profesionalismo pasa por un

procesamiento interno de informacin a fin de obtener respuestas coherentes

que permitan una correcta descripcin de puntos dbiles y fuertes. El

profesionalismo pasa por poseer preguntas muy estudiadas que han de

formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist.

Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que

superan en riqueza y generalizacin a cualquier otra forma.

Segn la claridad de las preguntas y el talante del auditor, el auditado

responder desde posiciones muy distintas y con disposicin muy variable. El


28/42

auditado, habitualmente informtico de profesin, percibe con cierta facilidad

el perfil tcnico y los conocimientos del auditor, precisamente a travs de las

preguntas que ste le formula. Esta percepcin configura el principio de

autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de

preguntas muy sistematizadas, coherentes y clasificadas por materias,

todava lo es ms el modo y el orden de su formulacin. Las empresas

externas de Auditora Informtica guardan sus Checklists, pero de pocosirven si el auditor no las utiliza adecuada y oportunamente. No debe

olvidarse que la funcin auditora se ejerce sobre bases de autoridad,

prestigio y tica.

El auditor deber aplicar la Checklist de modo que el auditado

responda clara y escuetamente. Se deber interrumpir lo menos posible a

ste, y solamente en los casos en que las respuestas se aparten

sustancialmente de la pregunta. En algunas ocasiones, se har necesario

invitar a aqul a que exponga con mayor amplitud un tema concreto, y en

cualquier caso, se deber evitar absolutamente la presin sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada

sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor

formular preguntas equivalentes a las mismas o a distintas personas, en las

mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir

con mayor facilidad los puntos contradictorios; el auditor deber analizar los

matices de las respuestas y reelaborar preguntas complementarias cuando


29/42

hayan existido contradicciones, hasta conseguir la homogeneidad. El

entrevistado no debe percibir un excesivo formalismo en las preguntas. El

auditor, por su parte, tomar las notas imprescindibles en presencia del

auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a dos

tipos de filosofa de calificacin o evaluacin:

a.- Checklist de rango

Contiene preguntas que el auditor debe puntuar dentro de un rango

preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y

el 5 el valor ms positivo)

Ejemplo de Checklist de rango:

Se supone que se est realizando una auditora sobre la seguridad

fsica de una instalacin y, dentro de ella, se analiza el control de los accesos

de personas y cosas al Centro de Clculo. Podran formularse las preguntas

que figuran a continuacin, en donde las respuestas tiene los siguientes

significados:

1 : Muy deficiente.

2 : Deficiente.

3 : Mejorable.

4 : Aceptable.

5 : Correcto.


30/42

Se figuran posibles respuestas de los auditados. Las preguntasdeben sucederse sin que parezcan encorsetadas ni clasificadas previamente.

Basta con que el auditor lleve un pequeo guin. La cumplimentacin de la

Checklist no debe realizarse en presencia del auditado.

-Existe personal especfico de vigilancia externa al edificio?

-No, solamente un guarda por la noche que atiende adems otrainstalacin adyacente.

-Para la vigilancia interna del edificio, Hay al menos un vigilante por

turno en los aledaos del Centro de Clculo?

-Si, pero sube a las otras 4 plantas cuando se le necesita.

-Hay salida de emergencia adems de la habilitada para la entrada

y salida de mquinas?

-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las

quitan.

-El personal de Comunicaciones, Puede entrar directamente en la

Sala de Computadoras?


31/42

-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su

gente mas que por causa muy justificada, y avisando casi siempre al Jefe de

Explotacin.

El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4

= 2,25 Deficiente.

b.- Checklist Binaria

Es la constituida por preguntas con respuesta nica y excluyente: Si

o No. Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente.

Ejemplo de Checklist Binaria:

Se supone que se est realizando una Revisin de los mtodos de

pruebas de programas en el mbito de Desarrollo de Proyectos.

-Existe Normativa de que el usuario final compruebe los resultados

finales de los programas?

-Conoce el personal de Desarrollo la existencia de la anterior

normativa?


32/42

-Se aplica dicha norma en todos los casos?

-Existe una norma por la cual las pruebas han de realizarse con

juegos de ensayo o copia de Bases de Datos reales?

Obsrvese como en este caso estn contestadas las siguientes

preguntas:

-Se conoce la norma anterior?

-Se aplica en todos los casos?

Las Checklists de rango son adecuadas si el equipo auditor no es

muy grande y mantiene criterios uniformes y equivalentes en las

valoraciones. Permiten una mayor precisin en la evaluacin que en la

checklist binaria. Sin embargo, la bondad del mtodo depende

excesivamente de la formacin y competencia del equipo auditor.

Las Checklists Binarias siguen una elaboracin inicial mucho ms

ardua y compleja. Deben ser de gran precisin, como corresponde a la suma


33/42

precisin de la respuesta. Una vez construidas, tienen la ventaja de exigir

menos uniformidad del equipo auditor y el inconveniente genrico del frente a la mayor riqueza del intervalo.

No existen Checklists estndar para todas y cada una de las

instalaciones informticas a auditar. Cada una de ellas posee peculiaridades

que hacen necesarios los retoques de adaptacin correspondientes en las

preguntas a realizar.

Trazas y/o Huellas:

Con frecuencia, el auditor informtico debe verificar que los

programas, tanto de los Sistemas como de usuario, realizan exactamente las

funciones previstas, y no otras. Para ello se apoya en productos Software

muy potentes y modulares que, entre otras funciones, rastrean los caminos

que siguen los datos a travs del programa.

Muy especialmente, estas Trazas se utilizan para comprobar la

ejecucin de las validaciones de datos previstas. Las mencionadas trazas no

deben modificar en absoluto el Sistema. Si la herramienta auditora produce

incrementos apreciables de carga, se convendr de antemano las fechas y

horas ms adecuadas para su empleo.

Por lo que se refiere al anlisis del Sistema, los auditores

informticos emplean productos que comprueban los valores asignados por

Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras

ms importantes del mismo. Estos parmetros variables deben estar dentro


34/42

de un intervalo marcado por el fabricante. A modo de ejemplo, algunas

instalaciones descompensan el nmero de iniciadores de trabajos de

determinados entornos o toman criterios especialmente restrictivos o

permisivos en la asignacin de unidades de servicio para segn cuales tipos

carga. Estas actuaciones, en principio tiles, pueden resultar

contraproducentes si se traspasan los lmites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en

la descripcin de la auditora informtica de Sistemas: el auditor informtico

emplea preferentemente la amplia informacin que proporciona el propioSistema: As, los ficheros de o de , en donde se

encuentra la produccin completa de aqul, y los de dicho Sistema,

en donde se recogen las modificaciones de datos y se pormenoriza la

actividad general.

Del mismo modo, el Sistema genera automticamente exacta

informacin sobre el tratamiento de errores de maquina central, perifricos,

etc. [La auditora financiero-contable convencional emplea trazas con mucha

frecuencia. Son programas encaminados a verificar lo correcto de los

clculos de nminas, primas, etc.].

Log:

El log vendra a ser un historial que informa que fue cambiando y

cmo fue cambiando (informacin). Las bases de datos, por ejemplo, utilizan

el log para asegurar lo que se llaman las transacciones. Las transacciones

son unidades atmicas de cambios dentro de una base de datos; toda esa

serie de cambios se encuadra dentro de una transaccin, y todo lo que va

haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin,

queda grabado en el log. La transaccin tiene un principio y un fin, cuando la


35/42

transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio

de la transaccin se cort por x razn, lo que se hace es volver para atrs. El

log te permite analizar cronolgicamente que es lo que sucedi con la

informacin que est en el Sistema o que existe dentro de la base de datos.

Software de Interrogacin:

Hasta hace ya algunos aos se han utilizado productos software

llamados genricamente , capaces de generar

programas para auditores escasamente cualificados desde el punto de vista

informtico.

Ms tarde, dichos productos evolucionaron hacia la obtencin de

muestreos estadsticos que permitieran la obtencin de consecuencias e

hiptesis de la situacin real de una instalacin.

En la actualidad, los productos Software especiales para la auditora

informtica se orientan principalmente hacia lenguajes que permiten la

interrogacin de ficheros y bases de datos de la empresa auditada. Estos

productos son utilizados solamente por los auditores externos, por cuanto los

internos disponen del software nativo propio de la instalacin.

Del mismo modo, la proliferacin de las redes locales y de la filosofa

Cliente-Servidor, han llevado a las firmas de software a desarrollar

interfaces de transporte de datos entre computadoras personales y

mainframe, de modo que el auditor informtico copia en su propia PC la

informacin ms relevante para su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales

poseen datos e informacin parcial generada por la organizacin informtica

de la Compaa.


36/42

Efectivamente, conectados como terminales al Host, almacenan los

datos proporcionados por este, que son tratados posteriormente en modo

PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la

auditora) a recabar informacin de los mencionados usuarios finales, lo cual

puede realizar con suma facilidad con los polivalentes productos descritos.

Con todo, las opiniones ms autorizadas indican que el trabajo de campo del

auditor informtico debe realizarse principalmente con los productos del

cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor

confeccione personalmente determinadas partes del Informe. Para ello,

resulta casi imprescindible una cierta soltura en el manejo de Procesadores

de Texto, paquetes de Grficos, Hojas de Clculo, etc.

Documentacin de la Auditoria:

En la auditoria de sistemas, al hablar de documentacin, cualquier

persona se puede extraar, ya que un auditor en sistemas solo podra auditar

un sistema informtico, con solo realizar pruebas y recabar informacin, pero

muchas veces esa informacin est contenido en informes, procedimientos y

manuales; los cuales deben ser tambin revisados por el auditor del sistema.

Estos documentos son de suma importancia para el entendimiento

del comportamiento del sistema en un momento determinado, o para poder

descifrar algn proceso que es propio del sistema que se est auditando; con

lo que deben ser auditados de la misma manera, ya que una mala redaccin

o un mal planteamiento de cmo manejar una situacin determinada, puede

generar un acontecimiento que no permita el buen funcionamiento del

sistema, lo que implicara a un error, con consecuencias inesperadas; que


37/42

pueden provocar que el sistema colapse de manera que no pueda realizar

las operaciones o los procesos propios del sistema que se audita.

Existen dos tipos de documentacin que son importantes, en el

proceso de auditora, los cuales son:

Documentacin de la empresa:

Este tipo de documentos, estn relacionados a la constitucin de la

empresa en donde se va aplicar la auditoria; ya que se debe comprobar la

legalidad de la misma, y que objetivos persigue la empresa, para poderdeterminar si los procesos de sistemas que se llevan a cabo en la misma,

son los ms idneos para contribuir con el propsito de la compaa; por tal

razn se debe conocer la parte legal de la empresa en primer lugar.

Lo segundo que debe presentar la empresa al auditor de sistemas,

es los manuales de construccin y funcionamiento del sistema a auditar; ya

que el auditor es un profesional capaz de descifrar cualquier procedimiento

informtico; pero no todo programador o creador de un sistema, tiene una

metodologa establecida para crear sistemas; pueden ser similares dos o

ms sistemas, pero nunca van a poder ser igual, a menos que se haga una

copia; pero de resto, es algo poco inusual que existan dos procesos iguales.

Por ltimo y no menos importante, debe presentar todo lo

relacionado con los reportes que generan los sistemas a auditar, ya que el

resultado final es importante conocerlo, ya que se puede determinar las fallas

al final del sistema y que pueden ser corregidas al principio del sistema que

se audita.

Documentacin realizada durante el proceso de Auditoria:


38/42

En este aspecto se puede decir, que los documentos generados en

este proceso de auditora, deben ser los que el auditor maneje en la auditoria

que se est realizando; por lo mnimo se deben generar los instrumentos de

indagacin de la auditoria; como son cuestionarios, entrevistas, cheklist y

todo tipo de informe preliminar, que pueda ser conveniente para el proceso

que siga el auditor encargado de la misma.

Otro documento importante es el resultado o informe final, el cual

debe venir con las anomalas que se presente en el sistema; como tambin

debe traer las posibles correcciones para el mejor desempeo del sistema.

Papeles de trabajo

La documentacin de la auditoria de los sistemas de informacin es

el registro del trabajo de auditoria realizado y la evidencia que sirve de

soporte a las debilidades encontradas y las conclusiones a las que ha

llegado al auditor. Esos documentos, genricamente, se denominan papeles

de trabajo. Los papeles de trabajo se deben disear y organizar segn

circunstancias y las necesidades del auditor. Estos han de ser completos,

claros y concisos. Todo el trabajo de auditoria debe quedar reflejado en

papeles de trabajo por los siguientes motivos:

Recogen la evidencia obtenida a lo largo del trabajo

Ayudan al auditor en el desarrollo de su trabajo.

Ofrecen un soporte del trabajo realizado para, as, poder

utilizarlo en auditorias sucesivas.

Permiten que el trabajo pueda ser revisado por terceros.

Para concluir la importancia que tienen los papeles de trabajo,

digamos que una vez, que el auditor h finalizado su trabajo, los papeles de

trabajo son la nica prueba que tiene el auditor de haber llevado a cabo un


39/42

examen adecuado. Siempre existe la posibilidad de que el auditor tenga que

demostrar la calidad de su anlisis ante un tribunal.

Archivos

Los papeles de trabajo que el auditor va elaborado se pueden

organizar en dos archivos principales: el archivo permanente o continuo de

auditoria y el archivo corriente o de la auditoria en curso.

Archivo permanente

El archivo permanente contiene todos aquellos papeles que tienen

un inters continuo y una validez plurianual tales como: Caractersticas de los equipos y de las aplicaciones.

Manuales de los equipos y de las aplicaciones.

Descripcin de control interno.

Organigramas de la empresa en general.

Organigramas del servicio de informacin y divisin de

funciones.

Cuadro de planificacin plurianual de auditoria. Escrituras y contratos.

Consideraciones sobre el negocio.

Consideraciones sobre el sector.

Y en general toda aquella informacin que puede tener

una importancia para auditorias posteriores.

Archivos corrientes

Este archivo, a su vez, se suele dividir en archivo general y en

archivo de reas o de procesos.

Archivo general


40/42

Los documentos que se suelen archivar aqu son aquellos que no

tienen cabida especficamente en algunas de las reas/procesos en que

hemos dividido el trabajo de auditoria tales como:

El informe del auditor.

La carta de recomendaciones.

Los acontecimientos posteriores

El cuadro de planificacin de la auditoria corriente.

La correspondencia que se ha mantenido con la

direccin de la empresa.

El tiempo que cada persona del equipo ha empleado en

cada una de las reas/procesos.

Archivo por reas/procesos

Se deben preparar un archivo para cada una de las reas o

procesos en que hayamos dividido el trabajo e incluir en cada archivo todos

los documentos que hayamos necesitado para realizar el trabajo de esa

rea/proceso concreto. Al menos debern incluirse los siguientes

documentos: Programa de auditoria de cada una de las

reas/procesos

Conclusiones del reas/procesos en cuestin.

Conclusiones del procedimiento en cuestin.


41/42

Conclusiones:

Al culminar con este tema, se puede confirmar que las herramientas

y tcnicas para la realizacin de una auditoria en informtica, son esenciales

para poder realizarla, ya que sin instrumentos de recopilacin de informacin,

en donde se pueda evidenciar los acontecimientos y procesos que genere el

sistema informtico a auditar, resulta imposible generar opiniones y

resultados que den una sentencia de cmo esta funcionado el sistema y de

cules seran las fallas a corregir.

Se puede evidenciar, la gama de procedimientos que permiten al

auditor, recopilar informacin acerca de los sistemas informticos que se van

a observar; esto permite una sustentacin de lo encontrado en dicha

verificacin y a su vez se puede tener soportes de lo realizado; lo que

contribuye a una mejor transparencia del proceso de auditoria; esto no es

algo del otro mundo, ya que se manejan instrumentos que son fciles de

utilizar y que pueden aceptar desde respuestas simples y sencillas, hasta

respuestas con resultados ms complejos, que pueden orientar al auditor a

revisar los procedimientos que se realizan en los sistemas informticos.

Es importante tambin tener en cuenta los documentos que se

pueden generar, al momento de realizar la auditoria, ya que no estaban muy

claros para el auditor, ya que fueron muy difciles de documentar para este

trabajo; esto es de vital importancia porque se debe conocer cules sern los

documentos que debe presentar una empresa que se va auditar; como

tambin cuales son los que se generan al momento de realizar una auditoria;

todo esto contribuye a un proceso transparente que permite obtener los

resultados requeridos, los cuales no son ms que las pautas para poder

obtener un mejor rendimiento del sistema que se est auditando.


42/42

Referencias Bibliogrficas:

Cepeda, Gustavo (2002). Auditora y Control Interno. Editorial

Nomos S.A.

Muoz Razo, Carlos (2002). Auditoria de Sistemas

Computacionales. Mxico: Pearson Educacin.

Piattini, Mario G. y Del Peso, Emilio (2001). Auditoria

Informtica un Enfoque Prctico. 2da. Edicin Ampliada yRevisada. Editorial Alfa Omega Rama.

Documents

Herramientas y Tecnicas Para La Auditoria de Sistemas