Repblica Bolivariana de Venezuela. Ministerio del Poder Popular para la Educacin Universitaria. U.P.T.

Jos Flix Ribas Fundacin Misin Sucre. Aldea Universitaria Yuri Gagarin. P.N.F. Ingeniera de Sistemas Trayecto 4 Periodo 1

Profesor: Lcda. Martha Eraso

Estudiantes: Duarte, Noyaxi C.I.18.393.657 Garca, Adelmar C.I.16.126.598 Gmez, Argenis C.I. 10.382.332 Mrquez, Maryuri C.I. 19.453.991 Montilla, Lisbeth C.I. 11.457.705 Santos, Isaura C.I. 13.791.351

Barinas, 21 de Abril del 2013.-

Introduccin: A continuacin se va a desarrollar, el tema nmero 6, del contenido programtico de Auditoria y Mantenimiento de Sistemas; el cual es uno de los contenidos que forma a futuros Ingenieros en Sistemas e Informtica; como responsables de la verificacin y evaluacin de sistemas informticos; para que los mismos tengan un funcionamiento ptimo y permitan el buen desempeo, preservando as los datos contenidos en los sistemas como tal, para que cumple con el objetivo, para los cuales fueron sido creados.

El propsito de esta monografa es la de dar a conocer las herramientas y tcnicas necesarias, para recabar informacin acerca de los sistemas a auditar; estos mtodos son: El Cuestionario, la Entrevista, los Cheklist, Trazas y/o Huellas, Log y Software de Interrogacin; los cuales permiten la recopilacin de informacin para realizar el diagnostico de los procesos informticos de un sistema; a su vez tambin se desarrolla, el punto de los documentos de la auditoria, los cuales son la documentacin de la empresa y la documentacin realizada durante el proceso de auditoria; en donde se presenta todo lo concerniente acerca de los requerimientos que debe presentar la empresa a auditar y los papeles generados en el desarrollo de la auditoria de informtica.

Por ltimo se presenta el punto acerca de los papeles de trabajo, en donde se realiza una recopilacin de datos que permiten ser utilizados por el auditor y por terceros que deseen verificar lo desarrollado en la Auditoria Informtica.

ndice:

Contenido

N de Pagina

Herramientas y Tcnicas para la Auditora Informtica: Entrevistas Cuestionarios Checklist Trazas y/o Huellas Log Software de Interrogacin

5 5 17 23 28 29 30

Documentacin de la Auditoria: Documentacin de la empresa Documentacin realizada durante el proceso de Auditoria

31 32 33

Papeles de trabajo

33

Conclusiones Referencias Bibliogrficas

36 37

La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

El auditor informtico es el profesional que ha de velar por la correcta utilizacin de los diversos recursos de la organizacin y debe comprobar que se est llevando a cabo un eficiente y eficaz Sistema de Informacin y la Tecnologa de la Informacin. Pues estos dos puntos en la actualidad soportan la Auditora y Control de los Sistemas e Informtica en la Gestin moderna.

Para ejecutar de manera eficiente y rpida estas auditoras el auditor cuenta con un buen nmero de herramientas que le permiten levantar la informacin pertinente para analizar las variables del entorno y llegar a una posible solucin o sugerencia si el caso lo amerita.

continuacin

se

desarrolla

una

recopilacin

de

algunas

herramientas que pueden ser aplicadas en la Auditora Informtica, tales como: Entrevistas Cuestionarios Checklist Trazas y/o Huellas.

Log. Software de Interrogacin.

Entre las diferentes herramientas con que se cuenta para la ejecucin de una auditoria, se har mencin de las ms usadas y efectivas: Herramientas y Tcnicas para la Auditora Informtica:

Entrevistas: La principal actividad de un auditor, sin importar el tipo de auditoria que realice, es la recopilacin de informacin sobre el aspecto que va a auditar, pues concreta y tabula esa informacin en cuadros y estadsticas, analiza sus resultados y emite un juicio sobre el aspecto que evalu.

Una de las tcnicas ms utilizadas por los auditores es la entrevista, ya que a travs de esta obtienen informacin sobre lo que auditara; adems, bien aplicada, les permite obtener guas que sern importantes para su trabajo, e incluso, muchas veces se entera de tipos que le permitirn conocer ms sobre los puntos que pueden evaluar o debe analizar y mucha ms informacin.

La entrevista podra entenderse como la recopilacin de informacin que se realiza forma directa, cara a cara y a travs de algn medio de captura de datos, es decir, el auditor interroga, investiga y confirma

directamente con el entrevistado sobre los aspectos que est auditando en la aplicacin de esta tcnica, el auditor utiliza una gua de entrevista, la cual contiene una serie de preguntas preconcebidas que va adaptando conforme recibe la informacin del entrevistado, de acuerdo con las circunstancias que se le presentan y en busca de obtener ms informacin til para su trabajo.

Ciclo de la entrevista de auditoria: Es conveniente sealar que para realizar una entrevista adecuada es indispensable entender y seguir un procedimiento bien estructurado, cuya eficacia en las auditorias tradicionales y en las ciencias sociales, donde es muy utilizada esta tcnica, est plenamente comprobada. Esto le servir al auditor de sistemas computacionales para llevar a cabo una buena investigacin, apoyado en una serie de preguntas previamente establecidas y enfocadas al objetivo de la entrevista; con este mtodo se busca captar una mayor informacin sobre lo que se auditara; adems, esta informacin es ms valiosa que la que se puede obtener por medio de un cuestionario, una observacin o cualquier otra tcnica de auditoria. El siguiente procedimiento es indispensable para realizar una buena entrevista: Inicio. Apertura. Clima o climax. Cierre.

Inicio:

Aqu es donde se inicia la entrevista, a travs de una breve presentacin con la cual busca romper el hielo, y con una corta explicacin del objetivo de la entrevista, si es necesario, aqu se hace la solicitud de cooperacin por parte del entrevistado (personal auditado) para que este proporcionar la informacin requerida por el auditor.

En un ambiente puramente practico, esta es quiz la misin ms difcil del auditor, ya que por la misma naturaleza de la misin que debe realizar (la de evaluar), lleva implcito el rechazo por parte de la persona a quien va a entrevistar; evidentemente, la apertura es un camino muy difcil bajo estas condiciones, pero es indispensable para el xito en la aplicacin de esta tcnica. Algunas veces es importante iniciar con una breve pltica informal o con algn tema de inters mutuo.

Apertura: Tambin conocida como el inicio formal de la entrevista o despertar el inters del entrevistado, es la parte donde el auditor inicia formalmente su interrogatorio, con preguntas breves, simples y de sondeo, sin profundizar sobre algn tema en especial, el propsito bsico de este punto es obtener posibles respuestas para inicias la conversacin, tratando de concentrar la pltica sobre un tema de inters comn entre el auditado y el auditor, de preferencia relacionado con el aspecto que se pretende evaluar. Este punto, la apertura de la entrevista, es de suma importancia para el trabajo del auditor, pues aqu es donde inicia la conversacin formal con el entrevistado, en el cual se busca evitar cualquier posible rechazo y resistencia de su parte; debemos tomar en cuenta que muchas veces el

auditado est a la defensiva, es evasivo y frio, por lo que suele responder en forma vaga, evitando, hasta donde le es posible, proporcionar alguna informacin comprometedora para l o sus compaeros. Saber aplicar esta tcnica de auditoria es quizs el trabajo ms difcil para el auditor, ya que requiere de una amplia experiencia y habilidad, adems de slidos conocimientos sobre sus caractersticas, uso y forma de aplicacin.

Clima o Climax: Esta es la parte de la entrevista en donde el auditor, con base en su habilidad y experiencia, obtiene la informacin medular para la investigacin, la cual se va propiciando conforme el tema objeto de la entrevista adquiere mayor inters.

Con una buena aplicacin de este punto, el auditor obtiene la informacin necesaria para evaluar las opiniones, comentarios y datos arrojados en la entrevista.

Cierre: Esta es la parte final de la entrevista, en donde el auditor proporciona una absoluta libertad al entrevistado por si puede o quiere agregar algo que le permita complementar los datos antes recopilados; en muchas ocasiones, y ms en la aplicacin de una auditoria, esta es una parte sustantiva, pues el entrevistado supone que la entrevista ya termino; entonces, libre de presin, proporciona al auditor la informacin de mayor utilidad que le permite a este ltimo confirmar, avalar o rectificar lo captado anteriormente. Adems,

mediante una hbil conduccin del cierre, el auditor consigue tipos, comentarios y orientaciones que le sern de mucha utilidad para continuar con la evaluacin del aspecto auditado.

Evidentemente en esta etapa se debe agradecer la participacin del entrevistado. La entrevista a diferencia de otras tcnicas y mtodos de recopilacin, requiere una amplia capacitacin, conocimientos y experiencia por parte del auditor, as como un juicio sereno y libre de cualquier influencia para poder captar las verdaderas opiniones del entrevistado, y no agregar ni quitar nada de la informacin obtenida.

Adems, a diferencia del cuestionario, la observacin, el muestreo y otras tcnicas y mtodos del auditoria, en la entrevista no es fcil obtener datos cuantitativos medibles y tabulables, y despus concentrar e interpretar dichos datos, debido a que se requiere un profundo anlisis de los resultados obtenidos. Aunque en muchos casos esta informacin verbal es ms valiosa que la obtenida con otras herramientas.

La aplicacin de esta herramienta exige una gran habilidad y experiencia del auditor, ya que el entrevistado siempre estar a la defensiva durante su desarrollo y, en muchas ocasiones, si no es adecuadamente conducida, ser difcil que se obtenga informacin suficiente sobre algn tema relacionado con el trabajo del auditor.

Tipos de entrevistas para auditoria:

Hay dos tipos de auditoria, las que se hacen de manera libre y espontnea, sin formalidades ni limitaciones, y las destinadas a la participacin del entrevistado, mediante un mtodo previamente establecido. Para el caso de la auditoria tambin podramos agregar, otros tipos de entrevistas, por ejemplo, las utilizadas para iniciar una evaluacin, otras que sirven para corroborar y comprobar aspectos detectados con anterioridad o las empleadas para que el auditor informe o confronte los hechos y actores en determinadas situaciones. Concretamente, los tipos de entrevistas para la auditoria de sistemas computacionales sern los siguientes:

Entrevistas libres: Son las entrevistas en las que se sigue un guin bsico para obtener la informacin requerida, pero la participacin del entrevistado es libre y sin ninguna atadura. Con este tipo de entrevista se pretende dar libertad al entrevistado para que se explaye; el propsito es tener una mayor intimidad en la pltica para que la informacin sea ms verdica y con ms profundidad; aunque se corre el riesgo de que el entrevistado se aparte del tema central y pueda perderse temas intranscendentes.

Es bueno utilizar este tipo de entrevistas para cualquier evaluacin de sistemas, pues ayudan am que el auditado se extienda libremente en comentarios y aportaciones sobre lo que se est investigando, aunque se corre el grave riesgo de desviarse del tema sustantivo, deliberada o inconscientemente y que el entrevistado acte casi siempre a la defensiva.

Entrevistas dirigidas: En estas entrevistas siempre se dirige las opiniones del entrevistado, forzando supuestas dentro de un parmetro o guion preestablecido, sin admitir ni permitir alguna variacin significativa. Aqu, de acuerdo con la habilidad del auditor para conducir la entrevista, la participacin del entrevistado puede llegar a tener mayor profundidad y claridad de los datos, aunque se puede variar en cuanto a contenido y la utilidad de informacin para la evaluacin del auditor.

Este tipo de entrevistas es recomendable para rectificar o ratificar datos del entrevistado, siempre que se establezca perfectamente el guion a seguir durante la entrevista.

Entrevista de Explotacin: Es una auditoria de sistemas es recomendable que el primer contacto con las auditados sea a travs de este tipo de entrevistas, pues por lo general son de carcter libre y pueden ser muy tiles para buscar punto de partida para la evaluacin. Adems ayudan al auditor a obtener informacin importante para explorar el contorno y apreciar los alcances que pudiera tener la revisin; tambin le ayudan a conocer el ambiente en el que se desarrollaran la auditoria y cmo ser la participacin del entrevistado en la misma.

Las entrevistas de explotacin tambin se hacen con la intencin de familiarizar al auditor, con los sistemas que van a evaluar, debido a que existen muchos tipos de sistemas, programas y paqueteras; utilizados en una institucin de acuerdo con sus necesidades especficas; por esta razn, el auditor debe entender dichos sistemas para poder evaluarlos, y le ayudan a identificar el mejor punto de partida de la auditoria.

Entrevista de Comprobacin: Estas entrevistas son de mucha utilidad para el auditor, ya que se realizan para comprobar la veracidad de la informacin recopilada durante la evaluacin y permiten corroborar o rectificar los datos y percepciones sobre las observaciones encontradas con las pruebas e instrumentos aplicados en la auditoria; adems, ayudan a profundizar en la evaluacin, a reforzar su orientacin o a cambiar el rumbo de la evaluacin.

Este tipo de entrevistas requiere una amplia experiencia y conocimientos sobre las tcnicas de entrevista, pues cuando se da este tipo de conversaciones, por lo general el auditado est a la defensiva y es difcil conducirlas, sin embargo, cuando se conducen bien, son muy tiles para ratificar o rectificar datos de una auditoria.

Entrevistas de Informacin: En la metodologa propuesta para desarrollar una auditoria de sistemas hablamos de la necesidad de comentar las observaciones con las auditados o con los funcionarios responsables del rea de sistemas, segn

sea el caso; para ese se utiliza este tipo de entrevistas, para que el auditor comente cada una de las observaciones que reporta en su informa, y con ello obtiene informacin valiosa del entrevistado que le sirve para rectificar o ratificar las situaciones que est informando; adems le ayudan para recopilar datos tiles para encontrar las causas y soluciones que complementen sus observaciones.

No es fcil llevar a cabo este tipo de entrevistas, ya que requieren de mucha habilidad y experiencia por parte del auditor; recordemos que no es nada fcil comentar con el auditado las desviaciones de su trabajo o su responsabilidad en el manejo de los sistemas auditados. Sin embargo, es indispensable llevar a cabo estas entrevistas y realizarlas de la mejor manera posible.

Entrevistas Informales: Estas entrevistas son de suma importancia aunque propiamente no sean entrevistas de trabajo, ya que cuando el auditor las aplica de manera correcta, le ayudan a conocer algn tipo de problemtica que solo se expresa cuando no existe la presin de una entrevista formal como las indicadas anteriormente.

Por lo general, estas entrevistas son totalmente ajenas al ambiente de trabajo casi personales y casi siempre son conversaciones informales que se dan entre personas para tratar temas sin importancia, sin embargo, el

auditor aprovecha estos encuentros para conocer algn problema especfico que pueda influir en la evaluacin y que de otra manera no conocerla.

Tipos de Preguntas para Entrevistas: As como sealamos los tipos de entrevistas que se pueden realizar, tambin es necesario que demos a conocer los tipos de preguntas y la manera en que se pueden plantear estas durante una entrevista; estas preguntas se hacen de acuerdo con las necesidades y caractersticas de cada entrevista, y se pueden agrupar en los siguientes tipos:

Preguntas Abiertas: Las entrevistas realizadas con este tipo de preguntas son aquellas donde el entrevistado tiene libertad absoluta para expresar su opinin sin ningn lmite, aunque a veces se salga del tema que se le plantea.

El auditor de sistemas que aplique esta tcnica debe saber aprovechar este tipo de preguntas, pues si las emplea correctamente, puede obtener informacin muy valiosa para su evaluacin; adems, si sabe motivar al entrevistado, este le puede proporcionar informacin valiosa que puede validar posteriormente con otro tipo de herramientas de auditoria de sistemas.

Preguntas Cerradas:

Las entrevistas desarrolladas con preguntas cerradas (o concretas) se realizan con el propsito de centrar las respuestas del auditado hacia el objeto de la entrevista sin dejarlo salir del tema. Este tipo de preguntas puede ser de mucha utilidad para el auditor, pues le ayudan a limitar las respuestas hacia el tema central de la entrevista.

Pregunta de Sondeo: Este tipo de preguntas se puede hacer al inicio o durante el desarrollo de la entrevista y se utiliza para determinar el grado de cooperacin y participacin del auditado durante la misma; el propsito es averiguar la manera en que el auditado colabora con responder a estos interrogantes. El auditor debe utilizar este tipo de preguntas principalmente para comprobar la veracidad de las respuestas del auditado y as estar en las condiciones de medir su grado de cooperacin, o tambin las puede utilizar para obtener mayor informacin.

Preguntas de cierre: Antes de concluir la entrevista es importante realizar las llamadas preguntas de cierre, las cuales se hacen para terminar con el interrogatorio y como una forma de obtener informacin adicional del ltimo momento, esta informacin surge al cerrar la entrevista, cuando el entrevistado, libre de la presin de la misma, proporciona la informacin muy til para normar criterios de evaluacin o corroborar datos.

Debemos hacer notar que estas preguntas pueden ser de las ms transcendentales en la recopilacin de la informacin necesaria para la evaluacin de los sistemas, pues el auditor puede aprovechar que el entrevistado deja de estar a la defensiva porque cree que la entrevista ya termin, y puede proporcionar informacin muy valiosa para la evaluacin.

Preguntas Mixtas: Es la combinacin de dos o ms de los tipos de preguntas anteriores, para tratar de hacer ms gil y eficiente la recopilacin de la informacin necesaria para la auditoria. El auditor debe saber elaborara este tipo de preguntas para aprovechar las posibilidades de la entrevista.

Conviene finalizar el tratamiento de este tema, haciendo nfasis en la aplicacin de estos tipos de preguntas, a fin de que el auditor pueda obtener informacin valiosa que pueda corroborar posteriormente con otras herramientas de auditoria, pero lo importante es que sepa utilizar dichos tipos de preguntas como un eficaz instrumento de captacin de informacin.

Formas de recopilar la informacin en las entrevistas de auditoria: Ya destacamos la importancia y formas de realizar las entrevistas de auditoria, sin embargo, ahora debemos hacer algunas recomendaciones para obtener la informacin del entrevistado; al respecto, debemos sealar que no es fcil capturar la informacin que proporciona el entrevistado, pues existen ciertos impedimentos fsicos o personales que dificultan esta tarea, adems

de que se necesita de mucha habilidad y experiencia por parte del auditor, as como de la aplicacin de tcnicas especiales.

A continuacin presentamos algunas de las principales formas de recopilar la informacin:

Entrevistas Grabadas: En estas entrevistas se hace la recopilacin de la in formacin por medio de algn instrumento electromagnetismo o de video, a fin de registrar todos los detalles de la entrevista, para posteriormente hacer un anlisis de las aportaciones que hace el entrevistado. En algunos casos, esta informacin se puede utilizar como evidencia de algunas situaciones reportadas.

Aunque este tipo de captura de datos es la ms sencilla y quizs el ms recomendable, para los entrevistados es el menos favorable, pues les atemoriza saber que los estn grabando porque suponen que los datos que proporcionan se pueden utilizar como evidencia en la auditoria.

Tomar Notas: Otra de las modalidades ms socorridas para recopilar informacin en una entrevista, es recopilar los datos tomando notas en forma directa, es decir, cuando el auditor toma notas personalmente de lo que dice el auditado.

Para aplicar esta tcnica de recopilacin de informacin, el auditor requiere de una gran habilidad, experiencia y, en muchos casos, del uso de tcnicas especiales como taquigrafa, toma de dictado o alguna otra herramienta que le permita tomar notas eficientemente.

La principal ventaja de esta tcnica es que crea menor resistencia en el entrevistado y se puede interpretar la informacin al momento de capturarla; por otro lado su principal desventaja es que puede malinterpretar la informacin y perder datos valiosos cuando no se tiene mucha practica en esta tcnica.

Captar lo esencial sin notas: Una de las formas utilizadas de captar informacin en la auditoria de sistemas, sin tomar notas en forma directa, o cuando menos sin que sea tan evidente como en el caso anterior; aunque es indudable que en esta tcnica tambin se requiere de una gran experiencia y habilidad por parte del auditor, adems de una gran memoria, concentracin y capacidad de sntesis, entre otras muchas habilidades.

El auditor aplica esta tcnica de manera natural en la prctica cotidiana de la auditoria, a cada momento y con la intensidad que le demanda la recopilacin de la informacin, ya que al consultar e interrogar al entrevistado sobre algn tpico que esta auditando, al mismo tiempo est tomado nota mentalmente de lo consultado, obteniendo as la informacin

que requiere sin la formalidad de una entrevista. Obviamente, obtener buenos resultados con esta tcnica depender de la experiencia y habilidad del auditor.

Otras Formas: En la auditoria de sistemas existen otros tipos existen otros tipos de entrevistas para recopilar informacin, pero cada auditor las aplica de acuerdo con sus necesidades; por esta razn, solo mencionaremos algunos posibles ejemplos: Entrevistas de segunda mano, realizadas a personas que no estn involucradas directamente en el aspecto auditado, pero que aportan informacin relacionada. Entrevistas Ocultas, en las que otra persona entrevista al auditado y este no sabe que se est recopilando informacin que proporciona. Entrevista disfrazadas de platica informal sobre cualquier aspecto que aparentemente no tiene relacin con el trabajo, pero en las que se est recopilando la informacin que proporciona el entrevistado.

Cuestionarios: Los cuestionarios son una de las formas de recopilacin de informacin de mayor utilidad para el auditor; por esta razn, a continuacin presentamos una definicin de cuestionario:

Es la recopilacin de datos mediante preguntas impresas en cedulas o fichas, en las que el encuestado responde de acuerdo con su criterio; de esta manera, el auditor obtiene informacin til que puede concentrar, clasificar e interpretar po0r medio de su tabulacin y anlisis, para evaluar lo que auditando y emitir una opinin sobre el aspecto investigado.

El cuestionario tiene la gran ventaja de que puede recopilar una gran cantidad de informacin, debido a que contiene preguntas sencillas cuyas respuestas no implican ninguna dificultad; adems, como en otros mtodos, su aplicacin es de carcter impersonal y libre de influencias y compromisos para el entrevistado. Tambin tiene la ventaja de poder seleccionar los tipos de preguntas que se deben realizar los cuales sealaremos a continuacin:

Preguntas Abiertas: Son las preguntas en donde el encuestado es libre de responder de acuerdo con su criterio, o en las que tiene mltiples opciones para responder sin ninguna limitacin, ni en tamao, ni en profundidad y le permiten que la expresin de sus ideas y opiniones fluya sin limitaciones.

La ventaja de este tipo de preguntas es que se puede obtener ms informacin de la esperada; tambin dejan abierta la posibilidad de profundizar sobre tpicos no contemplados inicialmente, aunque tienen la desventaja de que dificultan la tabulacin de los datos, e incluso pueden provocar que se desvi la atencin del encuestado.

Preguntas Cerradas: Con este tipo de preguntas el encuestado tiene la oportunidad de elegir la respuesta que sea acorde con su opinin de entre las opciones presentadas. Hay varias formas de preguntas cerradas, entre las cuales tenemos siguientes:

Preguntas Dicotmicas: Estas preguntas solo tienen dos posibles respuestas que por lo general son opuestas entre s, por ejemplo: ( ) S ( ) Masculino ( ) Presente ( ) Hardware ( ) No ( ) Femenino ( ) Ausente ( ) Software

Preguntas Tricotmicas: Son aquellas que tienen tres opciones de respuestas, por ejemplo: ( ) S ( ) Redes ( ) No ( ) Equipo Mayor ( ) Sin respuestas ( ) PCs

Preguntas de Opcin mltiple:

Tambin conocidas como preguntas peine o tems, presentan varias respuestas de entre las que se puede elegir solo una; por lo general, estos tems tienen una gama de respuestas que varan de un extremo a otro, por ejemplo: Elija la respuesta marcando con una X Soltero Divorciado Viudo ( ) ( ) ( ) Excelente Bueno Regular Malo Deficiente ( ) ( ) ( ) ( ) ( ) Empleado Usuario Proveedor Asesor Directivo ( ) ( ) ( ) ( ) ( )

Unin Libre ( ) Casado ( )

Preguntas de Opcin de rangos o grupos: Son las preguntas cuyas respuestas se encuentran comprendidas en ciertos rangos o grupos, dentro de los cuales el encuestado puede elegir solo una de las respuestas, por ejemplo: Elija su tiempo de trabajo en computadora de entre alguno de los siguientes rangos: Menos de 2 horas al da De 2 a 4 horas al da De 4 a 6 horas al da De 6 a 8 horas al da ( ) ( ) ( ) ( )

Ms de 8 horas al da Nunca la utiliza

( ) ( )

Preguntas Matriz: Estas preguntas tienen la peculiaridad de que se elaboren en

cualquier medio, en cuadernillo, en grupo, en hojas sueltas u otro medio, pero son contestadas en una hoja de forma de matriz, logrando con esto mayor congruencia, una rpida tabulacin y mayor veracidad en las respuestas.

Adems, tienen la gran ventaja de poder agruparse en obtencin de datos aparentemente distintos y desconectados entre s, pero que le pueden ayudar al auditor a conocer aspectos especiales que desee auditar, por ejemplo:

Antigedad Edad Puesto rea

Nivel de Ingreso Directivo

Funciones que realiza Decisin Supervisor Operacin

Gerente Lder de Proyecto Analista Programador Operador Administrativo

El propio auditor puede elaborar estas preguntas para poder validar las respuestas en el momento que las recibe, y las puede elaborar en grupo o de manera individual, pero es l quien debe anotar las respuestas de los encuestados. Es recomendable elaborar las preguntas previamente y efectuar pruebas piloto antes de aplicarlas, adems pueden aplicarse de manera grupal o individual.

Ventajas y desventajas de los cuestionarios: Los cuestionarios son los instrumentos ms populares para la recopilacin de informacin, sobre todo para la informacin relacionado con las auditorias de cualquier tipo.

Por esta razn son muy utilizados y tienen muchas ventajas para obtener grandes volmenes de datos, aunque tambin tienen grandes desventajas que limitan su aplicacin. A continuacin presentamos algunas de las ventajas y desventajas ms comunes de los cuestionarios.

Ventajas: Facilitan la recopilacin de informacin y no se necesitan muchas explicaciones ni una gran preparacin para aplicarlos. Permiten la rpida tabulacin e interpretacin de los datos, proporcionndoles la confiabilidad requerida.

Evitan

la

dispersin

de

la

informacin

requerida,

al

concentrarse en preguntas de eleccin forzosa. Por su diseo, los cuestionarios son muy rpidos de aplicar y ayudan a captar mucha informacin en poco tiempo. En el ambiente de sistemas es fcil capturar, concentrar y obtener informacin til a partir de las respuestas, mediante el uso de la computadora. Incluso se pueden proyectar los datos y hacer grficas. Hacen Impersonal la aportacin de respuesta; por lo tanto, en una auditoria ayudan a obtener informacin til y confiable, si se plantean bien las preguntas.

Desventajas: Falta de profundidad en las respuestas y no se pueden ir ms all del cuestionario. Se necesita una buena eleccin del universo y de las muestras utilizadas. Pueden provocar la obtencin de datos equivocados si se formulan deficientemente las preguntas, si se distorsionan o si se utilizan trminos ilegibles pocos usados o estereotipados. La interpretacin y el anlisis de los datos pueden ser muy simples si el cuestionario no est bien estructurado o no contempla todos los puntos requeridos. Limitan la participacin del auditado, ya que este puede evadir preguntas importantes o se puede escudar en el anonimato que dan los cuestionarios.

Hacen impersonal la participacin del personal auditado, por lo que la aparicin de la informacin til para la auditoria es limitada.

Denotan la falta de experiencia y pocos conocimientos del auditor que las aplica, si este no plantea ni estructura correctamente las preguntas, lo cual puede provocar que su trabajo sea rechazado.

Mtodo para disear y aplicar los cuestionarios: Ya sealamos al principio de este punto que el cuestionario, es uno de los instrumentos ms utilizados en la recopilacin de informacin para cualquier tipo de auditoria, por esta razn, en la auditoria de sistemas computacionales este valioso instrumento se puede aprovechar para la recopilacin de informacin sobre algunos aspectos concretos de los sistemas computacionales, sin embargo, para aplicarlo correctamente se necesita un procedimiento especfico que permita utilizar eficientemente este tipo de instrumentos de auditoria; basndonos en ello, a continuacin proponemos los siguientes pasos: Determinar el objetivo del cuestionario. Elaborar un borrador del cuestionario. Aplicar una prueba piloto Elaborar el cuestionario final. Determinar el universo y la muestra. Aplicar el cuestionario Tabular la informacin del cuestionario y elaborar grficas y cuadros. Interpretar los resultados.

 Elaborar las observaciones.

Checklist: El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas normales, que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma.

Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde posiciones muy distintas y con disposicin muy variable. El

auditado, habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente a travs de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica.

El auditor deber aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando

hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de filosofa de calificacin o evaluacin:

a.- Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)

Ejemplo de Checklist de rango: Se supone que se est realizando una auditora sobre la seguridad fsica de una instalacin y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Clculo. Podran formularse las preguntas que figuran a continuacin, en donde las respuestas tiene los siguientes significados: 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable. 4 : Aceptable. 5 : Correcto.

Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeo guin. La cumplimentacin de la Checklist no debe realizarse en presencia del auditado.

-Existe personal especfico de vigilancia externa al edificio? -No, solamente un guarda por la noche que atiende adems otra instalacin adyacente. <Puntuacin: 1> -Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en los aledaos del Centro de Clculo? -Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuacin: 2> -Hay salida de emergencia adems de la habilitada para la entrada y salida de mquinas? -Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan. <Puntuacin: 2> -El personal de Comunicaciones, Puede entrar directamente en la Sala de Computadoras?

-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por causa muy justificada, y avisando casi siempre al Jefe de Explotacin. <Puntuacin: 4>

El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente.

b.- Checklist Binaria Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente.

Ejemplo de Checklist Binaria: Se supone que se est realizando una Revisin de los mtodos de pruebas de programas en el mbito de Desarrollo de Proyectos.

-Existe Normativa de que el usuario final compruebe los resultados finales de los programas? <Puntuacin: 1> -Conoce el personal de Desarrollo la existencia de la anterior normativa? <Puntuacin: 1>

-Se aplica dicha norma en todos los casos? <Puntuacin: 0>

-Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales? <Puntuacin: 0>

Obsrvese como en este caso estn contestadas las siguientes preguntas: -Se conoce la norma anterior? <Puntuacin: 0> -Se aplica en todos los casos? <Puntuacin: 0>

Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la evaluacin que en la checklist binaria. Sin embargo, la bondad del mtodo depende

excesivamente de la formacin y competencia del equipo auditor.

Las Checklists Binarias siguen una elaboracin inicial mucho ms ardua y compleja. Deben ser de gran precisin, como corresponde a la suma

precisin de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genrico del <s o no> frente a la mayor riqueza del intervalo.

No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin correspondientes en las preguntas a realizar.

Trazas y/o Huellas: Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa.

Muy especialmente, estas Trazas se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo.

Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar dentro

de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio para segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar

contraproducentes si se traspasan los lmites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, perifricos, etc. [La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.].

Log: El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando la

transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se hace es volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la informacin que est en el Sistema o que existe dentro de la base de datos.

Software de Interrogacin: Hasta hace ya algunos aos se han utilizado productos software llamados genricamente <paquetes de auditora>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico.

Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin. En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin.

Del mismo modo, la proliferacin de las redes locales y de la filosofa Cliente-Servidor, han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin ms relevante para su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin parcial generada por la organizacin informtica de la Compaa.

Efectivamente, conectados como terminales al Host, almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar informacin de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe realizarse principalmente con los productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.

Documentacin de la Auditoria: En la auditoria de sistemas, al hablar de documentacin, cualquier persona se puede extraar, ya que un auditor en sistemas solo podra auditar un sistema informtico, con solo realizar pruebas y recabar informacin, pero muchas veces esa informacin est contenido en informes, procedimientos y manuales; los cuales deben ser tambin revisados por el auditor del sistema.

Estos documentos son de suma importancia para el entendimiento del comportamiento del sistema en un momento determinado, o para poder descifrar algn proceso que es propio del sistema que se est auditando; con lo que deben ser auditados de la misma manera, ya que una mala redaccin o un mal planteamiento de cmo manejar una situacin determinada, puede generar un acontecimiento que no permita el buen funcionamiento del sistema, lo que implicara a un error, con consecuencias inesperadas; que

pueden provocar que el sistema colapse de manera que no pueda realizar las operaciones o los procesos propios del sistema que se audita.

Existen dos tipos de documentacin que son importantes, en el proceso de auditora, los cuales son:

Documentacin de la empresa: Este tipo de documentos, estn relacionados a la constitucin de la empresa en donde se va aplicar la auditoria; ya que se debe comprobar la legalidad de la misma, y que objetivos persigue la empresa, para poder determinar si los procesos de sistemas que se llevan a cabo en la misma, son los ms idneos para contribuir con el propsito de la compaa; por tal razn se debe conocer la parte legal de la empresa en primer lugar.

Lo segundo que debe presentar la empresa al auditor de sistemas, es los manuales de construccin y funcionamiento del sistema a auditar; ya que el auditor es un profesional capaz de descifrar cualquier procedimiento informtico; pero no todo programador o creador de un sistema, tiene una metodologa establecida para crear sistemas; pueden ser similares dos o ms sistemas, pero nunca van a poder ser igual, a menos que se haga una copia; pero de resto, es algo poco inusual que existan dos procesos iguales.

Por ltimo y no menos importante, debe presentar todo lo relacionado con los reportes que generan los sistemas a auditar, ya que el resultado final es importante conocerlo, ya que se puede determinar las fallas al final del sistema y que pueden ser corregidas al principio del sistema que se audita.

Documentacin realizada durante el proceso de Auditoria:

En este aspecto se puede decir, que los documentos generados en este proceso de auditora, deben ser los que el auditor maneje en la auditoria que se est realizando; por lo mnimo se deben generar los instrumentos de indagacin de la auditoria; como son cuestionarios, entrevistas, cheklist y todo tipo de informe preliminar, que pueda ser conveniente para el proceso que siga el auditor encargado de la misma.

Otro documento importante es el resultado o informe final, el cual debe venir con las anomalas que se presente en el sistema; como tambin debe traer las posibles correcciones para el mejor desempeo del sistema.

Papeles de trabajo La documentacin de la auditoria de los sistemas de informacin es el registro del trabajo de auditoria realizado y la evidencia que sirve de soporte a las debilidades encontradas y las conclusiones a las que ha llegado al auditor. Esos documentos, genricamente, se denominan papeles de trabajo. Los papeles de trabajo se deben disear y organizar segn circunstancias y las necesidades del auditor. Estos han de ser completos, claros y concisos. Todo el trabajo de auditoria debe quedar reflejado en papeles de trabajo por los siguientes motivos: Recogen la evidencia obtenida a lo largo del trabajo Ayudan al auditor en el desarrollo de su trabajo. Ofrecen un soporte del trabajo realizado para, as, poder

utilizarlo en auditorias sucesivas. Permiten que el trabajo pueda ser revisado por terceros.

Para concluir la importancia que tienen los papeles de trabajo, digamos que una vez, que el auditor h finalizado su trabajo, los papeles de trabajo son la nica prueba que tiene el auditor de haber llevado a cabo un

examen adecuado. Siempre existe la posibilidad de que el auditor tenga que demostrar la calidad de su anlisis ante un tribunal.

Archivos Los papeles de trabajo que el auditor va elaborado se pueden organizar en dos archivos principales: el archivo permanente o continuo de auditoria y el archivo corriente o de la auditoria en curso. Archivo permanente El archivo permanente contiene todos aquellos papeles que tienen un inters continuo y una validez plurianual tales como: funciones. Cuadro de planificacin plurianual de auditoria. Escrituras y contratos. Consideraciones sobre el negocio. Consideraciones sobre el sector. Y en general toda aquella informacin que puede tener Caractersticas de los equipos y de las aplicaciones. Manuales de los equipos y de las aplicaciones. Descripcin de control interno. Organigramas de la empresa en general. Organigramas del servicio de informacin y divisin de

una importancia para auditorias posteriores. Archivos corrientes Este archivo, a su vez, se suele dividir en archivo general y en archivo de reas o de procesos. Archivo general

Los documentos que se suelen archivar aqu son aquellos que no tienen cabida especficamente en algunas de las reas/procesos en que hemos dividido el trabajo de auditoria tales como: El informe del auditor. La carta de recomendaciones. Los acontecimientos posteriores El cuadro de planificacin de la auditoria corriente. La correspondencia que se ha mantenido con la

direccin de la empresa. El tiempo que cada persona del equipo ha empleado en

cada una de las reas/procesos. Archivo por reas/procesos Se deben preparar un archivo para cada una de las reas o procesos en que hayamos dividido el trabajo e incluir en cada archivo todos los documentos que hayamos necesitado para realizar el trabajo de esa rea/proceso documentos: Programa de auditoria de cada una de las concreto. Al menos debern incluirse los siguientes

reas/procesos Conclusiones del reas/procesos en cuestin. Conclusiones del procedimiento en cuestin.

Conclusiones:

Al culminar con este tema, se puede confirmar que las herramientas y tcnicas para la realizacin de una auditoria en informtica, son esenciales para poder realizarla, ya que sin instrumentos de recopilacin de informacin, en donde se pueda evidenciar los acontecimientos y procesos que genere el sistema informtico a auditar, resulta imposible generar opiniones y resultados que den una sentencia de cmo esta funcionado el sistema y de cules seran las fallas a corregir.

Se puede evidenciar, la gama de procedimientos que permiten al auditor, recopilar informacin acerca de los sistemas informticos que se van a observar; esto permite una sustentacin de lo encontrado en dicha verificacin y a su vez se puede tener soportes de lo realizado; lo que contribuye a una mejor transparencia del proceso de auditoria; esto no es algo del otro mundo, ya que se manejan instrumentos que son fciles de utilizar y que pueden aceptar desde respuestas simples y sencillas, hasta respuestas con resultados ms complejos, que pueden orientar al auditor a revisar los procedimientos que se realizan en los sistemas informticos.

Es importante tambin tener en cuenta los documentos que se pueden generar, al momento de realizar la auditoria, ya que no estaban muy claros para el auditor, ya que fueron muy difciles de documentar para este trabajo; esto es de vital importancia porque se debe conocer cules sern los documentos que debe presentar una empresa que se va auditar; como tambin cuales son los que se generan al momento de realizar una auditoria; todo esto contribuye a un proceso transparente que permite obtener los resultados requeridos, los cuales no son ms que las pautas para poder obtener un mejor rendimiento del sistema que se est auditando.

Referencias Bibliogrficas:

Cepeda, Gustavo (2002). Auditora y Control Interno. Editorial Nomos S.A.

Muoz

Razo,

Carlos

(2002).

Auditoria

de

Sistemas

Computacionales. Mxico: Pearson Educacin.

Piattini, Mario G. y Del Peso, Emilio (2001). Auditoria Informtica un Enfoque Prctico. 2da. Edicin Ampliada y Revisada. Editorial Alfa Omega Rama.