El auditor debe aprovechar las técnicas, procedimientos y herramientas tradicionales de auditoría aplicables en el área de sistemas computacionales; el propósito es que las diseñe y las utilice para hacer una evaluación correcta del funcionamiento de dicha área, de la operación del propio sistema o de su gestión informática, beneficiándose con ello debido a la ya probada eficiencia y eficacia en otros tipos de auditorías, en las cuales se han conseguido buenos resultados.

Al utilizar estas herramientas, métodos y procedimientos en la auditoría de sistemas, lo que se hace es utilizar lo mejor de ellas para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de sistemas; ya sea para evaluar la operación de los sistemas, en cuanto al hardware, software, instalaciones, comunicaciones, etcétera, o la gestión administrativa del área de sistemas, las metodologías de desarrollo de proyectos, entre otros muchos aspectos relacionados con los sistemas.

Cuestionarios

 Los cuestionarios son una de las formas de recopilación de información de mayor utilidad para el auditor; por esta razón, a continuación presentamos una definición de cuestionario:

Es la recopilación de datos mediante preguntas impresas en cédulas o fichas, en las que el encuestado responde de acuerdo con su criterio; de esta manera, el auditor obtiene información útil que puede concentrar, clasificar e interpretar por medio de su tabulación y análisis, para evaluar lo que está auditando y emitir una opinión sobre el aspecto investigado.

El cuestionario tiene la gran ventaja de que puede recopilar una gran cantidad de información, debido a que contiene preguntas sencillas cuyas respuestas no implican ninguna dificultad; además, como en otros métodos, su aplicación es de carácter impersonal y libre de influencias y compromisos para el entrevistado.

Ventajas y desventajas de los cuestionarios

Los cuestionarios son los instrumentos más populares para la recopilación de información, sobre todo para la información relacionada con las auditorías de cualquier tipo.

Ventajas

• Facilitan la recopilación de información y no se necesitan muchas explicaciones ni una gran preparación para aplicarlos.
• Permiten la rápida tabulación e interpretación de los datos, proporcionándoles la confiabilidad requerida.
• Evitan la dispersión de la información requerida, al concentrarse en preguntas de elección forzosa.
• Por su diseño, los cuestionarios son muy rápidos de aplicar y ayudan a captar mucha información en poco tiempo.
• En el ambiente de sistemas es fácil capturar, concentrar y obtener información útil a partir de las respuestas, mediante el uso de la computadora. Incluso se pueden proyectar los datos y hacer gráficas.
• Hacen impersonal la aportación de respuestas; por lo tanto, en una auditoría ayudan a obtener información útil y confiable, si se plantean bien las preguntas.

Desventajas

• Falta de profundidad en las respuestas y no se puede ir más allá del cuestionario.
• Se necesita una buena elección del universo y de las muestras utilizadas.
• Pueden provocar la obtención de datos equivocados si se formulan deficientemente las preguntas, si se distorsionan o si se utilizan términos ilegibles, poco usados o estereotipados.
• La interpretación y el análisis de los datos pueden ser muy simples si el cuestionario no está bien estructurado o no contempla todos los puntos requeridos.
• Limitan la participación del auditado, ya que éste puede evadir preguntas importantes o se puede escudar en el anonimato que dan los cuestionarios.
• Hacen impersonal la participación del personal auditado, por lo que la aportación de la información útil para la auditoría es limitada.
• Denotan la falta de experiencia y pocos conocimientos del auditor que las aplica si éste no plantea ni estructura correctamente las preguntas, lo cual puede provocar que su trabajo sea rechazado.

Entrevistas

La principal actividad de un auditor, sin importar el tipo de auditoría que realice, es la recopilación de información sobre el aspecto que va a auditar, pues concentra y tabula esa información en cuadros y estadísticas, analiza sus resultados y emite un juicio sobre el aspecto que evaluó.

Una de las técnicas más utilizada por los auditores es la entrevista, ya que a través de ésta obtienen información sobre lo que auditará; además, bien aplicada, les permite obtener guías que serán importantes para su trabajo, e incluso, muchas veces se entera de tips que le permitirán conocer más sobre los puntos que puede evaluar o debe analizar y mucha más información.

La entrevista podría entenderse como la recopilación de información que se realiza en forma directa, cara a cara y a través de algún medio de captura de datos, es decir, el auditor interroga, investiga y confirma directamente con el entrevistado sobre los aspectos que está auditando; en la aplicación de esta técnica, el auditor utiliza una guía de entrevista, la cual contiene una serie de preguntas preconcebidas que va adaptando conforme recibe la información del entrevistado, de acuerdo con las circunstancias que se le presentan y en busca de obtener más información útil para su trabajo.

Ciclo de la entrevista de auditoría

Es conveniente señalar que para realizar una entrevista adecuada es indispensable entender y seguir un procedimiento bien estructurado, cuya eficacia en las auditorías tradicionales y en las ciencias sociales, donde es muy utilizada esta técnica, está plenamente comprobada. Esto le servirá al auditor de sistemas computacionales para llevar a cabo una buena investigación, apoyado en una serie de preguntas previamente establecidas y enfocadas al objetivo de la entrevista; con este método se busca captar una mayor información sobre lo que se auditará; además, esta información es más valiosa que la que se puede obtener por medio de un cuestionario, una observación o cualquier otra técnica de auditoría.

El siguiente procedimiento es indispensable para realizar una buena entrevista:

• Inicio (donde se inicia la entrevista).
• Apertura (donde el auditor inicia formalmente su interrogatorio).
• Cima o clímax (donde el auditor, con base en su habilidad y experiencia, obtiene la información medular para la investigación).
• Cierre (donde el auditor proporciona una absoluta libertad al entrevistado por si puede o quiere agregar algo que le permita complementar los datos antes recopilados).

Checklist

Éste es uno de los métodos de recopilación y evaluación de auditoría más sencillos, más cómodos y más fáciles de utilizar, debido a la simplicidad de su elaboración, la comodidad en su aplicación y por la facilidad para encontrar desviaciones, lo cual la hace una de las herramientas más confiables y utilizables para cualquier revisión de sistemas computacionales; asimismo, se aplica tanto para el área de sistemas, para la gestión administrativa o para cualquier otra función informática.

Esta herramienta consiste en la elaboración de una lista ordenada, en la cual se anotan todos los aspectos que se tienen que revisar del funcionamiento de un sistema, de sus componentes, del desarrollo de una actividad, del cumplimiento de una operación o de cualquier otro aspecto relacionado con la evaluación del área de sistemas; esta lista se complementa con una o varias columnas en las que se califica el cumplimiento del aspecto evaluado. Por lo general se palomea el cumplimiento (ü), se tacha el incumplimiento (û) o se deja en blanco. Con esto se identifica a simple vista el cumplimiento o incumplimiento del aspecto evaluado.

La lista de verificación puede ser diseñada en dos columnas: el concepto y el cumplimiento o incumplimiento, o en varias columnas: una para el concepto y las otras para elegir una calificación representada en cada columna, según el grado de cumplimiento del concepto.

Trazas y/o Huellas

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignación de unidades de servicio para según cuales tipos carga. Estas actuaciones, en principio útiles, pueden resultar contraproducentes si se traspasan los límites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la auditoría informática de Sistemas: el auditor informático emplea preferentemente la amplia información que proporciona el propio Sistema: Así, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la producción completa de aquél, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de errores de maquina central, periféricos, etc.

*Log:

El log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando (información). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atómicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación (grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. La transacción tiene un principio y un fin, cuando la transacción llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transacción se cortó por x razón, lo que se hace es volver para atrás. El log permite analizar cronológicamente qué es lo que sucedió con la información que está en el Sistema o que existe dentro de la base de datos.