Documentos de Académico
Documentos de Profesional
Documentos de Cultura
para realizar
auditoras de
sistemas
computacionales
179
180
Origen de la auditora
Visita preliminar
Establecer objetivos
Determinar los puntos que deben ser evaluados
Elaborar planes, presupuestos y programas
Seleccionar las herramientas, tcnicas, mtodos y procedimientos que
sern utilizados en la auditora
Asignar los recursos y sistemas para la auditora
Aplicar la auditora
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusin
Elaborar borrador final de desviaciones
Presentar el informe de auditora
181
Origen de auditora
Visita preliminar
Establecer objetivos
Aplicar auditora
182
6.1
183
184
Presupuesto:
Estimacin programada en forma sistemtica de los ingresos y egresos que maneja un
organismo en un periodo determinado; puede considerarse como un plan de accin
expresado en trminos monetarios y cuyo ejercicio abarca generalmente un ao de actividad.16
Evento:
Es la determinacin de acontecimientos que llevan fines especficos de transmisin de
ideas, de imgenes y sonidos, para un fin determinado.17
Suceso esperado al cual se debe llegar despus de una serie de actividades
Actividad:
Es el conjunto de operaciones ejecutadas o de actos desarrollados por una o varias
personas y que contribuyen al logro de una funcin.18
Una o ms tareas afines que forman parte de una funcin, y son ejecutadas por una
persona o unidad administrativa.19
Conjunto de acciones y movimientos de una persona o cosa [...] Ocupacin a la que
alguien se dedica [...]20
Tiempo:
Del latn Tempus, duracin de los fenmenos [...]
Duracin de las cosas sujetas a cambios. Sucesin continuada de momentos que
constituyen el devenir de lo existente. El existir de un mundo subordinado a un principio y un fin, en oposicin a la idea de eternidad [...] Periodo ms o menos largo [...]21
Polticas:
Criterio de accin que es elegido como gua en el proceso de toma de decisiones al
poner en prctica o ejecutar las estrategias, programas y proyectos especficos a nivel
institucional.22
Son esencialmente un principio o varios relacionados entre s con sus consiguientes
reglas de accin que condicionan y gobiernan al logro de un objetivo.23
Tarea:
Es la subdivisin del trabajo para concretizar una actividad.24
Plan de trabajo (grfica de Gantt):
Es la representacin grfica en la que se muestran las actividades que integran un proyecto, el periodo de tiempo necesario para realizar cada una de ellas y sus responsables as como los de cada actividad.25
185
Con base en el anlisis de estas definiciones podemos entender que para la realizacin de una auditora se debe llevar a cabo una serie ordenada de acciones, tareas y
procedimientos, los cuales sern utilizados conforme a un mtodo minucioso, previamente establecido, a fin de utilizar una serie de herramientas, mtodos e instrumentos
necesarios en la evaluacin del rea de sistemas.
186
6.3
* Para efectos de presentacin de esta metodologa, se utilizan las letras de cada etapa como la numeracin a utilizar; sin embargo, el lector puede emplear la numeracin que ms le convenga.
187
188
189
190
191
192
193
194
la empresa; esta auditora puede tener varios orgenes especficos: como resultado de
alguna auditora anterior, a peticin de algn tercero, por la suposicin de un delito o
por cualquier otro motivo. En el caso concreto de los sistemas computacionales, stos
son algunos de los orgenes ms comunes:
Casi siempre es por la sospecha de piratera
Por una suposicin de carencia de licencias para uso de software
Por presuncin de utilizacin indebida del mismo software o de la informacin
de los sistemas
Por sospecha de un supuesto delito de carcter informtico
Es indispensable aclarar que, por lo menos en Mxico, las auditoras obligatorias
de carcter legal a los sistemas computacionales solamente se pueden realizar mediante una orden judicial; pero, en este caso, en dicho mandato se deben aclarar perfectamente los aspectos especficos de los sistemas computacionales que se tienen
que evaluar, hasta dnde ser su alcance, cules aspectos de sistemas se pueden auditar y cules no, y si la auditora deber ser de tipo interno o externo, entre muchos
casos, pero todos en funcin al tipo de mandato judicial que sea impuesto.
195
196
197
y/o condiciones especiales, ya que se tienen que evaluar el impacto y posibles daos a
las actividades y funciones del rea de sistemas de la empresa, los cuales pueden ser
desde leves problemas hasta verdaderas catstrofes.
Las auditoras que se realizan como resultado de una solicitud de cualquiera de los
anteriores puntos, tienen un origen muy particular y estn vinculadas con los aspectos
de seguridad y proteccin de los sistemas computacionales de la empresa. Concretamente, encontramos que los orgenes de estas auditoras pueden ser los siguientes:
198
encontramos la repercusin del avance tecnolgico de hardware y software en el funcionamiento de los sistemas de la empresa, ya que su afectacin puede ser mnima o
irrelevante para el sistema y se debe valorar la realizacin de una auditora, o por el
contrario, se requiere una auditora cuando el efecto es mayor.
199
200
201
Esta solicitud tambin puede originarse por algn aspecto especial derivado de los
resultados de una auditora anterior, los cuales por alguna razn repercuten en dicho
aspecto, el cual se debe evaluar ya que puede afectar el comportamiento de los sistemas computacionales de la empresa.
6.3.2 P.2 Realizar una visita preliminar al rea que ser evaluada
Es recomendable, diramos que casi imprescindible, que el auditor realice una visita preliminar al rea de informtica que ser auditada, justo despus de conocer el origen de
la peticin de auditora, y antes de iniciarla formalmente; el propsito es que tenga un
contacto inicial con el personal de dicha rea y que observe cmo se encuentran distribuidos los sistemas, cuntos y cules son los equipos que estn instalados en el centro
de cmputo, cules son sus principales caractersticas, de qu tipo son las instalaciones,
cules son las medidas de seguridad visibles que existen, y en s, que conozca la problemtica a la cual se enfrentar, de manera muy simple y de carcter tentativo.
Para ello, el auditor debe contemplar los siguientes aspectos en dicha visita:
202
Cules son, a simple vista, las principales caractersticas fsicas de los sistemas que
sern auditados?
Qu tipo de instalaciones y conexiones fsicas hay en el rea de sistemas, y cmo estn distribuidas?
Cmo reacciona el personal ante la visita del auditor?
Cules son las medidas de seguridad visibles que existen?
Cmo actan los usuarios y el personal del rea; ya sea que ignoren la posible auditora o cuando ya lo saben?
Qu limitaciones se observan para la realizacin de la auditora?
En s, el auditor debe obtener un panorama general del rea que va a auditar, a fin
de conocer la problemtica que se le presentar en la auditora. Contando con ese conocimiento inicial, podr disear las medidas necesarias para una adecuada planeacin de la auditora y podr establecer acciones concretas que le sern de gran ayuda
en el desarrollo de dicha evaluacin.
203
racin de ese personal. En realidad, lo que se busca es que el auditor pueda vislumbrar el panorama al cual se enfrentar, para que de ah disee su estrategia para el desarrollo de la evaluacin, bajo la expectativa de los funcionarios, empleados y usuarios
respecto a la auditora.
204
servacin personal o por entrevistas y plticas de carcter informal, a veces aparentemente carentes de fundamentos. No obstante, con estas entrevistas tambin puede
obtener datos importantes que le ayuden a calcular las necesidades de recursos aplicables en la auditora de sistemas.
205
206
207
den y deben ser establecidos de acuerdo a las necesidades de evaluacin de la empresa, del equipo y del sistema operativo, as como a la forma de procesamiento de informacin que se tiene establecida en la empresa, a la experiencia, conocimientos y
caractersticas profesionales del auditor, a las tcnicas, mtodos y procedimientos de
auditora de sistemas que se aplicarn, etc. En s, depender de los muchos criterios
que se establezcan en torno al desarrollo de la auditora.
Debido a esa mltiple opcin para definir los puntos que sern evaluados en una
auditora, a continuacin proponemos una serie de puntos especficos, con los cuales
slo pretendemos anticipar un criterio de seleccin, ms o menos homogneo, de
aquellos aspectos fundamentales que se debern evaluar en una auditora de sistemas.
Cabe aclarar que este criterio de seleccin es de carcter general y slo se presenta al
nivel de sugerencia, y el responsable de la auditora deber determinar su aplicacin
real, de acuerdo con las necesidades de evaluacin, con su experiencia profesional y
con los conocimientos que tenga sobre este trabajo. Los puntos que se deben evaluar
se pueden agrupar de la siguiente manera:
Evaluacin de las funciones y actividades del personal del rea de sistemas
Evaluacin de las reas y unidades administrativas del centro de cmputo
Evaluacin de la seguridad de los sistemas de informacin
Evaluacin de la informacin, documentacin y registros de los sistemas
Evaluacin de los sistemas, equipos, instalaciones y componentes
Evaluacin de los recursos humanos del rea de sistemas
Evaluacin del hardware
Evaluacin del software
Evaluacin de la informacin y bases de datos
Evaluacin de otros recursos informticos
Evaluacin de equipos, instalaciones y dems componentes
Elegir los tipos de auditora que sern utilizados
Determinar los recursos que sern utilizados en la auditora
Personal de auditora de sistemas
Personal del rea que ser evaluada
Apoyo de los sistemas y equipos tcnicos e informticos
Apoyos materiales y administrativos
Otros apoyos
Recursos econmicos
A continuacin analizaremos una por una estas propuestas de puntos que se deben evaluar.
208
209
Es evidente que uno de los aspectos bsicos que se deben contemplar en la evaluacin de sistemas, es precisamente la proteccin y resguardo de la informacin de la
empresa, tanto en el hardware como el software, as como
de los equipos adicionales que ayudan al adecuado funcionamiento de los sistemas. En esta evaluacin tambin se incluyen el acceso al rea de sistemas, el acceso al sistema, la
proteccin y salvaguarda de los activos de esta rea, las medidas de prevencin y combate de siniestros, y muchos otros
aspectos que se pueden valorar mediante una auditora de sistemas.
Para un mejor entendimiento de estos puntos, a continuacin veremos las
principales reas de seguridad que se pueden evaluar en una auditora de sistemas:
Evaluacin de la seguridad fsica de los sistemas
Evaluacin de la seguridad lgica del sistema
Evaluacin de la seguridad del personal del rea de sistemas
Evaluacin de la seguridad de la informacin y las bases de datos
Evaluacin de la seguridad en el acceso y uso del software
Evaluacin de la seguridad en la operacin del hardware
Evaluacin de la seguridad en las telecomunicaciones
210
211
212
En el caso especial de esta auditora y por lo tcnico del ambiente donde se realiza, estos recursos tienen que ser muy especializados, tanto para la auditora de sistemas como para el aspecto informtico.
Para una mejor comprensin de cmo determinar los recursos necesarios para la
auditora de sistemas, a continuacin sealaremos brevemente los principales aspectos de estos recursos:
213
Adems se contemplan todos los aspectos logsticos que necesitar el auditor para el desempeo de sus actividades, tales como sistemas computacionales para su
uso exclusivo, software de evaluacin especializado para auditora, apoyo tcnico informtico especializado en sistemas computacionales, materiales consumibles de sistemas y todos los dems requerimientos informticos, de acuerdo a las necesidades
especficas del rea que ser evaluada.
214
215
216
Fecha de vigencia
del plan
217
218
Estos objetivos se deben redactar de manera sencilla, objetiva y concreta en el documento oficial de la auditora.
219
Este documento debe estar unido al anterior, ya que es parte integral de l, y debe contener los mismos aspectos sealados para el plan de auditora, slo que se complementa con los siguientes apartados:
220
Este documento se elabora con el anterior, ya que es parte integral del documento
de planeacin, y debe contener los mismos aspectos sealados para el plan de auditora.
Este documento se divide en esta parte slo para su identificacin y conocimiento,
ya que realmente no puede ser separado, y se complementa con los siguientes puntos,
los cuales tambin se pueden elaborar por separado o en forma conjunta:
221
222
integrarn dicho programa; para ello, se deben considerar los recursos que se utilizarn en la evaluacin, ya sean de carcter humano o los adicionales que apoyan el trabajo del auditor.
Dicha estimacin se debe hacer de acuerdo a la disponibilidad de los recursos, a
la prioridad de cada etapa y a la habilidad del responsable de la planeacin.
223
224
pecfico a cada factor; el auditor establece ese peso a su libre albedro, y de acuerdo a
su experiencia, habilidad y conocimientos sobre el tema.
Lo que se busca en este paso es definir los factores de mayor jerarqua o los ms
representativos de un grupo o sector de sistemas que se desea evaluar. El propsito
fundamental de esta definicin es darle a cada uno de estos factores un valor porcentual (peso especfico), el cual representar la importancia de cada factor en toda la
evaluacin.
Peso especfico
10 %
10 %
15 %
20 %
15 %
2%
14 %
4%
10 %
100 %
225
* Debido a que ste es uno de los aspectos ms importantes de la auditora de sistemas computacionales, en los
captulos 9, 10 y 11 se trata ampliamente cada uno de estos aspectos; por esta razn, aqu slo se hace una breve
mencin de lo mismos.
226
227
que se necesitan para el levantamiento de informacin til para la evaluacin del aspecto de sistemas que se trate; de acuerdo con las necesidades, caractersticas y requerimientos especficos que fueron sealados en la gua de auditora.
Es de suma importancia que el auditor de sistemas computacionales sepa cmo
elaborar correctamente estos cuestionarios, ya que se debe seguir un mtodo especfico en su formulacin, mediante el cual le permitirn: definir el objetivo del cuestionario, elegir el tipo de preguntas (dicotmicas, opcin mltiple, abiertas, etctera) y el
nmero de stas; tambin establecer el universo y la muestra de quienes respondern
este instrumento y en s, debe cumplir con caractersticas especficas para el mejor diseo de estos instrumentos de recopilacin.*
Recordemos que los cuestionarios son las formas de recopilacin de informacin
ms utilizadas y de mayor utilidad para el auditor, y consisten en recopilar datos, mediante la aplicacin de cdulas con preguntas impresas, en donde el encuestado responde de acuerdo con su criterio, a fin de que el auditor concentre, agrupe y tabule las
respuestas para obtener, por medio del anlisis e interpretacin, informacin significativa para poder evaluar lo que est auditando.
228
P.6.3.5 Disear los modelos y formatos para los inventarios del rea
de sistemas
Como resultado de la planeacin de auditora o de la gua de auditora, surge la necesidad de levantar informacin sobre los activos informticos del rea de sistemas, por
esa razn el auditor deber elaborar los formatos en donde se levantarn los inventarios de hardware, software, mobiliario y equipos, personal de sistemas, informacin y
de todos los dems bienes asignados al rea, a fin de compararlos contra los registros
contables de los mismos y evaluar su uso adecuado.**
Los inventarios se definen como: La recopilacin de todos los bienes y materiales
que posee un rea de sistemas, a fin de comparar las existencias reales y confrontarlas con los registros contables. Es uno de los medios ms valiosos para evaluar el uso
adecuado de los bienes de la empresa, por eso es de suma importancia definir, previamente, el tipo de inventarios a realizar y los modelos o formatos que nos servirn para su aplicacin adecuada.
229
cin que sea til para su evaluacin, mediante la eleccin correcta de los mtodos e
instrumentos de muestreo que le permitan tratar mejor a este tipo de recopilacin.*
Esta definicin del tipo de muestreo y herramientas estadsticas debe ser el resultado de la planeacin de la auditora que se define en la gua de auditora.
230
231
Estos puntos sern tratados con amplitud en los captulos 9, 10 y 11 del libro.
232
233
234
235
Recopilar la documentacin
y evidencias de la auditora
Elaborar los
documentos y presentarlos
a discusin
Integrar el
legajo de
papeles de
trabajo de la
auditora
Integrar los
documentos y
pruebas en
papeles de
trabajo
236
Como stas ya son las actividades concretas, resultado de la prctica de la auditora de sistemas, a continuacin haremos un breve anlisis de los puntos sealados en
esta parte:
237
6.5
238
239
240
241
La carta de presentacin
El dictamen de la auditora
El informe de situaciones relevantes
Anexos y cuadros adicionales
242
sobre el informe, slo es la lectura o entrega fsica del dictamen y el informe final de
la auditora. Esta presentacin es de carcter formal y protocolario.
Instrumentos
de recopilacin
de informacin
aplicables
en una auditora
de sistemas
computacionales
Entrevistas
Cuestionarios
Encuestas
Observacin
Inventarios
Muestreo
Experimentacin
327
328
329
Tcnicas, mtodos y procedimientos especializados para la evaluacin de sistemas computacionales (que analizaremos en el siguiente captulo).
Tcnicas, mtodos y procedimientos de apoyo para emitir los diagnsticos sobre los sistemas computacionales (que analizaremos en el captulo 11).
9.1
Entrevistas
La principal actividad de un auditor, sin importar el tipo de auditora que realice, es la
recopilacin de informacin sobre el aspecto que va a auditar, pues concentra y tabula esa informacin en cuadros y estadsticas, analiza sus resultados y emite un juicio
sobre el aspecto que evalu.
Una de las tcnicas ms utilizada por los auditores es la entrevista, ya que a travs
de sta obtienen informacin sobre lo que auditar; adems, bien aplicada, les permite obtener guas que sern importantes para su trabajo, e incluso, muchas veces se entera de tips que le permitirn conocer ms sobre los puntos que puede evaluar o debe
analizar y mucha ms informacin.
La entrevista podra entenderse como la recopilacin de informacin que se realiza
en forma directa, cara a cara y a travs de algn medio de captura de datos, es decir, el
auditor interroga, investiga y confirma directamente con el entrevistado sobre los aspectos que est auditando; en la aplicacin de esta
tcnica, el auditor utiliza una gua de entrevista, la cual contiene una serie de preguntas
preconcebidas que va adaptando conforme recibe la informacin del entrevistado,
de acuerdo con las circunstancias que se
le presentan y en busca de obtener ms
informacin til para su trabajo.
330
9.1.1.1 Inicio
Aqu es donde se inicia la entrevista, a travs de una breve presentacin con la cual se
busca romper el hielo, y con una corta explicacin del objetivo de la entrevista; si es
necesario, aqu se hace la solicitud de cooperacin por parte del entrevistado (personal auditado) para que ste proporcione la informacin requerida por el auditor.
En un ambiente puramente prctico, sta es quiz la misin ms difcil del auditor,
ya que por la misma naturaleza de la misin que debe realizar (la de evaluar), lleva implcito el rechazo por parte de la persona a quien va a entrevistar; evidentemente, la
apertura es un camino muy difcil bajo estas condiciones, pero es indispensable para
el xito en la aplicacin de esta tcnica. Algunas veces es importante iniciar con una
breve pltica informal o con algn tema de inters mutuo.
9.1.1.2 Apertura
Tambin conocida como el inicio formal de la entrevista o despertar el inters del entrevistado, es la parte donde el auditor inicia formalmente su interrogatorio, con preguntas breves, simples y de sondeo, sin profundizar sobre algn tema en especial; el
propsito bsico de este punto es obtener posibles respuestas para iniciar la conversacin, tratando de concentrar la pltica sobre un tema de inters comn entre el auditado y el auditor, de preferencia relacionado con el aspecto que se pretende evaluar.
331
9.1.1.4 Cierre
sta es la parte final de la entrevista, en donde el auditor proporciona una absoluta libertad al entrevistado por si puede o quiere agregar algo que le permita complementar los datos antes recopilados; en muchas ocasiones, y ms en la aplicacin de una
auditora, sta es una parte sustantiva, pues el entrevistado supone que la entrevista ya
termin; entonces, libre de presin, proporciona al auditor la informacin de mayor utilidad que le permite a este ltimo confirmar, avalar o rectificar lo captado anteriormente. Adems, mediante una hbil conduccin del cierre, el auditor consigue tips,
comentarios y orientaciones que le sern de mucha utilidad para continuar con la evaluacin del aspecto auditado.
Evidentemente, en esta etapa se debe agradecer la participacin del entrevistado.
La entrevista, a diferencia de otras tcnicas y mtodos de recopilacin, requiere
una amplia capacitacin, conocimientos y experiencia por parte del auditor, as como
un juicio sereno y libre de cualquier influencia para poder captar las verdaderas opiniones del entrevistado, y no agregar ni quitar nada de la informacin obtenida.
Adems, a diferencia del cuestionario, la observacin, el muestreo y otras tcnicas
y mtodos de auditora, en la entrevista no es fcil obtener datos cuantitativos medibles y tabulables, y despus concentrar e interpretar dichos datos, debido a que se requiere un profundo anlisis de los resultados obtenidos. Aunque en muchos casos,
esta informacin verbal es ms valiosa que la obtenida con otras herramientas.
* Para ampliar este punto, es recomendable analizar las formas de realizar la entrevista que aparecen ms adelante en este captulo.
332
La aplicacin de esta herramienta exige una gran habilidad y experiencia del auditor,
ya que el entrevistado siempre estar a la defensiva durante su desarrollo y, en muchas
ocasiones, si no es adecuadamente conducida, ser difcil que se obtenga informacin
suficiente sobre algn tema relacionado con el trabajo del auditado.
333
334
335
responder a estos interrogantes. El auditor debe utilizar este tipo de preguntas principalmente para comprobar la veracidad de las respuestas del auditado y as estar en
condiciones de medir su grado de cooperacin, o tambin las puede utilizar para obtener mayor informacin.
336
337
338
Otra de las grandes ventajas de este instrumento es que le permite al auditor definir el planteamiento ms adecuado para abordar el tema que desea investigar, mediante la tcnica de la entrevista con los auditados, conforme a su propio albedro y
conveniencia.
Conviene recordar que entrevistar a los auditados es muy difcil, pues la mayora, si
no es que todos, suelen ocultar, disimular o fingir respuestas, y en algunos casos evitan
responder directamente o lo hacen tratando de no comprometerse con lo que dicen.
Muchas veces estos auditados sienten que son interrogados y se ponen a la defensiva,
pues suponen que lo que comenten ser utilizado en su contra. stos son algunos de los
motivos de su falta de cooperacin para responder las preguntas que se les formulan.
sta es la razn por la que se deben conocer distintas tcnicas y mtodos para realizar entrevistas. Es evidente que al seguir estas tcnicas de entrevistas para la recopilacin de informacin del rea auditada, las aportaciones del entrevistado sern ms
confiables y acordes con los requerimientos del auditor.
339
9.2 Cuestionarios
Los cuestionarios son una de las formas de recopilacin de informacin de mayor utilidad para el auditor; por esta razn, a continuacin presentamos una definicin de
cuestionario:
340
( ) No
( ) Femenino
341
( ) Presente
( ) Hardware
( ) Ausente
( ) Software
( ) No
( ) Equipo mayor
( ) Sin respuesta
( ) PCs
( ) Lder de proyecto
( ) Gerente
(
(
(
(
(
)
)
)
)
)
Excelente
Bueno
Regular
Malo
Deficiente
(
(
(
(
(
)
)
)
)
)
Empleado
Usuario
Proveedor
Asesor
Directivo
(
(
(
(
(
)
)
)
)
)
(
(
(
(
(
(
)
)
)
)
)
)
342
(
(
(
(
(
)
)
)
)
)
Las respuestas a los cuestionarios aplicados se agrupan, una a una, y se concentran en cuadros estadsticos o grficas que arrojan informacin fcil de interpretar, por
ejemplo, para 100 cuestionarios, independientemente de los aspectos estadsticos, se
obtendran los siguientes datos:
Preguntas
Totalmente de acuerdo
Generalmente de acuerdo
No s
Generalmente en desacuerdo
Totalmente en desacuerdo
Casos
35
21
7
23
14
343
Antigedad
Puesto rea
Nivel
Funciones que realiza
de
direc- deci- super- operaingresos tivo
sin
visor
cin
Gerente
Lder de
proyecto
Analista
Programador
Operador
Administrativo
El propio auditor puede elaborar estas preguntas para poder validar las respuestas
en el momento que las recibe, y las puede elaborar en grupo o de manera individual;
pero es l quien debe anotar las respuestas de los encuestados.
Es recomendable elaborar las preguntas previamente y efectuar pruebas piloto antes de aplicarlas, adems pueden aplicarse de manera grupal o individual.
344
Por esta razn son muy utilizados y tienen muchas ventajas para obtener grandes volmenes de datos, aunque tambin tienen grandes desventajas que limitan su aplicacin. A continuacin presentamos algunas de las ventajas y desventajas ms comunes
de los cuestionarios.
Ventajas
Facilitan la recopilacin de informacin y no se necesitan muchas explicaciones
ni una gran preparacin para aplicarlos.
Permiten la rpida tabulacin e interpretacin de los datos, proporcionndoles
la confiabilidad requerida.
Evitan la dispersin de la informacin requerida, al concentrarse en preguntas
de eleccin forzosa.
Por su diseo, los cuestionarios son muy rpidos de aplicar y ayudan a captar
mucha informacin en poco tiempo.
En el ambiente de sistemas es fcil capturar, concentrar y obtener informacin
til a partir de las respuestas, mediante el uso de la computadora. Incluso se
pueden proyectar los datos y hacer grficas.
Hacen impersonal la aportacin de respuestas; por lo tanto, en una auditora
ayudan a obtener informacin til y confiable, si se plantean bien las preguntas.
Desventajas
Falta de profundidad en las respuestas y no se puede ir ms all del cuestionario.
Se necesita una buena eleccin del universo y de las muestras utilizadas.
Pueden provocar la obtencin de datos equivocados si se formulan deficientemente las preguntas, si se distorsionan o si se utilizan trminos ilegibles, poco
usados o estereotipados.
La interpretacin y el anlisis de los datos pueden ser muy simples si el cuestionario no est bien estructurado o no contempla todos los puntos requeridos.
Limitan la participacin del auditado, ya que ste puede evadir preguntas importantes o se puede escudar en el anonimato que dan los cuestionarios.
Hacen impersonal la participacin del personal auditado, por lo que la aportacin de la informacin til para la auditora es limitada.
Denotan la falta de experiencia y pocos conocimientos del auditor que las aplica, si ste no plantea ni estructura correctamente las preguntas, lo cual puede
provocar que su trabajo sea rechazado.
345
mento se puede aprovechar para la recopilacin de informacin sobre algunos aspectos concretos de los sistemas computacionales, sin embargo, para aplicarlo correctamente se necesita un procedimiento especfico que permita utilizar eficientemente
este tipo de instrumentos de auditora; basndonos en ello, a continuacin proponemos los siguientes pasos:
Determinar el objetivo del cuestionario
Elaborar un borrador del cuestionario
Aplicar una prueba piloto
Elaborar el cuestionario final
Determinar el universo y la muestra
Aplicar el cuestionario
Tabular la informacin del cuestionario y elaborar grficas y cuadros
Interpretar los resultados
Elaborar las observaciones
A continuacin analizaremos brevemente cada uno de estos puntos, a fin de entenderlos mejor.
346
347
por medio del mtodo estadstico o programa de cmputo elegido para tabular la informacin, de acuerdo con lo determinado en la planeacin de la auditora, el universo y las muestras.
Debido a que existen muchos mtodos y programas de cmputo para la concentracin de informacin y presentacin de cuadros estadsticos y grficas de interpretacin,
en la seccin 9.6 de este captulo tambin haremos un anlisis sobre estos tpicos.
9.3
Encuestas
Las encuestas constituyen otra de las tcnicas ms populares y de mayor uso en una
auditora de sistemas computacionales, y son tiles principalmente para averiguar
opiniones sobre aspectos de la informtica tales como el servicio, el comportamiento
y utilidad del equipo, la actuacin del personal y los usuarios, la oportunidad de la presentacin de los resultados, entre otros juicios sobre la funcin informtica.
Existen muchas tcnicas y mtodos para aplicar las encuestas, no slo en la auditora sino tambin en las ciencias sociales, en donde tienen muchas aplicaciones y
sus resultados son cada vez ms confiables y aceptados, tanto por las tcnicas y procedimientos que se utilizan para su diseo, como por la eleccin del universo y deter-
348
minacin estadstica de las muestras. Tambin por la forma de captar las opiniones,
concentrar los datos y emitir los resultados en cuadros estadsticos y grficas, adems
de muchos otros aspectos que las han hecho cada da ms populares. Incluso en la
actualidad ya tienen ms aceptacin que otras herramientas para auditoras de sistemas computacionales, ya que son parte fundamental de una investigacin sobre la recopilacin de opiniones, y sus resultados son razonablemente aceptados.
Podemos definir una encuesta de la siguiente manera:
Es la recopilacin de datos concretos sobre un tema especfico, mediante el uso
de cuestionarios o entrevistas diseados con preguntas precisas para obtener
las opiniones de los encuestados, las cuales permiten, despus de hacer una rpida tabulacin, anlisis e interpretacin de esa informacin, conocer su punto
de vista y sentimientos hacia un tpico especfico.
Las encuestas son un complemento muy valioso para la informacin que obtiene el
auditor con los cuestionarios y entrevistas debido a que con ellas consigue comentarios,
opiniones, interpretaciones y datos a travs de preguntas sencillas y simples; asimismo,
puede concentrar esas opiniones a travs de tcnicas estadsticas para cuantificarlas y
darles una interpretacin sobre el fenmeno de sistemas estudiado.
Adems, haciendo primero las encuestas y despus entrevistas aleatorias, el auditor puede corroborar la informacin recopilada de un rea y compararla con la que tiene de esa misma rea o de otra. Esto le ayuda a hacer una mejor evaluacin de los
sistemas que est auditando.
Las encuestas tambin son un valioso auxiliar para obtener informacin abundante, til y confiable sobre el comportamiento, la utilidad y oportunidad con la cual se
proporcionan los servicios del sistema o del rea de sistemas de la empresa. Adems
permiten recopilar, cuantificar, tabular e interpretar fcilmente, en estadsticas, cuadros y grficas las tendencias de opiniones y comentarios de los encuestados.
Por estas razones, aparte de su creciente importancia, es muy conveniente conocer la manera de utilizar esta herramienta que ayuda al auditor en la recopilacin, tabulacin y anlisis, de informacin, no slo para auditoras de sistemas, sino para la
auditora en general.
No existen reglas para el uso de las encuestas en el rea de auditora de sistemas;
quiz las nicas son las que regulan los aspectos tcnico-estadsticos en la eleccin del
universo y la muestra; pero stas se pueden contemplar dentro de la aplicacin de mtodos probabilsticos y estadsticas para hacer la mejor eleccin de las muestras, as
como la seleccin de los mtodos de recopilacin de opiniones.
Con la aplicacin de encuestas en las auditoras de sistemas se busca que la forma de recopilar las opiniones sea gil, sencilla y poco complicada para los encuestados; esto se logra mediante preguntas claras, sencillas y de fcil entendimiento, a fin
de que las respuestas de los encuestados sean concretas y enfocadas hacia el tema de
estudio. Con las encuestas tambin se hace ms sencilla la tabulacin de la informa-
349
350
351
obtener respuestas en slo dos sentidos; para el mejor entendimiento de esta forma
de elaborar las preguntas para una encuesta, conviene aplicar lo sealado en la seccin 9.2.2 de este captulo, pero adaptndolo a las encuestas. A continuacin haremos
un breve repaso de lo sealado en las preguntas de tipo cerrado.
) S
) Masculino
) Presente
) Hardware
(
(
(
(
) No
) Femenino
) Ausente
) Software
En las encuestas se puede utilizar este tipo de preguntas, pero tendran muy pocas
aplicaciones y la obtencin de opiniones sera deficiente.
352
353
( )
( )
Estas preguntas pueden ser de mucha utilidad para el auditor, ya que las puede
aplicar en mltiples campos y en formas muy variadas, por su facilidad para estimar
rangos ms o menos homogneos en los que el encuestado tiene que opinar sobre uno
solo. Todo depender de los objetivos que el auditor pretenda alcanzar.
354
(entre 36 y 50 aos) y ste pone la edad de un joven (entre 18 y 27), est claro que si
miente en esta respuesta, tambin puede mentir en otra parte del cuestionario; aqu lo
mejor es desechar estas respuestas. Una variante es hacer la misma pregunta en otra
parte de la encuesta, pero cambiando el formato, mas no el fondo; tericamente, la
respuesta debe ser similar; en caso de ser contraria, habra que valorar si se desecha
la encuesta o si estas opiniones se toman con reservas.
El uso de estas preguntas es opcional; sin embargo, son muy tiles para comprobar la veracidad en las respuestas de los encuestados. Adems, este tipo de preguntas, tambin llamadas variables de control, se puede hacer bajo cualquiera de los
formatos que indicamos a continuacin.
Sexo
Esto no se pregunta, slo se observa y se anota.
Masculino ( )
Edad
(
(
(
(
(
)
)
)
)
)
Femenino ( )
355
el grado de educacin sugerimos utilizar los siguientes rangos, los cuales son aplicables slo al ambiente de sistemas, ya que en las ciencias sociales puede haber otros
parmetros de educacin que aqu no sealaremos:
1. Educacin bsica (para los empleados que tienen primaria o secundaria)
2. Educacin media superior (para los empleados que cursaron la preparatoria o
similar)
3. Educacin secretarial con apoyo de sistemas
4. Educacin tcnica ajena al rea de sistemas
5. Educacin tcnica con especialidad en sistemas
6. Profesional sin conocimientos de sistemas (o con conocimientos elementales)
7. Profesional en sistemas
8. Especialidad en sistemas (maestra, diplomado, certificado)
9. Otros estudios con manejo de sistemas
Manejo de la computadora
Cul es su trabajo en el rea de sistemas y qu equipo maneja?
(
(
(
(
(
(
(
(
) Usuario
) Operador de sistemas
) Desarrollador de sistemas
) Programador de sistemas
) Administrador del sistema
) Directivo de sistemas
) Asesor
) Desarrollador externo
(
(
(
(
(
(
(
(
) PC
) PC
) PC
) PC
) PC
) PC
) PC
) PC
(
(
(
(
(
(
(
(
) Red
) Red
) Red
) Red
) Red
) Red
) Red
) Red
(
(
(
(
(
(
(
(
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
sta es otra de las preguntas que ayudan a valorar la profundidad de las encuestas sobre el dominio de los sistemas por parte del entrevistado, e incluso a rechazarlas. Es obvio que no es igual la opinin de un usuario inexperto en el manejo de una
PC, que la de un experto en redes; la diferencia de conocimientos informticos entre
uno y otro es abismal, por lo tanto, la diferencia en sus comentarios tambin lo es.
Puesto en la empresa
Otra de las preguntas que sirven de apoyo para validar la veracidad de la encuesta, as
como para calificar la importancia de la informacin recopilada en ella, es lo relacionado con el puesto que ocupa el entrevistado en el rea de cmputo, debido a que su
respuesta indica su responsabilidad, autoridad y nivel de toma de decisiones. Esto ayuda al auditor a diferenciar las opiniones y comentarios del auditado.
Es obvio que la opinin del ms alto directivo del rea de sistemas para autorizar
el desarrollo de un nuevo proyecto no es igual a la del operador del sistema, ni a la del
356
) Peridicos
) Revistas
) Libros
) Otros
Cules? _______________________
Cules? _______________________
Cules? _______________________
Cules? _______________________
357
358
359
libre, del encuestado; adems, estas encuestas le ayudan a indagar, corroborar o reafirmar algn punto concreto con las opiniones y comentarios de los encuestados.
Podramos seguir explicando los tipos de encuestas que se pueden utilizar en una
auditora de sistemas, pero sera ocioso y a la vez inoperante, ya que el auditor debe
aplicar estas tcnicas y mtodos de encuesta de acuerdo con sus necesidades especficas de informacin, con su experiencia y conocimientos en el manejo de esta herramienta, y con su habilidad para el manejo de opiniones. Por tal razn dejaremos hasta
aqu el anlisis de esta herramienta.
9.4 Observacin
Una de las tcnicas ms populares, de mayor impacto y ms utilizadas para examinar
los diferentes aspectos que repercuten en el funcionamiento del rea de informtica o
del propio sistema, es la aplicacin de diversas tcnicas y mtodos de observacin que
permiten recolectar directamente la informacin necesaria sobre el comportamiento
del sistema, del rea de sistemas, de las funciones, actividades y operaciones del equipo procesador o de cualquier otro hecho, accin o fenmeno del mbito de sistemas.
Con el propsito de entender esta herramienta de la auditora de sistemas, a continuacin presentaremos algunas definiciones de observacin, y despus propondremos algunos enfoques concretos sobre su uso en la auditora de sistemas.
Observacin
Accin y efecto de observar [...] Atencin que se presta a ciertas cosas [...] Reflexin
[...] Explicacin de algo [...] Estudio notable sobre algunas cosas [...] Estudiar la marcha de [...]1
Es la accin de observar, de mirar detenidamente [...] La observacin puede ser estudiada desde el investigador que observa, que mira detenidamente y desde lo observado, lo mirado detenidamente [...] significa tambin el conjunto de cosas observadas, el
conjunto de datos y el conjunto de fenmenos...2
Observar
Del latn Observare: Ejecutar lo prescrito [...] Considerar con atencin [...] Espiar [...]
Notar [...] Advertir, reparar [...] Percibir [...] Atisbar [...] Mirar.3
Examinar con atencin, analizar [...] Advertir, reparar [...] Mirar con atencin y recato,
observar [...] Observar y cumplir lo mandado.4
Arias Galicia aporta
A fin de recolectar datos suficientes, se hace necesario, precisamente, observar los fenmenos en cuestin con objeto de determinar si existe [...] la palabra observacin
porque en ltima instancia los sentidos del investigador deben percibir los eventos directamente o por medio de registros realizados por algn aparato o los efectos del pro-
360
pio sujeto [...] En las ciencias de la conducta nos observamos a nosotros mismos y a
otras personas. En el primer caso hblese de introspeccin (ver hacia adentro) y en el
segundo de extrospeccin (ver hacia afuera). Ambas no necesariamente excluyentes sino, en realidad, se complementan en muchos casos.5
Como podemos deducir a partir de las definiciones anteriores, la accin de observar es el hecho de examinar, analizar, advertir o estudiar algo; en este caso, cuando el
auditor de sistemas aplica esta tcnica, lo que hace es observar todo lo relacionado
con los sistemas de una empresa, con el propsito de percibir, examinar o analizar lo
relacionado con los eventos que se presentan en el desarrollo de las actividades de un
sistema, de un centro de sistematizacin, de la operacin de la computadora o el desempeo de cualquiera de las actividades que le permitirn evaluar el cumplimiento
de las operaciones del sistema.
La observacin se puede hacer desde diferentes puntos de vista y con diversas tcnicas y mtodos que analizaremos a continuacin.
361
362
363
de la evaluacin sino de la propia operacin, slo que aqu el auditor observa el fenmeno y toma nota de las alteraciones en el comportamiento, pero l no las provoca. A
continuacin presentamos algunos ejemplos:
El comportamiento en los simulacros y pruebas del plan de contingencias. El auditor
observa las pruebas y puede tomar nota de las alteraciones que sufren, pero se abstiene de participar e inclusive de opinar.
Las pruebas de instalacin de programas y paqueteras. Aqu slo observa las variaciones y cambios que se van realizando en la instalacin, y aunque nota deficiencias en
esas pruebas, slo observa y evita opinar y participar en ellas.
Las modificaciones en la aplicacin de los presupuestos del rea de sistemas. Aqu slo valora que se apliquen correctamente los presupuestos, pero si hay cambios y alteraciones en dicha aplicacin, slo toma nota pero no hace comentarios ni sugerencias.
Si es el caso, lo anota en su informe, pero no en la observacin.
Lo fundamental de este tipo de observacin es que el auditor slo capta posibles
cambios en los que l no sugiere ni participa, sino que slo observa cmo se presentan
y cual es su comportamiento.
9.4.6 Introspeccin
En las ciencias sociales la introspeccin se entiende como el examen interno del comportamiento y actuacin del sujeto observado (sistema); en una auditora se entiende
como la observacin interna del fenmeno, es decir, es la investigacin en la que se
observa desde el interior del propio hecho en estudio. Su propsito es entender mejor
el comportamiento del fenmeno, sus caractersticas y su desenvolvimiento.
En este caso el auditor observa el hecho o fenmeno (sistema, gestin informtica
u operacin) desde su interior, a fin de conocer su comportamiento y sus posibles alteraciones desde lo ntimo del fenomeno. Con lo anterior puede hacer una evaluacin
ms directa y profunda. A continuacin presentamos algunos ejemplos:
Asistir a los cursos de capacitacin de los usuarios. Aqu puede participar en los cursos o slo estar como observador; de esta manera puede saber desde el interior cmo
se da la capacitacin en el rea de sistemas.
Estar presente en el anlisis del sistema actual para un nuevo diseo de sistemas. Aqu slo se dedica a observar el comportamiento de los analistas, evitando alterar con su presencia el desarrollo de esta fase del diseo de sistemas. Con ello puede observar, desde
el mismo proceso, qu tan oportunamente se cumple esta fase, y si se emplean las herramientas y metodologas adecuadas en los nuevos proyectos de sistemas de la empresa.
Monitorear las aplicaciones y actividades de los usuarios. Aunque sta tambin puede
ser una observacin oculta, aqu el auditor observa, desde lo ms profundo del sistema, el comportamiento de los usuarios y el aprovechamiento del sistema.
364
Modificar la nmina de cualquier empleado. En este tipo de pruebas, que deben ser
planeadas previamente y estar documentadas perfectamente, el auditor altera algn ingreso, sueldo o cualquier otro aspecto de la nmina (que supuestamente no podra alterar),* a fin de evaluar las repercusiones de estos cambios. Con ello conoce la
seguridad y confiabilidad del sistema desde el interior de ste.
Accesar a los niveles y privilegios que se pueda de una red. En estos casos, el auditor
evala las restricciones, contraseas y la seguridad de los sistemas de red, y evala de
paso la proteccin y confiabilidad de los datos y las restricciones de acceso a los niveles permitidos segn los privilegios de los usuarios.**
Los niveles ms comunes de acceso para los usuarios de sistemas son los siguientes:
Consulta: en este nivel, el usuario slo puede entrar a consultar la informacin.
Captura de datos: en este nivel, el usuario slo puede alterar los datos que permite el sistema.
Modificacin de programacin y datos: en este nivel, el usuario tiene el privilegio de modificar datos sustanciales del sistema, e incluso del programa.
Administrador de la red: en este nivel, el administrador tiene todos los privilegios
para alterar libremente los datos, programas, niveles de privilegios y dems acciones del sistema.
Los anteriores son slo algunos de los muchos casos en los que el auditor puede
valorar los fenmenos que estudia desde el interior de stos; esto le permite captar la
esencia de sus operaciones y su comportamiento real.
9.4.7 Extrospeccin
En este tipo de observacin, el observador (auditor) realiza la inspeccin desde un
punto de vista totalmente externo al fenmeno que est analizando, es decir, hace la
observacin sin entrar en contacto con el interior del hecho observado (el sistema). El
propsito es comprender la actuacin del fenmeno en relacin con otros fenmenos
similares que le servirn de parmetro para compararlo.
Estas pruebas son muy tiles para el auditor, ya que le permiten valorar el comportamiento de los sistemas (programas, paqueteras, gestin administrativa, gestin informtica, operacin, instalaciones, etc.) comparndolo con el comportamiento de
otros sistemas similares. Con ello puede opinar sobre el comportamiento del sistema,
* Tericamente, estos sistemas son inviolables y nadie, ni siquiera el auditor, puede entrar en ellos, mucho menos
hacerles cambios si no existe la debida autorizacin para ello.
** En teora, el auditor slo puede accesar a los niveles que le permita el administrador; por ningn concepto puede accesar a otros niveles sin esa autorizacin. La prueba consiste en entrar hasta donde pueda sin la aprobacin
de los directivos; en cada caso debe documentar los niveles de acceso y la posible alteracin que haga en el sistema de red, para despus reportar lo anterior en su informe.
365
no desde el punto de vista de cmo funciona, sino desde el punto de vista de cmo debera funcionar.
Sin embargo, debemos tomar en cuenta que el fenmeno observado es el que est siendo auditado y que tiene un comportamiento especfico de acuerdo con las caractersticas de operacin de la empresa, y aunque otro sistema est mejor aplicado,
se debe comparar el comportamiento de ambos para sugerir mejoras en la operacin
del sistema observado, y no slo para criticar sus deficiencias.
366
367
Observar el desarrollo y cumplimiento de las funciones y actividades de los funcionarios, del personal del rea y de los usuarios del sistema.
Observar la administracin y control de proyectos, el desarrollo e implantacin de los
nuevos sistemas y el uso de las metodologas para su anlisis y diseo.
stos son slo algunos de los muchos ejemplos de la aplicacin de esta herramienta de auditora, adaptndola a las caractersticas y variaciones que hemos visto, y usndola de acuerdo con las necesidades de la auditora de sistemas.
9.5
Inventarios
Esta forma de recopilacin de informacin consiste en hacer un recuento fsico de lo
que se est auditando, a fin de saber la cantidad existente de algn producto en una
fecha determinada y compararla con la que debera haber segn los documentos en
esa misma fecha. Consiste propiamente en comparar las cantidades reales existentes
con las que debera haber para comprobar que sean iguales o, en caso contrario, para
resaltar las posibles diferencias e investigar sus causas.
Esta tcnica se utiliza principalmente en las auditoras de carcter financiero, operativo y administrativo, aunque tambin se utiliza en otros tipos de auditoras. Sin embargo, su realizacin consume muchos recursos, ya que es necesario conocer los
bienes existentes, los cuales deben ser contabilizados fsicamente y registrados en documentos formales para compararlos con algn registro formal de los bienes que debera haber.
Con la aplicacin de esta herramienta de la auditora tradicional, el auditor de sistemas tambin puede examinar las existencias de los elementos disponibles para el
funcionamiento del rea de informtica o del propio sistema, contabilizando para ello
los equipos componentes de los sistemas de cmputo, la informacin y datos de la empresa, los programas, perifricos, consumibles, documentos, recursos informticos y
los dems aspectos cuya existencia real se quiere conocer, a fin de comparar dicha
existencia (cantidad) con registros formales de la existencia que debera haber.
En la auditora de sistemas, este mtodo de recopilacin de informacin ayuda
enormemente a realizar una evaluacin adecuada de la gestin administrativa del rea
de sistemas, as como del aprovechamiento, custodia y control de los bienes informticos que hay en dicha rea. Sin embargo, por lo supuestamente tcnico del ambiente
de sistemas, as como por la poca importancia que se suele dar a estos aspectos considerados como administrativos, la realizacin de estos inventarios de bienes asignados al rea de sistemas se deja en segundo plano, a pesar de su importancia para
saber lo que tiene la empresa para realizar las actividades de cmputo, tanto por su
monto y forma de uso, como por lo valioso de los recursos y lo que representan como
bienes de la misma empresa.
Con el propsito de entender cmo se utiliza esta herramienta, a continuacin presentamos algunas definiciones de inventario:
368
Inventario
Lista ordenada de las cosas de valor de una persona o sociedad [...]6
El inventario incluye todos los stocks de artculos y materiales que posee una compaa y utiliza en el proceso de manufactura de productos o para ofrecer un servicio [...]
No obstante, numerosos autores incluyen los suministros de equipos, maquinarias, oficinas, cantina, bienestar, y de hecho todo lo que sea propiedad de la empresa [...]7
En el caso de la auditora de sistemas, definiremos el inventario de la siguiente
manera:
Es la recopilacin de todos los bienes y materiales que posee una empresa, a
fin de comparar las existencias reales con los registros contables.
En un plano ms prctico para la auditora de sistemas, a continuacin presentamos los principales tipos de inventarios aplicables en el ambiente de sistemas computacionales, asimismo, debido a su importancia, los analizaremos para saber cmo
utilizarlos adecuadamente y obtener buenos resultados.
Inventario del software
Inventario del hardware
Inventario de consumibles
Inventario de documentos
Inventario de inmuebles, instalaciones, mobiliario y equipos de sistemas
Inventario del personal informtico
Inventario de bases de datos e informacin institucional
369
ware que no est instalado o del utilizado en cualquier equipo de otras reas de la empresa. Asimismo, puede inventariar tanto el software adquirido de terceros, el llamado
software comercial, como el desarrollado en la propia institucin, llamado software desarrollado, o el que haya sido adquirido de cualquier otra forma.
El inventario del software se tiene que realizar invariablemente en dos partes, por
un lado el recuento fsico del software de los sistemas de la empresa, y por otro la comparacin de ese recuento fsico con lo que hay en los registros oficiales de la empresa.
Supuestamente, estos registros deben ser iguales al recuento fsico; en caso contrario,
se deben establecer las diferencias entre ambos. A continuacin analizaremos ambas
partes por separado.
370
En algunos casos, el auditor debe tratar de identificar el software que est instalado a
simple vista y el que est escondido, as como el que estuvo instalado en el sistema de
cmputo, sin importar que ste haya sido escondido o borrado al momento de hacer el
levantamiento del inventario. Esto se logra mediante el uso de las utileras modernas
que permiten al auditor identificar y recuperar los archivos y programas borrados del
sistema permanente de almacenamiento del sistema computacional. Lo anterior se hace con el propsito de evaluar la forma en que se usa este software.
En el cuadro anterior presentamos un prototipo del documento que se debe utilizar para hacer el inventario fsico del software; ste incluye los detalles mnimos que
se deben considerar en dicho inventario.
371
Cuando ocurre esta situacin, se debe investigar por qu la empresa carece de los
registros oficiales para la instalacin y explotacin del software detectado en los sistemas computacionales, lo cual puede ocurrir por los siguientes factores:
Que haya sido adquirido e instalado en forma ilegal con el conocimiento de los responsables del rea de sistemas.
Que la persona responsable del sistema haya instalado el software en forma ilegal,
sin el conocimiento de los responsables del rea de sistemas.
Que se desconozca dnde est su documentacin oficial.
Que est instalado doblemente sin el permiso correspondiente (con una sola licencia).
Que la empresa tenga el registro y la licencia del software y ste no est instalado.
Es cuando por alguna causa imputable al rea de sistemas (o al responsable del
sistema), el software que aparece en los documentos oficiales no est instalado en los
sistemas computacionales; en este caso, el auditor debe averiguar las razones de esto
ltimo; entre algunas de estas consideraciones podemos encontrar lo siguiente:
Que sea obsoleto y que ya no se requiera su instalacin en el rea de sistemas, pero que an no se haya dado de baja del rea.
Que haya sido extraviado o sustrado del rea de sistemas, y que dicha desaparicin no haya sido reportada.
Que haya sido extraviado o sustrado del rea de sistemas, y que dicha desaparicin s haya sido reportada, pero que an siga vigente en documentos.
Que est registrado en documentos, pero que por cualquier razn no haya sido entregado en el rea de sistemas.
Que haya software instalado sin que la empresa tenga el registro y la licencia correspondientes, y que la empresa tenga el registro y la licencia del software y ste no est
instalado.
Este caso es la combinacin de las dos situaciones que analizamos anteriormente,
y se dan los casos planteados en ambas.
372
373
presencia en el rea de sistemas que est auditando, o en cualquier rea que cuente con
estos sistemas; adems tiene que anotar en papel o en cualquier otro documento informtico dichos datos. En este listado se tienen que contemplar, con lujo de detalles, todos los aspectos que integran el hardware considerado como sistema computacional,
incluyendo en dicho listado los elementos tangibles que de alguna manera sean considerados como componentes directos o asociados a los propios sistemas computacionales.
A continuacin presentamos un ejemplo de este inventario, considerando los detalles mnimos que debe contener.
374
375
Que haya sido extraviado o sustrado del rea de sistemas, y que dicha desaparicin no haya sido reportada.
Que haya sido extraviado o sustrado del rea de sistemas, y que dicha desaparicin s haya sido reportada, pero que an siga vigente en documentos.
Que est registrado en documentos, pero que por cualquier razn stos no hayan
sido dados de baja ni entregados del rea de sistemas al rea contable.
Que est prestado en forma externa y esto no haya sido notificado en documentos.
Que haya hardware instalado sin que la empresa tenga el registro y los documentos correspondientes, y que la empresa tenga el registro y los documentos del hardware, pero que no lo tenga fsicamente.
Este caso es la combinacin de las dos situaciones que analizamos anteriormente,
y se dan los casos planteados en ambas situaciones.
Es importante que el auditor, al realizar las comparaciones entre el recuento fsico
del hardware y su registro en los documentos correspondientes, tambin evale que
existan los resguardos correspondientes, debidamente actualizados y que estn asignados al personal que los utiliza, a fin de verificar el adecuado control de su asignacin, proteccin y uso.
376
377
Despus se comparan los resultados del inventario fsico y los datos obtenidos de la
revisin documental, a fin de evaluar los registros de consumos y verificar diferencias
y faltantes.
Despus se elabora un estudio estadstico sobre el volumen de consumos, periodicidad y frecuencia de las reposiciones, estudios de consumos mximos y mnimos y
otros aspectos estadsticos que permitan evaluar el aprovechamiento adecuado de estos materiales.
Finalmente se elabora una evaluacin global sobre los costos financieros de los consumos, su aprovechamiento en el procesamiento de informacin, y en caso de haber faltantes de consumibles, la aclaracin de esos faltantes.
Es evidente que cada auditor puede realizar el tipo de inventario de consumibles
que ms le convenga, incluso aprovechar el mismo que hace en la auditora financiera.
378
379
380
381
382
macin que obtenga y su modo de adquirirla depender directamente de las actividades del centro de cmputo, de su forma de administracin y del personal que trabaja
en dicho centro.
Al realizar estos inventarios, el auditor tambin deber evaluar el uso que se les da
a estos documentos del sistema, ya que no slo deben existir en el rea de sistemas
sino que deben ser utilizados por los responsables de la operacin, los empleados y
los usuarios del sistema. Para ello deben tomarse en cuenta los siguientes aspectos:
Que en el rea de informtica existan los manuales, instructivos y documentos del
sistema.
Que estn vigentes y actualizados de acuerdo con las caractersticas de los sistemas en
la empresa.
Que se difunda, mediante algn medio interno, la existencia, adquisicin y actualizacin de estos documentos del sistema.
Que estn disponibles para la consulta de los directivos, empleados y usuarios del
sistema.
Que el personal del rea de sistemas los utilice para la operacin de los mismos.
En caso de no cumplirse algunos de los casos anteriores, el auditor deber evaluar
las razones por las cuales no se cumplen, ya que esto implicara deficiencias en el manejo de los sistemas de la empresa.
383
384
385
Personal del
rea
de sistemas
Usuarios
del sistema
Asesores
y consultores
Proveedores y
distribuidores
386
387
9.6 Muestreo
Es obvio que sera imposible y a la vez inoperante que un auditor se pusiera a revisar todas las actividades, transacciones y procesamientos de datos que se realizan cotidianamente en el centro de informacin de una empresa, sin embargo, para emitir una opinin
fundamentada sobre el funcionamiento de esas operaciones, es necesario evaluarlas.
Esto se puede lograr si se recurre al auxilio de una muestra representativa del comportamiento de cada una de las actividades, transacciones y procesamientos que deben ser revisados; siempre y cuando esa muestra cumpla con las caractersticas y
requerimientos necesarios para hacer vlido su uso. As, al revisar slo las operaciones
seleccionadas en la muestra, el auditor ahorra mucho trabajo y tiempo, y con la informacin que obtiene puede emitir un dictamen correcto y confiable.
Una de las tcnicas que ms aportaciones hacen a la auditora de sistemas computacionales es el muestreo, ya que una aplicacin correcta de los mtodos y procedimientos estadsticos ayuda bastante a seleccionar una parte representativa del
universo que se tiene que revisar; el propsito es obtener la misma informacin o parecida a la que se obtendra al revisar todo ese universo. De esta manera, el auditor
388
puede determinar el comportamiento global de todo el universo y con ello puede contar con los elementos de juicio necesarios para emitir un dictamen apegado a la veracidad de los hechos auditados.
No es necesario explicar que esta herramienta es de gran utilidad para cualquier tipo
de auditora. Sin embargo, en la prctica es poco empleada o se aplica en forma muy limitada, ya que para utilizarla es necesario tener amplios conocimientos en los aspectos
estadsticos, matemticos y de probabilstica; adems, se requiere una gran habilidad y
experiencia para elegir el universo y determinar las muestras que sern utilizadas, as tambin de un buen manejo en la recopilacin de informacin y la determinacin de los procedimientos necesarios para la tabulacin e interpretacin de los resultados obtenidos.
Esta herramienta es fundamental en la auditora de sistemas, debido a que el auditor se apoya en los propios sistemas computacionales para disear la muestra, seleccionar la probabilidad de la captura de datos y despus procesar esa informacin para
elaborar los cuadros y grficas representativos de los resultados. Adems, a travs del
uso de las hojas de clculo y programas estadsticos se pueden manejar los aspectos
estadsticos y matemticos con mayor exactitud, e incluso en el propio sistema se pueden hacer pruebas con las muestras elegidas, utilizando los mismos datos del sistema,
a fin de compararlos con los resultados elegidos.
Otro aspecto fundamental del muestreo es que mediante programas especiales de
cmputo tambin se pueden hacer simulaciones y proyecciones que son de gran utilidad en una auditora de sistemas, aunque el muestreo sea matemtico, estadstico o
por computadora.
Continuando con el mismo mtodo de estudio seguido en este libro para cada una
de las herramientas aqu sealadas, a continuacin presentamos algunas definiciones
y conceptos de esta herramienta.
Muestreo.
Seleccin de muestras representativas de la calidad o caractersticas medias de un todo. Tcnica empleada para la seleccin.8
El muestreo en auditora consiste en la aplicacin de un procedimiento de cumplimiento o sustantivo a menos de la totalidad en las partidas que forman el saldo de una
cuenta o una clase de transacciones (muestra), que permitan al auditor obtener y evaluar la evidencia de alguna caracterstica del saldo o transaccin y que le permita llegar a una conclusin en relacin a tal caracterstica.9
Muestreo es seguir un mtodo, un procedimiento tal que al escoger un grupo pequeo de la poblacin podamos tener un grado de probabilidad de que ese pequeo grupo efectivamente posee las caractersticas del universo y la poblacin que estamos
estudiando... Los tres puntos importantes respecto a una muestra son los procedimientos para determinar la representatividad de la muestra, los procedimientos para determinar el error de la muestra y los procedimientos para determinar el tamao de la
muestra... Hay dos tipos principales de muestreo probabilstico que hace posible de-
389
390
391
Nm. de operacin
Del lunes 3
Del martes 4
Del mircoles 5
Del jueves 6
Del viernes 7
1 986
106
4 886
822
6 622
En este ejemplo seleccionamos cinco operaciones realizadas en el sistema computacional, del 3 al 7 de agosto de 2000, elegidas en forma aleatoria
392
en una hoja de clculo como Excel; estas operaciones fueron rastreadas desde la captura de datos, el clculo manual y los resultados arrojados despus del
proceso.
Por una simple y sencilla operacin aritmtica
Para este caso se elige la muestra mediante una operacin aritmtica simple, que se
hace arbitrariamente y sin mayores complicaciones, como en el siguiente ejemplo:
Supongamos que un auditor desea revisar la instalacin, el tipo de cableado, aprovechamiento del procesamiento, las actividades de los usuarios durante la semana anterior, el monitoreo de las operaciones de los dos das
siguientes y otros aspectos de 10 de las 100 estaciones de una red de cmputo de la empresa.
Nuestra frmula, elegida arbitrariamente, ser la siguiente:
N=N+7
Inicio en la mquina N = 25 (porque as se eligi)
De ah sumamos 7 a la N y nos queda una nueva N, a la cual se le vuelven a
sumar otra vez 7, y as sucesivamente. Entonces los nmeros de estacin seleccionados sern:
25, 32, 39, 46, 53, 60, 67, 74, 81, 88, 95
Mtodo aleatorio determinado por frmulas matemticas
Aqu el auditor realiza un proceso de clculo utilizando una funcin algebraica o de
cualquier tipo de arreglo matemtico, mediante la cual obtiene nmeros aleatorios que
le servirn para seleccionar los elementos de la poblacin.
Como ejemplo podemos citar lo siguiente:
Supongamos que un auditor va a revisar un universo de 3 000 empleados y que
en el programa de auditora se determin que va a evaluar el clculo correcto
de las 24 quincenas del ltimo ao, as como el clculo del aguinaldo de cada
empleado.
Si el auditor decidiera revisar todas las operaciones de la nmina, estaramos hablando de 72 000 resultados por calcular, en los cuales tendra que hacer operaciones por los ingresos, egresos, impuestos y retenciones de cada
trabajador; adems tendra que verificar la oportunidad, confiabilidad y veracidad en la captura de datos, emisin de resultados y almacenamiento de esa informacin, as como del procesamiento del sistema, la inclusin correcta de los
datos del empleado, su capacitacin, sus ltimos movimientos salariales y otros
aspectos inherentes al desempeo de su actividad en el rea de sistemas.
Hacer uno a uno estos clculos sera muy tedioso adems de inoperante,
con riesgos de errores y con un consumo de tiempo muy abundante.
393
Por esta razn, aprovechando una muestra determinada mediante una frmula, en este caso un proceso aleatorio matemtico, seleccionaremos a los empleados que cumplan con las condiciones de la frmula, y en cada resultado
revisaremos sus clculos de nmina y dems condiciones.
Elegiremos el nmero de los empleados del entero que resulte de la siguiente expresin:
X = (4Y2 + 5Z)
Donde tomamos como valores de Y = desde 24 hasta 5
Donde tomamos como valores de Z = desde 0 hasta 19
(valores elegidos en forma arbitraria)
La quincena se calcula de la siguiente manera:
Q=Y3oQ=Y+3
Donde se aplican estas restricciones:
Si Y > Z, entonces anotamos
(Q = Y 3)
Pero si Y < Z, entonces anotamos
Q=Y+3
Aplicando la primera frmula para calcular
el nmero de empleado, tenemos que:
Para el primer rengln del cuadro: donde
Y = 24; Z = 0
X = 4(24)2 + 5(0) = 4(576) + 5(0) = 2304,
Para el segundo rengln del cuadro: donde Y = 23; Z = 1
X = 4(23)2 + 5(1) = 4(529) + 5(1) = 2121
Para el dcimo rengln del cuadro: donde
Y = 15; Z = 9
X = 4(15)2 + 5(9) = 4(225) + 5(9) = 945
Aplicando la segunda frmula para la
quincena, tenemos que:
Para el primer rengln del cuadro: donde
Y = 24; Z = 0
Como Y > Z entonces Q = (24 3) = 21
Para el segundo rengln del cuadro: donde Y = 23; Z = 1
Como Y > Z entonces Q = (23 3) = 20
Para el dcimo rengln del cuadro: donde Y = 15; Z = 9
Como Y < Z entonces Q = (9 + 3) = 12
394
Concretando, para estos ejemplos tenemos que se revisarn los clculos de las
operaciones de los empleados: Nmero 2 304, y quincena 24
Nmero 2 121 y quincena 20
Nmero 947 y quincena 9
Como ejemplo tenemos la tabla anterior, en donde elegimos a 20 empleados.
El auditor puede elaborar estas tablas bajo cualquier criterio o frmula, siempre y
cuando las elabore para elegir aleatoriamente una muestra y dentro de los rangos del
universo que va a utilizar.