Auditora de sistemas

Tcnicas y
herramientas para la
auditora informtica
Cuestionarios
Las auditoras informticas se materializan
recabando informacin y documentacin de
todo tipo. El trabajo de campo del auditor
consiste en lograr toda la informacin
necesaria para la emisin de un juicio global
objetivo, siempre amparado en hechos
demostrables, llamados tambin evidencias.

Estos cuestionarios no pueden ni deben ser

repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada
situacin, debiendo ser muy cuidados en su
fondo y su forma.
Entrevistas
El auditor comienza a continuacin las
relaciones personales con el auditado. Lo hace
de tres formas:

Mediante la peticin de documentacin

concreta sobre alguna materia de su
responsabilidad.

Mediante "entrevistas" en las que no se sigue

un plan predeterminado ni un mtodo estricto
de sometimiento a un cuestionario.
Entrevistas
Por medio de entrevistas en las que el auditor
sigue un mtodo preestablecido de antemano y
busca unas finalidades concretas.

La entrevista es una de las actividades

personales ms importante del auditor; en
ellas, ste recoge ms informacin, y mejor
matizada, que la proporcionada por medios
propios puramente tcnicos o por las
respuestas escritas a cuestionarios.
Entrevistas
La entrevista entre auditor y auditado se basa
fundamentalmente en el concepto de
interrogatorio; es lo que hace un auditor,
interroga y se interroga a s mismo.

El auditor informtico experto entrevista al

auditado siguiendo un cuidadoso sistema
previamente establecido, consistente en que
bajo la forma de una conversacin correcta y lo
menos tensa posible, el auditado conteste
sencillamente y con pulcritud a una serie de
preguntas variadas, tambin sencillas.
Checklist
El auditor profesional y experto es aqul que
reelabora muchas veces sus cuestionarios en
funcin de los escenarios auditados.

Tiene claro lo que necesita saber, y por qu.

Sus cuestionarios son vitales para el trabajo de
anlisis, cruzamiento y sntesis posterior, lo cual
no quiere decir que estos servirn para la
complementacin sistemtica de sus
cuestionarios al someter al auditado a unas
preguntas estereotipadas que no conducen a
nada.
Checklist
Muy por el contrario, el auditor conversar y
har preguntas "normales", de sus Checklists.

Segn la claridad de las preguntas y el talante

del auditor, el auditado responder desde
posiciones muy distintas y con disposicin muy
variable.
Checklist
El auditor deber aplicar el Checklist de modo
que el auditado responda clara y
escuetamente. Se deber interrumpir lo menos
posible a ste, y solamente en los casos en que
las respuestas se aparten sustancialmente de
la pregunta.

Algunas de las preguntas de las Checklists

utilizadas para cada sector, deben ser
repetidas.
Checklist
Los cuestionarios o Checklists
responden fundamentalmente a
dos tipos de "filosofa" de
calificacin o evaluacin:
CHECKLIST DE RANGO
CHECKLIST BINARIA
CHECKLIST DE RANGO

Contiene preguntas que el auditor

debe puntuar dentro de un rango
preestablecido
(por ejemplo, de 1 a 5, siendo
1 la respuesta ms negativa y
5 el valor ms positivo)
CHECKLIST DE RANGO
Ejemplo de Checklist de rango:

Se supone que se est realizando una auditora

sobre la seguridad fsica de una instalacin y,
dentro de ella, se analiza el control de los
accesos de personas y cosas al Centro de
Clculo.
CHECKLIST DE RANGO
Podran formularse las preguntas que figuran a
continuacin, en donde las respuestas tiene los
siguientes significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.
CHECKLIST DE RANGO
Se figuran posibles respuestas de los
auditados.
Las preguntas deben sucederse sin que
parezcan encorsetadas ni clasificadas
previamente.
Basta con que el auditor lleve un pequeo
guin.
La calificacin del Checklist no debe realizarse
en presencia del auditado.
CHECKLIST BINARIA
Es la constituida por preguntas con respuesta
nica y excluyente:

Si o No.
Aritmticamente, equivalen a 1(uno) o 0(cero),
respectivamente.
CHECKLIST BINARIA
Ejemplo de Checklist Binaria:

Se supone que se est realizando una Revisin

de los mtodos de pruebas de programas en el
mbito de Desarrollo de Proyectos.

-Existe Normativa de que el usuario final

compruebe los resultados finales de los
programas?
<Puntuacin: 1>
CHECKLIST BINARIA
-Conoce el personal de Desarrollo la
existencia de la anterior normativa?
<Puntuacin: 1>
-Se aplica dicha norma en todos los casos?
<Puntuacin: 0>
Los Checklists de rango son adecuados si el
equipo auditor no es muy grande y mantiene
criterios uniformes y equivalentes en las
valoraciones. Permiten una mayor precisin en
la evaluacin que en los checklist binarios.
Metodologa CRMR (Evaluacin de la
gestin de recursos informticos).

La metodologa abreviada CRMR es

ms aplicable a deficiencias
organizativas y gerenciales que a
problemas de tipo tcnico, pero no
cubre cualquier rea de un Centro de
Procesos de Datos.
Metodologa CRMR (Evaluacin de la
gestin de recursos informticos).
El mtodo CRMR puede aplicarse cuando se
producen algunas de las situaciones que se
citan:
Se detecta una mala respuesta a las peticiones
y necesidades de los usuarios.
Los resultados del Centro de Procesos de Datos
no estn a disposicin de los usuarios en el
momento oportuno.
Se genera con alguna frecuencia informacin
errnea por fallos de datos o proceso.
Metodologa CRMR (Evaluacin de la
gestin de recursos informticos).
El mtodo CRMR puede aplicarse cuando
se producen algunas de las situaciones
que se citan a continuacin:
Se detecta una mala respuesta a las
peticiones y necesidades de los usuarios.
Los resultados del Centro de Procesos de
Datos no estn a disposicin de los usuarios
en el momento oportuno.
Se genera con alguna frecuencia
informacin errnea por fallos de datos o
proceso.
Metodologa CRMR (Evaluacin de la
gestin de recursos informticos).
Existen sobrecargas frecuentes de capacidad
de proceso.
Existen costes excesivos de proceso en el
Centro de Proceso de Datos.
Efectivamente, son stas y no otras las
situaciones que el auditor informtico
encuentra con mayor frecuencia.
Aunque pueden existir factores tcnicos que
causen las debilidades descritas, hay que
convenir en la mayor incidencia de fallos de
gestin.
Metodologa CRMR (Evaluacin de la
gestin de recursos informticos).
reas de aplicacin:
Las reas en que el mtodo CRMR puede ser aplicado
se corresponden con las sujetas a las condiciones de
aplicacin sealadas en el punto anterior:

Gestin de Datos.
Control de Operaciones.
Control y utilizacin de recursos materiales y
humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.
Fin