Kategorier: Alla - confirmación - datos - sistema - comparación

av Jorge Serrano för 3 årar sedan

201

ED10_JSC_171103021

En el ámbito de la auditoría de sistemas computacionales, se emplean diversas técnicas para asegurar la precisión y confiabilidad de la información evaluada. Una de las técnicas destacadas es la comparación, que permite cotejar datos de diferentes áreas o empresas con características similares, facilitando la identificación de similitudes y diferencias que pueden llevar a deducciones valiosas sobre las desviaciones encontradas.

ED10_JSC_171103021

INSTRUMENTOS Y TÉCNICAS DE RECOPILACIÓN DE DATOS

Programas para revisión por computadora
Programas de revisión elaborados por el auditor

Para utilizar esta opción, el auditor identifica los aspectos de los sistemas, de la gestión administrativa o de las bases de datos que debe revisar en el área de sistemas y establece, en forma anticipada, uno a uno los asuntos concretos que va a revisar mediante el apoyo de un sistema computacional

Programas de revisión elaborados por desarrolladores

Este tipo de programas ya se han desarrollado previamente por distribuidores y fabricantes de software, de acuerdo con una necesidad específica del mercado o para propósitos específicos; aunque también son realizados por desarrolladores de la misma empresa.

Esta herramienta tiene dos vertientes importantes; por un lado, el uso de programas específicos, previamente diseñados por desarrolladores de sistemas, con el propósito de evaluar aspectos específicos de sistemas.

Por otro lado, el diseño de programas concretos que el auditor desarrolla le permiten evaluar aspectos concretos que desea auditar, los cuales pueden ser desde aspectos netamente de sistemas, casos concretos de gestión informática, el funcionamiento interno del sistema, su arquitectura o su procesamiento de datos.

Diagrama de seguimiento de una auditoría de sistemas computacionales
Esta herramienta informática se aplica mediante un diagrama descriptivo del sistema, de tipo secuencial descendente, con sangrías significativas de izquierda a derecha, las cuales van señalando cada una de las partes que integran el aspecto de sistemas auditado, de tal manera que el auditor pueda identificarlas.
Análisis de la diagramación de sistemas
Diccionario de datos

El diccionario de datos se aplica principalmente en el desarrollo de las bases de datos de un sistema, para determinar cada uno de los campos de datos, el tipo, tamaño y descripción de los datos que contendrán dichas bases de datos.

Modelos de sistemas

Los modelos de sistemas se utilizan para tratar de interpretar una realidad acerca de las necesidades informáticas del usuario, identificando el comportamiento que tendrá el sistema a través de sus distintos procesos, actividades y componentes, mismos que el auditor puede evaluar de manera gráfica y sencilla.

Ésta es una de las principales herramientas de apoyo para el análisis y diseño de los sistemas computacionales, y es de las que más utilizan los desarrolladores de sistemas, debido a que por medio de estos diagramas el analista puede representar los flujos de información, actividades, operaciones, procesos y los demás aspectos que intervendrán en el desarrollo de los propios sistemas.
Lista de verificación
Esta herramienta consiste en la elaboración de una lista ordenada, en la cual se anotan todos los aspectos que se tienen que revisar del funcionamiento de un sistema, de sus componentes, del desarrollo de una actividad, del cumplimiento de una operación o de cualquier otro aspecto relacionado con la evaluación del área de sistemas.
Diagrama del círculo de evaluación
Con esta herramienta de apoyo para la evaluación de los sistemas computacionales se puede valorar, visualmente, el comportamiento de los aspectos de los sistemas que están siendo auditados, así como su cumplimiento y limitaciones.
Evaluación
La evaluación es una de las técnicas más comunes en cualquier tipo de auditoría y es considerada como la herramienta típica para auditar cualquier actividad, ya que permite determinar, mediante pruebas concretas, si lo cuantificado (o cualificado) es lo que se esperaba obtener de lo que se está evaluando.
Modelos de simulación
Simulación a través de modelos de metodología de sistemas

Ciclo de vida de los sistemas

Análisis del sistema actual Diseño conceptual del sistema Diseño detallado del sistema Programación Pruebas y correcciones Implantación del sistema Liberación del sistema Mantenimiento del sistema

El uso de esta técnica de simulación es indispensable para el trabajo de los desarrolladores de nuevos sistemas, ya que permite elaborar un ambiente análogo al del nuevo sistema, con el fin de estudiar su posible comportamiento.
Ponderación
La ponderación es una técnica especial de evaluación, mediante la cual se procura darle un peso específico a cada una de las partes que serán evaluadas:

Su objetivo es tratar de compensar el valor que les asignamos a las actividades o tópicos que tienen poca importancia en la evaluación, en relación con los que tienen mayor importancia.

Guías de evaluación
Estas guías son un documento formal que indica el procedimiento de evaluación que debe seguir el auditor.

Asimismo, en este instrumento se indican todos los puntos, aspectos concretos y áreas que deben ser revisados, así como las técnicas, herramientas y procedimientos que deben ser utilizados en la auditoría de sistemas computacionales.

Técnicas de evaluación aplicables en una auditoría de sistemas computacionales

Matriz DOFA
Éste es un método moderno de análisis y diagnóstico administrativo de gran utilidad para la evaluación de un centro de cómputo, debido a que no sólo permite recopilar información más versátil, sino que admite evaluar el desempeño de los sistemas computacionales.
Matriz de evaluación
La matriz de evaluación es uno de los documentos de recopilación más versátiles y de mayor utilidad para el auditor de sistemas computacionales, debido a que por medio de este documento es posible recopilar una gran cantidad de información relacionada con la actividad, operación o función que se realiza en estas áreas informáticas, así como apreciar anticipadamente el cumplimiento de dichas actividades.
Acta testimonial
El acta testimonial es un documento de carácter formal, que por su representatividad, importancia y posibles alcances de carácter legal y jurídico es uno de los documentos vitales para cualquier auditoría...

este documento no sólo sirve de testimonio para comprobar, corroborar, ratificar o evidenciar cualquier evento que ocurra durante la revisión, sino que es tal su alcance que se puede convertir en un documento de carácter legal, probatorio de alguna anomalía de tipo jurídico, penal o de cualquier otro aspecto legal.

Revisión documental
Una de las herramientas tradicionales y quizá de las más utilizadas en cualquier auditoría es la revisión de los documentos que avalan los registros de operaciones y actividades de una empresa.

Esta técnica se aplica verificando el registro correcto de datos en documentos formales de la empresa y, con mucha frecuencia, en la emisión de sus resultados financieros.

Comparación
Otra de las técnicas utilizadas en el desarrollo de cualquier auditoría es la comparación de los datos obtenidos de una área o de toda la empresa, cotejando esa información contra datos similares o iguales de un área o empresa con características semejantes.

Con la comparación de la información se pueden encontrar las similitudes y diferencias entre ambas áreas o empresas, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas.

Confirmación
Uno de los aspectos fundamentales para la credibilidad de una auditoría es la confirmación de los hechos y la certificación de los datos obtenidos durante la revisión, ya que el resultado final de una auditoría es la emisión de un dictamen en el que el auditor vierte sus opiniones; pero, para que el dictamen sea plenamente aceptado, es necesario que los datos sean veraces y confiables, y que las técnicas y métodos utilizados para la auditoría sean los adecuados.
Inspección
En la auditoría de sistemas computacionales, la técnica de inspección está relacionada con la aplicación de los exámenes que se realizan para evaluar el funcionamiento de dichos sistemas; mediante la inspección se evalúa la eficiencia y eficacia del sistema, en cuanto a operación y procesamiento de datos.
Examen
Examen del comportamiento del sistema

Esta aplicación se refiere a las pruebas que hace el auditor, e incluso el propio desarrollador de un sistema, con el propósito de saber cómo se comporta el sistema en los distintos ambientes en donde se realiza su operación normal

Examen de los resultados del sistema Pruebas de implantación Pruebas del sistema Pruebas de los programas de aplicación Pruebas del sistema operativo Pruebas de encendido del sistema Exámenes de las instalaciones del centro de cómputo

En una auditoría, el examen consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan cotidianamente en una empresa, y se aplica en un área o actividad específica o en una unidad administrativa completa.

El examen también se utiliza para evaluar los registros, planes, presupuestos, programas, controles y todos los demás aspectos que afectan la administración y control de una empresa o de las áreas que la integran.

Introducción
Debido a su probada eficiencia en otros tipos de auditorías, en la auditoría de sistemas computacionales se utilizan las herramientas tradicionales de auditoría, así como otras técnicas de valoración que permiten hacer una evaluación más eficiente de dichos sistemas o de su gestión informática.

Referencias

Libro auditoria en sistemas computacionales (Carlos Muñoz Razo) -Prentice Hall

Instrumentos de recopilación de información aplicables en una auditoría de sistemas computacionales

Experimentación
Aspectos que intervienen en la experimentación

Al hablar de experimentación, inmediatamente se le asocia con las llamadas variables, dependientes o independientes, y con las constantes, ya que ambas están íntimamente relacionadas con la investigación, no sólo para auditoría de sistemas, sino para cualquier otra área; por esta razón es fundamental conocer los aspectos que intervienen en la experimentación, mismos que presentamos a continuación.

Constante Variable Variables independientes Variable dependiente Variables recurrentes Variables ajenas Variables discretas Causalidad Temporalidad Control de los factores de causalidad Variaciones concomitantes Comparabilidad Fuentes de invalidación Factores ambientales Medición Instrumentación Maduración Regresión Selección Deserción Diseño

Experimentaciones cruciales

Este tipo de experimentación pone a prueba algunas de las suposiciones planteadas en el programa de auditoría, las cuales se supone que son los aspectos relevantes del ambiente de sistemas que será evaluado, por lo tanto, se tienen que comprobar dichas suposiciones por medio de experimentaciones que son cruciales para el desarrollo del propio sistema

Experimentos confirmatorios

Mediante los experimentos confirmatorios se pueden corroborar o desmentir las sospechas de desviaciones que dieron origen a la realización de la auditoría, así como confirmar la presencia de desviaciones cuando se hacen cambios en el comportamiento normal del ámbito de sistemas evaluado.

Experimentos exploratorios

Son los experimentos cuyo objetivo fundamental no es demostrar una suposición del comportamiento del fenómeno o sistema en evaluación (hipótesis), sino investigar si las técnicas, métodos y procedimientos que serán usados serán útiles para llevar a cabo una evaluación correcta y para contemplar el comportamiento de los fenómenos en estudio

Ésta es una de las herramientas más utilizadas en cualquier tipo de auditoría y una de las que más ayudan al auditor a recopilar la información que requiere para realizar una auditoría de sistemas
Muestreo
Elección de una muestra en una auditoría de sistemas

El primer paso para aplicar la técnica del muestreo es saber seleccionar el tipo de muestra que servirá para hacer el estudio, la cual dependerá del tipo de muestreo que será aplicado. En el caso de la auditoría de sistemas, se debe tomar en cuenta que tanto el universo como la muestra son elegidos de acuerdo con lo que se quiere evaluar.

Procedimiento general para definir la recopilación de información mediante el uso de una muestra

Para obtener estadísticamente la información en una auditoría de sistemas computacionales, se debe emplear un método específico para determinar el universo donde se realizará la recopilación de información y elegir la muestra que será utilizada.

Difundir los resultados

Interpretar los datos obtenidos

Tabular los datos

Recopilar la información

Definir las herramientas de recopilación de datos

Determinar el universo, la población y la muestra

Definir el tipo de investigación que se va realizar

Es obvio que sería imposible y a la vez inoperante que un auditor se pusiera a revisar todas las actividades, transacciones y procesamientos de datos que se realizan cotidianamente en el centro de información de una empresa, sin embargo, para emitir una opinión fundamentada sobre el funcionamiento de esas operaciones, es necesario evaluarlas.
Inventarios
Inventario de inmuebles, instalaciones, mobiliario y equipos de sistemas

ste es un inventario de carácter muy general, y bien podría pertenecer a otro tipo de auditoría, principalmente contable

Inventario de documentos

Inventario de documentos técnicos para el sistema

Inventario de documentos administrativos

Inventario de consumibles

Otro de los inventarios que se debe realizar en una auditoría de sistemas computaciona les es el inventario físico de todos los materiales que se consumen en el área de sistemas, a fin de conocer, valorar y resguardar todos los materiales que contribuyen al desarrollo de las actividades necesarias para el procesamiento de información de la empresa.

Registros existentes del inventario del hardware

Una vez realizado el inventario físico del hardware, el siguiente paso es realizar la revisión documentada del mismo; el hardware debe estar registrado en los documentos formales de la empresa, ya sea en los registros contables, facturas o en cualquier otro registro que avale que es propiedad de la institución.

Inventario físico del hardware

Es el recuento físico de todos los sistemas computacionales instalados en el área de sistemas, o de todos los equipos para el procesamiento de información disponibles en las demás áreas de la institución que cuentan con sistemas computacionales

Inventario del hardware

Otro de los aspectos fundamentales que debe ser considerado en una auditoría de sistemas es el inventario de los sistemas computacionales y de sus componentes y periféricos físicos utilizados en la institución para la captura de datos, el procesamiento de la información y la emisión de sus resultados.

Registros existentes del inventario del software

Una vez realizado el inventario físico del software, el siguiente paso es realizar la revisión documentada del mismo; el software debe estar registrado en los documentos formales de la empresa, ya sea en los registros contables, facturas o en cualquier otro registro que avale que es propiedad de la empresa, así como el derecho de uso y explotación de los sistemas adquiridos de terceros o de los desarrollados en la empresa.

Inventario físico del software

Es el recuento físico, diríamos lógico, de todos los programas de aplicación, sistemas operativos, paqueterías, lenguajes y demás software instalado en los sistemas computacionales de la empresa

Inventario del software

Uno de los documentos fundamentales para una auditoría de sistemas es el inventario de programas, lenguajes, paqueterías, sistemas operativos y cualquier otro software utilizado en la institución para el procesamiento de su información y la operación de sus sistemas computacionales.

Esta forma de recopilación de información consiste en hacer un recuento físico de lo que se está auditando, a fin de saber la cantidad existente de algún producto en una fecha determinada y compararla con la que debería haber según los documentos en esa misma fecha.
Observación
Observación natural

En esta observación, a diferencia de la anterior, el observador (auditor) sólo propone las variaciones que va a estudiar, pero no las manipula de ninguna manera, ya que sólo busca observar la conducta, los resultados y características del fenómeno en estudio, pero en su ambiente natural, con sus propias variaciones, sin alterarlas voluntaria o involuntariamente.

Observación controlada

En este tipo de observación, el observador (auditor) tiene libre acceso para manipular, de manera controlada, las variables que afectan al fenómeno estudiado (procesamiento del sistema, programas, paqueterías, forma de realizar las operaciones, etc.), a fin de analizar los cambios de conducta, los resultados y las características que se presentan al variar esas condiciones.

Observación histórica

Este tipo de observación se basa en el registro de los hechos pasados, a fin de analizarlos y proyectar hacia el futuro los resultados obtenidos, además, el observador (auditor) inspecciona los registros de operaciones y actividades pasadas, históricas, para estudiar su comportamiento pasado.

Observación no participativa

En ésta, el observador (auditor) evita participar en el fenómeno bajo estudio (el sistema o la gestión informática), a fin de no impactar o contaminar con su presencia el comportamiento, características y desenvolvimiento normal del fenómeno observado.

Observación participativa

En este tipo de observación, el observador (auditor) tiene la oportunidad de formar parte del fenómeno observado (del sistema o la gestión informática) como si fuera un integrante del mismo.

Observación oculta

Es cuando el observador (auditor), por las necesidades propias de la evaluación, permanece oculto para observar el fenómeno que está auditando (sistema o gestión informática), sin que los involucrados noten su presencia

Observación indirecta

Es la observación del hecho (gestión informática) o fenómeno (sistema) en estudio, pero sin que el observador (auditor) entre en contacto directo con el aspecto observado, sino que lo examina por medios indirectos, ya sea por referencias o comparaciones

Observación directa

Es la inspección hecha directamente en el contexto donde se presenta el hecho o fenómeno observado, a fin de contemplar todos los aspectos inherentes al comportamiento, conducta y características de ese ambiente.

Una de las técnicas más populares, de mayor impacto y más utilizadas para examinar los diferentes aspectos que repercuten en el funcionamiento del área de informática o del propio sistema, es la aplicación de diversas técnicas y métodos de observación que permiten recolectar directamente la información necesaria sobre el comportamiento del sistema, del área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de cualquier otro hecho, acción o fenómeno del ámbito de sistemas.
Encuestas
Clasificación de la encuesta por la forma de participación de los encuestados

Esta clasificación permite desarrollar un tipo especial de obtención de información, la cual se concentra sobre un objetivo específico, de acuerdo con lo que el auditor quiera analizar; a continuación presentamos algunos ejemplos.

Encuestas de investigación

Encuestas de confirmación

Encuestas de libre albedrío

Encuestas de análisis

Encuestas de panel

Clasificación de la encuesta por la forma de manejar la información

Esta clasificación se hace tomando en cuenta la forma de manejar las opiniones y comentarios de los encuestados, debido a que se busca ligar la forma de compilar los datos con la forma de comprobar su veracidad, oportunidad y suficiencia, así como la forma de establecer un método confiable para accesar la información en forma más congruente.

Encuestas de candado

Encuestas transversales

Encuestas unidas

Clasificación de las encuestas por el universo que abarcan

Encuestas de grupo

Encuestas individuales

Clasificación de la encuesta por la forma de realizarla

Encuestas dirigidas

Son las encuestas en donde un auditor induce al encuestado para que centre sus opiniones y comentarios hacia temas concretos sobre la evaluación, sin embargo, este tipo de encuestas no se debe confundir con encuestas manipuladas.

Clasificación de la encuesta por la forma de obtener la información

Encuestas mixtas

Encuestas verbales

Encuestas escritas

Las encuestas constituyen otra de las técnicas más populares y de mayor uso en una auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones sobre aspectos de la informática tales como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, la oportunidad de la presentación de los resultados, entre otros juicios sobre la función informática.
Cuestionarios
Ventajas y desventajas de los cuestionarios

Desventajas

Pueden provocar la obtención de datos equivocados si se formulan deficientemente las preguntas, si se distorsionan o si se utilizan términos ilegibles, poco usados o estereotipados.

Se necesita una buena elección del universo y de las muestras utilizadas.

Falta de profundidad en las respuestas y no se puede ir más allá del cuestionario.

Ventajas

Por su diseño, los cuestionarios son muy rápidos de aplicar y ayudan a captar mucha información en poco tiempo.

Evitan la dispersión de la información requerida, al concentrarse en preguntas de elección forzosa.

Permiten la rápida tabulación e interpretación de los datos, proporcionándoles la confiabilidad requerida.

Facilitan la recopilación de información y no se necesitan muchas explicaciones ni una gran preparación para aplicarlos.

Tipos de preguntas

Preguntas matriz

Preguntas testigo

Gradación (preguntas de grados opuestos)

Preguntas de opción de rangos o grupos

Preguntas de opción múltiple

Preguntas tricotómicas

Preguntas dicotómicas

Los cuestionarios son una de las formas de recopilación de información de mayor utilidad para el auditor

Es la recopilación de datos mediante preguntas impresas en cédulas o fichas, en las que el encuestado responde de acuerdo con su criterio; de esta manera, el auditor obtiene información útil que puede concentrar, clasificar e interpretar por medio de su tabulación y análisis, para evaluar lo que está auditando y emitir una opinión sobre el aspecto investigado.

Entrevistas
Formas de recopilar la información en las entrevistas de auditoría

Captar lo esencial sin notas

Una de las formas más utilizadas de captar información en la auditoría de sistemas es sin tomar notas en forma directa, o cuando menos sin que sea tan evidente como en el caso anterior

Tomar notas

Otra de las modalidades más socorridas para recopilar información en una entrevista es recopilar los datos tomando notas en forma directa, es decir, cuando el auditor toma notas personalmente de lo que dice el auditado.

Entrevistas grabadas

En estas entrevistas se hace la recopilación de la información por medio de algún instrumento electromagnético o de video, a fin de registrar todos los detalles de la entrevista, para posteriormente hacer un análisis de las aportaciones que hace el entrevistado.

Formas de realizar una entrevista para una auditoría de sistemas

Entrevistas tipo reloj de arena

El auditor inicia las entrevistas de este tipo con preguntas de carácter general (abiertas), y conforme avanza la plática, va haciendo preguntas más concretas (cerradas) enfocadas hacia temas que sean de su interés.

Entrevistas tipo diamante

El auditor inicia este tipo de entrevistas con preguntas cerradas enfocadas hacia un tópico que le interesa, y conforme avanza la entrevista dirige las preguntas hacia cuestiones más abiertas.

Entrevistas tipo pirámide

Estas entrevistas también son fundamentales para recopilar información en la auditoría de sistemas, pero se estructuran en forma inversa a la anterior, es decir, inician con preguntas cerradas (concretas) y conforme avanza la charla se van haciendo las preguntas de carácter general con las cuales se obtiene abundante información.

Entrevistas tipo embudo

El auditor inicia este tipo de entrevistas con preguntas de carácter general (abiertas), y conforme avanza la plática va haciendo preguntas más concretas (cerradas), enfocadas hacia el tema que le interesa.

En este tipo de entrevistas se requiere cierta habilidad y experiencia por parte del auditor, debido a que siempre las debe iniciar con preguntas de carácter general, si es posible alejadas del tema central.

Tipos de preguntas para entrevistas

Preguntas mixtas

Preguntas de cierre

Preguntas de sondeo

Preguntas cerradas

Preguntas abiertas

Tipos de entrevistas para una auditoría

Entrevistas informales

Estas entrevistas son de suma importancia aunque propiamente no sean entrevistas de trabajo, ya que cuando el auditor las aplica de manera correcta, le ayudan a conocer algún tipo de problemática que sólo se expresa cuando no existe la presión de una entrevista formal como las indicadas anteriormente.

Entrevistas de información

En la metodología propuesta para desarrollar una auditoría de sistemas hablamos de la necesidad de comentar las observaciones con los auditados o con los funcionarios responsables del área de sistemas, según sea el caso; para eso se utiliza este tipo de entrevistas, para que el auditor comente cada una de las desviaciones que reporta en su informe, y con ello obtiene información valiosa del entrevistado.

Entrevistas de comprobación

Estas entrevistas son de mucha utilidad para el auditor, ya que se realizan para comprobar la veracidad de la información recopilada durante la evaluación y permiten corroborar o rectificar los datos y percepciones sobre las observaciones encontradas con las pruebas e instrumentos aplicados en la auditoría

Entrevistas de exploración

Las entrevistas de exploración se hacen con la intención de familiarizar al auditor con los sistemas que va a evaluar, debido a que existen muchos tipos de sistemas, programas y paqueterías, utilizados en una institución de acuerdo con sus necesidades específicas

Entrevistas dirigidas

En estas entrevistas siempre se dirigen las opiniones del entrevistado, forzando sus respuestas dentro de un parámetro o guión preestablecido, sin admitir ni permitir ninguna variación significativa.

Entrevistas libres

Son las entrevistas en las que se sigue un guión básico para obtener la información requerida, pero la participación del entrevistado es libre y sin ninguna atadura.

Ciclo de la entrevista de auditoría

Cierre

Ésta es la parte final de la entrevista, en donde el auditor proporciona una absoluta libertad al entrevistado por si puede o quiere agregar algo que le permita complementar los datos antes recopilados

Cima o clímax

Ésta es la parte de la entrevista en donde el auditor, con base en su habilidad y experiencia, obtiene la información medular para la investigación, la cual se va propiciando conforme el tema objeto de la entrevista adquiere mayor interés

Apertura

También conocida como el inicio formal de la entrevista o despertar el interés del entrevistado, es la parte donde el auditor inicia formalmente su interrogatorio, con preguntas breves, simples y de sondeo, sin profundizar sobre algún tema en especial

Inicio

Aquí es donde se inicia la entrevista, a través de una breve presentación con la cual se busca romper el hielo, y con una corta explicación del objetivo de la entrevista

Una de las técnicas más utilizada por los auditores es la entrevista, ya que a través de ésta obtienen información sobre lo que auditará; además, bien aplicada, les permite obtener guías que serán importantes para su trabajo, e incluso, muchas veces se entera de tips que le permitirán conocer más sobre los puntos que puede evaluar o debe analizar y mucha más información.