av Jorge Serrano för 3 årar sedan
201
Mer av detta
Para utilizar esta opción, el auditor identifica los aspectos de los sistemas, de la gestión administrativa o de las bases de datos que debe revisar en el área de sistemas y establece, en forma anticipada, uno a uno los asuntos concretos que va a revisar mediante el apoyo de un sistema computacional
Este tipo de programas ya se han desarrollado previamente por distribuidores y fabricantes de software, de acuerdo con una necesidad específica del mercado o para propósitos específicos; aunque también son realizados por desarrolladores de la misma empresa.
Por otro lado, el diseño de programas concretos que el auditor desarrolla le permiten evaluar aspectos concretos que desea auditar, los cuales pueden ser desde aspectos netamente de sistemas, casos concretos de gestión informática, el funcionamiento interno del sistema, su arquitectura o su procesamiento de datos.
El diccionario de datos se aplica principalmente en el desarrollo de las bases de datos de un sistema, para determinar cada uno de los campos de datos, el tipo, tamaño y descripción de los datos que contendrán dichas bases de datos.
Los modelos de sistemas se utilizan para tratar de interpretar una realidad acerca de las necesidades informáticas del usuario, identificando el comportamiento que tendrá el sistema a través de sus distintos procesos, actividades y componentes, mismos que el auditor puede evaluar de manera gráfica y sencilla.
Ciclo de vida de los sistemas
Análisis del sistema actual Diseño conceptual del sistema Diseño detallado del sistema Programación Pruebas y correcciones Implantación del sistema Liberación del sistema Mantenimiento del sistema
Su objetivo es tratar de compensar el valor que les asignamos a las actividades o tópicos que tienen poca importancia en la evaluación, en relación con los que tienen mayor importancia.
Asimismo, en este instrumento se indican todos los puntos, aspectos concretos y áreas que deben ser revisados, así como las técnicas, herramientas y procedimientos que deben ser utilizados en la auditoría de sistemas computacionales.
este documento no sólo sirve de testimonio para comprobar, corroborar, ratificar o evidenciar cualquier evento que ocurra durante la revisión, sino que es tal su alcance que se puede convertir en un documento de carácter legal, probatorio de alguna anomalía de tipo jurídico, penal o de cualquier otro aspecto legal.
Esta técnica se aplica verificando el registro correcto de datos en documentos formales de la empresa y, con mucha frecuencia, en la emisión de sus resultados financieros.
Con la comparación de la información se pueden encontrar las similitudes y diferencias entre ambas áreas o empresas, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas.
Esta aplicación se refiere a las pruebas que hace el auditor, e incluso el propio desarrollador de un sistema, con el propósito de saber cómo se comporta el sistema en los distintos ambientes en donde se realiza su operación normal
Examen de los resultados del sistema Pruebas de implantación Pruebas del sistema Pruebas de los programas de aplicación Pruebas del sistema operativo Pruebas de encendido del sistema Exámenes de las instalaciones del centro de cómputo
El examen también se utiliza para evaluar los registros, planes, presupuestos, programas, controles y todos los demás aspectos que afectan la administración y control de una empresa o de las áreas que la integran.
Al hablar de experimentación, inmediatamente se le asocia con las llamadas variables, dependientes o independientes, y con las constantes, ya que ambas están íntimamente relacionadas con la investigación, no sólo para auditoría de sistemas, sino para cualquier otra área; por esta razón es fundamental conocer los aspectos que intervienen en la experimentación, mismos que presentamos a continuación.
Constante Variable Variables independientes Variable dependiente Variables recurrentes Variables ajenas Variables discretas Causalidad Temporalidad Control de los factores de causalidad Variaciones concomitantes Comparabilidad Fuentes de invalidación Factores ambientales Medición Instrumentación Maduración Regresión Selección Deserción Diseño
Este tipo de experimentación pone a prueba algunas de las suposiciones planteadas en el programa de auditoría, las cuales se supone que son los aspectos relevantes del ambiente de sistemas que será evaluado, por lo tanto, se tienen que comprobar dichas suposiciones por medio de experimentaciones que son cruciales para el desarrollo del propio sistema
Mediante los experimentos confirmatorios se pueden corroborar o desmentir las sospechas de desviaciones que dieron origen a la realización de la auditoría, así como confirmar la presencia de desviaciones cuando se hacen cambios en el comportamiento normal del ámbito de sistemas evaluado.
Son los experimentos cuyo objetivo fundamental no es demostrar una suposición del comportamiento del fenómeno o sistema en evaluación (hipótesis), sino investigar si las técnicas, métodos y procedimientos que serán usados serán útiles para llevar a cabo una evaluación correcta y para contemplar el comportamiento de los fenómenos en estudio
El primer paso para aplicar la técnica del muestreo es saber seleccionar el tipo de muestra que servirá para hacer el estudio, la cual dependerá del tipo de muestreo que será aplicado. En el caso de la auditoría de sistemas, se debe tomar en cuenta que tanto el universo como la muestra son elegidos de acuerdo con lo que se quiere evaluar.
Para obtener estadísticamente la información en una auditoría de sistemas computacionales, se debe emplear un método específico para determinar el universo donde se realizará la recopilación de información y elegir la muestra que será utilizada.
Difundir los resultados
Interpretar los datos obtenidos
Tabular los datos
Recopilar la información
Definir las herramientas de recopilación de datos
Determinar el universo, la población y la muestra
Definir el tipo de investigación que se va realizar
ste es un inventario de carácter muy general, y bien podría pertenecer a otro tipo de auditoría, principalmente contable
Inventario de documentos técnicos para el sistema
Inventario de documentos administrativos
Otro de los inventarios que se debe realizar en una auditoría de sistemas computaciona les es el inventario físico de todos los materiales que se consumen en el área de sistemas, a fin de conocer, valorar y resguardar todos los materiales que contribuyen al desarrollo de las actividades necesarias para el procesamiento de información de la empresa.
Una vez realizado el inventario físico del hardware, el siguiente paso es realizar la revisión documentada del mismo; el hardware debe estar registrado en los documentos formales de la empresa, ya sea en los registros contables, facturas o en cualquier otro registro que avale que es propiedad de la institución.
Es el recuento físico de todos los sistemas computacionales instalados en el área de sistemas, o de todos los equipos para el procesamiento de información disponibles en las demás áreas de la institución que cuentan con sistemas computacionales
Otro de los aspectos fundamentales que debe ser considerado en una auditoría de sistemas es el inventario de los sistemas computacionales y de sus componentes y periféricos físicos utilizados en la institución para la captura de datos, el procesamiento de la información y la emisión de sus resultados.
Una vez realizado el inventario físico del software, el siguiente paso es realizar la revisión documentada del mismo; el software debe estar registrado en los documentos formales de la empresa, ya sea en los registros contables, facturas o en cualquier otro registro que avale que es propiedad de la empresa, así como el derecho de uso y explotación de los sistemas adquiridos de terceros o de los desarrollados en la empresa.
Es el recuento físico, diríamos lógico, de todos los programas de aplicación, sistemas operativos, paqueterías, lenguajes y demás software instalado en los sistemas computacionales de la empresa
Uno de los documentos fundamentales para una auditoría de sistemas es el inventario de programas, lenguajes, paqueterías, sistemas operativos y cualquier otro software utilizado en la institución para el procesamiento de su información y la operación de sus sistemas computacionales.
En esta observación, a diferencia de la anterior, el observador (auditor) sólo propone las variaciones que va a estudiar, pero no las manipula de ninguna manera, ya que sólo busca observar la conducta, los resultados y características del fenómeno en estudio, pero en su ambiente natural, con sus propias variaciones, sin alterarlas voluntaria o involuntariamente.
En este tipo de observación, el observador (auditor) tiene libre acceso para manipular, de manera controlada, las variables que afectan al fenómeno estudiado (procesamiento del sistema, programas, paqueterías, forma de realizar las operaciones, etc.), a fin de analizar los cambios de conducta, los resultados y las características que se presentan al variar esas condiciones.
Este tipo de observación se basa en el registro de los hechos pasados, a fin de analizarlos y proyectar hacia el futuro los resultados obtenidos, además, el observador (auditor) inspecciona los registros de operaciones y actividades pasadas, históricas, para estudiar su comportamiento pasado.
En ésta, el observador (auditor) evita participar en el fenómeno bajo estudio (el sistema o la gestión informática), a fin de no impactar o contaminar con su presencia el comportamiento, características y desenvolvimiento normal del fenómeno observado.
En este tipo de observación, el observador (auditor) tiene la oportunidad de formar parte del fenómeno observado (del sistema o la gestión informática) como si fuera un integrante del mismo.
Es cuando el observador (auditor), por las necesidades propias de la evaluación, permanece oculto para observar el fenómeno que está auditando (sistema o gestión informática), sin que los involucrados noten su presencia
Es la observación del hecho (gestión informática) o fenómeno (sistema) en estudio, pero sin que el observador (auditor) entre en contacto directo con el aspecto observado, sino que lo examina por medios indirectos, ya sea por referencias o comparaciones
Es la inspección hecha directamente en el contexto donde se presenta el hecho o fenómeno observado, a fin de contemplar todos los aspectos inherentes al comportamiento, conducta y características de ese ambiente.
Esta clasificación permite desarrollar un tipo especial de obtención de información, la cual se concentra sobre un objetivo específico, de acuerdo con lo que el auditor quiera analizar; a continuación presentamos algunos ejemplos.
Encuestas de investigación
Encuestas de confirmación
Encuestas de libre albedrío
Encuestas de análisis
Encuestas de panel
Esta clasificación se hace tomando en cuenta la forma de manejar las opiniones y comentarios de los encuestados, debido a que se busca ligar la forma de compilar los datos con la forma de comprobar su veracidad, oportunidad y suficiencia, así como la forma de establecer un método confiable para accesar la información en forma más congruente.
Encuestas de candado
Encuestas transversales
Encuestas unidas
Encuestas de grupo
Encuestas individuales
Encuestas dirigidas
Son las encuestas en donde un auditor induce al encuestado para que centre sus opiniones y comentarios hacia temas concretos sobre la evaluación, sin embargo, este tipo de encuestas no se debe confundir con encuestas manipuladas.
Encuestas mixtas
Encuestas verbales
Encuestas escritas
Desventajas
Pueden provocar la obtención de datos equivocados si se formulan deficientemente las preguntas, si se distorsionan o si se utilizan términos ilegibles, poco usados o estereotipados.
Se necesita una buena elección del universo y de las muestras utilizadas.
Falta de profundidad en las respuestas y no se puede ir más allá del cuestionario.
Ventajas
Por su diseño, los cuestionarios son muy rápidos de aplicar y ayudan a captar mucha información en poco tiempo.
Evitan la dispersión de la información requerida, al concentrarse en preguntas de elección forzosa.
Permiten la rápida tabulación e interpretación de los datos, proporcionándoles la confiabilidad requerida.
Facilitan la recopilación de información y no se necesitan muchas explicaciones ni una gran preparación para aplicarlos.
Preguntas matriz
Preguntas testigo
Gradación (preguntas de grados opuestos)
Preguntas de opción de rangos o grupos
Preguntas de opción múltiple
Preguntas tricotómicas
Preguntas dicotómicas
Es la recopilación de datos mediante preguntas impresas en cédulas o fichas, en las que el encuestado responde de acuerdo con su criterio; de esta manera, el auditor obtiene información útil que puede concentrar, clasificar e interpretar por medio de su tabulación y análisis, para evaluar lo que está auditando y emitir una opinión sobre el aspecto investigado.
Captar lo esencial sin notas
Una de las formas más utilizadas de captar información en la auditoría de sistemas es sin tomar notas en forma directa, o cuando menos sin que sea tan evidente como en el caso anterior
Tomar notas
Otra de las modalidades más socorridas para recopilar información en una entrevista es recopilar los datos tomando notas en forma directa, es decir, cuando el auditor toma notas personalmente de lo que dice el auditado.
Entrevistas grabadas
En estas entrevistas se hace la recopilación de la información por medio de algún instrumento electromagnético o de video, a fin de registrar todos los detalles de la entrevista, para posteriormente hacer un análisis de las aportaciones que hace el entrevistado.
Entrevistas tipo reloj de arena
El auditor inicia las entrevistas de este tipo con preguntas de carácter general (abiertas), y conforme avanza la plática, va haciendo preguntas más concretas (cerradas) enfocadas hacia temas que sean de su interés.
Entrevistas tipo diamante
El auditor inicia este tipo de entrevistas con preguntas cerradas enfocadas hacia un tópico que le interesa, y conforme avanza la entrevista dirige las preguntas hacia cuestiones más abiertas.
Entrevistas tipo pirámide
Estas entrevistas también son fundamentales para recopilar información en la auditoría de sistemas, pero se estructuran en forma inversa a la anterior, es decir, inician con preguntas cerradas (concretas) y conforme avanza la charla se van haciendo las preguntas de carácter general con las cuales se obtiene abundante información.
Entrevistas tipo embudo
El auditor inicia este tipo de entrevistas con preguntas de carácter general (abiertas), y conforme avanza la plática va haciendo preguntas más concretas (cerradas), enfocadas hacia el tema que le interesa.
En este tipo de entrevistas se requiere cierta habilidad y experiencia por parte del auditor, debido a que siempre las debe iniciar con preguntas de carácter general, si es posible alejadas del tema central.
Preguntas mixtas
Preguntas de cierre
Preguntas de sondeo
Preguntas cerradas
Preguntas abiertas
Entrevistas informales
Estas entrevistas son de suma importancia aunque propiamente no sean entrevistas de trabajo, ya que cuando el auditor las aplica de manera correcta, le ayudan a conocer algún tipo de problemática que sólo se expresa cuando no existe la presión de una entrevista formal como las indicadas anteriormente.
Entrevistas de información
En la metodología propuesta para desarrollar una auditoría de sistemas hablamos de la necesidad de comentar las observaciones con los auditados o con los funcionarios responsables del área de sistemas, según sea el caso; para eso se utiliza este tipo de entrevistas, para que el auditor comente cada una de las desviaciones que reporta en su informe, y con ello obtiene información valiosa del entrevistado.
Entrevistas de comprobación
Estas entrevistas son de mucha utilidad para el auditor, ya que se realizan para comprobar la veracidad de la información recopilada durante la evaluación y permiten corroborar o rectificar los datos y percepciones sobre las observaciones encontradas con las pruebas e instrumentos aplicados en la auditoría
Entrevistas de exploración
Las entrevistas de exploración se hacen con la intención de familiarizar al auditor con los sistemas que va a evaluar, debido a que existen muchos tipos de sistemas, programas y paqueterías, utilizados en una institución de acuerdo con sus necesidades específicas
Entrevistas dirigidas
En estas entrevistas siempre se dirigen las opiniones del entrevistado, forzando sus respuestas dentro de un parámetro o guión preestablecido, sin admitir ni permitir ninguna variación significativa.
Entrevistas libres
Son las entrevistas en las que se sigue un guión básico para obtener la información requerida, pero la participación del entrevistado es libre y sin ninguna atadura.
Cierre
Ésta es la parte final de la entrevista, en donde el auditor proporciona una absoluta libertad al entrevistado por si puede o quiere agregar algo que le permita complementar los datos antes recopilados
Cima o clímax
Ésta es la parte de la entrevista en donde el auditor, con base en su habilidad y experiencia, obtiene la información medular para la investigación, la cual se va propiciando conforme el tema objeto de la entrevista adquiere mayor interés
Apertura
También conocida como el inicio formal de la entrevista o despertar el interés del entrevistado, es la parte donde el auditor inicia formalmente su interrogatorio, con preguntas breves, simples y de sondeo, sin profundizar sobre algún tema en especial
Inicio
Aquí es donde se inicia la entrevista, a través de una breve presentación con la cual se busca romper el hielo, y con una corta explicación del objetivo de la entrevista