TEMA 4. Auditoría de Sistemas

Transcripción

1 TEMA 4 Auditoría de Sistemas Herramientas y Técnicas 4.1 Motivación Las auditoría informáticas se materializan recabando información y documentación de todo tipo. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Para llevar a cabo la auditoría informática, existen diversas técnicas y herramientas de apoyo a estas funciones. Víctor Valenzuela R. Auditoría Computacional 2

2 4.2 Técnicas de Auditoría Dentro de las técnicas más comunes están: Cuestionarios Entrevistas Listas de Verificación (Checklist) Trazas y/o Huellas Víctor Valenzuela R. Auditoría Computacional Cuestionarios Una de las técnicas más utilizadas para recabar información son los cuestionarios, que incluyen una serie de preguntas especialmente preparadas. Estos documentos preimpresos se envían a las personas que el auditor cree adecuadas, y se elaboran en función de los escenarios auditados. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. Víctor Valenzuela R. Auditoría Computacional 4

3 Ejemplo de Cuestionario Son las funciones de control realizadas por personal diferente a programadores y operadores? Están las funciones y responsabilidades de los operadores y programadores claramente definidas y diferenciadas? Existen procedimientos estándares de documentación? Se ha establecido algún lugar de procesamiento alternativo en la eventualidad de problemas de equipo? Se mantienen copias de los archivos y programas importantes en otro lugar a prueba de fuego? Está controlado el acceso de personas a la sala del equipo computacional? Víctor Valenzuela R. Auditoría Computacional Entrevistas Las entrevistas son una de las actividades personales más importantes del auditor; en ellas se recoge más información y mejor matizada, que la proporcionada por propios medios puramente técnicos o por las respuestas escritas a cuestionarios. La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio. Víctor Valenzuela R. Auditoría Computacional 6

4 4.2.3 Listas de Verificación Las listas de verificación o checklists son un conjunto de preguntas muy estudiadas que se formulan flexiblemente, y que salvo excepciones, son contestadas oralmente. Las checklists pueden ser de dos tipos: Checklist de rango Checklist binaria Víctor Valenzuela R. Auditoría Computacional 7 A. Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y 5 el valor más positivo). Ejemplo: El control de acceso de personas y materiales a las instalaciones del Centro de Informática es: 1. Muy deficiente 2. Deficiente 3. Mejorable 4. Aceptable 5. Correcto Víctor Valenzuela R. Auditoría Computacional 8

5 B. Checklist Binaria Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1 (uno) o 0 (cero), respectivamente. Ejemplo: El personal de desarrollo conoce la normativa de revisión de programas: 1. Si 2. No Víctor Valenzuela R. Auditoría Computacional 9 Comentarios Las checklists de rangos son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes equivalentes en las valoraciones. Permiten mayor precisión en la evaluación que la checklist binaria. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor. Víctor Valenzuela R. Auditoría Computacional 10

6 Comentarios (cont.) Las checklists binarias siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del Si o No frente a la mayor riqueza del intervalo. No existen checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesario los retoques de adaptación correspondientes en las preguntas a realizar. Víctor Valenzuela R. Auditoría Computacional Trazas y/o Huellas Con frecuencia, el auditor informático debe verificar que los programas, tanto de los sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos de software que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Estas trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el sistema. Víctor Valenzuela R. Auditoría Computacional 12

7 4.2.4 Trazas y/o Huellas (cont.( cont.) No obstante la utilidad de las trazas, el auditor informática emplea preferentemente la amplia información que proporciona el propio sistema. Por ejemplo: archivos de accounting o contabilidad y los archivos log de dichos sistemas. La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los cálculos de nóminas de remuneraciones, impuestos legales, etc. Víctor Valenzuela R. Auditoría Computacional Herramientas de Auditoría Paquetes de auditoría Estándares Simuladores (generadores de datos) Monitores Matrices de riesgos Víctor Valenzuela R. Auditoría Computacional 14