• Cuestionarios
Es un Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.
Características:
Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.
.
.
Por otra parte los cuestionario tiene la
gran ventaja de que puede recopilar una gran cantidad de información, debido a
que contiene preguntas sencillas cuyas respuestas no
implican ninguna dificultad;
además, como en otros métodos, su aplicación es de carácter impersonal y libre de influencias
y compromisos para el entrevistado. También tiene la ventaja de poder
seleccionar los tipos de preguntas que se deben realizar, los cuales señalaremos a
continuación.
Preguntas
abiertas
Son las preguntas
donde el encuestado es libre de responder de acuerdo con su criterio,o en las que tiene
múltiples opciones para responder sin ninguna limitación, ni en tamaño ni en
profundidad y le permiten que la expresión de sus ideas y opiniones fluya sin
limitaciones.
La ventaja de este
tipo de preguntas es que se puede obtener más información de la esperada; también
dejan abierta la posibilidad de profundizar sobre tópicos no contemplados inicialmente,
aunque tienen la desventaja de que dificultan la tabulación de los datos, e incluso
pueden provocar que se desvíe la atención del encuestado.
Estas preguntas son
de mucha utilidad en una auditoría de sistemas computacionales, principalmente para
iniciar la recopilación de información, debido a que se obtiene mucha información,
aunque se corre el riesgo de desviar la atención hacia temas ajenos al objeto de
la auditoría.
No hay un formato
específico para este tipo de preguntas; por esta razón, el auditor de sistemas puede
emplear libremente la forma de preguntas abiertas que le sea útil, de acuerdo con
sus necesidades de información.
Preguntas
cerradas
Con este tipo de
preguntas el encuestado tiene la oportunidad de elegir la respuesta que sea acorde con su
opinión de entre las opciones presentadas. Hay varias formas de preguntas
cerradas, entre las cuales tenemos las siguientes.
Preguntas
dicotómicas
Estas preguntas sólo
tienen dos posibles respuestas, que por lo general son opuestas entre sí, por
ejemplo:
( ) Sí ( ) No
( ) Masculino ( )
Femenino
( ) Presente ( )
Ausente
( ) Hardware ( )
Software
Preguntas
tricotómicas
Son aquellas que
tienen tres opciones de respuesta, por ejemplo:
( ) Sí ( ) No ( ) Sin
respuesta
( ) Redes ( ) Equipo
mayor ( ) PCs
¿Cuál es su
nivel de responsabilidad en el centro de cómputo?
( ) Operador ( )
Líder de proyecto ( ) Gerente
Preguntas de
opción múltiple
También conocidas
como preguntas peine o ítems,
presentan
varias respuestas de entre las que se puede
elegir sólo una; por lo general, estos ítems tienen una gama de respuestas que varían
de un extremo a otro, por ejemplo:
Elija la
respuesta marcando con una “x”
Soltero ( ) Excelente
( ) Empleado ( )
Divorciado ( ) Bueno
( ) Usuario ( )
Viudo ( ) Regular ( )
Proveedor ( )
Unión libre ( ) Malo
( ) Asesor ( )
Casado ( ) Deficiente
( ) Directivo ( )
Preguntas de
opción de rangos o grupos
Son las preguntas
cuyas respuestas se encuentran comprendidas en ciertos rangos o grupos, dentro
de los cuales el encuestado puede elegir sólo una de las respuestas, por ejemplo:
Elija su
tiempo de trabajo en computadora de entre alguno de los siguientes rangos:
Menos de 2 horas al
día ( )
De 2 a 4 horas al día
( )
De 4 a 6 horas al día
( )
De 6 a 8 horas al día
( )
Más de 8 horas al día
( )
Nunca la utiliza ( )
Gradación
(preguntas de grados opuestos)
También conocida como
gradación de Likert; en este tipo de preguntas cerradas, las respuestas se emplean
para recopilar las opiniones, intereses o actitudes de los entrevistados, concentrando
gradualmente cada una de las respuestas, una por una, hasta obtener porcentajes
representativos de ellas, por lo general estas preguntas se hacen bajo cinco
grados o tipos de respuestas, donde los extremos son totalmente opuestos entre
sí, por ejemplo:
La empresa
pretende modificar el sistema actual de procesamiento de datos por un sistema de
redes. ¿Qué opina?
Totalmente de acuerdo
( )
Generalmente de
acuerdo ( )
No sé ( )
Generalmente en
desacuerdo ( )
Totalmente en
desacuerdo ( )
La entrevista
Es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada,que la proporcionada por medios propios puramente técnico so por las respuestas escritas a cuestionarios. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcrituda una serie de preguntas variadas,también sencillas.Sin embargo ,esta sencillez es solo aparente.
Ciclo de la
entrevista de auditoría
Es conveniente
señalar que para realizar una entrevista adecuada es indispensable entender y seguir un
procedimiento bien estructurado, cuya eficacia en las auditorías tradicionales y en
las ciencias sociales, donde es muy utilizada esta técnica, está plenamente comprobada.
Esto le servirá al auditor de sistemas computacionales para llevar a cabo una
buena investigación, apoyado en una serie de preguntas previamente establecidas y
enfocadas al objetivo de la entrevista; con este método se busca captar una mayor información
sobre lo que se auditará; además, esta información es más valiosa que la que se
puede obtener por medio de un cuestionario, una observación o cualquier otra
técnica de auditoría.
El siguiente
procedimiento es indispensable para realizar una buena entrevista:
Inicio
Apertura
Cima o clímax
Cierre
Inicio
Aquí es donde se
inicia la entrevista, a través de una breve presentación con la cual se busca romper
el hielo, y con una corta explicación del objetivo de la entrevista;
si es necesario, aquí se
hace la solicitud de cooperación por parte del entrevistado (personal auditado) para que
éste proporcione la información requerida por el auditor.
En un ambiente
puramente práctico, ésta es quizá la misión más difícil del auditor, ya que por la misma
naturaleza de la misión que debe realizar (la de evaluar), lleva implícito el
rechazo por parte de la persona a quien va a entrevistar; evidentemente, la apertura es un camino
muy difícil bajo estas condiciones, pero es indispensable para el éxito en la
aplicación de esta técnica. Algunas veces es importante iniciar con una breve plática
informal o con algún tema de interés mutuo.
Apertura también conocida como
el inicio formal de la entrevista o despertar el interés del entrevistado, es
la parte donde el auditor inicia formalmente su interrogatorio, con preguntas breves,
simples y de sondeo, sin profundizar sobre algún tema en especial; el propósito básico de
este punto es obtener posibles respuestas para iniciar la conversación, tratando
de concentrar la plática sobre un tema de interés común entre el auditado y el
auditor, de preferencia relacionado con el aspecto que se pretende evaluar.
Apertura
Apertura
Este punto, la
apertura de la entrevista, es de suma importancia para el
trabajo del auditor, pues aquí es
donde inicia la conversación formal con el entrevistado, en el cual se busca evitar
cualquier posible rechazo y resistencia de su parte; debemos tomar en cuenta que muchas
veces el auditado está a la defensiva, es evasivo y frío, por
lo que suele responder en
forma vaga, evitando, hasta donde le es posible, proporcionar alguna información
comprometedora para él o sus compañeros. Saber aplicar esta técnica de auditoría es
quizás el trabajo más difícil para el auditor, ya que requiere de una
amplia experiencia y
habilidad, además de sólidos conocimientos sobre sus características, uso y
formas de aplicación.
Cima o
clímax
Ésta es la parte de
la entrevista en donde el auditor, con base en su habilidad y experiencia, obtiene
la información medular para la investigación, la cual se va propiciando conforme
el tema objeto de la entrevista adquiere mayor interés.
Con una buena
aplicación de este punto, el auditor obtiene la información necesaria para evaluar las
opiniones, comentarios y datos arrojados en la entrevista.
Cierre
Ésta es la parte
final de la entrevista, en donde el auditor proporciona una absoluta libertad al
entrevistado por si puede o quiere
agregar
algo que le permita complementar los datos antes recopilados;
en muchas ocasiones, y más en la aplicación de una Auditoría, ésta es
una parte sustantiva, pues el entrevistado supone que la entrevista ya terminó; entonces,
libre de presión, proporciona al auditor la información de mayor utilidad que le permite a este
último confirmar, avalar o rectificar lo captado anteriormente.
Además, mediante una
hábil conducción del cierre, el auditor consigue tips, comentarios y orientaciones
que
le serán de mucha utilidad para continuar con la evaluación del aspecto auditado.
Evidentemente, en
esta etapa se debe agradecer la participación del entrevistado.
Tipos de
entrevistas para una auditoría
Hay dos tipos de
entrevistas, las que se hacen de manera libre y espontánea, sin formalidades ni
limitaciones, y las destinadas a la participación del entrevistado, mediante un método previamente
establecido. Para el caso de la auditoría también podríamos agregar otros tipos
de entrevistas, por ejemplo, las utilizadas para iniciar una evaluación, otras que sirven para
corroborar y comprobar aspectos detectados con anterioridad o las empleadas para
que el auditor informe o confronte los hechos y actores en determinadas
situaciones. Concretamente, los tipos de entrevistas para la auditoría de sistemas
computacionales serán los siguientes.
Entrevistas
libres
Son las entrevistas
en las que se sigue un guión básico para obtener la información requerida, pero
la participación del entrevistado es libre y sin ninguna atadura. Con este tipo de entrevistas
se pretende dar libertad al entrevistado para que se explaye; el propósito es
tener una mayor intimidad en la plática para que la información sea más
verídica y con más profundidad; aunque se corre el riesgo de que el
entrevistado se aparte del tema
central y pueda perderse en temas intranscendentes.
Es bueno utilizar
este tipo de entrevistas para cualquier evaluación de sistemas, pues ayudan a que el
auditado se extienda libremente en comentarios y aportaciones sobre lo que se está
investigando, aunque se corre el grave riesgo de desviarse del tema sustantivo,
deliberada o inconscientemente y que el entrevistado actúe casi siempre
a la defensiva.
Entrevistas
dirigidas
En estas entrevistas
siempre se dirigen las opiniones del entrevistado, forzando sus respuestas dentro
de un parámetro o guión prestablecido, sin admitir ni permitir ninguna variación
significativa. Aquí, de acuerdo con la habilidad del auditor para conducir la
entrevista, la participación del entrevistado puede llegar a tener mayor
profundidad y la calidad de los datos, aunque se puede variar en cuanto a
contenido y la utilidad de la información para la
evaluación del auditor.
Entrevistas
de exploración
En una auditoría de
sistemas es recomendable que el primer contacto con los auditados sea a través de este
tipo de entrevistas, pues por lo general son de carácter libre y pueden ser muy útiles
para buscar algún punto de partida para la evaluación. Además, ayudan al auditor a
obtener información importante para explorar el contorno y apreciar los alcances que
pudiera tener la revisión; también le ayudan a conocer el ambiente en el que se
desarrollará la auditoría y como será la participación del entrevistado en la misma.
Las entrevistas de
exploración también se hacen con la intención de familiarizar al auditor con los
sistemas que va a evaluar, debido a que existen muchos tipos de sistemas, programas
y paqueterías, utilizados en una institución de acuerdo con sus necesidades específicas;
por esta razón, el auditor debe entender dichos sistemas para poder evaluarlos, y
le ayudan a identificar el mejor punto de partida de la auditoría.
Entrevistas
de comprobación
Estas entrevistas son
de mucha utilidad para el auditor, ya que se realizan para comprobar la
veracidad de la información recopilada durante la evaluación y permiten
corroborar o rectificar los datos y percepciones sobre las observaciones
encontradas con las pruebas e
instrumentos aplicados en la auditoría; además, ayudan a profundizar en la evaluación, a
reforzar su orientación o a cambiar el rumbo de la evaluación.
Este tipo de
entrevistas requiere una amplia experiencia y conocimientos sobre las técnicas de
entrevista, pues cuando se da este tipo de conversaciones, por lo general el auditado está a la
defensiva y es difícil conducirlas, sin embargo, cuando se conducen bien, son muy útiles
para ratificar o rectificar datos de una auditoría.
Entrevistas
de información
En la metodología
propuesta para desarrollar una auditoria de sistemas hablamos de la necesidad de comentar
las observaciones con los auditados o con los funcionarios responsables del
área de sistemas, según sea el caso; para eso se utiliza este tipo de
entrevistas, para que el auditor comente cada una de las desviaciones que
reporta en su informe, y con ello
obtiene información valiosa del entrevistado que le sirve para rectificar o ratificar las
situaciones que está informando, además le ayudan para recopilar datos útiles para encontrar
las causas y soluciones que complementen sus observaciones.
No es fácil llevar a
cabo este tipo de entrevistas, ya que requieren de mucha habilidad y experiencia por
parte del auditor; recordemos que no es nada fácil comentar con el auditado las
desviaciones de su trabajo o su responsabilidad en el manejo de los sistemas
auditados. Sin embargo, es indispensable llevar a cabo estas entrevistas y realizarla de la mejor
manera posible
.
Entrevistas
informales
Estas entrevistas son
de suma importancia aunque propiamente no sean entrevistas de trabajo, ya que
cuando el auditor las aplica de manera correcta, le ayudan a conocer algún tipo de
problemática que sólo se expresa cuando no existe la presión de una entrevista formal
como las indicadas anteriormente.
Por lo general, estas
entrevistas son totalmente ajenas al ambiente de trabajo, casi personales y casi
siempre son conversaciones informales que se dan entre personas para tratar temas sin
importancia, sin embargo, el auditor aprovecha estos encuentros para conocer algún
problema específico que pueda influir en la evaluación y que de otra manera no conocería.
Checklist (lista de cotejo):
El auditor profesional y experto es aquél que re elabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklist.
•Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas,y no otras. Para ello se apoya en productos Software muy potentes y modular es que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Las trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema.
No hay comentarios.:
Publicar un comentario