El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios
en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus
cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo
cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas
que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas
"normales", que en realidad servirán para el cumplimiento sistemática de sus
Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor
informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.
El profesionalismo pasa por un procesamiento interno de información a fin de obtener
respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes.
El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las
Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización
a cualquier otra forma.
Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde
posiciones muy distintas y con disposición muy variable. El auditado, habitualmente
informático de profesión, percibe con cierta facilidad el perfil técnico y los
conocimientos del auditor, precisamente a través de las preguntas que éste le formula.
Esta percepción configura el principio de autoridad y prestigio que el auditor debe
poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su
formulación. Las empresas externas de Auditoria Informática guardan sus Checklists,
pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe
olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.
El auditor deberá aplicar el Checklist de modo que el auditado responda clara y
escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos
en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones,
se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y
en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas
diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos
contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar
preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la
homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del
auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía"
de calificación o evaluación:
Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por
ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)
Checklist Binaria
Es la constituida por preguntas con respuesta única y excluyente: Si o No.
Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente.
Los Checklists de rango son adecuados si el equipo auditor no es muy grande y
mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor
precisión en la evaluación que en los checklist binarios. Sin embargo, la bondad del
método depende excesivamente de la formación y competencia del equipo auditor.
Los Checklists Binarios siguen una elaboración inicial mucho más ardua y compleja.
Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una
vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el
inconveniente genérico del frente a la mayor riqueza del intervalo.
No existen Checklists estándar para todas y cada una de las instalaciones informáticas a
auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de
adaptación correspondientes en las preguntas a realizar.