HERRAMIENTAS Y TECNICAS PARA LA AUDITORÍA INFORMÁTICA :CHECKLIST

CHECKLIST


El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios

en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus

cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo

cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas

que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas

"normales", que en realidad servirán para el cumplimiento sistemática de sus

Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle

una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor

informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.

El profesionalismo pasa por un procesamiento interno de información a fin de obtener

respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes.

El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse

flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las

Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización

a cualquier otra forma.

Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde

posiciones muy distintas y con disposición muy variable. El auditado, habitualmente

informático de profesión, percibe con cierta facilidad el perfil técnico y los

conocimientos del auditor, precisamente a través de las preguntas que éste le formula.

Esta percepción configura el principio de autoridad y prestigio que el auditor debe

poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,

coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su

formulación. Las empresas externas de Auditoria Informática guardan sus Checklists,

pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe

olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.

El auditor deberá aplicar el Checklist de modo que el auditado responda clara y

escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos

en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones,

se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y

en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser

repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas

equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas

diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos

contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar

preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la

homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las

preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del

auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía"

de calificación o evaluación:

Checklist de rango

Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por

ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)

Checklist Binaria

Es la constituida por preguntas con respuesta única y excluyente: Si o No.

Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente.

Los Checklists de rango son adecuados si el equipo auditor no es muy grande y

mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor

precisión en la evaluación que en los checklist binarios. Sin embargo, la bondad del

método depende excesivamente de la formación y competencia del equipo auditor.

Los Checklists Binarios siguen una elaboración inicial mucho más ardua y compleja.

Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una

vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el

inconveniente genérico del frente a la mayor riqueza del intervalo.

No existen Checklists estándar para todas y cada una de las instalaciones informáticas a

auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de

adaptación correspondientes en las preguntas a realizar.
 
ARCHIVOS AUDITORÍA EN SISTEMAS | TNB