1.4.4 TECNICAS DE RECOPILACIÓN DE EVIDENCIAS

Se establece que " durante el curso de una auditoría, el auditor de sistemas de información debe obtener evidencia suficiente, confiable, relevante y útil para lograr los objetivos de la auditoría efectivamente. Los resultados y conclusiones de la auditoría deben estar apoyados por un apropiado análisis e interpretación de esta evidencia".

Tipos de evidencia de auditoría

Cuando se planifica el trabajo de auditoría de sistemas de información, el auditor debe tomar en cuenta el tipo de evidencia de auditoría a obtener y sus niveles variables de confiabilidad.

Por ejemplo, evidencia de auditoría obtenida de una parte independiente, es por lo general más confiable que la evidencia proporcionada por la organización que está siendo auditada. La evidencia física de auditoría es por lo general más confiable que las representaciones de un individuo. Los distintos tipos de evidencia de auditoría que el auditor debe considerar son:

 Evidencia física de auditoría  Evidencia documentada de auditoría  Representaciones y  Análisis

Evidencia física

Puede incluir observación de actividades, propiedad y funciones de los sistemas de información, tales como: Un inventario de medios magnéticos en una bodega externa; o Un sistema de seguridad residente en un computador que esté en operación.

Evidencia documentada

Puede incluir:

1. Resultado de datos extraídos2. Registro de transacciones 3. Programas registrados Facturas 4. Control de registro 5. Representación de aquellas auditorías que han sido o pueden ser evidencia documentada como:

a. 5.1 Políticas y procedimientos escritos b. 5.2 Sistemas flowcharts y c. 5.3 Declaración oral y escrita

Los resultados del análisis de la información a través de comparaciones, cálculos e índices pueden también ser usados como evidencia de auditoría. Por ejemplo, incluye: Benchmarking entre sistemas de información en ejecución en comparación a periodos anteriores; y comparación de índices de tasas erróneas entre aplicaciones, transacciones y usuarios.

Disponibilidad y evidencia de auditoría.

El auditor de debe considerar el tiempo durante el cual la información existe o está disponible para determinar la naturaleza, período y extensión de las pruebas sustantivas, y , si es aplicable, la prueba de cumplimiento. Por ejemplo la eficiencia de auditoría procesada por Intercambio Electrónico de Datos (EDI) y Procesamiento de Imágenes en Documentos (DIP) pueden no ser recuperables después de un período específico de tiempo si los archivos se cambian o no se respaldan.

Selección de evidencia de auditoría

El auditor debe planificar el uso de la mejor evidencia de auditoría que sea consistente con la importancia del objetivo de la auditoría y el tiempo y esfuerzo involucrado en obtener tal evidencia.

Evidencia por representaciones

Donde la evidencia de auditoría obtenida en la forma de representaciones orales es crítica para la opinión o conclusión de auditoría, el auditor debe obtener confirmación escrita de las afirmaciones. Por ejemplo, donde la única evidencia de auditoría de que los reportes de excepción se siguen es lo que dice la administración, este es el caso en que estas afirmaciones deben obtenerse por escrito.

Evidencia de auditoría suficiente

La evidencia de auditoría debe ser suficiente para formarse una opinión o apoyar los resultados y conclusiones del auditor. Si, en el juicio del auditor, la evidencia de auditoría no es suficiente para apoyar resultados y conclusiones, el auditor debe obtener evidencia de auditoría adicional. Por ejemplo un listado de programa puede no ser suficiente evidencia de auditoría hasta que se obtenga evidencia adicional para verificar que ésta representa el programa que actualmente se utiliza en el proceso de producción.

Obtención de la evidencia de auditoría

Los procedimientos utilizados para obtener evidencia de auditoría varían de acuerdo al sistema de información que está siendo auditado. El auditor debe seleccionar el procedimiento mas apropiado para el objetivo de la auditoría. Deben considerarse los siguientes procedimientos: Consultas, Observaciones, Inspección, Confirmación; y Reejecución.

Los procedimientos anteriores pueden aplicarse por medio del uso de procedimientos de auditoría manual, técnicas de auditoría asistida por computador, o una combinación de ambos, por ejemplo: Un sistema que utiliza totales de controles manuales para balancear las operaciones de ingreso de datos puede proveer evidencia de auditoría de que el procedimiento de control asegura una apropiada conciliación y registro en un reporte. El auditor debe obtener esta evidencia de auditoría revisando y probando este reporte; Registros de transacciones detallados pueden estar disponibles solamente en un formato legible para la máquina. Lo que requiere del auditor obtener evidencia de auditoría utilizando técnicas de auditoría asistidas por computador.

TÉCNICAS DE RECOPILACIÓN DE EVIDENCIA

En realidad, no existen técnicas específicas para la auditoría, más bien, el auditor toma y adapta las técnicas, procedimientos y herramientas tradicionales del análisis de sistemas de información.

Al utilizar estas herramientas en la auditoría, lo que hace es sacar el mejor provecho de ellas para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de sistemas.

Estos métodos no solo se utilizan en la evaluación del área de informática, sino también en la evaluación de cualquier área ajena al ambiente de sistemas. Es por ello que el auditor debe saber cómo utilizarlas.

1. Entrevistas

Podría entenderse como entrevista a la recopilación de información que se realiza en forma directa, cara a cara y a través de algún medio de captura de datos.

Para llevar a cabo una entrevista, primero debe entrevistarse usted mismo. Necesita conocer sus preferencias y la manera en que afectarán sus preferencias. Su educación, intelecto, contexto cultural y emociones sirven como filtros poderosos para lo que estará oyendo en la entrevista.

Necesita pensar a fondo la entrevista antes de ir a ella. Visualizar por qué está yendo, qué preguntará y qué es lo que constituirá una entrevista satisfactoria. Debe anticipar como hacer que la entrevista sea satisfactoria también para su entrevistado.

¿Cómo realizar una buena entrevista?

Por medio de esta herramienta el auditor interroga, investiga confirma rectamente con el entrevistado sobre los aspectos que está auditando; en está técnica se utiliza una guía de entrevista que contiene las preguntas que va adaptando conforme recibe la información y de acuerdo a las circunstancias que se le presenten.

Las entrevistas pueden ser grabadas, por toma de notas y de captación de lo esencial sin notas.

¿Tipos de preguntas?

 Las preguntas de entrevista abierta permiten al interlocutor opciones abiertas para responder.

Preguntas de entrevistas abiertas

* ¿Cuál es su opinión del sistema de computadora actual?

*¿Cómo ve los objetivos de este departamentos?

*¿Cómo se relaciona esta forma con el trabao que usted hace?

* Describa el sistema de computación más frustante con el que haya trabajado

 Las preguntas de entrevistas cerrada limitan las opciones que tiene el interlocutor para responder.

Preguntas de entrevistas cerradas

* ¿Qué tantos reportes genera en un mes?

*¿Desde hace cuánto trabaja para esta empresa?

*Liste sus dos prioridades máximas en este departamento

*¿Quién recibe esta salida?

 Las preguntas de entrevistas bipolares son un tipo especial de preguntas cerradas.

Preguntas de entrevistas bipolares

* ¿Usa usted una microcomputadora?

*¿Esta usted de acuerdo en que las funciones de ocntestadora automática valdrían la pena?

[KENDALL]

 

2. Cuestionarios

Los cuestionarios son una técnica de recopilación de infromación que permite que los analistas de sistemas estudien actitudes, creencias, comportamientos y características de varias personas principales en la organización que pueden ser afectados por los sistemas actual y propuesto.

Mediante el uso de cuestionarios el analista puede estar buscando cuantificar lo que ha encontrado en las entrevistas. Adicionalmente, los cuestionarios pueden ser usados para determinar que tan amplio o limitado es en realidad un sentimiento expresado en una entrevista. En forma inversa los cuestionarios pueden ser usados para investifar a una gran muestra de usuarios de sistemas, para tratar de encontrar problemas o recoger cosas importantes antes de que las entrevistas sean realizadas.

 

3. Encuentas

Las encuestas constituyen otra de las técnicas más populares y de mayor uso en una auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones sobre aspectos de la Informática tales como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, la oportunidad de la presentación de los resultados, entre otros juicios sobre la función informática. Podemos definir una encuesta de la siguiente manera:

Es la recopilación de datos concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de los encuestados, las cuales permiten, después de hacer una rápida tabulación, análisis e interpretación de esa información, conocer su punto de vista y sentimientos hacia un tópico específico.

[MURA]

 

4. Observación

Una de las técnicas más populares, de mayor impacto y más utilizados para examinar los diferentes aspectos que repercuten en el funcionamiento del área de Informática o del propio sistema, es la aplicación de diversas técnicas y métodos de observación que permiten recolectar directamente la información necesaria sobre el comportamiento del sistema, del área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de cualquier otro hecho, acción o fenómeno del ámbito de sistemas.

La observación se puede hacer desde diferentes puntos de vista y con diversas técnicas y métodos que se mencionan a continuación:

OBSERVACION DIRECTAOBSERVACION INDIRECTAOBSERVACION OCULTAOBSERVACION PARTICIPATIVA OBSERVACION NO PARTICIPATIVA

[MURA]

5. Inventarios

Esta forma de recopilación de información consiste en hacer un recuento físico de lo que se está auditando, a fin de saber la cantidad existente de algún producto en una fecha determinada y compararla con la que debería haber según los documentos en esa misma fecha.

Consiste propiamente en comparar las cantidades reales existentes con las que debería haber para comprobar para que sean iguales o, en caso contrario, para resaltar las posibles diferencias e investigar sus causas.

[MURA]

6. Muestreo

El muestreo es el proceso de seleccionar sistemáticamente elementos representaticos de una población. Cuando estos elementos seleccionados son examinados de cerca, se supone que el análisis revelará información útil acerca de la población como un todo.

Hay muchas razones por las que se quiere seleccionar una muestra representativa de los datos a examinar, o personas representativas a entrevistar, aplicar cuestionarios u observar. Ellas incluyen:

1. Los costos contenidos

2. La agilización de la recolección de datos

3. La mejora de la efectividad

4. La reducción de la ascendencia

 

AYUDA PARA GUIA DE ENTREVISTASHumilde Consejo: Por mi experiencia como trabajador, estudiante, padre, esposo,

profesor…lo mejor es trabajar de a poco, es decir:  si trabaja 3 preguntas por dia lo tendria

listo antes del sabado y no se dara ni cuenta.

Aqui aparece una ayuda para la guia de entrevistas que se entrega via e-mail

(hhmv@yahoo.com) este fin de semana:

 

Descargar ayuda guia de entrevistas

EJERCICIOS

1. Como parte de su proyecto de análisis de sistemas para actualizar las funciones de

contabilidad automatizadas de Chronos Corporation, un fabricante de relojes digitales, usted

entrevistará a Harry Straiter, el jefe de contabilidad. Redacte de cuatro a seis objetivos de la

entrevista que incluyan su uso de las fuentes de información, los formatos de información, la

frecuencia con que toma decisiones, las cualidades que desea de la información y su estilo

de toma de decisiones. Solo debe nombrar 4 objetivos que tendrá su entrevista en el fondo

para que la realizara, ej. Para conocer la toma de decisiones. a. En un párrafo, mencione

cómo se acercará a Harry para preparar una entrevista. Que hará para ponerse de acuerdo

con Harry para preparar la entrevista. Ej. Llamarlo por telefono…bla bla bla b. Indique cuál

estructura escogerá para esta entrevista. ¿Por qué? Pirámide, embudo, diamante y por que la

eligio de acuerdo a los datos del ejercicio.

c. Harry tiene tres subordinados que también usan el sistema. ¿También los entrevistaría?

¿Por qué sí o por qué no? Entrevistaría a los subordinados si o no y por que … ej: son

importantes para el sistema…bla bla bla

d. Redacte tres preguntas abiertas que mandará por correo electrónico a Harry antes de su

entrevista. Explique por qué es preferible realizar una entrevista en persona en lugar de vía

el correo electrónico. Escriba tres preguntas generales que se podrían realizar en un sia y

que les servirá para este ejemplo. Ej. Que le parece la implementación de un SIA en su

empresa. Una entrevista es mejor hacerla por correo o en persona y por, que sea breve

2. A continuación se mencionan cinco preguntas redactadas por uno de los miembros de su

equipo de análisis de sistemas. Su entrevistada es gerente local de LOWCO, una sucursal de

una cadena de tiendas de descuento que le ha pedido a usted que trabaje en un sistema de

información gerencial que suministre información de inventarios. Revise estas preguntas

para su compañero de equipo.

1. ¿Cuándo fue la última vez que analizó seriamente su proceso de toma de decisiones?

2. ¿Quiénes son los causantes de problemas en su tienda, es decir, aquellos que muestran

mayor resistencia a los cambios en el sistema que he propuesto?

3. ¿Hay alguna decisión acerca de la cual usted necesite más información para tomarla?

4. Usted no tiene problemas graves con el sistema de control de inventarios actual, ¿no es

así?

5. Dígame un poco sobre los resultados que le gustaría ver. a. Vuelva a escribir cada

pregunta de tal manera que sea más eficaz para obtener información. Redacte las preguntas

de otra forma y que sirva para obtener información de lo mismo

b. Ordene sus preguntas en una estructura de pirámide, embudo o diamante, y póngales el

nombre de la estructura que haya utilizado. De las tres estructuras elija una y ordene las

preguntas en el orden de la estructura

c. ¿Qué lineamientos puede darle al miembro de su equipo para que en el futuro mejore las

preguntas de una entrevista? Haga una lista con estos lineamientos. Que le indique a la

persona que existen estructuras que permiten trabajar de mejor forma…como…

3. Desde que usted cruzó la puerta, su entrevistado, Max Hugo, ha estado revolviendo

documentos, mirando su reloj y encendiendo y apagando cigarros. Con base en la

experiencia que tiene sobre las entrevistas, usted supone que Max está nervioso porque

tiene trabajo pendiente. En un párrafo, describa cómo manejaría esta situación para que Max

ponga toda su atención en la entrevista. (Max no puede reprogramar la entrevista para otro

día.) Se puede dar cuenta que la persona esta nerviosa intranquila, o quiere trabajar y no

puede hacer la entrevista en otro día, que realizaría para tener la atención del entrevistado

(recuerde como trabaja el sistema JAD y saque ideas…

4. Redacte una serie de 3 preguntas cerradas que abarquen el aspecto del estilo para tomar

decisiones del gerente descrito en el problema 2. Escriba tres preguntas cerradas para saber

de que forma toma decisiones la persona del ejercicio anterior Ej. Sus decisiones las toma de

forma rápida o lenta.

5. Redacte una serie de 3 preguntas abiertas que abarquen el aspecto del estilo para tomar

decisiones del gerente descrito en el problema 2. Escriba tres preguntas abiertas para saber

de que forma toma decisiones la persona del ejercicio anterior Ej. Que actividades realiza

cuando tiene que tomar una decisión.

6. Examine la estructura de entrevista presentada en la secuencia de las preguntas

siguientes:

1. ¿Cuánto tiempo ha estado en este puesto?

2. ¿Cuáles son sus responsabilidades fundamentales?

3. ¿Qué informes recibe?

4. ¿Cómo considera las metas de su departamento?

5. ¿Cómo describiría su proceso de toma de decisiones?

6. ¿De qué manera podría tener un mejor apoyo este proceso?

7. ¿Con qué frecuencia toma esas decisiones?

8. ¿A quién consulta cuando toma una decisión?

9. ¿Cuál de las decisiones que usted toma es fundamental para el funcionamiento de su

departamento? a. ¿Qué estructura se utiliza? ¿Cómo lo sabe? Según el orden y tipo de

pregunta a que estructura corresponde y por que (pirámide, embudo, diamante)

b. Reestructure la entrevista cambiando la secuencia de las preguntas [podría omitir algunas

si es necesario]. Ponga a las preguntas reorganizadas el nombre de la estructura que haya

usado. Ordene las preguntas en base a una estructura elegida por usted, si quiere puede

eliminar alguna pregunta max. 2 y asígnele el nombre de la estructura (pirámide, embudo,

diamante).

7. El siguiente es el primer informe de una entrevista realizado por uno de los miembros de

su equipo de análisis de sistemas: “En mi opinión, el resultado de la entrevista fue muy

bueno. El sujeto me permitió hablar con él durante una hora y media. Me relató toda la

historia del negocio, que fue muy interesante. El sujeto también mencionó que las cosas no

han cambiado nada desde que él ha estado con la empresa, hace aproximadamente 16 años.

Pronto nos reuniremos de nueva cuenta para terminar la entrevista, porque no tuvimos

tiempo para analizar las preguntas que preparé”. a. En dos párrafos, evalúe el informe de la

entrevista. ¿Qué información esencial falta? Como encuentra este informe (logro obtener

información importante para el SIA), que error cometió o que le falta, sea breve b. ¿Qué

información es irrelevante en el informe de la entrevista? Que información no interesa para el

desarrollo del SIA

c. Si lo que se informa ocurrió realmente, mencione tres sugerencias que le haría a su

compañero de equipo para que realizara una mejor entrevista la próxima vez. Como asesor

indíquele tres sugerencias a tomar en cuenta para unan próxima entrevista. ej: orden,

estructuras, etc.

8. Cab Wheeler es un analista de sistemas recién contratado en su grupo. Cab siempre ha

creído que los cuestionarios son una pérdida de tiempo. Ahora que usted desarrollará un

proyecto de sistemas para MegaTrucks, Inc., una empresa de

transportes con sucursales y empleados en 130 ciudades, usted desea utilizar un

cuestionario para obtener algunas opiniones sobre el sistema actual y el que usted

propondrá.

a. Con base en lo que usted sabe de Cab y MegaTrucks, dé tres razones convincentes por las

cuales Cab debería utilizar una encuesta para este estudio. Solo debe nombre tres casos por

que es mejor hacer un cuestionario, recuerde que están en diferentes lugares del país

b. Gracias a sus cuidadosos argumentos, Cab aceptó utilizar un cuestionario pero sugiere

firmemente que todas las preguntas sean abiertas para no limitar a los encuestados.

En un párrafo, convenza a Cab de que las preguntas cerradas también son útiles. Asegúrese

de señalar las ventajas y desventajas que implica cada tipo de pregunta. Debe indicarle por

que no es buena idea hacer un cuestionario con preguntas abiertas por que…bla bla bla bla

9. “Siempre que vienen consultores, nos dan algún tonto cuestionario que no sirve para

nada. ¿Por qué no se toman la molestia de personalizarlo, por lo menos un poco?”, pregunta

Ray Dient, jefe de sistemas de emergencia. Usted está analizando la posibilidad de empezar

un proyecto de sistemas con Pohattan Power Company (PPC] de Far Meltway, Nueva Jersey.

a. ¿Qué pasos seguirá para personalizar un cuestionario estandarizado? b. ¿Cuáles son las

ventajas de adaptar un cuestionario para una organización en particular?, ¿Cuáles son las

desventajas? ESTA PREGUNTA NO LA REALICEN

10. Una de las preguntas del borrador del cuestionario de Pohattan Power Company dice:

He estado con la compañía:

20 o más años

10-15 años o más

5-10 años o más

Menos de un año

Marque la opción más apropiada. a. ¿Qué tipo de escala utiliza el autor de la pregunta?

Revise la materia de escalas en los cuestionarios y nómbrela. b. ¿Qué errores se cometieron

en la construcción de la pregunta y cuáles podrían ser las posibles respuestas? La pregunta

presenta errores en su redacción , indique cuales son c. Redacte nuevamente la pregunta

para obtener resultados más claros. Escriba la pregunta como debería ser…siguiendo la idea

de escalas d. ¿En qué parte del cuestionario debe colocarse la pregunta que ha redactado?

Según la materia vista esta pregunta en que lugar del cuestionario debería ubicarse

11. En el cuestionario de PPC también se encuentra la siguiente pregunta:

Cuando los clientes residenciales llaman, siempre los mando a nuestro sitio Web para que

obtengan una respuesta.

A veces     Nunca     Siempre     Normalmente

1                2                3                       4

a. ¿Qué tipo de escala pretende ser ésta? Según la materia a que escalamiento corresponde

b. Redacte nuevamente la pregunta y las posibles respuestas para conseguir mejores

resultados. Escriba de nuevo la pregunta y presente las posibles respuestas de otra forma.

12. Explique con sus palabras como trabajaría el sistema JAD. Como el sistema JAD es muy

caro y difícil de realizar como haría un JAD “ a la chilena” tratando de seguir el principio de su

original