Es el conjunto de
preguntas muy estudiadas que se formulan flexiblemente y que salvo excepciones,
son contestadas oralmente, ya que superan en riqueza y generalización a
cualquier otra forma. Están destinadas principalmente a personal técnico; por
estos motivos deben ser realizadas en un orden determinado, muy sistematizadas,
coherentes y clasificadas por materias, permitiendo que el auditado responda
claramente.
En este sentido, hay
opiniones que descalifican el uso de las checklists, ya que consideran que leer
una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al
auditor informático.
Sin embargo el uso de checklists
constituye un procesamiento interno de información a fin de obtener respuestas
coherentes que permitan una correcta descripción de puntos débiles y fuertes,
por lo que las preguntas han de ser muy estudiadas deben formularse
flexiblemente.
Según la claridad de las
preguntas y el carácter del auditor, el auditado responderá desde posiciones
muy distintas y con disposición muy variable. El auditado, habitualmente
informático de profesión, percibe con cierta facilidad el perfil técnico y los
conocimientos del auditor, precisamente a través de las preguntas que éste le
formula.
Esta percepción configura
el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun
siendo importante tener elaboradas las listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todavía lo es más el modo y el orden de
su formulación.
Es de resaltar que el
auditor deberá aplicar la checklist de modo que el auditado responda clara y
escuetamente, se deberá interrumpir lo menos posible a éste, y solamente en los
casos en que las respuestas se aparten sustancialmente de la pregunta.
De igual forma, en
algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor
amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente
la presión sobre el mismo. Algunas de las preguntas de las checklists
utilizadas para cada sector, deben ser repetidas.
En efecto, bajo
apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o
a distintas personas, en las mismas fechas, o en fechas diferentes. De este
modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el
auditor deberá analizar los matices de las respuestas y reelaborar preguntas
complementarias cuando hayan existido contradicciones, hasta conseguir la
homogeneidad.
Además de ello, el
entrevistado no debe percibir un excesivo formalismo en las preguntas. El
auditor, por su parte, tomará las notas imprescindibles en presencia del
auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.
Existen dos tipos de filosofía de
evaluación en la generación de checklists:
Checklist
de Rango: Contiene
preguntas que el auditor debe puntuar dentro de un rango preestablecido (por
ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y 5 el valor más
positivo).
Ejemplo
de Checklist de Rango:
Se supone que se está
realizando una auditoría sobre la seguridad física de una instalación y, dentro
de ella, se analiza el control de los accesos de personas y cosas al Centro de
Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde
las respuestas tienen los siguientes significados:
- 1: Muy deficiente.
- 2: Deficiente.
- 3: Mejorable.
- 4: Aceptable.
- 5: Correcto.
Se figuran posibles
respuestas de los auditados. Las preguntas deben sucederse sin que parezcan
encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un
pequeño guión. La completación de la checklist no debe realizarse en presencia
del auditado.
-¿Existe personal específico de
vigilancia externa al edificio?
No, solamente un guarda por la noche
que atiende además otra instalación adyacente.
<Puntuación: 1>
-Para la vigilancia interna del
edificio, ¿Hay al menos un vigilante por turno en los aledaños del Centro de
Cálculo?
Sí, pero sube a las otras 4 plantas
cuando se le necesita.
<Puntuación: 2>
-¿Hay salida de emergencia además de
la habilitada para la entrada y salida de máquinas?
Sí, pero existen cajas apiladas en
dicha puerta. Algunas veces las quitan.
<Puntuación: 2>
-El personal de Comunicaciones,
¿Puede entrar directamente en la Sala de Computadoras?
No, solo tiene tarjeta el Jefe de
Comunicaciones. No se la da a su gente más que por causa muy justificada, y
avisando casi siempre al Jefe de Explotación.
<Puntuación: 4>
El resultado sería el promedio de las
puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente.
Checklist
Binaria: Es
la constituida por preguntas con respuesta única y excluyente: Sí o No.
Aritméticamente, equivalen a 1 (uno) o 0 (cero), respectivamente.
Ejemplo
de Checklist Binaria:
Se supone que se está
realizando una Revisión de los métodos de pruebas de programas en el ámbito de
Desarrollo de Proyectos.
-¿Existe Normativa de que el usuario
final compruebe los resultados finales de los programas?
<Puntuación: 1>
-¿Conoce el personal de Desarrollo la
existencia de la anterior normativa?
<Puntuación: 1>
-¿Se aplica dicha norma en todos los
casos?
<Puntuación: 0>
-¿Existe una norma por la cual las
pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos
reales?
<Puntuacion: 0>
Obsérvese como en este caso están
contestadas las siguientes preguntas:
-¿Se conoce la norma anterior?
<Puntuación: 0>
-¿Se aplica en todos los casos?
<Puntuación: 0>
Es importante destacar que las checklists de rango
son adecuadas si el equipo auditor no es muy grande y mantiene criterios
uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en
la evaluación que en la checklist binaria. Sin embargo, la bondad del método
depende excesivamente de la formación y competencia del equipo auditor.
Las checklists binarias
siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran
precisión, como corresponde a la suma precisión de la respuesta. Una vez
construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y
el inconveniente genérico del <sí o no> frente a la mayor riqueza del
intervalo.
Cabe señalar que no
existen checklists estándar para todas y cada una de las instalaciones
informáticas a auditar. Cada una de ellas posee peculiaridades que hacen
necesarios los retoques de adaptación correspondientes en las preguntas a
realizar.
