Las trazas, se basan en
el uso de software, que permite conocer todos los pasos seguidos por la
información, sin interferir el sistema.
Es de resaltar que el
auditor informático debe verificar que los programas, tanto de los sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para
ello se apoya en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a través del programa.
Estas "Trazas"
se utilizan para comprobar la ejecución de las validaciones de datos previstas.
Las trazas no deben modificar en absoluto el Sistema.
Además del uso de las
trazas, el auditor utilizará, los ficheros que el próximo sistema genera y que
recoge todas las actividades que se realizan y la modificación de los datos,
que se conoce con el nombre de log. El log, almacena toda aquella información
que ha ido cambiando y como ha ido cambiando, de forma cronológica.
Software de Interrogación
En los últimos años se ha
utilizado el software de interrogación para auditar ficheros y bases de datos
de la organización.
En la actualidad, los
productos software especiales para la auditoría informática se orientan
principalmente hacia lenguajes que permiten la interrogación de ficheros y
bases de datos de la empresa auditada. Estos productos son utilizados solamente
por los auditores externos, por cuanto los internos disponen del software
nativo propio de la instalación.
Del mismo modo, la
proliferación de las redes locales y de la filosofía "cliente-servidor",
han llevado a las firmas de software a desarrollar interfaces de transporte de
datos entre computadoras personales y mainframes, de modo que el auditor
informático copia en su propia PC la información más relevante para su trabajo.
Cabe recordar, que en la
actualidad casi todos los usuarios finales poseen datos e información parcial
generada por la organización informática de la entidad. Efectivamente, conectados como terminales al
"Host", almacenan los datos proporcionados por este, que son tratados
posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo
del alcance de la auditoría) a recabar información de los mencionados usuarios
finales, lo cual puede realizar con suma facilidad con los polivalentes
productos descritos. Con todo, las opiniones más autorizadas indican que el
trabajo de campo del auditor informático debe realizarse principalmente con los
productos del cliente.
