Tcnicas y Herramientas utilizadas en la Auditora

Computacional.
Las tcnicas utilizadas son las habituales de la auditora; muestreo,
entrevista, prueba y simulacin. En cuanto a las herramientas utilizadas
se pueden mencionar: cuestionarios, estndares, simuladores, paquetes
de auditora, matrices de riesgos y monitores. Las siguientes se explican
a continuacin.
Simuladores.
Dado que entre los elementos a observar figuran configuraciones
hardware y software a veces hay que utilizar herramientas especiales
para poder deducir el comportamiento del elemento en cuestin antes
situaciones limites, como pueden ser un corte de luz, un trafico muy
elevado de informacin, etc. Se trata, en definitiva, de comprobar si
poseen las caractersticas necesarias para hacer frente a esas
situaciones. Hay simuladores basados en productos software y otros que
usan una mezcla de hardware y software.
Para ayudas en el diseo de redes de comunicaciones, por ejemplo, se
pueden usar productos que simulan y predicen el comportamiento de
una configuracin ante un suceso determinado, indicando capacidad de
proceso, cuellos de botella, etc., o bien que rastrea el comportamiento
de un elemento en situacin real.
Paquetes de auditora.
Son herramientas comnmente usadas por personas que realizan
auditora por medio de la computadora. Son programas o conjuntos de
programas que permiten, con rdenes sencillas y de pequeos formatos,
generar programas que realizan funciones tpicas de muestreo al azar,
muestrear segn otros criterios, seleccin de informacin que cumpla
determinados requisitos, estudios estadsticos, edicin de informes, etc.

Estos paquetes permiten un ahorro considerable de necesidad de

formacin computacional por parte del auditor, as como una elevada
velocidad de realizacin de los programas precisos.

Monitores.
Se trata de software, hardware, o combinacin de ambos, que miden el
comportamiento de un sistema o componente del sistema, en una
situacin e instante real. Se diferencian de los simuladores en que stos
predicen o infieren el comportamiento de un elemento, mientras que los
monitores slo miden, no provocan o simulan determinadas situaciones.
Matrices de riesgos.
Las matrices de riesgo, tambin llamadas de amenazas, son las
herramientas utilizadas para analizar riesgos y establecer medidas de
cobertura. Se define la exposicin a un suceso como la probabilidad de
que se produzca ese suceso, mientras que el riesgo de un suceso viene
determinado como el producto de la exposicin por el coste del suceso.
El riesgo da una medida en dinero del coste probable que supone para
una instalacin la existencia de una posible amenaza. Es importante
calcular el riesgo de una instalacin o un sistema ante un suceso
determinado, ya que del anlisis del conjunto de los riesgos se deriva la
definicin de propiedades y recursos que deben dedicarse a cubrirlos.
Por ejemplo, un incendio total en un centro de proceso de datos puede
ocasionar unos daos de 500 millones de unidades monetarias, con una
probabilidad de que se produzca un incendio cada 200 aos. El riesgo
que sufre la instalacin es, pues, de:
_500.000.000 u.m._ = 2.500.000 u.m./ao
200 aos

El coste medio de recuperacin de un error en un proceso de facturacin

puede ser de 30.000 unidades monetarias, y se producen 100 errores al
ao.
El riesgo es de 30.000 u.m. x 100 = 3.000.000 u.m./ao.
De ah se deduce que una exposicin elevada puede ocasionar riesgos
elevados, aunque el coste unitario sea pequeo.
Ha de tenerse en cuenta, cuando se habla de coste del suceso, que a
veces es difcil de evaluar.
Por ejemplo, en el caso de una empresa con tratamientos
computarizados en lnea, el coste de una catstrofe, como podra ser un
incendio del centro de proceso de datos ser igual al coste de reposicin
de equipos + prdida de beneficios (no obtenidos) + prdida de clientela
y negocio por disminucin o interrupcin de la capacidad de operacin.
Como herramientas para anlisis de riesgos y medidas de cobertura, se
usan las denominadas matrices de riesgos o amenazas, algunas cuyas
variantes son:
1. Matriz 1 (probabilidad, amenaza, impacto).
2. Matriz 2 (amenaza, medida de cobertura, efecto).
3. Matriz 3 (amenaza, medida de cobertura).