El documento describe los principales métodos, técnicas y herramientas que un auditor puede utilizar para recolectar y evaluar evidencia durante una auditoría de sistemas de información, incluyendo entrevistas, encuestas, exámenes, inspecciones, confirmaciones, comparaciones y revisión de documentos.
1. Métodos, Técnicas y Herramientas de auditoria
EL auditor deberá hacer la recolección y evaluación de evidencia que le permita
establecer si un sistema de información cumple de manera eficiente con los objetivos
organizacionales y salvaguarda información y mantiene la integridad de los sistemas.
Para poder cumplir con la recolección y evaluación de evidencia hará uso de
diferentes métodos, técnicas, herramientas y procedimientos. La utilización adecuada
de dichas técnica marcara un punto importante para que el resultado de la auditoria
se satisfactorio.
A continuación se listan los principales técnicas, herramientas y procedimientos de
auditoria aplicables al área de sistemas de información:
Para la recolección de datos el auditor podrá utilizar:
• Entrevista
• Encuesta
• Cuestionario
• Observación
• Muestreo
• Inventarios
• Experimentos
Para la evaluación de evidencia el auditor podrá utilizar:
Examen: Es utilizado para analizar la correcta operación de un sistema, el desarrollo
de proyectos, así como analizar que la entrada, procesamiento y salida de datos sea
correcta. Inspecciona la seguridad del sistema y del área de informática. También
examina los controles de accesos físicos y lógicos al sistema, a los programas y a las
bases de datos. El examen también inspecciona las actividades y funciones del
personal de informática y de los usuarios. También se le conoce como prueba y
podemos citar algunas de las pruebas que se aplican en el área de sistemas
• Prueba de los resultados del sistema: Se revisa la entrada, procesamiento y
salida de datos evaluando velocidad, comportamiento exactitud. Se pueden
realizar operaciones de forma manual para comprobar los resultados.
• Pruebas de implantación: Se hacen con anterioridad a la implantación del
sistema y principalmente se enfocan a revisar que el diseño esté de acuerdo al
comportamiento del sistema. Las pruebas de implantación pueden hacerse de
tres formas:
Pruebas piloto: Su objetivo es identificar todos los posibles problemas que se
pueden presentar antes de implementar el sistema
Pruebas de aproximaciones sucesivas: Aquí los exámenes se van realizando
por partes primero se dan las pruebas básicas y así se avanza a pruebas más
complejas.
Pruebas al Sistema: Se pueden realizar por medio del sistema operativo
utilizando paquetería o programas de cómputo que ayude a verificar el
funcionamiento del sistema. Se revisan componentes del sistema, periféricos y
2. equipos asociados.
• Pruebas al sistema operativo: estas pruebas ayudan a verificar las rutinas de
verificación que el procesador sigue en el momento del arranque de sistema
además se verifican los componentes, funcionamiento de periféricos,
conexiones. Estas utilerías son diseñadas por los fabricantes de hardware y
software y reportan de manera automática un mal funcionamiento e inclusive
pueden llegar a repararlas. Las bitácoras que son arrojadas por algunos
sistemas pueden servir para la verificación del comportamiento del sistema
operativo.
• Pruebas a los programas de aplicación: El diseñador del proyecto simula el
comportamiento del sistema, anticipando de esta forma las posibles fallas.
Esta prueba es conocida con el nombre de prueba de escritorio.
• Exámenes al centro de cómputo: Consiste en la revisión que se hace a las
instalaciones del centro de computo para evaluar el estado de las
comunicaciones, sistemas eléctricos, aire acondicionado, calefacción,
conexiones entre los diversos componentes, dispositivos de seguridad contra
incendios e inundaciones, revisión de mobiliario, planes de contingencia y
demás sistemas de seguridad
Inspección: Es similar al concepto de pruebas o exámenes solo que la inspección da
un veredicto o en otras palabras su propósito es juzgar.
Algunos ejemplos de inspecciones en la auditoria de sistemas son:
La inspección a los sistemas de seguridad y protección del equipo, personal con el
propósito de dictaminar sobre su eficiencia y confiabilidad.
Juzgar el cumplimiento de las funciones, actividades y responsabilidades del personal
del área de sistemas y usuarios del sistema, a fin de opinar sobre su actuación.
Confirmación: El auditor deberá estar plenamente seguro de que los datos y hechos
que sustentan su dictamen son verídicos y confiables, por lo que deberá confirmar
que hayan sido obtenidos con técnicas de auditoria validas.
Algunos ejemplos de confirmaciones son:
Revisar las licencias del software instalado en los sistemas de cómputo con el objetivo
de confirmar que no hay software pirata
Confirmar la confiabilidad de los accesos, protecciones, password y medidas de
seguridad establecidas para el acceso a los sistemas y a las bases de datos con el fin
de confirmar que no son vulnerables.
Comparación: Se utiliza para validar la confiabilidad de los sistemas y
procedimientos. Consiste en procesar los mismos datos en dos sistemas similares
para medir la veracidad la oportunidad y la confiabilidad de dichos sistemas. También
se puede realizar una comparación de datos procesados por el sistema con datos
procesados de forma manual.
Algunos ejemplos de comparación en el área de sistemas son:
Comparar las similitudes y diferencias en la aplicación de una metodología para
3. análisis y diseño de sistemas entre diferentes proyectos de sistemas
Determinar la eficiencia y efectividad de una instalación computacional comparando
las actividades desarrolladas en dos centros de cómputo similares.
Revisión de documentos: Esta es una herramienta muy socorrida por las auditorias
fiscales y financieras y consiste en revisar los documentos que sustenten los registros
de las operaciones y actividades. En el área de auditoria se pueden hacer revisión de
documentos tales como Diagramas de Flujo, Apuntes y programas de computo,
boletines, mapas, videos, microfilminas, discos duros, cintas magnéticas CD-ROM,
DVD etc.
Un ejemplo de revisión de documentos seria: Revisión de documentos de pruebas,
resultados de operación seguimiento, estadísticas de aprovechamiento con el fin de
evaluar la efectividad y eficiencia en la entrada, procesamiento y salida de datos.
Matriz de Evaluación: Esta consiste en colocar en la primera columna la descripción
del elemento que está siendo evaluado y en las columnas siguientes la calificación
con que se está evaluando, siendo posible colocar número del 10 como Excelente y
así ir bajando a Muy Bueno, Bueno, Regular, Malo
Matriz FODA: Sirve par evaluar las Fortalezas, Oportunidades, Debilidades y
Amenazas. Se realiza un revisión de los aspectos que tienen que ver con cuestiones
Internas a la empresa como La cultura organizacional, estrategias, estructura
organizacional y aspectos externos tanto nacionales como internacionales todo esto
aplicado al área de sistemas.
Guías de Auditoria: Como su nombre lo dice representa una ayuda para el
seguimiento de una auditoria, en este documento se registra lo que se va a auditar y
el método, técnica o procedimiento a seguir. Estos elementos a auditar son
calificados. Además se les puede asignar un peso a cada elemento para obtener una
calificación total.
Modelos de Simulación: Consiste en simular una situación para observar como se
comporta el sistema. Se simulan ciertas situaciones que pudieran ocurrir o
situaciones que suponemos se dieron en un momento dado con el fin de estudiar el
comportamiento y evaluar si el funcionamiento es correcto. La simulación es una
herramienta utilizada para evaluar el funcionamiento de las medidas de contingencia
en caso de algún siniestro como un terremoto, esto ayuda a visualizar que es lo que
se tiene que hacer cuando esa situación se presente, esto ayuda a la de capacitación
del personal para que actúen de manera correcta
Para completar esta lista podemos mencionar otras técnicas de evaluación mas
especializadas como
• Diagramas de sistemas
• Matriz de evaluación
• Programas de verificación
• Seguimiento de programación