Definición y Objetivos de los diferentes Tipos de auditorias

La auditoria de Sistemas la podríamos definir como una serie de procedimientos

administrativos, técnicos y operativos que determinarán si los sistemas de
información cumplen con los objetivos organizacionales de forma eficiente y
efectiva además de  salvaguardan la información y mantienen la integridad de los
sistemas.

El proceso de auditoria deberá culminar con un reporte en donde se hagan los

señalamientos sobre las acciones que se deben tomar,  permitiendo la corrección
de los errores detectados o la mejora de las actividades. Además es importante
mencionar que el auditor deberá enfocarse no sólo a evaluar el final de los
procesos, es decir ya cuando las cosas han sido realizadas, es importante que se
realicen revisiones durante todo el proceso.

Existen diferentes visiones sobre el concepto de auditoria de sistemas.

Dependiendo del enfoque y la profundidad podemos analizar la opinión de
diferentes autores con respecto a la definición del concepto

 Actividad dirigida a verificar información

 Verificación de controles en el procesamiento de información y en el
desarrollo de sistemas para evaluar efectividad
 Evaluación de procesos automatizados de datos y de los recursos utilizados
para determinar el grado de eficiencia y efectividad
 La auditoria de sistemas debe estar formada por elementos que le ayuden
a recolectar y evaluar evidencia para determinar la efectividad y eficiencia
de los sistemas.
 Evaluar la confiabilidad de los controles
 Revisión de políticas, estándares y procedimientos utilizados por los
sistemas de información

Todos estos deben estar enfocados a emitir un informe en donde se de a conocer

la evidencia y los cursos de acción a seguir para realizar la corrección de errores.

Los elementos en los que se deben enfocar la evaluación son los siguientes:

 Uso no autorizado
 Daño o destrucción
 Robo
 Integridad de la Información
 Efectividad y Eficiencia

Auditorias relacionadas con sistemas de información

A continuación se definirán los puntos mas importantes de las diferentes tipos de

auditorias que se encuentran relacionadas con los sistemas de información

Auditoria de Sistemas / Auditoria Informática / Auditoria en Informática: Es el

proceso de revisión que sobre los sistemas computacionales, software e
información así también de todos los componentes a su alrededor como los de
telecomunicaciones. Además incluye la revisión de la gestión informática y de
todos los recursos relacionados con la administración del área de sistemas o
centro de cómputo.

Su objetivo es evaluar el uso adecuado de los sistemas revisando la entrada,

procesamiento y salida de datos, incluye también evaluar el cumplimiento de las
actividades, operaciones y funciones del personal relacionado con los servicios que
dan los sistemas computacionales.

De esta auditoria se desglosan otras auditorias que tienen que ver con sistemas y
en general con toda el área de informática

Auditoria con la Computadora: Es la evaluación y revisión que se hace

apoyándose en una computadora para realizar el proceso de evaluación de
actividades. Se puede tratar inclusive de la auditoria a un área no relacionada
con  el uso de sistemas.

Auditoria sin la Computadora: Esta auditoria se centra en la utilización de técnicas

y procedimientos para evaluar las actividades administrativas, operacionales y
económicas. Se incluye evaluación de puestos, estructura organizacional,
aplicación de planes, programas y presupuestos, planes de seguridad y de
recuperación de desastres, planes de cambio. En pocas palabras es todo lo
relacionado con los sistemas de cómputo excluyendo a los propios sistemas
computacionales.

Auditoria a la Gestión Informática: Consiste en la revisión de las actividades,

operaciones y funciones que tienen que ver con las funciones administrativas del
centro de cómputo tales como planeación, organización, dirección, recursos
humanos y control. Además incluye la revisión y evaluación de las operaciones del
sistema, así como la protección proporcionada a los sistemas, software e
información. También incluye la revisión del ciclo de vida de los sistemas de
cómputo y sus instalaciones. Su objetivo es emitir un juicio sobre la gestión
administrativa de los sistemas computacionales y sobre el área de informática.

Auditoria al Sistema de Cómputo: Se evalúa la operación del sistema

computacional, se incluye el software, hardware, equipo especial relacionado
como instalaciones y dispositivos de comunicación. Se evalúa el diseño, desarrollo
e implementación del software de operación o de aplicación. Se trata de una
evaluación técnica y especializada.

Auditoria Alrededor de la Computadora: Se evalúa la realización de todo lo que se

encuentre alrededor de un equipo de cómputo, de sus sistemas, de sus
actividades y de su funcionamiento. Se trata de revisar todas los aspectos que
ayudan a que el funcionamiento del área de informática sea la mas adecuada. Por
ejemplo actividades que tienen que ver con planeación, presupuestos, métodos de
acceso y de procesamiento, de almacenamiento, así como los aspectos
operacionales y financieros.

Auditoria de la Seguridad de Sistemas Computacionales: Se evalúa todos los

aspectos que tienen que ver con la seguridad del sistema de cómputo, sus áreas y
el personal del área de sistemas. Además se hace la revisión de las actividades
que ayuden a salvaguardar la seguridad de los equipos computacionales, bases de
datos, redes, instalaciones y los usuarios finales.
Auditoria de los Sistemas de Redes: Se realiza una evaluación de la tecnología de
comunicaciones en donde se incluye los tipos de redes, arquitectura, topología,
protocolos de comunicación, conexiones, accesos, y privilegios. También se realiza
una revisión del los componentes involucrados en la compartición de datos,
instalaciones, software y hardware en un sistema de comunicaciones.

Técnicas asistidas por computadoras

Computer assisted audit techniques (CAAT) Consiste en utilizar el equipo

computacional para evaluar el control interno mediante los resultados que
produce. Estamos hablando de programas de utilería, software especializado o
reporteadores. También se trata de programas que se ejecutan en una
microcomputadora y funcionan con datos traídos de las bases de datos
organizacionales, ejemplos de este tipo de software son: APPLAUDE-Audit,
PANAUDIT plus, IDEA entre otros.

Las técnicas de auditoria asistidas por computadora más utilizadas son:

Análisis de código de programas: se utiliza software para hacer un análisis de

código fuente y código objeto de esta forma se revisa que el sistema incluya los
procesos solicitados por el usuario.

Datos de prueba: se introducen datos correctos y datos con errores de tal forma
que se verifica si los controles detectan dichos errores.

Análisis de Bitácoras: se hace la revisión de las diferentes bitácoras como son:

bitácoras de fallas de equipo, bitácoras de procesos ejecutados, bitácoras de
accesos no autorizados, bitácoras de uso de equipo, entre otras. Aquí se puede
ver como los recursos han sido utilizados y detectar parámetros de uso o
desviaciones en cuanto a los procedimientos y políticas de la empresa.

Simulación paralela: Consiste en utilizar otro programa desarrollado

especialmente para realizar los mismos procesos que un sistema determinado. Los
dos programas se corren en forma paralela y se identifican diferencias.

Código integrado: Se trata de incluir en el propio sistema una rutina para detectar
anomalías o desviaciones sobre los estándares del sistema.

Lo más importante es que la revisión de auditoria se realice con las mejores

prácticas de recolección y evaluación de elementos, por lo que el auditor deberá
conocer la existencia de las técnicas y procedimientos más actualizados para así
definir que es lo que mejor se aplica a cada caso.