Mtodos, Tcnicas y Herramientas de auditoria

EL auditor deber hacer la recoleccin y evaluacin de evidencia que le permita

establecer si un sistema de informacin cumple de manera eficiente con los objetivos
organizacionales y salvaguarda informacin y mantiene la integridad de los sistemas.
Para poder cumplir con la recoleccin y evaluacin de evidencia har uso de
diferentes mtodos tcnicas herramientas y procedimientos. La utilizacin adecuada
de dichas tcnica marcara un punto importante para que el resultado de la auditoria
se satisfactorio.
! continuacin se listan los principales tcnicas herramientas y procedimientos de
auditoria aplicables al rea de sistemas de informacin"
Para la recoleccin de datos el auditor podr utilizar"
Entrevista
Encuesta
#uestionario
$bservacin
%uestreo
&nventarios
E'perimentos
Para la evaluacin de evidencia el auditor podr utilizar"
Examen: Es utilizado para analizar la correcta operacin de un sistema el desarrollo
de proyectos as( como analizar que la entrada procesamiento y salida de datos sea
correcta. &nspecciona la seguridad del sistema y del rea de informtica. )ambin
e'amina los controles de accesos f(sicos y lgicos al sistema a los programas y a las
bases de datos. El e'amen tambin inspecciona las actividades y funciones del
personal de informtica y de los usuarios. )ambin se le conoce como prueba y
podemos citar algunas de las pruebas que se aplican en el rea de sistemas
Prueba de los resultados del sistema" *e revisa la entrada procesamiento y
salida de datos evaluando velocidad comportamiento e'actitud. *e pueden
realizar operaciones de forma manual para comprobar los resultados.
Pruebas de implantacin" *e hacen con anterioridad a la implantacin del
sistema y principalmente se enfocan a revisar que el dise+o est de acuerdo al
comportamiento del sistema. Las pruebas de implantacin pueden hacerse de
tres formas"
Pruebas piloto" *u objetivo es identificar todos los posibles problemas que se
pueden presentar antes de implementar el sistema
Pruebas de apro'imaciones sucesivas" !qu( los e'menes se van realizando
por partes primero se dan las pruebas bsicas y as( se avanza a pruebas ms
complejas.
Pruebas al *istema" *e pueden realizar por medio del sistema operativo
utilizando paqueter(a o programas de cmputo que ayude a verificar el
funcionamiento del sistema. *e revisan componentes del sistema perifricos y
equipos asociados.
Pruebas al sistema operativo" estas pruebas ayudan a verificar las rutinas de
verificacin que el procesador sigue en el momento del arranque de sistema
adems se verifican los componentes funcionamiento de perifricos
cone'iones. Estas utiler(as son dise+adas por los fabricantes de hard,are y
soft,are y reportan de manera automtica un mal funcionamiento e inclusive
pueden llegar a repararlas. Las bitcoras que son arrojadas por algunos
sistemas pueden servir para la verificacin del comportamiento del sistema
operativo.
Pruebas a los programas de aplicacin" El dise+ador del proyecto simula el
comportamiento del sistema anticipando de esta forma las posibles fallas.
Esta prueba es conocida con el nombre de prueba de escritorio.
E'menes al centro de cmputo" #onsiste en la revisin que se hace a las
instalaciones del centro de computo para evaluar el estado de las
comunicaciones sistemas elctricos aire acondicionado calefaccin
cone'iones entre los diversos componentes dispositivos de seguridad contra
incendios e inundaciones revisin de mobiliario planes de contingencia y
dems sistemas de seguridad
Inspeccin: Es similar al concepto de pruebas o e'menes solo que la inspeccin da
un veredicto o en otras palabras su propsito es juzgar.
!lgunos ejemplos de inspecciones en la auditoria de sistemas son"
La inspeccin a los sistemas de seguridad y proteccin del equipo personal con el
propsito de dictaminar sobre su eficiencia y confiabilidad.
-uzgar el cumplimiento de las funciones actividades y responsabilidades del personal
del rea de sistemas y usuarios del sistema a fin de opinar sobre su actuacin.
#onfirmacin" El auditor deber estar plenamente seguro de que los datos y hechos
que sustentan su dictamen son ver(dicos y confiables por lo que deber confirmar
que hayan sido obtenidos con tcnicas de auditoria validas.
!lgunos ejemplos de confirmaciones son"
.evisar las licencias del soft,are instalado en los sistemas de cmputo con el objetivo
de confirmar que no hay soft,are pirata
#onfirmar la confiabilidad de los accesos protecciones pass,ord y medidas de
seguridad establecidas para el acceso a los sistemas y a las bases de datos con el fin
de confirmar que no son vulnerables.
Comparacin: *e utiliza para validar la confiabilidad de los sistemas y
procedimientos. #onsiste en procesar los mismos datos en dos sistemas similares
para medir la veracidad la oportunidad y la confiabilidad de dichos sistemas. )ambin
se puede realizar una comparacin de datos procesados por el sistema con datos
procesados de forma manual.
!lgunos ejemplos de comparacin en el rea de sistemas son"
#omparar las similitudes y diferencias en la aplicacin de una metodolog(a para
anlisis y dise+o de sistemas entre diferentes proyectos de sistemas
/eterminar la eficiencia y efectividad de una instalacin computacional comparando
las actividades desarrolladas en dos centros de cmputo similares.
Revisin de documentos: Esta es una herramienta muy socorrida por las auditorias
fiscales y financieras y consiste en revisar los documentos que sustenten los registros
de las operaciones y actividades. En el rea de auditoria se pueden hacer revisin de
documentos tales como /iagramas de 0lujo !puntes y programas de computo
boletines mapas videos microfilminas discos duros cintas magnticas #/1.$%
/2/ etc.
3n ejemplo de revisin de documentos seria" .evisin de documentos de pruebas
resultados de operacin seguimiento estad(sticas de aprovechamiento con el fin de
evaluar la efectividad y eficiencia en la entrada procesamiento y salida de datos.
Matriz de Evaluacin: Esta consiste en colocar en la primera columna la descripcin
del elemento que est siendo evaluado y en las columnas siguientes la calificacin
con que se est evaluando siendo posible colocar n4mero del 56 como E'celente y
as( ir bajando a %uy 7ueno 7ueno .egular %alo
Matriz F!": *irve par evaluar las 0ortalezas $portunidades /ebilidades y
!menazas. *e realiza un revisin de los aspectos que tienen que ver con cuestiones
&nternas a la empresa como La cultura organizacional estrategias estructura
organizacional y aspectos e'ternos tanto nacionales como internacionales todo esto
aplicado al rea de sistemas.
#u$as de "uditoria: #omo su nombre lo dice representa una ayuda para el
seguimiento de una auditoria en este documento se registra lo que se va a auditar y
el mtodo tcnica o procedimiento a seguir. Estos elementos a auditar son
calificados. !dems se les puede asignar un peso a cada elemento para obtener una
calificacin total.
Modelos de %imulacin: #onsiste en simular una situacin para observar como se
comporta el sistema. *e simulan ciertas situaciones que pudieran ocurrir o
situaciones que suponemos se dieron en un momento dado con el fin de estudiar el
comportamiento y evaluar si el funcionamiento es correcto. La simulacin es una
herramienta utilizada para evaluar el funcionamiento de las medidas de contingencia
en caso de alg4n siniestro como un terremoto esto ayuda a visualizar que es lo que
se tiene que hacer cuando esa situacin se presente esto ayuda a la de capacitacin
del personal para que act4en de manera correcta
Para completar esta lista podemos mencionar otras tcnicas de evaluacin mas
especializadas como
/iagramas de sistemas
%atriz de evaluacin
Programas de verificacin
*eguimiento de programacin