EL auditor deber hacer la recoleccin y evaluacin de evidencia que le permita
establecer si un sistema de informacin cumple de manera eficiente con los objetivos organizacionales y salvaguarda informacin y mantiene la integridad de los sistemas. Para poder cumplir con la recoleccin y evaluacin de evidencia har uso de diferentes mtodos tcnicas herramientas y procedimientos. La utilizacin adecuada de dichas tcnica marcara un punto importante para que el resultado de la auditoria se satisfactorio. ! continuacin se listan los principales tcnicas herramientas y procedimientos de auditoria aplicables al rea de sistemas de informacin" Para la recoleccin de datos el auditor podr utilizar" Entrevista Encuesta #uestionario $bservacin %uestreo &nventarios E'perimentos Para la evaluacin de evidencia el auditor podr utilizar" Examen: Es utilizado para analizar la correcta operacin de un sistema el desarrollo de proyectos as( como analizar que la entrada procesamiento y salida de datos sea correcta. &nspecciona la seguridad del sistema y del rea de informtica. )ambin e'amina los controles de accesos f(sicos y lgicos al sistema a los programas y a las bases de datos. El e'amen tambin inspecciona las actividades y funciones del personal de informtica y de los usuarios. )ambin se le conoce como prueba y podemos citar algunas de las pruebas que se aplican en el rea de sistemas Prueba de los resultados del sistema" *e revisa la entrada procesamiento y salida de datos evaluando velocidad comportamiento e'actitud. *e pueden realizar operaciones de forma manual para comprobar los resultados. Pruebas de implantacin" *e hacen con anterioridad a la implantacin del sistema y principalmente se enfocan a revisar que el dise+o est de acuerdo al comportamiento del sistema. Las pruebas de implantacin pueden hacerse de tres formas" Pruebas piloto" *u objetivo es identificar todos los posibles problemas que se pueden presentar antes de implementar el sistema Pruebas de apro'imaciones sucesivas" !qu( los e'menes se van realizando por partes primero se dan las pruebas bsicas y as( se avanza a pruebas ms complejas. Pruebas al *istema" *e pueden realizar por medio del sistema operativo utilizando paqueter(a o programas de cmputo que ayude a verificar el funcionamiento del sistema. *e revisan componentes del sistema perifricos y equipos asociados. Pruebas al sistema operativo" estas pruebas ayudan a verificar las rutinas de verificacin que el procesador sigue en el momento del arranque de sistema adems se verifican los componentes funcionamiento de perifricos cone'iones. Estas utiler(as son dise+adas por los fabricantes de hard,are y soft,are y reportan de manera automtica un mal funcionamiento e inclusive pueden llegar a repararlas. Las bitcoras que son arrojadas por algunos sistemas pueden servir para la verificacin del comportamiento del sistema operativo. Pruebas a los programas de aplicacin" El dise+ador del proyecto simula el comportamiento del sistema anticipando de esta forma las posibles fallas. Esta prueba es conocida con el nombre de prueba de escritorio. E'menes al centro de cmputo" #onsiste en la revisin que se hace a las instalaciones del centro de computo para evaluar el estado de las comunicaciones sistemas elctricos aire acondicionado calefaccin cone'iones entre los diversos componentes dispositivos de seguridad contra incendios e inundaciones revisin de mobiliario planes de contingencia y dems sistemas de seguridad Inspeccin: Es similar al concepto de pruebas o e'menes solo que la inspeccin da un veredicto o en otras palabras su propsito es juzgar. !lgunos ejemplos de inspecciones en la auditoria de sistemas son" La inspeccin a los sistemas de seguridad y proteccin del equipo personal con el propsito de dictaminar sobre su eficiencia y confiabilidad. -uzgar el cumplimiento de las funciones actividades y responsabilidades del personal del rea de sistemas y usuarios del sistema a fin de opinar sobre su actuacin. #onfirmacin" El auditor deber estar plenamente seguro de que los datos y hechos que sustentan su dictamen son ver(dicos y confiables por lo que deber confirmar que hayan sido obtenidos con tcnicas de auditoria validas. !lgunos ejemplos de confirmaciones son" .evisar las licencias del soft,are instalado en los sistemas de cmputo con el objetivo de confirmar que no hay soft,are pirata #onfirmar la confiabilidad de los accesos protecciones pass,ord y medidas de seguridad establecidas para el acceso a los sistemas y a las bases de datos con el fin de confirmar que no son vulnerables. Comparacin: *e utiliza para validar la confiabilidad de los sistemas y procedimientos. #onsiste en procesar los mismos datos en dos sistemas similares para medir la veracidad la oportunidad y la confiabilidad de dichos sistemas. )ambin se puede realizar una comparacin de datos procesados por el sistema con datos procesados de forma manual. !lgunos ejemplos de comparacin en el rea de sistemas son" #omparar las similitudes y diferencias en la aplicacin de una metodolog(a para anlisis y dise+o de sistemas entre diferentes proyectos de sistemas /eterminar la eficiencia y efectividad de una instalacin computacional comparando las actividades desarrolladas en dos centros de cmputo similares. Revisin de documentos: Esta es una herramienta muy socorrida por las auditorias fiscales y financieras y consiste en revisar los documentos que sustenten los registros de las operaciones y actividades. En el rea de auditoria se pueden hacer revisin de documentos tales como /iagramas de 0lujo !puntes y programas de computo boletines mapas videos microfilminas discos duros cintas magnticas #/1.$% /2/ etc. 3n ejemplo de revisin de documentos seria" .evisin de documentos de pruebas resultados de operacin seguimiento estad(sticas de aprovechamiento con el fin de evaluar la efectividad y eficiencia en la entrada procesamiento y salida de datos. Matriz de Evaluacin: Esta consiste en colocar en la primera columna la descripcin del elemento que est siendo evaluado y en las columnas siguientes la calificacin con que se est evaluando siendo posible colocar n4mero del 56 como E'celente y as( ir bajando a %uy 7ueno 7ueno .egular %alo Matriz F!": *irve par evaluar las 0ortalezas $portunidades /ebilidades y !menazas. *e realiza un revisin de los aspectos que tienen que ver con cuestiones &nternas a la empresa como La cultura organizacional estrategias estructura organizacional y aspectos e'ternos tanto nacionales como internacionales todo esto aplicado al rea de sistemas. #u$as de "uditoria: #omo su nombre lo dice representa una ayuda para el seguimiento de una auditoria en este documento se registra lo que se va a auditar y el mtodo tcnica o procedimiento a seguir. Estos elementos a auditar son calificados. !dems se les puede asignar un peso a cada elemento para obtener una calificacin total. Modelos de %imulacin: #onsiste en simular una situacin para observar como se comporta el sistema. *e simulan ciertas situaciones que pudieran ocurrir o situaciones que suponemos se dieron en un momento dado con el fin de estudiar el comportamiento y evaluar si el funcionamiento es correcto. La simulacin es una herramienta utilizada para evaluar el funcionamiento de las medidas de contingencia en caso de alg4n siniestro como un terremoto esto ayuda a visualizar que es lo que se tiene que hacer cuando esa situacin se presente esto ayuda a la de capacitacin del personal para que act4en de manera correcta Para completar esta lista podemos mencionar otras tcnicas de evaluacin mas especializadas como /iagramas de sistemas %atriz de evaluacin Programas de verificacin *eguimiento de programacin