METODOLOGÍA DE AUDITORÍA DE SISTEMAS

Auditoria como actividad profesional

La auditoría como rama, principal representa los exámenes financieros de una entidad, con el
principio que el profesional a cargo de la auditoria emita una opinión profesional respecto si la
situación financiera de una empresa, de acuerdo a los principios de contabilidad general
aceptados.

También se conoce que en la actualidad se realiza diversos tipos de auditoria, todos no llevan a
emitir opiniones sobre algún registro, sistema, operación o actividad en particular con fines
específicos.

Concepto de auditoria en informática

La auditoría en un sistema se refiere a la revisión práctica que se realiza sobre los recursos
informáticos, que cuenta la entidad con el fin de emitir documentos o dictamen sobre una
situación en que se desarrolla y se utiliza esos recursos.

Clasificación de la auditoria

Se consideran 2 tipos de auditoria:

 Auditoria Interna
 Auditoria externa

Dentro de la auditoria interna son personas que pueden o no depender de la entidad, se revisan
aspectos que interesan particularmente a la administración, aunque se puede hacen revisiones
programadas y periódicas sobre todo en los aspectos operativos y de registro de la empresa, con
el fin de emitir sus conclusiones en un informe.

Dentro de la auditoria externa , conocida también como auditoria independiente, la efectúan

personal externa a la empresa, ni económicamente bajo ningún aspectos, son merecedores del
concepto de juicio imparcial merecedor dela confianza de terceros, el objetivo es analizar los
procesos y emitir un informe que contra un dictamen.

Dentro dela clasificación se encuentra otros tipos de auditoria como son:

 Auditoria operacional
 Auditoria administrativa
 Auditoria social

Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se pretenda

revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de
revisión:

 Estudio preliminar.
 Revisión y evaluación de controles y seguridades.
 Examen detallado de áreas críticas.
 Comunicación de resultados.

Características de la Auditoría Informática

• La información de la empresa y para la empresa, siempre importante, se ha convertido en un

Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión
Informática.
• Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a
ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría
de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
• Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma
su función: se está en el campo de la Auditoría de Organización Informática.
• Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una
auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de
Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de
ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla
de ellas.

TIPOS Y CLASES DE AUDITORÍAS

Estas tres auditorías, más la auditoría de Seguridad, son las cuatro Áreas Generales de la
Auditoría Informática más importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de
Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas
Específicas de la Auditoría Informática más importantes
AUDITORIA INFORMÁTICA DE EXPLOTACIÓN

La explotación informática Se ocupa de producir resultados informáticos de todo tipo: listados

impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas
para lanzar o modificar procesos industriales, etc.

• La explotación informática se puede considerar como una fábrica con ciertas peculiaridades que
la distinguen de las reales. Para realizar la Explotación Informática se dispone de una materia
prima, los Datos, que es necesario transformar, y que se someten previamente a controles de
integridad y calidad.

AUDITORÍA INFORMÁTICA DE DESARROLLO DE PROYECTOS O APLICACIONES

Revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El
análisis se basa en cuatro aspectos fundamentales:

• Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la

modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de
las mismas
• Control Interno de las Aplicaciones: Se deberán revisar las mismas fases que presuntamente
han debido seguir el área correspondiente de Desarrollo:
• Estudio de Vialidad de la Aplicación
• Definición Lógica de la Aplicación.
• Desarrollo Técnico de la Aplicación.
• Diseño de Programas.
• Métodos de Pruebas.
• Documentación.
• Equipo de Programación
• Satisfacción de usuarios Una Aplicación técnicamente eficiente y bien desarrollada, deberá
considerarse fracasada si no sirve a los intereses del usuario que la solicitó. La aquiescencia
del usuario proporciona grandes ventajas posteriores, ya que evitará reprogramaciones y
disminuirá el mantenimiento de la Aplicación.
• Control de Procesos y Ejecuciones de Programas Críticos ha de comprobar la
correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los
programas fuente y los programa módulo no coincidieran podría provocar graves y altos
costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje
industrial informativo, etc.

AUDITORÍA INFORMÁTICA DE SISTEMAS

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas.

• Sistemas Operativos
 Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar
que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las
causas de las omisiones si las hubiera.

• Software Básico
Es fundamental para el auditor conocer los productos de software básico que han sido
facturados aparte de la propia computadora.
En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe
verificar que éste no agreda ni condiciona al Sistema.

Tunning

Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del

comportamiento de los Subsistemas y del Sistema en su conjunto.

Administración de base de datos

El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una

actividad muy compleja y sofisticada. La administración tendría que estar a cargo de
Explotación. El auditor de Base de Datos debería asegurarse que Explotación conoce
suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizará
los Sistemas de salvaguarda existentes, que competen igualmente a Explotación. Revisará
finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias
entre ellos.

AUDITORÍA INFORMÁTICA DE COMUNICACIONES Y REDES

Revisión de la topología de Red y determinación de posibles mejoras, análisis de caudales y grados

de utilización
METOLOGIAS PARA LA AUDITORIA DE SISTEMAS

METODOLOGÍAS DE AUDITORÍA DE INFORMACIÓN ENFOCADAS HACIA LOS PROCESOS

Metodología de Reynolds (1980). Su objetivo es analizar las debilidades del sistema de reportes.
Sólo está enfocada al análisis de este y no puede ser aplicada a otros ámbitos, funciones o
procesos. Por ello se incluye dentro del enfoque de procesos. Etapas de la metodología de
Reynolds

1. Inventariar la distribución de información formal

2. Considerar el propósito del reporte
3. Identificar las debilidades del sistema
4. Identificar las áreas prioritarias para efectuar mejoras
5. Proponer cambios en el diseño
6. Implementar los cambios que han dado resultado

METODOLOGÍAS DE AUDITORÍAS DE INFORMACIÓN ENFOCADAS HACIA LOS RECURSOS

Comparan opciones a partir de los costos con relación a los beneficios que se derivan de estas.
Están orientadas al sistema y al análisis del valor de la información a partir de criterios de costo-
beneficio. Alderson propone calcular la reducción de los costos, en perfiles de búsqueda y retorno
sobre la inversión y Riley, estableció una serie de factores de costos a considerar cuando se
adquiere un nuevo producto de información. Se incluye en el enfoque de recursos, porque
aunque no examina las diferentes fuentes, centra su análisis en los costos de otros recursos
vinculados con la información y no los asocia con los aspectos estratégicos de la organización.
Hace mayor énfasis en la medición cuantitativa de los costos, pero no los valora cualitativamente,
tampoco considera el análisis del ambiente organizacional ni de las necesidades de información.
Etapas de las Metodologías de Riley, (1975) y Alderson, (1973)

1. Definir los objetivos a alcanzar por el sistema.

2. Valorar alternativas para alcanzar los objetivos.
3. Determinar los costos de estas alternativas.
4. Establecer modelos de los costos de cada alternativa.
5. Establecer criterios de costos 6. Estudiar los resultados.

METODOLOGÍAS DE AUDITORÍAS DE INFORMACIÓN CON ENFOQUE HÍBRIDO

Considera la eficiencia y la efectividad con que se usan, manejan y protegen los recursos de
información, la confiabilidad del sistema y su conformidad con las obligaciones, regulaciones y
normas vigentes. Se considera de enfoque híbrido porque abarca no sólo el análisis estratégico de
la organización, sino que identifica además, los recursos tecnológicos y las necesidades en función
de las tareas. Aquí se percibe su enfoque hacia los procesos, aunque no incluye el mapeo de los
flujos. Algo significativo es que Gruber dedica una fase específica al diseño de los cuestionarios, lo
cual en otras metodologías forma parte de alguna de sus etapas. María Virginia González Guitián,
Gloria Ponjuán Dante Metod.

Etapas de la metodología de Gruber

1. Definir el ambiente organizacional

2. Planificar en detalle la auditoría
3. Identificar las necesidades de información de los usuarios
4. Diseñar los cuestionarios
5. Enviar memorandos a los entrevistados y reunirse con ellos
6. Investigar la tecnología
7. Análisis los hallazgos
8. Costear y valorar
9. Generar y evaluar alternativas de solución
10. Monitorear la adopción de los estándares y regulaciones
11. Escribir el informe final
12. Implementar los mecanismos de monitoreo

Metodología de Gillman (1985).

Ha sido aplicada fundamentalmente en instituciones de información. Enfatiza más en el análisis

de los SI que en el costo-beneficio de los recursos de información e intentan identificar los
principales componentes del sistema para mapearlos en relación unos con otros. Se clasifica como
híbrida porque se focaliza no solo hacia las estrategias y metas, sino hacia la identificación de los
recursos y sus flujos por cada servicio o proceso en este tipo de organización, analizando el valor
de la información que transita por estos.

Etapas de la metodología de Gillman

1. Identificar las principales fuentes

2. Determinar el objetivo de los recursos de información
3. Detectar los centros de información que proveen servicios generales o especializados
4. Identificar los servicios que se proveen
5. Determinar la posición del centro de información con relación a la organización 6. Trazar
recomendaciones

Modelo de Orna (1999).

Compuesto por 10 etapas, concibe la auditoría como una plataforma para el cambio mediante el
uso adecuado de la información y del conocimiento. Enfatiza en la importancia del estudio de los
flujos dentro de la organización, el esclarecimiento de los canales de comunicación, la
identificación del conocimiento que cada trabajador posee sobre la información existente y las
personas que puedan ser considerados como fuentes de información, para llevar a cabo las
funciones organizacionales. A juicio de las autoras de esta investigación, esta metodología posee
tres ventajas fundamentales en relación con los otros métodos de auditoría ya que no sólo realiza
 el análisis de arriba-abajo en toda la organización, sino que también identifica la dinámica de los
flujos y su producto final es la política de información corporativa, que constituye la base para el
desarrollo de una estrategia de información. Es un modelo integral y flexible, ofrece técnicas para
realizar cada uno de sus pasos y contiene ejemplos de auditorías de información llevadas a cabo
en diversas organizaciones. Se clasifica dentro del enfoque híbrido y es uno de los más
comentados en la bibliografía internacional. Etapas del modelo de Orna

1. Análisis e implicación de los objetivos claves del negocio

2. Asegurar el apoyo de la dirección
3. Lograr el apoyo de las personas en la organización
4. Plan de auditoría
5. Descubriendo las salidas
6. Interpretación de los resultados
7. Presentación de los resultados
8. Implementar los cambios
9. Monitorear los efectos
10. Repetir el ciclo de la auditoría

Modelo integral para auditar organizaciones de información

Dirigido al análisis de los procesos de información en organizaciones de información y

estructurado en 6 etapas. Tiene una perspectiva gerencial y permite llevar a cabo la auditoría
evaluando los procesos de tratamiento de la información y los asociados al flujo y uso de esta.
Para ello establece indicadores y variables de evaluación. Este modelo se ha aplicado ampliamente
en organizaciones de este tipo en Cuba.

Etapas del modelo

1. Conocer la organización
2. Planificación del proceso de auditoría
3. Recopilación y análisis de la información
4. Preparación, discusión y entrega del informe de auditoría
5. Implementación
6. Seguimiento y control

De las metodologías y modelos analizados, el 100% de ellas incluyen la realización del inventario
de los recursos de información en una u otra dimensión, mientras el 70% evalúan las necesidades
de información en función de los objetivos organizacionales y realizan además, informes finales.

El 61% de la muestra objeto de estudio, aborda el análisis organizacional, la evaluación de los

flujos de información y la valoración de los costos de los recursos de información.

Pero solamente 3 autores (23%) plantean en sus propuestas la evaluación del sistema de gestión
de información, cuando se supone este sea uno de los objetivos medulares de estos procesos. Solo
el 31% incluye el análisis de las estrategias y la política en relación con la información establecida
en la organización, a pesar de que es un aspecto vital a investigar en la auditoría conocer si existe
una estrategia y si está bien concebida y alineada con los objetivos y metas de la organización.
Además solo en 6 (46%) de las propuestas metodológicas se explicitan las técnicas utilizadas
durante la realización de la auditoría. Normalmente las auditorías plantean una etapa de
seguimiento y control de las recomendaciones emitidas por la auditoría anterior. Sin embargo en
las auditorías de información solo 5 (38%) de las propuestas estudiadas, incluye la realización de
una auditoría recurrente.