FASES DE LA AUDITORIA

La auditora en informtica es el proceso de recoleccin y evaluacin de evidencias para determinar cuando son salvaguardados los activos de los sistemas computarizados, de que manera se mantiene la integridad de los datos y como se logran los objetivos de la organizacin eficazmente y se usan los recursos consumidos eficientemente. La auditora en informtica sigue los objetivos tradicionales de la auditora: aquellos que son de la auditora externa, de salvaguarda de los activos y la integridad de los datos, y los objetivos gerenciales, aquellos propios de la auditora interna que no solo logran los objetivos sealados sino tambin los de eficiencia y eficacia. La auditora interna es una funcin independiente de la evaluacin que se establece dentro de una organizacin para examinar y evaluar sus actividades. El objetivo de la auditora interna consiste en apoyar a los miembros de la organizacin en el desempeo de sus responsabilidades. Para ello, proporciona anlisis, evaluaciones, recomendaciones, asesora e informacin concerniente a las actividades revisadas. Los auditores internos son responsables de proporcionar informacin acerca de la adecuacin y efectividad del sistema de control interno de la organizacin y de la calidad de la gestin. El manual de la organizacin deber establecer claramente los propsitos del departamento de auditora interna, especificar que alcance del trabajo no debe tener restricciones y sealar que los auditores internos no tendrn autoridad y/o responsabilidad respecto a las actividades de auditan. El auditor externo debe ser independiente de las actividades que audita. Esta independencia permite que el auditor interno realice su trabajo libre y objetivamente, ya que sin esta independencia no se pueden obtener los resultados deseados.

Las normas de auditora interna comprenden:

Las actividades auditadas y la objetividad de los auditores internos. El conocimiento tcnico, la capacidad y el cuidado profesional de los auditores internos con los que debe ejercer su funcin. En el caso de la auditora informtica es de suma importancia que el auditor cuente con los conocimientos tcnicos actualizados y con la experiencia necesaria en el rea. El desarrollo de las responsabilidades asignadas a los auditores internos responsables de la auditora a informtica.

Los auditores internos deben ser independientes de las actividades que auditan, y deben de tener un amplio criterio para no tomar decisiones subjetivas basadas en preferencias personales sobre determinado equipo o software, sin analizar a profundidad las opiniones. Los auditores internos son independientes cuando pueden desempear su trabajo con libertad y objetividad. La independencia permite a los auditores internos reducir juicios imparciales, esenciales para la adecuada conduccin de las auditoras; esto se logra a travs de una adecuada objetividad y criterio. La objetividad es una actitud de independencia mental que los auditores internos deben mantener al realizar las auditoras. Los auditores internos no deben subordinar sus juicios en materia de auditora al de otros. La objetividad requiere que los auditores internos realicen sus auditoras de tal manera que tengan una honesta confianza en el producto de su trabajo y que no hayan creado compromisos significativos en cuanto a la calidad. Los auditores internos no deben colocarse en situaciones en las que se sientan imposibilitados para hacer juicios profesionales objetivos. Los resultados del trabajo de auditora deben ser revisados antes de emitir el respectivo informa de auditora, para proporcionar una razonable seguridad de que el trabajo se realizo objetivamente. El auditor en informtica debe contar con los conocimientos tcnicos requeridos y con capacidad profesional. El departamento de auditora interna deber asignar, cada auditora, a aquellas personas que en su conjunto posean los conocimientos, la experiencia y la disciplina necesarios para conducir apropiadamente la auditora. Tambin deber asegurarse que la experiencia tcnica y la formacin acadmica de los auditores sean las apropiadas para realizar las auditoras en informtica. Asimismo, se deber obtener una razonable seguridad sobre las capacidades y pericias de cada prospecto para auditor en informtica. El departamento de auditora interna deber contar u obtener los conocimientos, experiencias y disciplinas necesarias para llevar a cabo sus responsabilidades de auditora en informtica. Deber tener personal o emplear consultores calificados en las disciplinas de informtica y cumplir con las responsabilidades de auditora; sin embargo, cada miembro del departamento no necesita estar calificado en todas las disciplinas. El departamento de auditora deber asegurarse: Que las auditoras sean supervisadas en forma apropiada. La supervisin es un proceso continuo que comienza con la planeacin y termina con al trabajo de auditora. Que los informes de auditora sean precisos, objetivos, claros, concisos, constructivos y oportunos. Que se cumplan los objetivos de la auditora.

Que la auditora sea debidamente documentada y que se conserve la evidencia apropiada de la supervisin. Que los auditores cumplan con las normas profesionales de conducta. Que los auditores en informtica posean los conocimientos, experiencias y disciplinas esenciales para realizar sus auditoras.

Cada auditor interno requiere de ciertos conocimientos y experiencias: Se requiere pericia en la aplicacin de las normas, procedimientos y tcnicas de auditora interna para el desarrollo de las revisiones. Se entiende por pericia la habilidad para aplicar los conocimientos que se poseen a las situaciones que posiblemente se encuentre, ocupndose de ellas sin tener que recurrir en excesos a ayudas o investigaciones tcnicas. Tener habilidad par: aplicar amplios conocimientos a situaciones que posiblemente se vayan encontrando, reconocer las desviaciones significativas y poder llevar a cabo las investigaciones necesarias para alcanzar soluciones razonables.

Entre las habilidades que veden tener los auditores estn: Habilidad para comunicarse efectivamente y dar un trato adecuado a las personas. Los auditores internos deben tener habilidad para comunicarse tanto de manera oral como escrita, de tal manera que puedan transmitir clara y efectivamente asuntos como: los objetivos de la auditora, las evaluaciones, las conclusiones y las recomendaciones. Los auditores en informtica son responsables de continuar su desarrollo profesional para poder mantener su pericia profesional. Debern mantenerse informados acerca de las mejoras y desarrollos recientes. Los auditores en informtica deben ejercer el debido cuidado profesional al realizar sus auditoras. El cuidado profesional, deber estar de acuerdo con la complejidad de la auditora que se realiza. Los auditores deben estar atentos a la posibilidad de errores intencionales, de errores omisiones, de la ineficiencia, del desperdicio, de la inefectividad y del conflicto de intereses. Tambin debern estar alertas ante aquellas condiciones y actividades en donde es ms probable que existan irregularidades. Adems, debern de identificar los controles inadecuados y emitir recomendaciones para promover el cumplimiento con procedimientos y prcticas aceptables.

El debido cumplimiento implica una razonable capacidad, no infalibilidad ni acciones extraordinarias. Requiere que el auditor realice exmenes y verificaciones con un alcance razonable, pero no requiere auditoras detalladas de todas las operaciones. Por consiguiente, el

auditor no puede dar una absoluta seguridad de que no existan incumplimientos o irregularidades. Sin embargo, la posibilidad de que ocurran irregularidades materiales o que no se cumplan disposiciones debe ser considerada siempre que el auditor emprende una auditora. Cuando el auditor detecte una irregularidad que va en contra de lo establecido deber informarlo a los autoridades adecuadas de la organizacin. El auditor puede recomendar cualquier investigacin que considere necesaria en esas circunstancias. Posteriormente, el auditor deber efectuar su seguimiento para verificar que se ha cumplido con lo sealado. El ejercicio del debido cuidado profesional significa el uso razonable de las experiencias y juicios en el desarrollo de la auditora. Para este fin el auditor deber considerar: El alcance del trabajo de auditora necesario para lograr los objetivos de la auditora. La materialidad o importancia relativa de los asuntos a los que se aplican los procedimientos de la auditora. La adecuacin y efectividad de los controles internos. El costo de la auditora en relacin con los posibles beneficios.

El cuidado profesional incluye la evaluacin de los estndares establecidos, determinando en consecuencia si tales estndares son aceptables y si con cumplidos. Cuando stos son vagos debern interpretaciones autorizadas. El alcance de la auditora debe abarcar el examen y evaluacin de la adecuacin y efectividad del sistema de control interno de la organizacin y la calidad en el cumplimiento de las responsabilidades asignadas. El propsito de revisar la adecuacin del sistema de control interno es el de cerciorarse si el sistema establecido proporciona una razonable seguridad de que los objetivos y metas de la organizacin se cumplirn eficiente y econmicamente. Los objetivos elementales del control interno son para asegurar: La confiabilidad e integridad de la informacin. Los auditores deben revisar la confiablidad e integridad de la informacin y los mtodos empleados para identificas, medir, clasificar y reportar dicha informacin. El cumplimiento de las polticas, planes, procedimientos, leyes y reglamentos. La salvaguarda de activos. El uso eficiente y econmico de los recursos. El logro de los objetivos y metas establecidos para las operaciones o programas. El sistema de informacin proporciona datos para la toma de decisiones, el control y el cumplimiento con requerimientos externos. Por ello, los auditores deben eliminar los sistemas de informacin y cuando sea apropiado asegurarse:

 Que los registros e informes contengan informacin precisa, confiable, oportuna, completa y til. Que los controles sobre los registros e informes sean adecuados y efectivos.

Los auditores deben revisar los sistemas establecidos para asegurarse del cumplimiento de las polticas, planes y procedimientos, leyes y reglamentos que pueden tener un impacto significativo en las operaciones e informes, y deben determinar si la organizacin cumple con ellos. La gerencia de informtica es responsable del establecimiento de los sistemas diseados para asegurar el cumplimiento de requerimientos tales como polticas, planes, procedimientos y leyes y reglamentos aplicables. Los auditores son responsables de determinar si los sistemas son adecuados y efectivos y si las actividades auditadas estn cumpliendo son los requerimientos apropiados. Los auditores debern revisar: La correccin de los mtodos de salvaguarda de los activos y verificar la existencia de estos activos. Los mtodos empleados para salvaguardar los activos de diferentes tipos de riesgos tales como: robo, incendios, actividades impropias o ilegales, as como los elementos naturales como terremotos, inundaciones, etc. Los auditores debern evaluar si el empleo de los recursos se realiza en forma econmica y eficiente. La administracin es responsable de establecer estndares de operacin para medir la eficiencia y economa en el uso de los recursos. Los auditores internos son responsables de determinar si: Los estndares para medir la economa y eficiencia en el uso de los recursos son los adecuados. Los estndares de operacin establecidos han sido entendidos y se cumplen. Las desviaciones a los estndares de operacin de identifican, analizan y se comunican a los responsables para que tomen las medidas correctivas. Se toman las medidas correctivas.

Las auditorias relacionadas con el uso econmico y eficiente de los recursos debern identificar situaciones tales como: Subutilizacin de instalaciones. Trabajo productivo. Procedimientos que no justifican su costo.

 Exceso o insuficiencia de personal. Uso indebido de las instalaciones.

Los auditores debern revisar las operaciones o programas para cerciorarse si los resultados son consistentes con los objetivos y metas establecidos y si las operaciones o programas se llevan a cabo como se planearon.

PLANEACIN
Para hacer una adecuada planeacin de la auditora en informtica hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con ello podremos determinar y nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditora para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditoria en general, la planeacin es uno de los pasos ms importantes, ya que una inadecuada planeacin provocar una serie de problemas que pueden impedir que se cumpla con la auditora o bien hacer que no se efectu con el profesionalismo que debe tener cualquier auditor. El trabajo de auditora deber incluir la planeacin de la auditora, el examen y la evaluacin de la informacin, la comunicacin de los resultados y el seguimiento. La planeacin deber se documentada e incluir: El establecimiento de los objetivos y el alcance del trabajo. La obtencin de informacin de apoyo sobre las actividades que se auditarn. La determinacin de los recursos necesarios para realizar la auditora. El establecimiento de la comunicacin necesaria con todos los que estarn involucrados en la auditora. La realizacin, en forma ms apropiada, de una inspeccin fsica para familiarizarse con las actividades y controles a auditar, as como identificacin de las reas en las que deber hacer nfasis al realizar la auditora y promover comentarios y la promocin de los auditados. La preparacin por escrito del programa de auditora. La determinacin de cmo, cundo y a quien se le comunicarn los resultados de la auditora. La obtencin de la aprobacin del plan de trabajo de la auditora.

En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de varios objetivos:

Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo (software, hardware, redes, bases de datos, comunicaciones). Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas y de la informacin.

Para lograr una adecuada planeacin, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, y con base en esto planear el programa de trabajo, el cual deber incluir tiempos, costos, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la auditora. El proceso de planeacin comprende el establecer: Metas. Programas de trabajo de auditora. Planes de contratacin de personal y presupuesto financiero. Informes de actividades.

Las metas se debern establecer de tal manera que se pueda lograr su cumplimiento, sobre la base de los planes especficos de operacin y de los presupuestos, los que hasta donde sea posible debern ser cuantificables. Debern acompaarse de los criterios para medirlas y de fechas lmites para su logro. Los programas de trabajo de auditora debern incluir: las actividades que se van a auditar, cuando sern auditadas, el tiempo estimado requerido, tomando en consideracin el alcance del trabajo de auditora planeado y la naturaleza y extensin del trabajo de auditora realizado por otros. Los programas de trabajo debern ser lo suficientemente flexibles para cubrir demandas imprevistas. Los planes de contratacin de empleados y los presupuestos financieros incluyendo el nmero de auditores, su conocimiento, su experiencia y las disciplinas requeridas para realizar su trabajo debern contemplarse al elaborar los programas de trabajo e auditora, asi como las actividades administrativas, la escolaridad y el adiestramiento requeridos, la investigacin sobre auditora y los esfuerzos de desarrollo.

REVISION PRELIMINAR
El primer paso en el desarrollo de la auditora, despus de la planeacin, es la revisin preliminar del rea de informtica. El objetivo de la revisin preliminar es el de obtener la informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder en la auditora. Al terminar la revisin preliminar el auditor puede proceder en uno de los tres caminos siguientes: Diseo de la auditora. Puede haber problemas debido a la falta de competencia tcnica para realizar la auditora. Realizar una revisin detallada de los controles internos de los sistemas con la esperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas puedan reducir las consecuencias. Decidir el no confiar en los controles internos del sistema. Existen dos razones posibles para esta decisin. Primero, puede ser ms eficiente desde el punto de vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los controles del rea de informtica pueden duplicar los controles existentes en el rea del usuario. El auditor puede decidir que se obtendr un mayor costo-beneficio al dar una mayor confianza a los controles de compensacin y revisar y probar mejor estos controles. La revisin preliminar significa la recoleccin de evidencias por medio de entrevistas con el personal de la instalacin, la observacin de las actividades en la instalacin y la revisin de la documentacin preliminar. Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas o documentacin narrativa. Debemos considerar qu est ser solo una informacin inicial que nos permitir elaborar el plan de trabajo, el cual se profundizar en el desarrollo de la auditora. La revisin preliminar elaborada por un auditor interno difiere de la realizada por un auditor externo en tres aspectos. En primer lugar, el auditor interno normalmente requiere de menos revisiones y trabajos, especialmente en la parte gerencial y de organizacin, ya que l es parte de la organizacin y est familiarizado con la misma. En segundo, el auditor externo se enfoca ms en las causas de las perdidas y en los controles necesarios para justificar sus decisiones; el auditor interno tiene una amplia perspectiva, la cual incorpora en sus consideraciones sobre la eficiencia y la eficacia con la que trabaja. En tercero, si el auditor interno supone serias debilidades e os controles internos, en lugar de proceder directamente con las pruebas sustantivas, debr continuar con la fase de revisin detallada para sealar recomendaciones para mejorar los controles internos.

REVISIN DETALLADA
Los objetivos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. El auditor debe decidir si debe continuar elaborando pruebas de conocimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a la revisin con los usuarios (pruebas compensatorias), o a las pruebas sustantivas. En algunos casos el auditor puede, despus de hacer un anlisis detallado decidir que con los controles internos se tiene suficiente confianza, y en otros casos que los procedimientos alternos de auditora pueden ser ms apropiados. En la fase de evaluacin detallada es importante para el auditor identificar las causas de las prdidas existentes dentro de la instalacin y los controles para reducir las prdidas y los efectos causados por estas. Al terminar la revisin detallada del auditor debe evaluar en qu momento los controles establecidos reduce las prdidas esperadas a un nivel aceptable. Los mtodos de obtencin de informacin al momento de la evaluacin detallada son los mismos usados en la investigacin preliminar, y lo nico que difiere es la profundidad con que se obtiene la informacin y se evala. Como en el caso de la investigacin preliminar, se tienen diferentes formas de lograr los objetivos desde el punto de vista de auditor interno o externo. El auditor interno debe considerar las causas de las prdidas que afectan la eficiencia y la eficacia, adems de evaluar por qu los controles escogidos son o no suficientes para reducir las prdidas esperadas a un nivel aceptable. El auditor interno debe evaluar si los controles escogidos son ptimos, si provocan un sobrecontrol, o bien si se logra un satisfactorio nivel de control usando menos controles o controles menos costosos. Si el auditor interno considera los controles internos del sistema, no son satisfactorios, en lugar de proceder directamente a revisar, a probar controles alternos o a realizar pruebas sustantivas y procedimientos, debe sealar las recomendaciones para mejorar los controles de los sistemas.

EXAMEN Y EVALUACIN DE LA INFORMACIN

Los auditores internos debern, analizar, interpretar y documentar la informacin para apoyar los resultados de la auditora. El proceso de examen y evaluacin de la informacin es el siguiente: Se debe obtener la informacin de todos los asuntos relacionados con los objetivos y alcances de la auditora. La informacin deber ser suficiente, competente, relevante y til para que proporcione las bases slidas en relacin con los hallazgos y recomendaciones de la auditora. La informacin

suficiente significa que sta basada en hechos, que es adecuada y convincente, de tal forma que una persona prudente e informada pueda llagar a las mismas conclusiones que el auditor. La informacin competente significa que es confiable y puede obtenerse de la mejor manera, usando las tcnicas de auditora apropiada. La informacin relevante apoya los hallazgos y recomendaciones de auditora y es consistente con los objetivos de esta. La informacin til ayuda a la organizacin a lograr sus metas. Los procedimientos de auditora, incluyendo el empleo de las tcnicas de prueba selectivas y el muestreo estadstico, debern ser elegidos con anterioridad, cuando esto sea posible, y ampliarse o modificarse cuando las circunstancias lo requieran. El proceso de recabar, analizar interpretar y documentar la informacin deber supervisarse para proporcionar una seguridad razonable de que la objetividad del autor se mantuvo y que las metas de auditora se cumplieron. Los documentos de trabajo de la auditora debern ser preparados por los auditores y revisados por la gerencia de auditora. Estos documentos debern presentar la informacin obtenida y el anlisis realizado, y deben apoyar las bases de los hallazgos de auditora y las recomendaciones que se harn.

Los auditores debern reportar los resultados del trabajo de auditora. El auditor deber discutir las conclusiones y recomendaciones con los niveles apropiados de la administracin antes de emitir su informe final. Los informes debern ser objetivos, claros, concisos, constructivos y oportunos. Los informes presentarn el propsito, alcance y resultado de la auditora y, cuando se considera apropiado, contendrn la opinin del auditor. Los informes pueden incluir recomendaciones para mejoras potenciales y para reconocer el trabajo satisfactorio y las medidas correctivas. Los puntos de vista de los auditores respecto a las conclusiones y recomendaciones pueden ser incluidos en el informe de la auditora. Los auditores internos realizaran el seguimiento de las recomendaciones, para asegurarse que se tomaron las acciones apropiadas sobre los hallazgos de auditora reportados. El directos de auditora en informtica deber establecer un programa para seleccionar y desarrollar los recursos, el cual debe contemplar: Descripciones de puestos por cada nivel de auditora en informtica. Seleccin de individuos calificados y competentes. Entrenamiento y oportunidad de capacitacin profesional contina para todos y cada uno de los auditores. Evaluacin del trabajo de cada uno de los auditores por lo menos una vez al ao. Asesora a los auditores en lo referente a su trabajo y a si desarrollo profesional.

El trabajo de auditora interna y externa deber coordinarse para asegurar la adecuada cobertura y para minimizar la duplicidad de esfuerzos. El director de auditora interna en informtica deber establecer y mantener un programa de control para evaluar las operaciones del departamento de auditora interna. El propsito de este programa es proporcionar una seguridad razonable de que el trabajo de auditora est de acuerdo con las normas aplicables. Un programa de control de calidad deber incluir los siguientes elementos: Supervisin. Revisiones internas. Revisiones externas.

La supervisin del trabajo de los auditores en informtica deber llevarse a cabo continuamente para asegurarse de que estn trabajando de acuerdo con las normas, polticas y programas de auditora en informtica. Las revisiones internas debern realizarse peridicamente por el personal del departamento de auditora interna para evaluar la calidad del trabajo de auditora realizado. Estas revisiones debern llevarse a cabo a la misma manera que cualquier otra auditora. Para evaluar la calidad del trabajo de auditora en informtica debern practicarse revisiones externas.

PRUEBAS DE CONTROLES DE USUARIO Y SUSTANTIVAS

En algunos casos el auditor puede decidir el no notificar en los controles internos dentro de las instalaciones informticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles internos de informtica. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, visitas y evaluaciones hechas directamente con los usuarios.

El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden ocurrir prdidas materiales durante el procesamiento de la informacin. El auditor externo expresar este juicio en forma de opinin sobre cundo puede existir un proceso equivocado o falta de control de la informacin, se pueden identificar ocho diferentes pruebas sustantivas:

Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Pruebas para asegurar la calidad de los datos. Pruebas para identificar la inconsistencia de los datos. Prueba para comparar con los datos o contadores fsicos. Confirmacin de datos con fuentes externas. Pruebas para confirmar la adecuada comunicacin. Pruebas para determinar falta de seguridad. Pruebas para determinar problemas de legalidad.

Debemos cuestionarnos el beneficio e tener un excesivo control o bien evaluar el beneficio marginal de tener mayor control contra el costo que representa ste. Para ello es necesario evaluar el costo por falla del sistema y sus repercusiones para determinar el grado y confianza necesarios contra el costo de implantacin de controles y el costo de recuperacin de la informacin o eliminacin de las repercusiones. El auditor debe participar en tres estados del sistema: Durante la fase de diseo del sistema. Durante la fase de operacin. Durante la fase posterior a la auditora.

En general, la opinin del gerente de informtica y de la alta gerencia considera que el que el auditor participe en la fase de diseo disminuye la independencia del auditor, pero existen varias formas en las cuales se puede eliminar esto: Aumentando los conocimientos en informtica del auditor. Asignar diferentes auditores a la fase de diseo, al trabajador de auditora y al posterior a la auditora. Crear una seccin de auditora en informtica dentro del departamento de auditora interna. Obtener mayor soporte de la alta gerencia.

Realizar una auditora en informtica es un trabajo complejo. Por ello, para lograr los objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas, identificando los componentes que realizan las actividades bsicas de cada subsistema, evaluar la confianza de cada componente, y la de los subsistemas y en forma agregada evaluar cada subsistema hasta llegar a una evaluacin global sobre la confianza total del sistema. Esto se deber realizar sin olvidar el postulado de investigacin de operaciones, que nos seala que:

La suma de los ptimos parciales de los subsistemas no es igual al ptimo del sistema, pero nos da una buena aproximacin. Los pasos que involucran una auditora en informtica son similares a aquellas que se realizan para auditar un sistema manual. Primero se realiza una investigacin del rea de informtica, para lograr un entendimiento de cmo est siendo administrada la instalacin y de los principales sistemas que son procesados. En segundo lugar, si el auditor determina confiar en los controles internos del sistema, se realiza una investigacin detallada. En tercero, el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos controles que son crticos. En cuarto, se realizan pruebas sustantivas de los procedimientos. Finalmente, el auditor debe dar una opinin. Despus de estos pasos el auditor evala los controles internos del sistemas y decide se debe proceder con pasos alternativos. Durante la auditora en informtica deben tomarse muchas decisiones difciles. Cada evaluacin sobre la confianza de los sistemas de control interno requiere de evaluaciones complejas realizadas en forma conjunta con las evidencias obtenidas.