Metodología de trabajo de auditoría informática
El método de trabajo del auditor pasa por las siguientes etapas:

- Definición de alcance y objetivos
El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir, cuáles materias, funciones u organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben aparecer al comienzo del informe final.
Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos específicos, éstos se añadirán a los objetivos generales y comunes de toda auditoría informática: la operatividad de los sistemas y los controles generales de gestión informática.
- Estudio inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática.
Para su realización, el auditor debe conocer lo siguiente:
Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto el auditor deberá fijarse en:
- Organigrama: El organigrama expresa la estructura oficial de la organización a auditar. Si se descubriera que existe un organigrama diferente al oficial, se pondrá de manifiesto tal circunstancia.
- Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
- Relaciones jerárquicas y funcionales entre órganos de la organización: El equipo auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas por el organigrama, o por el contrario, detectará, por ejemplo, si algún empleado tiene dos jefes.
Las jerárquicas implican la correspondiente subordinación; las funcionales, por el contrario, indican relaciones no estrictamente subordinables.
- Flujos de información: Además de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales.
Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización.
- Número de puestos de trabajo: El equipo auditor comprobará que los nombres de los puestos de trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.
- Número de personas por puesto de trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.
El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:
- Situación geográfica de los sistemas: Se determinará la ubicación geográfica de los distintos centros de proceso de datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo.
- Arquitectura y configuración de hardware y software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos.
- Inventario de hardware y software: El auditor recabará información escrita, en donde muestran todos los elementos físicos y lógicos de la instalación. En cuanto a hardware, incluirá las CPU, unidades de control local y remoto, periféricos de todo tipo, etcétera.
El inventario de software debe contener todos los productos lógicos del sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.
- Comunicación y redes de comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las redes locales de la empresa.
- Aplicaciones bases de datos y archivos
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente:
- Volumen, antigüedad y complejidad de las aplicaciones.
- Metodología del diseño. Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto.
- Documentación. La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
La documentación de programas disminuye gravemente el mantenimiento de los mismos.
- Cantidad y complejidad. El auditor recabará información de tamaño y características de las bases de datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los archivos, así como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visión aceptable de las características de la carga informática.
- Recursos materiales
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
- Software. Programas propios de la auditoría: Son muy potentes y flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de técnica de sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
- Hardware. Los recursos hardware que el auditor necesita son proporcionados por el cliente.
Los procesos de control deben efectuarse necesariamente en las computadoras del auditado. Para lo cual habrá de convenir, tiempo de máquina, espacio de disco, impresoras ocupadas, etcétera.
Otro autor define la siguiente metodología para la auditoría de los sistemas de información.
En general, la auditoría moderna es un proceso metódico y como tal tiene un esquema de progreso común a todos los proyectos. Este esquema se resume en las siguientes cinco fases:

Este esquema es lo suficientemente general como para que pueda ser adoptado por cualquier empresa de servicios de auditoría que trabaje bajo la filosofía del proyecto. Además, tiene la ventaja de que permite al comprador público un seguimiento sencillo de la actividad auditora. Por ello, la especificación de una secuencia de fases de este tipo puede ser considerada como un elemento a tener en cuenta a la hora de la redacción del pliego de prescripciones técnicas.
La aplicación de las recomendaciones ISO garantizará la organización del trabajo de auditoría y el control de todas sus fases.
- Toma de contacto
En esta etapa se recaba toda la información relevante referente a la organización a auditar. La información es de todo tipo, pero se deberá hacer hincapié en las áreas relacionadas con los SI.
La siguiente lista orienta acerca de las áreas que deben tomarse en cuenta:
- Objetivos estratégicos de la organización y plan de SI. Los SI deberán colaborar para cumplir los objetivos estratégicos.
Estos objetivos deberían estar contenidos dentro del plan de sistemas de información, en caso de que exista.
- Restricciones legales, sociales, de entorno en las que debe funcionar la "organización".
- Organigrama de la organización. Estructura organizativa y responsabilidades de cada uno de los elementos de la jerarquía, sobre todo para conocer las relaciones más importantes que tiene el área informática con los otros departamentos.
- Volumen de la organización. Presupuesto anual, distribución geográfica de instalaciones, número de empleados, etcétera.
- Resultados de otras auditorías. Con esta información se podrá juzgar la evolución de la organización, y dónde se encuentran los puntos críticos.
- Área informática. Se encarga de todo lo relacionado con los sistemas informáticos y con la aplicación de las directrices del plan de sistemas de información.
- Modelo general. Equipo físico existente. Esta información permite un posicionamiento inicial sobre el área informática.
- Volumen del área informática. Número de empleados, producción de líneas de código y módulos, distribución de personal por áreas de explotación, mantenimiento, desarrollo e investigación, etcétera.
- Aplicaciones en proceso de desarrollo. Permiten evaluar el esfuerzo actual en nueva producción.
- Aplicaciones en proceso de explotación. Permiten evaluar los recursos consumidos en producción.
- Planificación
La fase de planificación comienza por una evaluación de los problemas y/o resistencias que se hayan podido encontrar en la toma de contacto. Es importante esta reflexión para identificar aquellas áreas problemáticas a las que probablemente haya que dedicar más tiempo y recursos.
El primer resultado de esta fase es la enunciación de los objetivos y alcance de la auditoría, que será recogido en un documento formal denominado plan de auditoría. Se puede limitar el alcance del proceso auditor por razones como indisponibilidad de recursos, cercanía a otros procesos auditores o imposibilidad de perturbar en un momento crítico una determinada área.
En cualquier caso, una vez definido el alcance, se debe proceder a la planificación de recursos, entendida como la especificación de tiempo, plazos, recursos humanos, recursos materiales y coste del proceso.
Los conceptos a tener en cuenta para hacer la planificación son:
- Alcance de los objetivos.
- Priorización de áreas a auditar.
- Resultados parciales a considerar.
- Plazos.
- Equipo humano.
- Presupuesto.
- Desarrollo de la auditoría
Ésta es la fase de captación de información. Para evitar en lo posible que la información se vea empañada por las opiniones personales del auditor, éste posee una serie de herramientas para sistematizar el proceso de observación. Algunas de estas herramientas son:
- Cuestionarios.
- Modelos de entrevistas.
- Técnicas psicológicas de grupos.
- Modelos matemáticos, ejemplo: CPE (Computer Performance Evaluation).
- Simulaciones del comportamiento de sistemas a construir.
- Programas de registro de actividad de dispositivos y redes de comunicaciones.
- Modelos de comportamiento y de análisis organizacional. Durante toda esta fase se establece un estrecho contacto con el personal de la organización.
Es importante mantener una correcta disposición de escucha activa y respeto por las opiniones de las personas que deben utilizar los sistemas. El auditor debe detectar situaciones de poca transferencia de información por parte de los usuarios, que implique la existencia de poco contacto entre los usuarios y el personal de los SI. El trabajo de desarrollo será recogido en un documento formal denominado informe de auditoría.
- Fase de diagnóstico
Cuando se ha terminado la recopilación de datos se procede al análisis de los mismos, con el fin de efectuar la identificación de los puntos débiles y los fuertes. El diagnóstico debe basarse en datos objetivos, presentados en forma de cifras, medidas estadísticas, casos extraídos tal cual de la vida de la organización, sucesos concretos, etc. No deben permitirse los juicios de valor que puedan derivarse de los gustos u opiniones personales del auditor. Sobre esta base cuantitativa se elabora un modelo de la desviación de la situación encontrada respecto de la que podría considerarse óptima.
- Presentación de conclusiones
La presentación de conclusiones es un proceso a realizar en pasos sucesivos, de menor a mayor alcance. Primeramente se efectuarán rondas por áreas, informando de las conclusiones provisionales a las personas afectadas, de forma que puedan dar su opinión y que ésta se vea reflejada en la conclusión final.
Si el equipo auditor opina que la causa de una deficiencia está localizada en un punto específico y las personas responsables del área no son de la misma opinión, las dos visiones del problema deben presentarse en la conclusión final, debidamente diferenciadas.
Esto da al informe de auditoría una objetividad mucho mayor, sin comprometer para nada su independencia, dado que antes o después habrá que recabar la segunda opinión. Por tanto, se debe exigir a los auditores el contraste de sus conclusiones en el momento de la presentación final.
El responsable del área auditada deberá preparar un plan de acciones correctivas que presentará al auditor en un plazo no superior a 15 días tras la presentación del informe. Este plan será la base para la definición y puesta en marcha de acciones correctivas. En función del plazo de resolución de las desviaciones, se fijará una fecha para verificar la implantación de las acciones emprendidas.
El auditor realizará el seguimiento de las acciones correctivas abiertas hasta su resolución final con el objeto de verificar que se han tomado las medidas oportunas para corregir las desviaciones detectadas.
El plan de acciones correctivas será el procedimiento que deberá alcanzar los siguientes objetivos:
- Establecer y mantener los cauces necesarios para la introducción de acciones que influyan en los procesos de trabajo habituales de la administración, en los SI o en el sistema de aseguramiento de la calidad, y
- Eliminar las causas que producen las no-conformidades o deficiencias detectadas en la explotación del SI. Y será definido a partir de las fuentes de información de que dispone el sistema:
- Auditorías,
- Registros de calidad,
- Informes de servicios posventa y
- De reclamaciones de clientes y/o registros de no-conformidades.
Su alcance deberá implicar a todos los procesos y actividades que definan el sistema de calidad de todos los productos o servicios que proporcione la administración como base del servicio.
La aplicación de las acciones correctoras será una estrategia de la empresa, por lo que todos los departamentos son responsables de su implantación:
- Estas acciones serán aplicadas con carácter correctivo si surgen a raíz de las no-conformidades reales, definiendo la implantación de las medidas necesarias, su seguimiento y registro.
- O serán aplicadas con carácter preventivo si surgen con base en la política establecida por la administración para la continua mejora de la calidad, basadas en la información que el sistema de aseguramiento de la calidad dispone, definiendo los pasos necesarios para la detección, análisis y eliminación de las causas potenciales de las no-conformidades.

Herramientas y Técnicas para la Auditoría Informática.
- Cuestionarios: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos.
El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando las respuestas de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidadosos en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado.
- Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:
- Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.
- Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
- Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo.
El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente bajo la forma de una conversación correcta y lo menos tensa posible, el auditado contesta sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es sólo aparente, tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular.
- Check list: El auditor profesional y experto es aquel que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada.
Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para el cumplimiento sistemático de sus check lists o listas de cotejo.
Hay opiniones que descalifican el uso de las check lists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar check lists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información con el fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de check list. Salvo excepciones, las check lists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talento del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable.
El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de auditoría informática guardan sus chec klists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.
El auditor deberá aplicar la check list de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta.
En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo. Algunas de las preguntas de las check lists utilizadas para cada sector deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad.
El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia. Los cuestionarios o check lists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación:
- Check list de rango. Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo).
Ejemplo de check list de rango:
Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al centro de cómputo. Podrían formularse las preguntas que se muestran a continuación, en donde las respuestas tienen los siguientes significados:
- Muy deficiente.
- Deficiente.
- Mejorable.
- Aceptable.
- Correcto.
Se esperan posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeño guión.
La contestación de la check list no debe realizarse en presencia del auditado.
-¿Existe personal específico de vigilancia externa al edificio?
R: No, solamente un guardia por la noche que atiende además otra instalación adyacente.
-Para la vigilancia interna del edificio, ¿hay al menos un vigilante por turno en los aledaños del centro de cómputo?
R: Sí, pero sube a las otras cuatro plantas cuando se le necesita.
-¿Hay salida de emergencia, además de la habilitada para la entrada y salida de máquinas?
R: Sí, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
-¿El personal de comunicaciones puede entrar directamente en la sala de computadoras?
R: No, sólo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente más que por causa muy justificada, y avisando casi siempre al Jefe de Explotación. |
El resultado sería el promedio de las puntuaciones:
(1 + 2 + 2 + 4) /4 = 2,25 Deficiente. |
- Check list binaria
Es la constituida por preguntas con respuesta única y excluyente: Sí o No. Aritméticamente, equivalen a 1 (uno) o 0 (cero), respectivamente.
Ejemplo de check list binaria:
Se supone que se está realizando una revisión de los métodos de pruebas de programas en el ámbito de desarrollo de proyectos.
- ¿Existe normativa de que el usuario final compruebe los resultados finales de los programas?
- ¿Conoce el personal de desarrollo la existencia de la anterior normativa?
- ¿Se aplica dicha norma en todos los casos?
- ¿Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de bases de datos reales?
Las check lists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en la check list binaria. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor.
Las check lists binarias siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del frente a la mayor riqueza del intervalo.
No existen check lists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptación correspondientes en las preguntas a realizar.
- Trazas y/o huellas: Con frecuencia, el auditor informático debe verificar que los programas, tanto de los sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa (trazas).
Las "trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las trazas no deben modificar en absoluto el sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.
Por lo que se refiere al análisis del sistema, los auditores informáticos emplean productos que comprueban los valores asignados por técnica de sistemas a cada uno de los parámetros variables de las librerías más importantes del mismo.
- Software de interrogación: Hasta hace ya algunos años se han utilizado productos software llamados genéricamente “paquetes de auditoría”, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación.
En la actualidad, los productos software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de archivos y bases de datos de la empresa auditada.
Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.
Del mismo modo, la proliferación de las redes locales y de la filosofía "cliente-servidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informático copia en su propia PC la información más relevante para su trabajo.
Cabe recordar que en la actualidad casi todos los usuarios finales poseen datos e información parcial generada por la organización informática de la compañía. Efectivamente, conectados como terminales al "host", almacenan los datos proporcionados por éste, que son tratados posteriormente en modo PC.
El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar información de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones más autorizadas indican que el trabajo de campo del auditor informático debe realizarse principalmente con los productos del cliente.

