Consiste en la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio de conocimientos profesionales se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones.

Al evaluar la información automática, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programación, para lograr un mejor entendimiento del sistema y los controles que se diseñaron en el sistema de procesamiento electrónico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatización del proceso, y algunos que sustituyen aquellos que en los métodos manuales se basaron en juicios humanos y la división de labores.

Muchos de los controles en ambientes informáticos, pueden combinarse en los programas de computadoras con el proceso manual.

• El sistema Procesamiento Electrónico de Datos (PED) puede producir una pista o huella de transacciones para fines de auditoria que tan solo sea aplicable por un breve periodo,(ventas por teléfono).
• Con frecuencia existe menos evidencia documental de los procedimientos del control del sistema computarizado que en sistemas manuales.
• La información dentro de los sistemas manuales es visible.
• la menor participación humana en el PED puede ocultar errores que si pueden observarse con los sistemas manuales.
• La información de los sistemas manuales puede ser mas vulnerable a desastres físicos, manipulación no autorizada y mal funcionamiento mecánico.

La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se sustenta.

Los aspectos relativos al control de la Seguridad de la Información tienen tres líneas básicas en la auditoria del sistema de información:

• Aspectos generales relativos a la seguridad: En este grupo de aspectos habría que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad físicos de las instalaciones, del personal informático, etc.

• Aspectos relativos a la confidencialidad y seguridad de la información: Estos aspectos se refieren no solo a la protección del material, el logicial, los soportes de la información, sino también al control de acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma).

• Aspectos jurídicos y económicos relativos a la seguridad de la información: En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar cada vez más frecuentes delitos informáticos que se cometen en la empresa.