Fases de la Auditoria Informatica.

Fase I: Conocimientos del Sistema

Aspectos Legales y Políticas Internas: Sobre estos elementos está construido el sistema de control y por lo tanto
constituyen el marco de referencia para su evaluación.
Características del Sistema Operativo: Organigrama del área que participa en el sistema, Informes de auditoría
realizadas anteriormente
Características de la aplicación de computadora: Manual técnico de la aplicación del sistema, Equipos utilizados
en la aplicación de computadora

Fase 2: Análisis de las transacciones

Definición de las transacciones.
Establecer el flujo de los documentos
Identificar y codificar los recursos que participan en el sistemas
Relación entre transacciones y recursos

Fase III: Análisis de riesgos y amenazas

Identificación de riesgos
Identificación de las amenazas
Relación entre recursos/amenazas/riesgos

Fase IV: Análisis de controles

Codificación de controles
Relación entre recursos/amenazas/riesgos
Análisis de cobertura de los controles requeridos

Fase V: Evaluación de Controles

Objetivos de la evaluación
Plan de pruebas de los controles
Pruebas de controles
Análisis de resultados de las pruebas

Fase VI: Informe de Auditoria

Informe detallado de recomendaciones
Evaluación de las respuestas
Informe resumen para la alta gerencia

Fase VII: Seguimiento de Recomendaciones

Informes del seguimiento
Evaluación de los controles implantados

FASES DE LA AUDITORÍA INFORMATICA

1.- PLANEACION:
Dentro de esta etapa vamos a considerar la determinación de objetivos, políticas, procedimientos y programas,
además de la elección de los recursos de acción para lograrlos con base en la investigación y elaboración de
programas de trabajo que incluya. La creación y función del comité u órgano interno de cómputo que debe ser el
encargado de administrar los bienes informáticos.
SOLICITAR:

 Manuales de Organización donde se identificó:

 Funciones, personal y equipo del área.
 Objetivos del área.
 Objetivos particulares de cada departamento.
 Políticas del área.
 Procedimientos del área
 Programas
2.- ORGANIZACIÓN
En esta etapa se deberá considerar el establecimiento de la estructura necesaria, para la optimización de los
recursos de la determinación de jerarquías y agrupación de actividades con el fin de realizar y simplificar las
funciones del área.
Solicitar:

 Organigrama general y particular del área de cómputo.

3.- INTEGRACION:
Dentro de esta etapa se verifica la función a través de la cual encargado de la administración de la función
informática elige de los recursos humanos necesarios para cumplir con los objetivos previamente establecidos.
Solicitar:
- Planes y programas de trabajo respecto a:
 reclutamiento
 Selección
 Inducción
 Capacitación
 Desarrollo
4.- DIRECCION:
En esta etapa se consideró si existe supervisión y coordinación de las actividades desarrolladas por el personal del
área de cómputo.
Solicitar:

- Documentos que establezcan:

 Frecuencia con que se realiza
 Quién es el responsable de realizarla
 Formas en que se realiza.
5.- CONTROL:
En esta etapa se verifica si se cumplió con los objetivos planeados, analizando los resultados obtenidos.
Solicitar:

 Informe anual de actividades del jefe de la División de Informática

 Último informe de cada departamento con la finalidad de verificar su existencia y periodicidad de
realización.
 Registors y bitácoras de actividades por todas y cada una de las personas del área.

AUDITORIA INFORMATICA
Fase I: Conocimientos del Sistema
Fase II: Análisis de transacciones y recursos
Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones
Fase I: Conocimientos del Sistema
1.1. Aspectos Legales y Políticas Internas.
Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para
su evaluación.
1.2.Características del Sistema Operativo.
• Organigrama del área que participa en el sistema
• Manual de funciones de las personas que participan en los procesos del sistema
• Informes de auditoría realizadas anteriormente
1.3.Características de la aplicación de computadora
• Manual técnico de la aplicación del sistema
• Funcionarios (usuarios) autorizados para administrar la aplicación
• Equipos utilizados en la aplicación de computadora
• Seguridad de la aplicación (claves de acceso)
• Procedimientos para generación y almacenamiento de los archivos de la aplicación.
Fase II: Análisis de transacciones y recursos
2.1. Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La
importancia de las transacciones deberá ser asignada con los administradores.
2.2. Análisis de las transacciones
• Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los
procesos.
2.3.Análisis de los recursos
• Identificar y codificar los recursos que participan en el sistemas
2.4.Relación entre transacciones y recursos
Fase III: Análisis de riesgos y amenazas
3.1.Identificación de riesgos
• Daños físicos o destrucción de los recursos
• Pérdida por fraude o desfalco
• Extravío de documentos fuente, archivos o informes
• Robo de dispositivos o medios de almacenamiento
• Interrupción de las operaciones del negocio
• Pérdida de integridad de los datos
• Ineficiencia de operaciones
• Errores
3.2.Identificación de las amenazas
• Amenazas sobre los equipos:
• Amenazas sobre documentos fuente
• Amenazas sobre programas de aplicaciones
3.3.Relación entre recursos/amenazas/riesgos
La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente
real de funcionamiento.
Fase IV: Análisis de controles
4.1. Codificación de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles
debe contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.
4.2. Relación entre recursos/amenazas/riesgos
La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe
establecerse uno o más controles.
4.3. Análisis de cobertura de los controles requeridos
Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen
una protección adecuada de los recursos.
Fase V: Evaluación de Controles
5.1. Objetivos de la evaluación
• Verificar la existencia de los controles requeridos
• Determinar la operatividad y suficiencia de los controles existentes
5.2. Plan de pruebas de los controles
• Incluye la selección del tipo de prueba a realizar.
• Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.
5.3. Pruebas de controles
5.4. Análisis de resultados de las pruebas
Fase VI: Informe de Auditoria
6.1. Informe detallado de recomendaciones
6.2. Evaluación de las respuestas
6.3. Informe resumen para la alta gerencia
Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas.
• Introducción: objetivo y contenido del informe de auditoria
• Objetivos de la auditoría
• Alcance: cobertura de la evaluación realizada
• Opinión: con relación a la suficiencia del control interno del sistema evaluado
• Hallazgos
• Recomendaciones
Fase VII: Seguimiento de Recomendaciones
7.1. Informes del seguimiento
7.2. Evaluación de los controles implantados

LAS FASES O ETAPAS DE UNA AUDITORIA INFORMATICA SON:

• Análisis.
• Diseño.
• Codificación o construcción.
• Implantación o explotación.
• Mantenimiento.

ANÁLISIS

En esta fase se establece el producto a desarrollar, siendo necesario especificar los procesos y estructuras de datos
que se van a emplear. Debe existir una gran comunicación entre el usuario y el analista para poder conocer todas
las necesidades que precisa la aplicación. En el caso de falta de información por parte del usuario se puede
recurrir al desarrollo de prototipos para saber con más precisión sus requerimientos.
En el análisis estructurado se pueden emplear varias técnicas como:
Diagramas de flujo de datos: Sirven para conocer el comportamiento del sistema mediante representaciones
gráficas.

Modelos de datos: Sirven para conocer las estructuras de datos y sus características. (Entidad relación y formas
normales)

Diccionario de datos: Sirven para describir todos los objetos utilizados en los gráficos, así como las estructuras
de datos.

Definición de los interfaces de usuario: Sirven para determinar la información de entrada y salida de datos.

Al final de esta fase tenemos que tener claro las especificaciones de la aplicación.

DISEÑO

En esta fase se alcanza con mayor precisión una solución optima de la aplicación, teniendo en cuenta los recursos
físicos del sistema (tipo de ordenador, periféricos, comunicaciones, etc…) y los recursos lógicos. (sistema
operativo., programas de utilidad, bases de datos, etc…)
En el diseño estructurado se pueden definir estas etapas:

Diseño externo: Se especifican los formatos de información de entrada y salida. (pantalla y listados)

Diseño de datos: Establece las estructuras de datos de acuerdo con su soporte físico y lógico. (estructuras en
memoria, ficheros y hojas de datos)

Diseño modular: Es una técnica de representación en la que se refleja de forma descendente la división de la
aplicación en módulos. Está basado en diagramas de flujo de datos obtenidos en el análisis.

Diseño procedimental: Establece las especificaciones para cada modulo, escribiendo el algoritmo necesario que
permita posteriormente una rápida codificación. Se emplean técnicas de programación estructurada, normalmente
ordinogramas y pseudocódigo.

Al final de esta etapa se obtiene el denominado cuaderno de carga.

CODIFICACIÓN

Consiste en traducir los resultados obtenidos a un determinado lenguaje de programación, teniendo en cuenta las
especificaciones obtenidas en el cuaderno de carga. Se deben de realizar las pruebas necesarias para comprobar la
calidad y estabilidad del programa.
Las pruebas se pueden clasificar en:

Pruebas unitarias: Sirven para comprobar que cada módulo realice bien su tarea.

Pruebas de interconexión: Sirven para comprobar en el programa el buen funcionamiento en conjunto de todos
sus módulos.

Pruebas de integración: Sirven para comprobar el funcionamiento correcto del conjunto de programas que
forman la aplicación. (el funcionamiento de todo el sistema)

EXPLOTACIÓN
En esta fase se realiza la implantación de la aplicación en el sistema o sistemas físicos donde van a funcionar
habitualmente y su puesta en marcha para comprobar el buen funcionamiento.

Actividades a tener en cuenta o realizar:

• Instalación del/los programa/s.

• Pruebas de aceptación al nuevo sistema.
• Conversión de la información del antiguo sistema al nuevo (si hay una aplicación antigua)
• Eliminación del sistema anterior.

Al final de esta fase se debe de completar la información al usuario respecto al nuevo sistema y su uso. Así como
facilitarle toda la documentación necesaria para una correcta explotación del sistema (manual de ayuda, manual
de uso, guía de la aplicación, etc.)

MANTENIMIENTO

Esta es la fase que completa el ciclo de vida y en ella nos encargaremos de solventar los posibles errores o
deficiencias de la aplicación. Existe la posibilidad de que ciertas aplicaciones necesiten reiniciar el ciclo de vida.

Tipos de mantenimiento:

Mantenimiento correctivo: Consiste en corregir errores no detectados en pruebas anteriores y que aparezcan con
el uso normal de la aplicación. Este mantenimiento puede estar incluido en la garantía o mantenimiento de la
aplicación.

Mantenimiento adaptativo: Consiste en modificar el programa a causa de cambio de entorno gráfico y lógico en
el que estén implantados. (nuevas generaciones de ordenadores, nuevas versiones del sistema operativo, etc.)

Mantenimiento perfectivo: Consiste en una mejora sustancial de la aplicación al recibir por parte de los usuarios
propuestas sobre nuevas posibilidades y modificaciones de las existentes.

Los tipos de mantenimiento adaptativo y perfectivo reinician el ciclo de vida, debiendo proceder de nuevo al
desarrollo de cada una de sus fases para obtener un nuevo producto.

FASES DE UNA AUDITORIA FISICA

Considerando la metodología de ISACA (Information Systems Audit and Control Association)

- Fase 1 Alcance de la Auditoría
- Fase 2 Adquisición de Información general
- Fase 3 Administración y Planificación
- Fase 4 Plan de auditoría
- Fase 5 Resultados de las Pruebas
- Fase 6 Conclusiones y Comentarios
- Fase 7 Borrador del Informe
- Fase 8 Discusión con los Responsables de Area
- Fase 9 Informe Final
Informe – anexo al informe – carpeta de evidencias
- Fase 10 Seguimiento de las modificaciones acordadas
 FASES DE UNA AUDITORÍA INFORMÁTICA

FASE I: Estudio Preliminar

Esta fase inluye definir el grupo de trabajo, efectuar visitas a la unidad de informática para conocer
detalles de la misma, obtención de manuales de políticas, reglamentos, organigramas, entrevistas con los
principales funcionarios de la institución.

En esta etapa se obtiene la información básica.

FASE II: Estudio de Controles Generales y Riesgos en la Seguridad Computacional

A los efectos de documentar la información básica (fundamentalmente ante la falta de este tipo de datos
de manera formalizada o escrita) el auditor podrá utilizar las herramientas:

- Cuestionarios Narrativos, Flujogramas, Check List

Verificación de Controles Generales y seguridades, además consiste en la revisión de los diagramas de
flujo de procesos, pruebas de cumplimiento de las seguridades, revisión de procesos históricos
(backups), revisión de documentación y archivos, entre otras actividades, en resumen se evalúa la
efectividad de los controles establecidos y la validez de la información.

FASE III: Examen detallado de áreas críticas

Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas se hace un estudio y análisis
profundo en los que se definirá concretamente su grupo de trabajo y la distribución de carga del mismo,
establecerá los motivos, objetivos, alcance, recursos que usará y duración de la auditoría. Presentará el
plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente
analizado.

FASE IV: Conclusión Prestación de Resultados.

Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al
informe definitivo, el cual presenta esquemáticamente en forma de matriz, cuadros o redacción simple y
concisa que destaque los problemas encontrados, los efectos y las recomendaciones.