Computing">
Fases de La Auditoria Informatica
Fases de La Auditoria Informatica
Fases de La Auditoria Informatica
AUDITORIA INFORMATICA
Fase I: Conocimientos del Sistema
Fase II: Análisis de transacciones y recursos
Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones
Fase I: Conocimientos del Sistema
1.1. Aspectos Legales y Políticas Internas.
Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para
su evaluación.
1.2.Características del Sistema Operativo.
• Organigrama del área que participa en el sistema
• Manual de funciones de las personas que participan en los procesos del sistema
• Informes de auditoría realizadas anteriormente
1.3.Características de la aplicación de computadora
• Manual técnico de la aplicación del sistema
• Funcionarios (usuarios) autorizados para administrar la aplicación
• Equipos utilizados en la aplicación de computadora
• Seguridad de la aplicación (claves de acceso)
• Procedimientos para generación y almacenamiento de los archivos de la aplicación.
Fase II: Análisis de transacciones y recursos
2.1. Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La
importancia de las transacciones deberá ser asignada con los administradores.
2.2. Análisis de las transacciones
• Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los
procesos.
2.3.Análisis de los recursos
• Identificar y codificar los recursos que participan en el sistemas
2.4.Relación entre transacciones y recursos
Fase III: Análisis de riesgos y amenazas
3.1.Identificación de riesgos
• Daños físicos o destrucción de los recursos
• Pérdida por fraude o desfalco
• Extravío de documentos fuente, archivos o informes
• Robo de dispositivos o medios de almacenamiento
• Interrupción de las operaciones del negocio
• Pérdida de integridad de los datos
• Ineficiencia de operaciones
• Errores
3.2.Identificación de las amenazas
• Amenazas sobre los equipos:
• Amenazas sobre documentos fuente
• Amenazas sobre programas de aplicaciones
3.3.Relación entre recursos/amenazas/riesgos
La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente
real de funcionamiento.
Fase IV: Análisis de controles
4.1. Codificación de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles
debe contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.
4.2. Relación entre recursos/amenazas/riesgos
La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe
establecerse uno o más controles.
4.3. Análisis de cobertura de los controles requeridos
Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen
una protección adecuada de los recursos.
Fase V: Evaluación de Controles
5.1. Objetivos de la evaluación
• Verificar la existencia de los controles requeridos
• Determinar la operatividad y suficiencia de los controles existentes
5.2. Plan de pruebas de los controles
• Incluye la selección del tipo de prueba a realizar.
• Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.
5.3. Pruebas de controles
5.4. Análisis de resultados de las pruebas
Fase VI: Informe de Auditoria
6.1. Informe detallado de recomendaciones
6.2. Evaluación de las respuestas
6.3. Informe resumen para la alta gerencia
Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas.
• Introducción: objetivo y contenido del informe de auditoria
• Objetivos de la auditoría
• Alcance: cobertura de la evaluación realizada
• Opinión: con relación a la suficiencia del control interno del sistema evaluado
• Hallazgos
• Recomendaciones
Fase VII: Seguimiento de Recomendaciones
7.1. Informes del seguimiento
7.2. Evaluación de los controles implantados
• Análisis.
• Diseño.
• Codificación o construcción.
• Implantación o explotación.
• Mantenimiento.
ANÁLISIS
En esta fase se establece el producto a desarrollar, siendo necesario especificar los procesos y estructuras de datos
que se van a emplear. Debe existir una gran comunicación entre el usuario y el analista para poder conocer todas
las necesidades que precisa la aplicación. En el caso de falta de información por parte del usuario se puede
recurrir al desarrollo de prototipos para saber con más precisión sus requerimientos.
En el análisis estructurado se pueden emplear varias técnicas como:
Diagramas de flujo de datos: Sirven para conocer el comportamiento del sistema mediante representaciones
gráficas.
Modelos de datos: Sirven para conocer las estructuras de datos y sus características. (Entidad relación y formas
normales)
Diccionario de datos: Sirven para describir todos los objetos utilizados en los gráficos, así como las estructuras
de datos.
Definición de los interfaces de usuario: Sirven para determinar la información de entrada y salida de datos.
Al final de esta fase tenemos que tener claro las especificaciones de la aplicación.
DISEÑO
En esta fase se alcanza con mayor precisión una solución optima de la aplicación, teniendo en cuenta los recursos
físicos del sistema (tipo de ordenador, periféricos, comunicaciones, etc…) y los recursos lógicos. (sistema
operativo., programas de utilidad, bases de datos, etc…)
En el diseño estructurado se pueden definir estas etapas:
Diseño externo: Se especifican los formatos de información de entrada y salida. (pantalla y listados)
Diseño de datos: Establece las estructuras de datos de acuerdo con su soporte físico y lógico. (estructuras en
memoria, ficheros y hojas de datos)
Diseño modular: Es una técnica de representación en la que se refleja de forma descendente la división de la
aplicación en módulos. Está basado en diagramas de flujo de datos obtenidos en el análisis.
Diseño procedimental: Establece las especificaciones para cada modulo, escribiendo el algoritmo necesario que
permita posteriormente una rápida codificación. Se emplean técnicas de programación estructurada, normalmente
ordinogramas y pseudocódigo.
CODIFICACIÓN
Consiste en traducir los resultados obtenidos a un determinado lenguaje de programación, teniendo en cuenta las
especificaciones obtenidas en el cuaderno de carga. Se deben de realizar las pruebas necesarias para comprobar la
calidad y estabilidad del programa.
Las pruebas se pueden clasificar en:
Pruebas unitarias: Sirven para comprobar que cada módulo realice bien su tarea.
Pruebas de interconexión: Sirven para comprobar en el programa el buen funcionamiento en conjunto de todos
sus módulos.
Pruebas de integración: Sirven para comprobar el funcionamiento correcto del conjunto de programas que
forman la aplicación. (el funcionamiento de todo el sistema)
EXPLOTACIÓN
En esta fase se realiza la implantación de la aplicación en el sistema o sistemas físicos donde van a funcionar
habitualmente y su puesta en marcha para comprobar el buen funcionamiento.
Al final de esta fase se debe de completar la información al usuario respecto al nuevo sistema y su uso. Así como
facilitarle toda la documentación necesaria para una correcta explotación del sistema (manual de ayuda, manual
de uso, guía de la aplicación, etc.)
MANTENIMIENTO
Esta es la fase que completa el ciclo de vida y en ella nos encargaremos de solventar los posibles errores o
deficiencias de la aplicación. Existe la posibilidad de que ciertas aplicaciones necesiten reiniciar el ciclo de vida.
Tipos de mantenimiento:
Mantenimiento correctivo: Consiste en corregir errores no detectados en pruebas anteriores y que aparezcan con
el uso normal de la aplicación. Este mantenimiento puede estar incluido en la garantía o mantenimiento de la
aplicación.
Mantenimiento adaptativo: Consiste en modificar el programa a causa de cambio de entorno gráfico y lógico en
el que estén implantados. (nuevas generaciones de ordenadores, nuevas versiones del sistema operativo, etc.)
Mantenimiento perfectivo: Consiste en una mejora sustancial de la aplicación al recibir por parte de los usuarios
propuestas sobre nuevas posibilidades y modificaciones de las existentes.
Los tipos de mantenimiento adaptativo y perfectivo reinician el ciclo de vida, debiendo proceder de nuevo al
desarrollo de cada una de sus fases para obtener un nuevo producto.
Esta fase inluye definir el grupo de trabajo, efectuar visitas a la unidad de informática para conocer
detalles de la misma, obtención de manuales de políticas, reglamentos, organigramas, entrevistas con los
principales funcionarios de la institución.
A los efectos de documentar la información básica (fundamentalmente ante la falta de este tipo de datos
de manera formalizada o escrita) el auditor podrá utilizar las herramientas:
Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas se hace un estudio y análisis
profundo en los que se definirá concretamente su grupo de trabajo y la distribución de carga del mismo,
establecerá los motivos, objetivos, alcance, recursos que usará y duración de la auditoría. Presentará el
plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente
analizado.
Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al
informe definitivo, el cual presenta esquemáticamente en forma de matriz, cuadros o redacción simple y
concisa que destaque los problemas encontrados, los efectos y las recomendaciones.