Fases de la Auditoria Informtica

Fase I:

Conocimientos del Sistema

Fase II:

Anlisis de transacciones y recursos

Fase III:

Anlisis de riesgos y amenazas

Fase IV:

Anlisis de controles

Fase V:

Evaluacin de Controles

Fase VI:

El Informe de auditoria

Fase VII:

Seguimiento de las Recomendaciones

Fase I: Conocimientos del Sistema

1.1. Aspectos Legales y Polticas Internas.
Sobre estos elementos est construido el sistema de control y por lo tanto
constituyen el marco de referencia para su evaluacin.
1.2.Caractersticas del Sistema Operativo.
Organigrama del rea que participa en el sistema
Manual de funciones de las personas que participan en los procesos del sistema
Informes de auditora realizadas anteriormente
1.3.Caractersticas de la aplicacin de computadora
Manual tcnico de la aplicacin del sistema
Funcionarios (usuarios) autorizados para administrar la aplicacin
Equipos utilizados en la aplicacin de computadora
Seguridad de la aplicacin (claves de acceso)
Procedimientos para generacin y almacenamiento de los archivos de la
aplicacin.

Fase II: Anlisis de transacciones y recursos

2.1.Definicin de las transacciones.
Dependiendo del tamao del sistema, las transacciones se dividen en procesos
y estos en subprocesos. La importancia de las transacciones deber ser
asignada con los administradores.
2.2.Anlisis de las transacciones
Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del
funcionamiento y recorrido de los procesos.
2.3.Anlisis de los recursos
Identificar y codificar los recursos que participan en el sistemas
2.4.Relacin entre transacciones y recursos

Fase III: Anlisis de riesgos y amenazas

3.1.Identificacin de riesgos
Daos fsicos o destruccin de los
recursos
Prdida por fraude o desfalco
Extravo de documentos fuente,
archivos o informes
Robo de dispositivos o medios de
almacenamiento
Interrupcin de las operaciones del
negocio
Prdida de integridad de los datos
Ineficiencia de operaciones
Errores

3.2.Identificacin de las
amenazas
Amenazas sobre los equipos:
Amenazas sobre documentos fuente
Amenazas sobre programas de
aplicaciones

3.3.Relacin entre
recursos/amenazas/riesgos
La relacin entre estos elementos deber
establecerse a partir de la observacin
de los recursos en su ambiente real de
funcionamiento.

Fase IV: Anlisis de controles

4.1.Codificacin de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego
la identificacin de los controles deben contener una codificacin la cual
identifique el grupo al cual pertenece el recurso protegido.

4.2.Relacin entre recursos/amenazas/riesgos

La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie)
identificado. Para cada tema debe establecerse uno o ms controles.

4.3.Anlisis de cobertura de los controles requeridos

Este anlisis tiene como propsito determinar si los controles que el auditor
identific como necesarios proveen una proteccin adecuada de los recursos.

Fase V: Evaluacin de Controles

5.1.Objetivos de la evaluacin
Verificar la existencia de los controles requeridos
Determinar la operatividad y suficiencia de los controles
existentes
5.2.Plan de pruebas de los controles
Incluye la seleccin del tipo de prueba a realizar.
Debe solicitarse al rea respectiva, todos los elementos necesarios
de prueba.
5.3.Pruebas de controles
5.4.Anlisis de resultados de las pruebas

Fase VI: Informe de Auditoria

6.1.
Informe detallado de recomendaciones
6.2.
Evaluacin de las respuestas
6.3.
Informe resumen para la alta gerencia
Este informe debe prepararse una vez obtenidas y analizadas las
respuestas de compromiso de la reas.
Introduccin: objetivo y contenido del informe de auditoria
Objetivos de la auditora
Alcance: cobertura de la evaluacin realizada
Opinin: con relacin a la suficiencia del control interno del
sistema evaluado
Hallazgos
Recomendaciones

Fase VII:
7.1.
7.2.

Seguimiento de Recomendaciones

Informes del seguimiento

Evaluacin de los controles implantados

Fin de la sesin.

Auditora Informtica

Revisin

Controles y las Medidas de

Seguridad que se Aplican
a los Recursos de un
Sistema de Informacin

Evaluacin

Informtica II. Decanato de Administracin y Contadura

Auditora Informtica
Objetivos
Presentar recomendaciones en funcin

de las fallas detectadas.

Determinar si la informacin que brindan
los Sistemas de Informticos es til.
Inspeccionar el Desarrollo de los Nuevos
Sistemas.
Verificar que se cumplan las normas y
polticas de los procedimientos.
Informtica II. Decanato de Administracin y Contadura

Auditora Informtica
Tipos
Interna: Aplicada con el personal que labora
en la empresa.
Externa: Se contrata a una firma especializada para realizar la misma.

Informtica II. Decanato de Administracin y Contadura

Auditora Informtica Externa

Las empresas recurren a la auditora externa
cuando existen:
Sntomas de Descoordinacin
Sntomas de Debilidades Econmicas
Sntomas de Mala Imagen
Sntomas de Inseguridad

Informtica II. Decanato de Administracin y Contadura

Aspectos Fundamentales
en la
Auditora de los
Sistemas de Informacin

Informtica II. Decanato de Administracin y Contadura

Auditora Informtica de Desarrollo de

Aplicaciones
Cada una de las fases del desarrollo de las
nuevas aplicaciones informticas deben ser
sometidas a un minucioso control, a fin de
evitar un aumento significativo de los
costos, as como tambin insatisfaccin de
los usuarios.

Informtica II. Decanato de Administracin y Contadura

Auditora de los Datos de Entrada

Se analizar la captura de la informacin en soporte
compatible con los Sistemas, el cumplimiento de
plazos y calendarios de tratamientos y entrega de
datos; la correcta transmisin de datos entre
entornos diferentes. Se verificar que los controles
de integridad y calidad de datos se realizan de
acuerdo a las Normas
establecidas.

Informtica II. Decanato de Administracin y Contadura

Auditora Informtica de Sistemas

Se audita:
Sistema Operativo: Verificar si la versin instalada
permite el total funcionamiento del software que
sobre ella se instala, si no es as determinar la
causa
Software de Aplicacin: Determinar el uso de las
aplicaciones instaladas.
Comunicaciones: Verificar que el uso y el
rendimiento de la red sea el ms adecuado .
Informtica II. Decanato de Administracin y Contadura

Tcnicas de Auditora
Existen varias tcnicas de Auditora Informtica
de Sistemas, entre las cuales se mencionan:
Lotes de Prueba: Transacciones simuladas
que se introducen al Sistema a fin de
verificar el funcionamiento del mismo. Entre
los datos que se deben incluir en una prueba
se tienen:
Datos de Excepcin.
Datos Ilgicos.
Transacciones Errneas
Informtica II. Decanato de Administracin y Contadura

Tcnicas de Auditora
...(Continuacin)
Auditora para el Computador: Permite determinar
si el uso de los equipos de computacin es el idneo. Mediante esta tcnica, se detectan
equipos sobre y subutilizados.
Prueba de Minicompaa: Revisiones peridicas
que se realizan a los Sistemas a fin de determinar nuevas necesidades.

Informtica II. Decanato de Administracin y Contadura

Peligros Informticos
Incendios: Los recursos informticos son
muy sensibles a los incendios, como por
ejemplo reportes impresos, cintas, discos.
Inundaciones: Se recomienda que el Departamento
de computacin se encuentre en un nivel alto. La
Planta Baja y el Stano son lugares propensos a las
inundaciones.
Robos: Fuga de la informacin confidencial de la
empresa.
Fraudes: Modificaciones de los datos dependiendo
de intereses particulares.
Informtica II. Decanato de Administracin y Contadura

Medidas de Contingencia
Mecanismos utilizados para contrarrestar la
prdida o daos de la informacin, bien sea
intencionales o accidentales.
La ms utilizada es la Copia de Seguridad
(Backup), en la cual se respalda la informacin generada en la empresa .

Informtica II. Decanato de Administracin y Contadura

Copias de Seguridad
Las copias pueden ser totales o parciales y la frecuencia vara dependiendo de la importancia de
la informacin que se genere.
Backup
Se recomienda tener
como mnimo dos (2)
respaldos de la informacin,
uno dentro de la empresa y otro fuera
de sta (preferiblemente en un Banco en
Caja Fuerte).
Informtica II. Decanato de Administracin y Contadura

Medidas de Proteccin
Medidas utilizadas para garantizar la Seguridad
Fsica de los Datos.
Aquellos equipos en donde se genera
informacin crtica, deben tener un
UPS. De igual forma, el suministro de
corriente elctrica para el rea informtica,
debe ser independiente del resto de las reas.

Informtica II. Decanato de Administracin y Contadura

Medidas de Control y Seguridad

Mecanismos utilizados para garantizar la Seguridad
Lgica de los Datos.
En los Sistemas Multiusuarios se deben restringir
el acceso a la Informacin, mediante un nombre
de usuario (login) y una contrasea (password).
Del mismo modo, se debe restringir el acceso a
los Sistemas en horas no laborables salvo casos
excepcionales.

Informtica II. Decanato de Administracin y Contadura