TM

Z7 1 6 4
. C8
FACPYA
1 993
H4

1020073604

NIVERSIDAD AUTONOMA E NUEVO LEON

FACULTAD DE CONTADURIA PUBLICA
Y ADMINISTRACION
DIVISION DE POST-GRADO

AUDITORIA DE INFORMATICA
(UN ENFOQUE METODOLOGICO)

T E S I S

PARA OBTENER EL G R A D O DE
MASTER EN INFORMATICA

ADMINISTRATIVA

P R E S E N T A

LIC. ENRIQUE HERNANDEZ HERNANDEZ

MONTERREY, N. L.

JULIO DE 1993,

 C.&

32'lS

Agradecimientos :

A mi esposa Vicky : Por ser la mujer que me enseo el camino de la verdad y del amor,
sin ella lo que soy hubiera tardado en ser o nunca hubiera sido,
con ella el valor y la alegra encuentro al extender mi mano,
gracias mi vida, por los hyos, comprensin y amor que me haz dado
A mis hijos :

Enriquito, te dedico con todo mi corazn ste trabajo, muchas lneas,

fueron impresas por la inspiracin que me brindas cada da, seguir
luchando gracias al ejemplo que me diste, lo bueno de mi vida es para t
Carlos Antonio y Erck Ivan : Cada maana despierto pensando en la
felicidad y fortaleza que me brindan, los admiro por su vitalidad, por
ser como son, vale la pena recalcar que mi objetivo principal es y ser
darles cada da el mejor ejemplo, mi apoyo y mi amor incondicional.

A mi madre :

Por iniciarme en los estudios, por motivarme a continuarlos y por ser

fuerte y comprensiva para levantarme cuando me ca, por darme el
valor y conciencia para terminarlos. Usted ha sido siempre ejemplo de
rectitud, sencillez y honestidad, es
tambin para usted dedicado el
presente trabajo, con mucho amor y eterno agradecimiento

A mis hermanos:

Me dieron siempre alegras, sus recuerdos me siguen dando alegras,

ustedes me conocen y saben que mucho los quiero y los recuerdo

A mis amigos:

Recuerdan nuestros retos? sigamos luchando por cumplirlos

A mis maestros:

Mucho de ustedes va en mi mente y mi trabajo, gracias por su ejemplo

A mis alumnos :

Sin ustedes no existen escuelas ni maestros ni progreso, muchas gracias

A mis escuelas :

Ah creci, me eduque, me forme, lo malo lo tire y lo bueno a la

prctica llevar, opciones de vivir muchas encontr, pero siempre
por los estudios me inclin, a mis hyos lo mismo inculcar. Gracias.

A Dios:

Por permitirme la oportunidad de vivir y dar mi granito de arena

T E S I S :

AUDITORIA DE INFORMATICA

(UN ENFOQUE METOLOGICO)

FACULTAD DE CONTADURIA PUBLICA Y DE ADMINISTRACION

DIVISION DE POSTGRADO
MAESTRIA DE INFORMATICA ADMINISTRATIVA

LIC. ENRIQUE HERNANDEZ HERNANDEZ

CONTENIDO :

Pgina

INTRODUCCION

1. Antecedentes

31

2. Terminologa de la Auditora de Informtica

2.1. Informtica
2.2. Auditora
2.3. Auditora de Informtica

3. La Auditoria de Informtica y su Medio Ambiente

13

4. Planeacin:

20

4.1. Planeacin de Auditora de Informtica

5. Metodologa para el Desarrollo e implantacin de la

Auditora de Informtica:

29

5.1 Proceso Metodolgico de la Auditora de Informtica

6. Etapa Preliminar (Diagnstico de la Situacin Actual):

36

6.1. Diagnstico de Negocio (Alta Direccin y Areas Usuarias)

6.2. Diagnstico de Informtica (Responsables de la Funcin)

7. Etapa de Justificacin :
7.1.
7.2

Matriz de Riesgos / Justificacin por Area de revisin

Plan General del Proyecto de Auditora de Informtica

43

49

8. Etapa de Adecuacin ( a caractersticas del Negocio):

8.1.
8.2.
83.
8.4.
8.5.

Plan detallado del Proyecto de Auditora Informtica

Aspectos a evaluar por Area de Revisin
Definicin de Tcnicas y Herramientas a utilizar por
Area de revisin
Definicin y/o Actualizacin de Estndares, Polticas
y Procedimientos a verificar por Area de Revisin
Elaboracin y/o Actualizacin de Cuestionarios por Area
de Revisin

9. Etapa de Formalizacin :
9.1.
9.2
9.3.
9.4.

106

Verificacin de Prioridades, Restricciones y Alcances del

Proyecto
Actualizacin del Han de Auditora de Informtica
Presentacin Formal del Plan de Auditora de Informtica
Aprobacin Formal del Proyecto de Auditora de Informtica

10. Etapa de Desarrollo :

110

10.1.

Concertar fechas de entrevistas, visitas y aplicacin de

cuestionarios
10.2. Clasificar tcnicas, herramientas, cuestionarios, entrevistas, etc.
103 Aplicacin de Entrevistas y Cuestionarios
10.5 Efectuar visitas de verificacin
10.6 Elaborar informe preliminar por:
- Area auditada
10.7
10.8
10.9

Revisin del Informe Preliminar

Elaborar el Informe Final de Auditora de Informtica :
Presentacin a la Alta Direccin e involucrados claves

11. Fuentes de Informacin para una actualizacin permanente de la

Funcin de Auditora de Informtica
BIBLIOGRAFIA

117
118

I N T R O D U C C I O N

1. A N T E C E D E N T E S
1.1. O B J E T I V O S

INTRODUCCION
El presente trabajo fue elaborado debido a la gran inquietud y necesidad que
existe en los medios educativos de nivel profesional y postgrado de contar con un
proceso de Auditora de Informtica formal, prctico y eficiente para la evaluacin de
la Funcin de Informtica en el planteamiento oportuno de las recomendaciones y
cursos de accin requeridos para dar una solucin integral a los negocios
aprovechando las reas de oportunidad que emergen de dicho proceso.
El proceso metodolgico aqu planteado fu desarrollado en base a una extensa
ejecucin de la Auditora de Informtica de acuerdo a los estndares y procedimientos
recomendados por las Asociaciones nacionales e internacionales de Auditora, de
Informtica y de la conjuncin de ambas, las de Auditora de Informtica.
As mismo se realizo una investigacin detallada del material existente en
Mxico y Estados Unidos relacionados con la Auditora en Informtica, Esta integrado
tambin por cuestionarios y formatos prcticos, que brindarn a los Auditores en
Informtica elementos para cubrir de manera satisfactoria los tpicos de Auditora,
Seguridad y Control inherentes a la Funcin de Informtica.
Cabe sealar que va inmerso en este trabajo una serie de experiencias
asimiladas con el desempeo diario de la Auditora de Informtica y que han brindado
a las empresas y centros educativos la facilidad de entender este proceso obteniendo
del mismo grandes beneficios para el mejoramiento continuo de la Informtica.
Deseo brindar a la institucin, as como a sus alumnos y maestros un mtodo
derivado de mis conocimientos y vivencias profesionales un proceso formal para la
planeacin y/o ejecucin de la Auditora o Evaluacin en las areas mas relevantes de
la Funcin de Informtica, para que pueda ser discutido en nuestras aulas.
Una gran cantidad de alumnos que he tenido el gusto de asesorar a travs de mi
estancia en sta escuela ha desarrollado proyectos de Auditora en Informtica en
empresas de los diversos sectores concluyendo con acciones y recomendaciones de
mejoramiento y reposicionamiento de la Funcin de Informtica con una aprobacin
formal de cada uno de los estudios realizados por los estudiantes.
Los cuestionarios y formatos que aqu recomiendo son resultado de un analisis
detallado, que busca simplemente hacer mas til y amigable el uso de los mismos.

1. ANTECEDENTES
Desde que el uso de la Informtica se enfoc al apoyo de la sistematizacin de
las reas del negocio, se empezaron a implantar Aplicaciones administrativas como la
Contabilidad, la Nmina, Etc. dando inicio a lo que se conocio como la Auditora a
Sistemas de Informacin.
Posteriormente, el uso de la Informtica se extendi a todas las reas de
negocio en todos los niveles, con productos y servicios muy variados, proliferarn las
mi ni computadoras o equipos departamentales, despues las microcomputadoras o
computadoras personales, entraron de lleno las Redes Locales, la Integracin de las
empresas a travs de las Telecomunicaciones y un gran nmero de componentes de
tecnologa que imposibilitaron materialmente al responsable de Informtica y a los
Auditores de Sistemas tradicionales a seguir evaluando este campo con mtodos y
procedimientos ordinarios.
Se hizo entonces necesario un replanteamiento del fondo y forma de la
Auditora de Informtica, mi trabajo entre otros prpositos busca darle una dimensin
ms realista y adecuada a la Auditora de Informtica.
Se espera de cada alumno interesado en el campo que hoy me ocupa a un
auditor profesional, experto, pero sobre todo un ser flexiblemente humano que
entienda el contexto real del negocio. Ser su principal objetivo darle la dimensin
justa a cada problemtica conviertindola en rea de oportunidad y orientarla a una
solucin de negocio.
Debemos recordar que en los negocios existen objetivos comunes para todas
ls reas respecto a los recursos de Informtica, por ejemplo sera el relacionado con el
logro del mximo uso y aprovechamiento de los Recursos de Informtica mediante
polticas, procedimientos y mtodos apropiados, siendo la Funcin de Auditora de
Informtica uno de los medios ms importantes y especializados para apoyarnos en la
obtencin permanente de dicho fin.

Surgimiento de la Auditora de Informtica en el tiempo :

En los aos cuarentas empezaron a darse resultados relevantes en el campo de
la computacin, con sistemas de apoyo para
estrategias militares entre otros,
posteriormente se vino incrementando el uso de las computadoras y sus aplicaciones.
Se diversifico el apoyo a otros sectores de la sociedad: Educacin, Salud,
Industrial, Poltico, Banca, Aeronutica, Comercio, Etc.

En aquellos aos la seguridad y control de ese medio ambiente se limitaba a dar

custodia fsica a los equipos y a permitir el uso de los mismos por personal altamente
calificado (no haba un gran nmero de usuarios ya sea tcnicos o administrativos).
Actualmente el medio ambiente de la Informtica se ha extendido a todas las
ramas de la sociedad, es tan factible controlar un vuelo espacial por medio de una
computadora, como seleccionar las compras del hogar desde una microcomputadora.
Esta rapidez en el crecimiento de la Informtica nos orilla a deducir que los
beneficios se han incrementado con la misma velocidad, algunos con mediciones
tangibles como reduccin de costos e incremento porcentual en ventas y otros con
aspectos intangibles como mejora en la imagen, obtencin de productos de ms calidad
pero ambos con la misma
importancia que permiten seguir impulsando la
investigacin y actualizacin constante de dicha Tecnologa.
La idea de que se obtienen beneficios en mayor grado y magnitud que antes no
est tan lejos de la realidad, sin embargo es tn valido afirmar que los costos han sido
altos y en muchas ocasiones rebasado los lmites esperados, ocasionando grandes
perdidas y decepciones en las diferentes reas usaurias de las empresas.
A pesar de lo anterior el futuro que se vislumbra a corto y mediano plazo, es
que las empresas sigan invirtiendo en Informtica, as como en la Seguridad requerida.
Las empresas y organismos interesados en que la Informtica siga creciendo
para beneficio de la humanidad (Educacin, Productividad, Calidad, Ecologa, Etc.)
desean que dicho crecimiento sea controlado y orientado de una manera profesional, se
debe obtener un resultado planeado y esperado de cada inversin en esta rama.
Asegurar que todas las inversiones y proyectos inherentes a la Funcin de
Informtica sean justificados y brinden los resultados esperados es una responsabilidad
de todo aquel que administre dicha funcin.
Con el paso de los aos la Informtica y todos los elementos tecnolgicos que la
rodean han ido creando una necesidad en cada sector en la sociedad y se ha vuelto un
requerimiento permanente para el logro de soluciones.
Por ejemplo la Manufactura, Finanzas, Ventas, as como las funciones internas
de los sectores Educativos o Comerciales, se encuentran buscando la manera de
integrar los diversos elementos de Informtica, que se hayan diseminados a travs de
toda la organizacin, adems desean comunicarse con otras entidades externas, como
proveedores, clientes y sectores de gobierno, lo que implica inversin de tiempo,
recursos y una planeacin y evaluacin formal de dicho proceso de cambio.

A continuacin se describen algunas consideracin es que podemos asegurar son

y a una realidad.
*

Todas las actividades de la sociedad buscan apoyarse de alguna forma con la

Tecnologa de Informtica
* Se piensa que las Computadoras y Aplicaciones deben estar al alcance de todos
* Equipos de Cmputo de diferentes Marcas y capacidades, as como las Bases de
Datos y los Sistemas de Informacin deben ser una solucin integrada.
*
La capacitacin debe ser permanente en el uso de la Tecnologa de Informtica
debido a su constante crecimiento y actualizacin
* Hardware, Software, Telecomunicaciones y otros medios electrnicos deben
Integrarse para explotar al mximo las bondades que ofrecen y dar soluciones a
todos los sectores de la sociedad.
* Integrar a la comunidad de manera permanente a las Asociaciones
profesionales relacionadas con Informtica
* Alta penetracin de la Informtica en todos los niveles del sector educativo, as
como en los sectores sociales y culturales.
* El control y seguridad sobre todos los recursos de Informtica es una necesidad.
* Se debe evaluar de manera formal y peridica a la Funcin de Informtica
* El proceso de planeacin de los negocios debe integrar de manera permanente a
la Funcin de Informtica.
* Otros.
El incremento permanente de las expecttivas y necesidades hacia Informtica,
al igual que la actualizacin continua de los elementos que componen dicha
Tecnologa orilla a los negocios a contar con controles, polticas y procedimientos que
aseguren a la Alta Direccin que los Recursos involucrados sean debidamente
protegidos y garantizar que se orienten a la contribucin de la rentabilidad y
competitividad del negocio.

Si la respuesta a alguna(s) de las siguientes preguntas es negativa es

conveniente reafirmar o considerar la necesidad de asumir la responsabilidad de
un control y seguridad permanente sobre los recursos de Informtica :
*
*
*
*
*

Conocen los usuarios y Alta Direccin la situacin actual de la Funcin de

Informtica en la empresa (Organizacin, Polticas, Servicios, Etc.) ?
Se aprueban formal y oportunamente el costo /beneficio de cada proyecto de
Informtica ?
Son las Areas crticas del negocio apoyadas por Informtica ?
Conoce el Responsable de Informtica los requerimientos actuales y futuros
del negocio que deben apoyarse en los servicios y productos de su area ?
Existe un entendimiento de los problemas y causas existentes en Informtica?

Cada una de esas preguntas encierra una importancia especfica para el buen
funcionamiento de Informtica en cualquier negocio, sin embargo todas las preguntas
estn interrelacionadas y la negacin de alguna de ellas es una pequea fuga de gas
que con el tiempo y un pequeo chispazo pueden ocasionar graves daos a los
negocios, sean estos traducidos en fraudes, proyectos cancelados con alto porcentaje
de costos no recuperables, rechazo de los servicios de Informtica por los usuarios
claves del negocio, improductividad y baja calidad de los recursos de Informtica,
planes de Informtica no orientados a las metas y estrategias de negocio, Piratera de
Software, Fuga de Informacin a la competencia o proveedores, etc.

1.1. Objetivos :

- Plantear a maestros y estudiantes un proceso metdico para el entendimiento

de la planeacin, el desarrollo e implementacin de la Auditora de Informtica.
- Brindar a los estudiantes un mtodo estructurado y prctico que permite el
ejercicio prctico de dicho proceso metodolgico en las aulas.
- Facilitar el procedimiento metodolgico asimilado a lo largo de mis
experiencias como consultor de empresas, catedrtico y estudiante en diversas
instituciones profesionales a los diferentes alumnos que lo requieran con fines
acadmicos.
- Es una finalidad prioritaria del presente trabajo apoyar a los catedrticos en la
actualizacin de sus temarios relacionados con el tema que hoy me ocupa, as mismo
se busca impulsar en los estudiantes de las reas relacionadas con la Informtica un
sentimiento conciente de la necesidad e importancia que tiene el control y la seguridad
de los diferentes recursos humanos y financieros involucrados con Informtica.

2. Terminologa de la Auditora de Informtica

2.1. Informtica
2.2. Auditora
2.3. Auditora de Informtica

2. Terminologa de la Auditora de Informtica

Las definiciones y conceptos mencionados a continuacin corresponden a
las
experiencias y conocimientos adquiridos a travs del tiempo en el desarrollo de actividades
profesionales y/o estudiantiles, seminarios, cursos, etc.

2.1. Informtica:
La Informtica se desarrolla en base a normas, procedimientos y tcnicas
definidas formalmente por Institutos establecidos a nivel nacional e internacional.
En base a lo anterior solo mencionaremos algunos aspectos de Informtica
necesarios para el entendimiento ya supuestamente asimilados por los usuarios de este
libro, sin embargo recomendamos leer los libros sugeridos en la bibliografa, asi como
la participacin ms directa y activa en los institutos o asociaciones relacionadas con el
campo de la Informtica.
A. Campo que se encarga del estudio y aplicacin prctica de la Tecnologa, Mtodos,
Tcnicas y Herramientas relacionadas con las computadoras y manejo de la informacin por
medios electrnicos.
B. Son aquellas Areas de la Tecnologa de Informacin orientadas al buen uso y
aprovechamiento de los Recursos Coraputacionales para asegurar que la informacin de las
organizaciones fluya en las organizaciones (Entidades internas y externas de los negocios) de
manera oportuna, veraz y confiable.
Hardware : Componentes fsicos/tangibles de las computadoras, generalmente
clasificadas en CINCO grandes ramas :
- Microcomputadoras
- Redes (Locales, remotas, etc.)
- Minicomputadoras
- Supercomputadoras (Mainframes) - Perifricos
Software : Parte no fsica de las computadoras, esto significa que es la porcin no
tangible de los equipos de computo, son un conjunto de programas con orientaciones
especificas para la administracin y uso eficiente de los recursos de computo. Su
clasificacin generalizada podemos resumirla en los trminos siguientes :
- Software de Aplicaciones (Sistemas de Informacin):
-Administrativos
-Financieros
- De Manufactura
-Etc.
- Software de Paquetes Com putaciona les :
- Hojas Electrnicas
- Procesadores de Palabras - Etc.
- Software de Programacin :
- Lenguajes de Tercera Generacin - Lenguajes de Cuarta Generacin
- Software de Sistemas Operativos
- Productos CASE (Computer Aided Software Engenieering)
- Otros para propsitos especficos :

Sistemas de Informacin : Conjunto de mdulos computacionales y o manuales

organizados e interrelacionados entre si de una manera formal para la administacin y uso
eficiente de todos los recursos (Humanos, materiales, finacieros, tecnolgicos, etc.) de una
rea especfica del negocio (Manufactura, Administracin, Direccin, etc.) con la finalidad
de orientar dichos recursos, as como los procedimientos, polticas y funciones inherentes a los
mismos al logro de las metas y objetivos de negocio de una manera productiva.
Los Sistemas de Informacin pueden orientarse a los siguientes aspectos :
- Apoyo a los niveles operativos, Tcticos y estratgicos del negocio
Sistemas de Informacin Estratgica (SIE) : Son aquellos que de manera
permanente proporcionan a la Alta Direccin una oportuna serie de parmetros y
acciones encaminadas a la toma de decisiones que brindarn al negocio rentabilidad y
alta competitividad respecto a la competencia y al mismo negocio respecto a periodos
pasados en su historial como empresa formal.
Metodologa : Es un conjunto de Etapas (fases / mdulos) formalmente estructurados que
se orienta a proporcionar una trayectoria secuencial y lgica para el logro de resultados.
Ejemplos de Metodologas:
- De Planeacin de Sistemas - De Desarrollo de Sistemas
- De Auditoria de Informtica (Como la propuesta en este libro)

- De Calidad
- Otras

Tcnicas : Es el conjunto de procedimientos y pasos ordenados utilizados en el desarrollo

de un proyecto con el fin de finalizar las etapas / fases / mdulos definidas en el proceso
metodolgico.
Algunas de las Tcnicas generalmente aceptadas son:
- Anlisis estructurado- Diseo estructurado
- Pert
- Gantt - Documentacin

- Anlisis Costo/Beneficio
- Entrevistas
- Otras

Herramientas : Es el conjunto de elementos fsicos utilizados para llevar a cabo de manera

prctica las acciones y pasos definidos en la Tcnica. Antes del auge de las computadoras, as
como de otros elementos tecnololgicos relacionados con la ingeniera, arquitectura, etc. dichas
herramientas eran simples mquinas o utencilios manuales que nos apoyaban en el desarrollo de
las tareas de cada uno de los proyectos.
Herramientas de Productividad : Son aquellas orientadas a lograr la
optimizacin del tiempo de los recursos en el desarrollo de un proyectos, asi mismo se
encaminan a proporcionar resultados de alta calidad, por ejemplo :
- Procesadores de Palabras - Diagramadores
- Graficadores
- Productos CASE
- Impresoras - Microcomputadoras
- Etc.

2.2. Auditora:
La auditora se desarrolla en base a normas, procedimientos y tcnicas definidas
formalmente por Institutos establecidos a nivel nacional e internacional.
A. Auditora : UD proceso formal y necesario para las empresas con el fin de asegurar
que todos sus activos sean protegidos permanentemente.
B. Auditora : Es un conjunto de tareas llevadas a cabo por un especialista para la
evaluacin y/o revisin de Polticas y procedimientos relacionados con las siguientes reas ;
- Administrativas
- De Informtica

- Financieras
- De Crdito

- Operativas
- Fiscales

C. Es un proceso formal que se efecta por requerimientos de las empresas y/o de

gobierno en perodos establecidos previamente por los interesados con el objetivo de verificar el
cumplimiento oportuno de las polticas y procedimientos relacionadas con cada una de las
actividades existentes en la organizacin
Tareas principales de la Auditora :
- Estudio y actualizacin permanente en las reas susceptibles a revisar
- Apegarse en las tareas que desempee a las normas, polticas, procedimientos
y tcnicas de Auditora establecidas por los organismos generalmente aceptados
a nivel nacional e internacional
- Evaluacin y verificacin de las reas requeridas por la Alta Direccin y/o
responsables directos del negocio
- Elaboracin del Informe de Auditora (Debilidades y Recomendaciones)
- Otras recomendadas para el desempeo eficiente de la Auditora

Nota : La Auditora puede ser ejecutada en una organizacin por Auditores Internos
As como Auditores Externos.

23. Auditora de Informtica

La Auditora de Informtica se desarrolla en base a normas, procedimientos y
tcnicas definidas formalmente por Institutos establecidos a nivel nacional e
internacional.
Auditora de Informtica :
A. Es un proceso formal ejecutado por especialistas del Area de Auditora y de
Informtica, que se orienta a la verificacin y aseguramiento de que las Polticas y
procedimientos establecidos para el manejo y uso adecuado de la Tecnologa de
Informtica en la Organizacin se lleven a cabo de una manera oportuna y eficiente.
B. Son aquellas actividades llevadas a cabo por profesionales del Area de
Informtica y de Auditora encaminadas a evaluar el grado de cumplimiento de las
Polticas, Controles y Procedimientos inherentes al uso de los Recursos de Informtica
por el personal de la empresa (Usuarios, Informtica, Alta Direccin, etc.).
C. Es un conjunto de acciones que realiza el personal especializado en las reas
de Auditora y de Informtica para el aseguramiento permanente de que todos los
Recursos de Informtica operen bajo un ambiente de seguridad y control eficientes.

Nota : La Auditora puede ser ejecutada en una organizacin por Auditores Internos
As como Auditores Externos.

3. La Auditoria de Informtica y su Medio Ambiente:

3. La Auditoria de Informtica y su Medio Ambiente :

Las actividades de un negocio u organizacin tienen un efecto directo sobre sectores
especficos de la sociedad, de igual manera los eventos y actividades externos al negocio tienen
un grado de impacto en el mismo.
No han sido pocos los negocios que han fracasado al mantenerse estticos ante los
movimientos que se presentan a su alrededor, as mismo una gran cantidad de ellos que se han
adaptado oportunamente a los cambios sufridos por los elementos extemos obtienen ventajas
competitivas de dichas variaciones para lograr el liderazgo o al menos mantenerse en el
mercado.
El medio Ambiente marca regularmente las pautas y caminos estratgicos a seguir en
los diferentes aspectos que contemmpla un negocio y los factores que lo afectan pueden ser:
- Econmicos
- Organizadonales

- Polticos
- Ecolgicos

- Culturales
- Etc.

- Tecnolgicos

Es importante para los negocios el evaluar de manera constante cada factor extemo
que predomine o afecte de manera trascendente el medio ambiente externo, con la finalidad de
llevar a cabo las acciones necesarias para minimizar o sacar ventaja estratgica del mismo.
Las estrategias de los negocios son definidas formalmente en un proceso de planeacin
de negocios mediante reuniones o juntas en las que se involucran los Accionistas, Alta
Direccin y en algunas ocasiones Consejeros o Consultores expertos en una actividad tan
relevante como es la definicin de el plan estratgico para cualquier ente organizacional.
Una de las tareas bsicas de este proceso es el de determinar los factores internos y
externos que pueden afectar y/o facilitar de manera directa o indirecta las estrategias emanadas
de dicho plan.
La Auditora en Informtica siendo un proceso bsico de validacin y control del uso
de los Recursos Tecnolgicos utilizados en el logro de las estrategias, debe tambin
contemplar como parte de sus actividades primarias el entendimiento del entorno que rodea al
negocio, as como de la estructura y tiempos del Plan estratgico de Negocios.
En ocasiones la Funcin de Auditora en Informtica se ve relacionada de manera
directa o indirecta con las acciones definidas por la Alta Direccin, ya sea porque ser el
responsable de llevadas a cabo o porque ser el responsable de darle seguimiento formal a su
cumplimiento, a continuacin se dar una explicacin a manera de ejemplo en la Figura 3-1.

Factor Externo

MEDIO AMBIENTE (FACTORES EXTERNOS)

Acciones de la Empresa
Responsabilidad del Auditor
de Informtica

Reducin a las cifras

monetarias en tres
dgitos (por ejemplo,
antes 5,000 ahora 5)

Es poltica de la empresa que

todos los documentos y/o
transacciones reflejen esa
reduccin de tres dgitos

Verificar que todos los

Sistemas de Informacin,
contemplen esta disposicin
de manera formal y oportuna

Emana como
un decreto
Gobierno

Auge en el oso de la
Tecnologa de
comunicaciones Va
Satelite

Se define como estratgico

que exista un enlace entre
empresas/entidades de la
organizacin por este medio

Verificar y/o Recomendar

que exista un proyecto de
Anlisis Costo/Beneficio
para la Adquisicin de los
permisos de Gobierno, as
como la Tecnologa que se
requiere para la
Implantacin de dicha
Estrategia

Se obtiene
con esta
accin una
ventaja
competitiva

Se proyecta a futuro
enlazar clientes y
proveedores con la
empresa

Verificar su Implantacin
Adecuada y oportuna.

Tratado de Libre
Comercio con uno o
ms pases

Se define como poltica de

empresa que cada rea o
entidad de negocio impulse
la calidad y la eficiencia en
cada individuo,actividad y
producto terminado

Recomendar polticas y
procedimientos que
aseguren la Calidad y
eficiencia en cada una de las
funciones de Informtica,
as como en los productos
y Servicios de esta rea.(-)
(-) Aplica para la Funcin
de Auditora de Informtica

Legalizacin del
Software mediante
Derechos de Autor

Es una poltica en todos los

niveles de la organizacin
el contar con Software en la
empresa que solo sea
original (con licencia de uso)

Establecer una serie de

Controles y Procedimientos
que aseguren y verifiquen que
solo Software Original se
encuentre instalado en el
equipo de computo del negocio

Figura 3-1

Comentario

Permite una
integracin
ms eficiente
entre las
entidades de
un negocio

Algunas
Sugerencias
de Auditora:
- Capacitar
a personal
- Uso de
Mtodos y
Tcnicas
Estandar
- Etc.

Acciones:
- Inventariar
el Softare de
la empresa
- Comprar e
Instalar solo
Software
Legal

Medio Ambiente de Informtica :

Son aquellas caractersticas dominantes del mercado en cada una de las ramas o
criterios relacionados con la Tecnologa de Informtica, que definen el rumbo y estrategias de
Implementacin y operacin de la misma en los negocios.
La Funcin de Informtica debe estructurar sus servicios, funciones y proyectos en
base a los requerimientos especficos del negocio, apoyndose en gran parte en la Tecnologa
de Vanguardia que domina el mercado, considerando las tendencias de la misma. El grado de
apoyo que se buscar en el medio ambiente Tecnolgico depende en gran medida de la
orientacin y justificacin que se le asigne al enfocarlo a cada estrategia de la empresa.
No todo lo que ofrece el mercado como estndares y soluciones Tecnolgicas en caso
de adoptarlos nos garantizar el desempeo eficiente de la Funcin de Informtica en una
Organizacin, el Auditor de Informtica deber verificar la existencia de un Anlisis
Costo/Benefico en cada proyecto de Inversin orientado a la Adquisicn de Nueva Tecnologa
o Estndares para el uso y manejo de la misma. Adems Auditora de Informtica mantendra
un proceso permanente de seguimiento al uso de los Recursos de Tecnologa, Metodologas,
Tcnicas, Procedimientos y Polticas inherentes a Informtica que Asegure Calidad y
Productividad en esta rea, no con el fin de ser 'un polica informtico* sino un punto de apoyo.
El medio ambiente de Informtica sufre de manera continua cambios en algunos de sus
elementos, ya sea en Hardware, Software, Telecomunicaciones, Etc. debido a la busqueda
constante de soluciones ms eficientes en aspectos relativos al Desempeo, Costo, etc.
En consecuencia, cualquier rea que tenga como objetivo el operar, manejar y /o
evaluar (Que es el caso que nos interesa) debe estar dispuesta a llevar las acciones pertinentes
que nos aseguren su debido entendimiento y aprovechamiento para brindarle a la Organizacin
resultados de Alta Calidad y la confianza de que la Informacin seguir cumpliendo con los
requisitos de control esperados : Exactitud, Totalidad, Autorizacin, Actualizacin, etc.
En las ltimas decadas el medio ambiente de Informtica ha sido uno de los campos que
ha registrado un mayor ritmo de crecimiento en todas sus reas de accin, traducindose
esto en :
a) Mejores equipos de cmputo, ya que cuentan con caractersticas difcilmente encontradas
anteriormente, tales como conectividad, escalabilidad, etc.
b) Lenguajes de programacin y paquetes de software ms flexibles y dinmicos que permiten
actualmente a los desarrolladores de aplicaciones ser ms productivos, dando un alto grado de
participacin a los usuarios en el proceso de Desarrollo e Implantacin de Soluciones de
Negocio.

c) Innovaciones Tecnolgicas en Telecomunicaciones, ya que se pueden transmitir voz, datos,

imagen y video, As mismo se ha logrado enlazar a diferentes empresas con clientes y
proveedores a travs de Redes Locales (LAN), Redes Metropolitanas (MAN) y Redes
Abiertas (WAN) (Iniciales derivadas de su significado en ingles), la capacidad de volmenes de
informacin, la velocidad de transmisin y la proteccin de los datos ha venido obteniendose
con la aparicin del cable coaxial y la Tecnologa de Redes Digitales Integradas por ejemplo.
d) En el campo de la Tecnologa Vanguardista se encuentran en proceso de Implantacin y
Formalizacin en la mayora de las empresas :
- Cdigo de Barras
- Multimedia (Integracin de Video, Televisin, Computadora, Etc.)
- C.A.S.E. (Ingeniera de Software Asistida por Computadora)
- E.D.I. (Intercambio Electrnico de Datos)
- Automatizacin de Oficinas (el enfoque del 'paper less' / 'sin papel')
- Ambientes orientados a Objetos
e) Metodologas, tcnicas y herramientas para la Administracin de la Funcin de Informtica,
la Planeacin y Desarrollo de Sistemas han venido formalizndose y apegndose a los
estndares comunmente aceptados a nivel nacional e internacional, lo que ha sido un factor de
suma utilidad para el desempeo eficiente de las tareas y servicios inherentes a la Informtica y
de la misma Auditora de Informtica.
f) La integracin de especialidades profesionales (Ingeniera, Auditora, Informtica, etc.) en
Asociaciones Profesionales reconocidas formalmente a nivel Nacional e Internacional, como la
EDP Auditors Association, Inc. (Asociacin Mexicana de Auditores en Informtica, A.C. en
Mxico) entre otras, brindan la oportunidad a las instituciones y organizaciones privadas y de
gobierno tener un contacto directo y oportuno con los conocedores y/o impulsadores de las
tendencias dominantes del medio ambiente en sus areas econmicas, sociales, tecnolgicas, etc.
La Figura 3-2 ilustra de manera general algunos comentarios relevantes sobre las
caractersticas y aportaciones que han surgido en la Tecnologa de Informtica y de las cuales
los negocios deben estar evaluando para su posible implantacin y lograr el mximo de
beneficios.
En la Figura 3-2 se comenta tambin de manera somera, la contribucin e impacto que ha
tenido la Tecnologa de Informtica en su campo de accin.

Hardware:
- Mainframes
- Mini computadoras
- Microcomputadoras
- Porttiles
- Impresoras
- Dispositivos
de Almacenamiento
-Otros

Comunicaciones:
-Voz
- Datos
- Imagen
- Video

Software :
- Procesadores de
Palabras
- Hojas de Clculo
- Grafcadores
- Diagramadores
- Presentadores
- Especializado:
- Auditora
- Seguridad
- Desempeo
- Case:
- Mtodo
- Tcnica
- Herramienta

-Elementos fsicos y tangibles de

la Tecnologa de Informtica
Por ellos es posible alimentar,
Procesar, Generar, transmitir y
Almacenar los datos de los
Sistemas de Informacin
(Estratgicos, Tcticos y
Operativos del negocio)

- Al surgir las primeras computadoras y se

trasladaron a ellas los Sistemas Financieros Y
Contables, el Auditor utilizo los Equipos de
Cmputo para Consulta, Captura, Proceso y
Generacin de Reportes para Evaluar la
Situacin que guardaban dichos sistemas.
-Actualmente los equipos de Cmputo
brindan ms facilidades al Auditor de Informtica
que se pueden Evaluar
Sistemas de Informacin y otros aspectos de
Interes a travs de accesos remotos y en lnea,

- El Hardware sufre cambios de

manera dinmica , hoy en da su
tamao Fsico ha disminuido y su
caractersticas de desempeo y
Se pueden utilizar equipos portables que
portabilidad han mejorado de
permiten auditar tareas en el lugar de los hechos.
manera sorprendente :
Las facilidades que brindan las comunicaciones
- Almacenamiento
y los equipos de Computo, permiten al Auditor
registrar y min i torear una gran cantidad de
- Procesamiento
actividades inherentes al uso de las computadoras
- Portabilidad
y equipos de Teleccomunicaciones.
Escalabilidad
- Conectividad
-Etc.
Son los Elementos
Lgicos de la Computadora.

- Al surgir la necesidad de evaluar Sistemas

Computacionales que guardaban datos
de los estados Financieros y Contables de la
Es por medio de este elemento qu< empresa, el Auditor se apoyo en personal con
especializacin en Informtica, ya que la
se ha logrado con el paso del
programacin (en lenguajes como COBOL) y
tiempo la Sistematizacin
el manejo de los equipos de Computo requera
Computacional de los Procesos
de conocimientos especficos. El apoyo que
de negocio( tareas operativas,
se le brindo al Auditor fu el de programar rutina
tcticas y estratgicas)
control y evaluacin de procesos
En un nivel ms especializado, se en los Sistemas Computacionales, o para generar
re procesos y respaldos de la Informacin a ser
ha logrado con la Ingeniera de
auditada.
Software la Sistematizacin a
Travs de las Computadoras de
las actividades del Desarrollo de - Ai surgir el Auditor de Informtica, ste se
perfilo como el individuo que domina ambos
Sistemas y en gran medida de la
campos la Auditora y La Informtica, siendo este
Planeacin de Sistemas a travs
del CASE (Ingeniera de Software el enlace ideal para la Evaluacin, no solo de
Sistemas de Informacin, sino tambin del uso
Asistida por Computadora).
eficiente de todos los Recursos, Servicios y
Productos de Informtica en el negocio
Figura 3-2

Objetivo del Auditor de Informtica al estudiar el Medio Ambiente

y su impacto en el negocio :
Es definir el grupo de proyectos de Auditora de Informtica que sern ejecutados en un plazo
determinado con el fin de apoyar directa o indirectamente a las estrategias del negocio, considerando los
diversos factores internos y externos que se relacionan con la organizacin. Es conveniente sealar que
cada uno de estos proyectes deber estar enmarcado en los lmites definidos para la funcin, esto es
debe enfocarse al control, seguridad y auditora de los diferentes elementos que tengan impacto directo o
indirecto con la Tecnologa de Informtica.

JV

4. PLANEACION :
La Funcin de Auditora de Informtica debe generar al igual que todas las reas del
negocio, un plan de proyectos que justifiquen su trabajo durante un cierto periodo, de igual
manera debern de contemplar cada uno de esos proyectos un Anlisis Costo/Beneficio y la
estructura de los mismos con un enfoque metodolgico , lo anterior con la finalidad de que
tambin dicha funcin pueda ser evaluada en base a su desempeo, con parmetros que sean lo
ms tangibles y medibles posibles.
Cada proyecto de Auditoria en Informtica soporta en un bajo o alto grado a los objetivos y
requerimientos de tres entidades del negocio :
A. Alta Direccin
- Seguimiento a proyectos relacionados con la Tecnologa de Informtica
- Verificacin y Aseguramiento en el cumplimiento de Polticas inherentes
a la Tecnologa de Informtica
- Otros aspectos de Interes para la Alta Direccin
B. Auditoria
- Apoyo en la Definicin, Implantacin y Seguimiento en :
- Polticas, Controles y Procedimientos de Auditora Financiera,
Operativa, de Crditos, Fiscal, etc. Relacionadas directa o
Indirectamente con la Tecnologa de Informtica (Sistemas de
Informacin, Equipos de Cmputo, Comunicaciones, Etc.)
- Planes de capacitacin en el uso y entendimiento de :
1. Software de Auditora
2. Herramientas de Productividad (Hojas Electrnicas,
Procesadores de Palabras, Graficadores, Diagramadores, etc.)
3. Bases de Datos (Consulta de Informacin por ejemplo)
4. Equipos de Cmputo (Micros, terminales, porttiles, etc.)
5. Otros de Interes para los Auditores
- Otros de nteres para el desarrollo eficiente de los auditores cuando evalan
reas del negocio que se apoyan en Informtica.

C. Informtica:
- Apoyo en la Definicin, Implantacin y Seguimiento en :
- Polticas, controles, procedimientos y Estndares relativos a :
1. Organizacin y Administracin de Informtica
2. Proceso de Planeacin de Informtica
3. Evaluacin y Adquisicin de nueva Tecnologa
4. Evaluacin y Adquisicin de Servicios
5. Desarrollo e Implantacin de Soluciones (EDI, CASE, Base de
Datos, Telecomunicaciones, Sistemas Estratgicos, Multimedia, etc.)
6. Etc.
- Otros de Interes para Informtica
Lo anterior nos lleva a concluir que es muy importante que exista una permanente
comunicacin entre la Funcin de Auditora de Informtica y la Alta Direccin, as como con
las Direcciones y/o Gerencias de Auditora o Informtica.
A continuacin se mencionarn algunos puntos a considerar para obtener un Plan
Maestro de Auditoria en Informtica que asegure un apoyo permanente y eficiente a las
entidades del negocio antes mencionadas :
1. Crear o formalizar un comit de control y seguimiento integrado por:
- Alta Direccin
- Responsable directo de Auditora
- Responsable directo de Informtica
- Responsable directo de Auditora de Informtica
2. Analizar los proyectos de Negocio, Informtica, Auditora y Auditora de
Informtica de manera conjunta, con el objetivo de ver la relacin o impacto que tienen
entre si y facilitarse de manera formal los compromisos que aseguren el cumplimiento de los
mismos.
Nota : Los proyectos de cada rea pueden ser desarrollados y planeados de
manera independiente.
3. Establecer fechas de reuniones formales e informales para dar seguimiento a los
planes de compromiso conjunto.

4.1.

El Proceso de Planeacin de Auditoria de Informtica

Son las actividades desarrolladas por el Auditor en Informtica que tienen como
objetivo principal elaborar y presentar un conjunto de Proyectos inherentes a la Funcin de
Auditora de Informtica a la Alta Direccin, y que estarn orientados primordial mente al
aseguramineto de la Calidad, Seguridad y Control de los diferentes elementos que se
encuentran relacionados directa o indirectamente con los Recursos de Informtica.
Para un entendimiento de las tareas crticas de un proceso de planeacin de Auditora
de Informtica ver la Figura 4-1.

Actividad

Tareas Bsicas del Proceso de Planeacn de

Auditora de Informtica y Responsabilidades
Responsable de Responsable del
Ejecusin
seguimiento
Comentarios
Se efecta un Diagnstico actual de
la Funcin de Informtica (Desde el
punto de vista de negocio y desde el
punto de vista del negocio) con e!
fin de detectar reas de riesgo o
debilidades de la Funcin de
Informtica.(Ver mtriz de Riesgos)

Determinacin
Coordinador y/o
de las reas a
Supervisor de
Audi ta r en el
Auditora de
Negocio
Informtica

Director y/o
Gerente de
Auditora de
Informtica

Coordinador y/o
Supervisor de
Auditora de
Informtica

Director y/o
Gerente de
Auditora de
Informtica

Las fechas y periodos en que se

auditaran las reas puede obedecer
a solicitud expresa de la Alta
Direccin o a requerimientos de la
Funcin de Auditora de Informtica

AJta Direccin del

Negocio

Se recomienda que se haga de

manera oportuna (Al iniciar el
periodofiscalpor ejemplo) y que
se autorize formalmente

Gerente y/o
Supervisores de la
Funcin de
Auditora de
Informtica

Algunas empresas consideran que

es recomendable utilizar personal de
Auditora extemo, esto para darle
independencia al Informe o para
aligerar las cargas de trabajo.

Elaboracin de
Plan de
Auditora de
Informtica

Director y/o
Presentacin
Gerente de
del Plan a la
Alta Direccin Auditora de
Informtica
Ejecucin del
Plan de
Auditora de
Informtica

Supervisor y/o
Auditores de
informtica
(Extemos o
Internos)

Figura 4-1

Proceso Detallado de la Planeacin de Auditora de Informtica :

Es importante aclarar que este proceso de planeacin depende en gran medida
del Diagnostico Previo que haga el Auditor de Informtica de la Situacin que guarda
en ese momento cada una de las reas o servicios de la Funcin de Informtica, As
como tambin es de suma relevancia el considerar las necesidades o prioridades que
tenga la Alta Direccin de auditar o evaluar una rea especfica de Informtica.
Consideraciones
para el Proceso elaboracin,
Autorizacin y Difusin formal del Plan de Auditora de Informtica.

Documentacin,

1. Es importante identificar el nivel de riesgo de cada uno de los Elementos que

integran la Funcin de Informtica en el negocio a travs del Diagnostico de la situacin
actual de Informtica (Los cuestionarios y formatos sugeridos para su desarrollo sern
contemplados en un capitulo posterior).
Las reas que sern diagnosticadas pueden variar de acuerdo al tamao y estructura del
negocio, pueden ser empresas que dependan de un corporativo o 'Holding', el giro de la
empresa y el nmero de sucursales o subsidiarias originan en ocasiones que el Auditor de
Informtica tenga que evaluar productos y servicios de Informtica con un enfoque
centralizado o descentralizado segn sea el caso.
Algunos de los siguientes servicios sern mencionados de manera ilustrativa, sin
embargo no son limitativos o totalitarios para ninguna empresa, ya que ser el perfil y
caracterstica propia la que defina el alcance de la Funcin de Informtica :
- Sistemas de Informacin en Operacin
- Administracin de Hardware y Software
- Desarrollo de Sistemas de Informacin
- Soporte a usuarios ( Capacitacin, Asesora, etc.)
- Administracin de Telecomunicaciones
- Investigacin y Desarrollo Tecnolgico
-Etc.
2. El Auditor deber utilizar todos los parmetros de medicin y evaluacin posibles,
sin caer en un anlisis detallado, ya que aqu solo se trata de detectar la problemtica principal
de cada una de las reas.
Si este proceso mostrar anomalas de considerable importancia, en alguno de sus
elementos evaluados, se deben tomar acciones inmediatas orientadas a minimizar y/o eliminar
la anomala.
3. Determinar el nivel de Riesgo que existe en cada una de las reas de la Funcin de
Informtica : Cada rea, producto o servicio de Informtica es susceptible de evaluacin y
control para el aseguramiento de que se desarrolle de acuerdo a los estndares, polticas y
procedimientos especificos que le han sido asignados de acuerdo a su funcin.

Actividades para el Proceso elaboracin, Documentacin, Autorizacin y Difusin

formal del Plan de Auditora de Informtica
1.- Diagnstico de la Situacin Actual de los Sistemas de Informacin en Operacin.
1.1. Sistemas de Informacin en Operacin : Por ser este un elemento crtico dentro del
funcionamiento formal de cualquier negocio (Aqu se manejan los datos de las reas
financieras, productivas y administrativas para la toma de dedsiones) haremos nfasis en las
consideraciones y criterios ms importantes que debe tomar en cuenta el Auditor de
Informtica (de las dems reas, como desarrollo de Sistemas, Telecomunicaciones, etc.
haremos referencia ms detallada en los siguientes captulos).
El Diagnstico general de esta rea se puede llevara cabo de la siguiente manera :
A.l) Obtener una lista de los principales Sistemas de Informacin, los Usuarios
Principales de cada uno (Determinar cuales fueron desarrollados por la empresa y cuales
fueron comprados a terceros, esto con el fin de que si se llegase a determinar que algunos de
estos deben ser evaluados con ms detalle, sepamos cual ser la fuente principal de estudio).
A.2) Tomando como base los comentarios positivos y negativos de los principales
usuarios de cada sistema de informacin que se encuentre en operacin, determinar con ellos
los volmenes de transacciones promedio.
A.3) Las fallas y/o regularidades ms comunes que presenta el Sistema y/o Equipo de
Computo donde se encuentra, prioridades de operacin.
A.4) Informes del desempeo hechos con anterioridad a los usuarios principales, a los
analistas del sistemas y personal de produccin.(Oportunidad, Calidad, Confiabilidad).
Debilidades que pueden motivar a que se lleve a cabo la Auditora a un Sistema de
Informacin:
Primero: Que el Sistema no haya sido liberado formalmente, lo que puede traer como
consecuencia el desconocimiento real por parte de los usuarios y del personal de Auditora de
las debilidades y fortalezas del Sistema.
Segundo : Que el sistema nunca haya sido auditado, esto sugiere la alternativa de
auditarlo de manera inmediata, sobre todo, si es un sistema crtico para Alta Direccin (Un
Sistema de Cheques en un banco, un Sistema de Ventas en una empresa comercial o un
Sistema de Manufactura en una empresa de giro Industrial); en caso de no ser un Sistema
crtico para el negocio, programar una revisin al mismo en los proyectos intermedios o finales
de Auditora de Informtica..
2. Clasificar el nivel de riesgo que representa el uso Hardware y Software dentro de la
organizacin. Lo que se desea determinar en este punto es que los Sistemas de Informacin
Computarizados y datos sean procesados en un ambiente tecnolgico confiable, seguro y
eficiente. Aqu se pueden auditar aquellos equipos o paquetes de software que dan soporte a
los Sistemas crticos del negocio, o se podra auditar de manera peridica el mantenimiento.

2.1 Evaluar as mismo la capacidad de los equipos, cantidad de unidades (Discos, Cintas,
Terminales,etc.),los Tipos (Micros, Redes, Minis, Mainframes), Distribucin fsica de los
mismos, reportes de Desempeo de los mismos son datos que pueden ayudar a determinar la
secuencia y grado de intensidad con que se auditar el Hardware.
El uso y propsito de los paquetes de software, la existencia de procedimientos y polticas en
la evaluacin y adquisicin de Software, as como la estandarizacin de paquetes, apoyan al
auditor en la programacin de los proyectos de Auditora.
3 Otros aspectos a clasificar : Administracin del Centro de Computo, Organizacin de
Informtica, Servicios y Productos (Externos o Internos) de Informtica,
Telecomunicaciones, EDI (Intercambio Electrnico de Datos por sus siglas en Ingles),
Automatizacin de Procesos, CASE,Etc.
Estos deben ser evaluados en base a estndares comunmente aceptados a nivel
nacional e internacional y en base a la proyeccin de uso que piensa darle el negocio en el
corto, mediano y largo plazo. Adems deben considerarse los comentarios y/o asesoras de
personal especializado en esta rea, siendo gente externa o de la misma Funcin de
Informtica de la empresa que se est evaluando.
4.- Clasificacin de los riesgos en base a criterios establecidos por la Funcin de
Auditora de Informtica, tales como:
- Cumplimiento de Estndares comunmente aceptados a nivel nacional e internacional
- Cumplimiento formal de Polticas y Procedimientos
- Grado de Satisfacin de la Alta Direccin y del Personal Usuario
-Etc.
Nota : El Auditor deber utilizar todos los parmetros de medicin y evaluacin
posibles, sin caer en un anlisis detallado, ya que aqu solo se trata de detectar la problemtica
principal de cada una de las reas.
Si este proceso mostrar anomalas de considerable importancia, en alguno de sus
elementos evaluados, se deben tomar acciones inmediatas orientadas a minimizar y/o eliminar
la anomala.
Consideraciones a tomar en cuenta al hacer el Diagnostico de la Situacin Actual para la
obtencin de la Matriz de Riesgos: Es importante sealar que el Auditor de Informtica, debe
conocer de manera suficientemente aceptable los aspectos relativos a Auditora e Informtica
que debe tener cada una de las reas de Informtica, lo anterior es un requisito
indispensable, ya que ser en base a su experiencia y dominio de la Auditora de
Informtica en lo que har un Diagnstico objetivo y contundente, ademas se apoyar en
la visin de los principales usuarios del negocio y del responsable de Informtica.

Consideraciones a tomar en cuenta al hacer el Diagnostico de la Situacin Actual para la obtencin

de la Matriz de Riesgos: Es importante sealar que el Auditor de Informtica, debe conocer de
manera suficientemente aceptable los aspectos relativos a Auditora e Informtica que debe
tener cada una de las reas de Informtica, lo anterior es un requisito indispensable, ya
que ser en base a su experiencia y dominio de la Auditora de Informtica en lo que
har un Diagnstico objetivo y contundente, ademas se apoyar en la visin de los
principales usuarios del negocio y del responsable de Informtica.
5.> Elaborar una matriz de Riesgos que muestre las Areas de la
Funcin de
Informtica, que sern susceptibles de una
revisin por parte de Auditora en el
siguiente periodo.
Dicha matriz muestra resultados en un orden descendente. Esto implica que el Area que
muestre el valor ms alto es la entidad con mayor riesgo, por lo tanto deber ser la primera
en evaluarse por parte de Auditora y as sucesivamente hasta conocer las Areas de menor
riesgo.
6.- Elaborar un plan consolidado de Proyectos que tenga al menos la siguiente
informacin :
- Fechas de Inicio y Terminacin de cada Auditora
- Etapas de cada Auditora
- Tareas Principales de Cada Etapa
- Equipo de Trabajo (Auditores), Representante de Informtica y
Representante de las reas Usuarias
- Requerimientos (Recursos, Apoyo de la Direccin,
Capacitacin, Material de Auditora en Informtica,etc)
7.- Revisar con la Gerencia o Direccin a la que reporta directamente la Funcin de
Auditora Informtica, la Matriz de Riesgos y el Pronostico de Proyectos de Auditora de
Informtica.
Debe ser llevada a cabo de manera oportuna y formal con el fin de que se de el visto
bueno o se lleven a cabo las adaptaciones o mejoras que se consideren pertinentes, antes de
presentarlo a la Alta Direccin de la Organizacin.
8. Elaborar formalmente el plan, cubriendo al menos los siguientes aspectos :
- Area a Auditar
- Prioridad
- Fechas de Inicio y Trmino
- Involucrados - Responsables
- Fechas de Revisin formales e Informales
- Otros de nteres particular del Auditor de Informtica en el momento de
efectuar esta tarea

9.- Presentar a la Alta Direccin el Plan de Proyectos de la Funcin de Auditora en

Informtica. Lo anterior es con los siguientes propositos :
- Que conozcan antes de que inicie el ao fiscal los proyectos de Auditora en Informtica
- Verificar que las Areas que ellos consideran crticas para el buen funcionamiento del
negocio, hayan sido contempladas en el Plan de Auditora de Informtica y en la Matriz de
Riesgos, para su debida reorganizacin antes de que sea autorizado.
- Otros
10.- Llevar a cabo cada uno de los proyectos de acuerdo al Plan de Auditora en
Informtica.
10.1 ejecutar actividades de Seguimiento y Revisin formal a cada uno de los proyectos
11.- Integrar y formalizar equipos de trabajo formados por:
a) Gerente(s) de las Areas Usuarias a Evaluar
b) Gerente de la Funcin de Informtica
c) Lider del Proyecto de la Funcin de Auditora en Informtica
d) Otros que sean necesarios
12.- Obtener la aprobacin formal de la Alta Direccin del Informe Final de la
Auditora de Informtica Realizada
13 Aplicar este proceso de Planeacin de Auditora de Informtica de manera
permanente.

5,

Metodologa para el Desarrollo e Implantacin de la

Auditora de Informtica:

5.1 Proceso Metodolgico de la Auditora de Informtica

5.

Metodologa para el Desarrollo e implantacin de la

Auditora de Informtica:

La Auditora de Informtica debe ser respaldada por un proceso formal que asegure
su previo entendimiento por cada uno de los responsables de llevar a la prctica dicho
proceso en la empresa. Al igual que otras funciones en el negocio la Auditora de
Informtica debe efectuar sus tareas y actividades mediante una Metodologa Formal (Ver
Figura 5-1).
No es recomendable que se fomente en las organizaciones la dependencia en el
desempeo de tan importante funcin solo en base a la experiencia, habilidades, criterios y
conocimientos sin una referencia metodolgica, el contar con un mtodo nos garantiza que
todas las cualidades de cada Auditor de Informtica sean orientadas a trabajar en equipo
para la obtencin de productos de calidad estandarizados.
La Funcin de Auditora de Informtica debe contar tmbien con un desarrollo de
activades basadas en un mtodo de trabajo formal, que sea entendido por todos los
Auditores de Informtica y complementado con Tcnicas y Herramientas propias de la
Funcin.
Lo anterior se facilita si los Auditores de Informtica cuentan con una
metodologa que oriente cada proyecto a una ejecucin armoniosa y planeada en cada una
de las tareas y actividades involucradas.
Un alto porcentaje de los especialistas en Areas de Investigacin, Planeacin
Financiera o de Informtica, en Desarrollo de Sistemas, en Manufactura y otras ms se
apoyan en gran medida en tareas, actividades, productos terminados, revisiones, roles y
responsabilidades, etc. definidas previamente en un documento formal llamado
Mtodologa, donde lo que se busca es brindarle a los responsables de dichas reas un
camino estructurado por donde llegar a los resultados esperados por la empresa.
Es importante sealar que el uso de la metodologa no garantiza por si sola el xito
de los proyectos de Auditora de Informtica, se requiere adems un buen dominio y uso
constante de los siguientes aspectos complementarios :
Tcnicas y Herramientas de productividad
Habilidades personales
Conocimientos tcnicos y administrativos
Experiencia en el campo de Auditora y de Informtica
Concocimiento de los factores del negocio y del medio ambiente
Actualizacin permanente
Involucracin y comunicacin constante con Asociaciones
Nacionales e Internacionales relacionadas con este campo
Otras

D
cu
< <
e5
Q ^
< 05

T
<

<*

<
c

<
c

05
c P

DD

u< y<

CU c
)H N

< <
O PC
M
o5 c

(X
J

o ,9
Q

CL.

a,
J

p.

p-

J J

Qu
J

<

ri
<

05

gc
W

CQ il
M^
8 3

C/
O
z
o
8

0H _]

o
t
Z
M
M

<

O
UJ

o
H
M

2
o
W
Q

c
-
i
c

<
<

g
S

05 D
II S <
U05 < P
00

Z
O a;
C
O SL, O
5
11
U
in H
D
05 pj

t
O
t

t
z
t
o
o

S
o
w
z

I
c
o

H
75
o
z

o
o
P
CO
o
z

t
Q

o 1
o
t
o
o
o

s sHH

s i

oo
O
O

a
<
i

Z O
O
t (J <
a.
m o
PS o
PU
SB
s
1-1
Z o

Ogi

S3

^
113 ^ W

mII

Z
-Ow S
!

<
S

ri c

(N

t
u
o

os
<
z

fi-

cM

o
u
m*
H
5
O
z
o

z
O
u<
V
h<z>

O
M

<

O
t
t
O
os
O
<
c/2
t
O

2
3(J
z
u
S
O
z

5.X Proceso Metodolgico de la Auditora de Informtica

Las ventajas de usar un proceso de trabajo metodolgico y estandar dentro de la Funcin de
Auditora de Informtica por todo el personal de la funcin genera al mnos las siguientes ventajas :
Se elimina el proceso informal de trabajo
Los recursos orientan sus esfuerzos a la obtencin de productos de calidad, con
caractersticas y requisitos comunes para todos los responsables
Las tareas y productos terminados de los proyectos se encuentran definidos y
formalizados en un documento al alcance de todos los Auditores de Informtica
Se facilita en un alto grado la administracin y seguimiento de los proyectos, debido a
que la metodologa obliga a la planeacin detallada de cada proyecto bajo criterios
estndares.
Trabaja sobre tareas y productos terminados perfectamente definidos.
Otros
La Figura 5-1 nos muestra una descripcin general de las Etapas de la Metodologa de
Auditora de Informtica as como los Datos generales relacionados con cada una de ellas.
Esta visin ser de gran utilidad tanto para el Auditor de Informtica como para los dems
involucrados en el Proyecto.
El Responsable de la Funcin de Auditora de Informtica puede valerse de la informacin
consolidada contenida en la Tabla de descripcin general de la Metodologa de Auditora de
Informtica, para darle un seguimiento oportuno y estructurado a cada uno de los proyectos, debido
a que todas las tareas y productos terminados (Salvo algunas tareas y resultados)
En los captulos posteriores cada una de las etapas ser explicada de manera detallada
Tal como se ha venido comentado en capitulos anteriores, el desarrollo exitoso de la
Auditora de Informtica depende de un conjunto de factores interrelacionados entre si. El conjuntar
y coordinar de manera eficiente los siguientes factores nos brindar el aseguramineto de resultados
satisfactorios por parte del desempeo de la Funcin de los Auditores de Informtica :
- Dominio de los conceptos Tcnicos y Administrativos relacionados
con Auditora de Informtica
- Habilidades Inherentes a la Auditora de Informtica
- Normas personales
- Entendimiento de la Auditora de Informtica y sus tendencias
- Adaptacin y/o Actualizacin de acuerdo al Medio Ambiente dominante
- Entendimiento satisifactorio de Mtodos, Tcnicas y Herramientas necesarias
para auditar las reas seleccionadas en el proceso de Planeacin de Auditora
de Informtica
- Otros que dependen de las caractersticas de cada organizacin donde se
desarrolle la Funcin de Auditora de Informtica

Uno de los factores que son crticos para el Auditor de Informtica en el desempeo eficiente
de su trabajo es el conocimiento y/o aplicacin de los Mtodos, Tcnicas y Herramientas
comunmente aceptados para Informtica en los Negocios o Asociaciones.
En medida que el Auditor de Informtica tenga experiencia y conocimientos actualizados
sobre los diferentes aspectos que evaluar, tendr resultados pobres o exitosos dentro de la
Organizacin donde trabaja.
En la Figuras 5-2, 5-3 se muestran un conjunto de elementos metodolgicos, tcnicos y
operativos recomendados para apoyar a la Funcin de Auditora de Informtica en la revisin y
evaluacin de reas especficas de Informtica y los dems componentes relacionados con ella.

GRADO DE IMPORTANCIA DE METODOS, TECNICAS Y HERRAMIENTAS EN LAS ETAPAS

DEL PROCESO METODOLOGICO DE A tIDITORI DE INFORMATICA
ETAPA
ETAPA DE
ETAPA DE
PRELIMINAR
JUSTIFICACION
ADECUACION
CONCEPTO
Mtodologa:
- Planeacin de Informtica
- Implantacin de sistemas

CRITICO
NO REQUERIDO

CRITICO
NO
REQUERIDO

CRITICO
CONVENIENTE

Tcnicas :
- Anlisis:
- Organizacional
- Sistemas
- Computacional

CRITICO
NO REQUERIDO
NO REQUERIDO

CRITICO
CONVENIENTE
NO
REQUERIDO

CRITICO
CONVENIENTE
NO REQUERIDO

- Diseo:
- Conceptual
- Computacional

NO REQUERIDO
NO REQUERIDO

CONVENIENTE
NO
REQUERIDO
CRITICO
CRITICO

CRITICO
NO REQUERIDO

NO REQUERIDO
CRITICO
CONVENIENTE
(&)

CONVENIENTE
CRITICO
CRITICO

CONVENIENTE
CRITICO
CRITICO

(&)

(&)

NO REQUERIDO

CONVENIENTE

CONVENIENTE

(&)
(&)

(&)
(&)

(&)
(&)

NO REQUERIDO
CRITICO
(&)

CONVENIENTE
CRITICO
(&)

CONVENIENTE
CRITICO
(&)

- Costo/Beneficio
- Modelo de Datos y Procesos
- Documentacin :
- Detallada
- Entrevistas
- Cuestionarios
- Otras Tcnicas (Se)
- Controles, Polticas y
Estndares Nacionales
e Internacionales
Areas de Especializacin :
- Comunicaciones (&)
- Otros
(&)
Habilidades y/o Virtudes :
- Creatividad
- Abstraccin
- Otros
(&)

CONVENIENTE
CONVENIENTE

Figura 5-2

CRITICO
CRITICO

GRADO DE IMPORTANCIA DE METODOS, TECNICAS y HERRAMIENTAS EN LAS

ETAPAS DEL PROCESO METODOLOGICO DE AUDITORIA DE INFORMATICA
ETAPA DE
ETAPA DE
DESARROLLO
FORMALIZACION
CONCEPTO

Metodologa :
- Planeacin de Informtica
- Implantacin de Sistemas

CRITICO
NOREQUERIDO

CRITICO
CRITICO

CRITICO
CONVENIENTE
NO REQUERIDO

CRITICO
CRITICO
CRITICO

CONVENIENTE
NO REQUERIDO
CRITICO
CONVENIENTE

CRITICO
CRITICO
CRITICO
CRITICO

NO REQUERIDA
CRITICO
NO REQUERIDO
(&)

CRITICO
CRITICO
CRITICO
(&)

NO REQUERIDO

CRITICO

(&)
(&)

(&)
(&)

CONVENIENTE
CRITICO
(&)

CRITICO
CRITICO
(&)

Tcnicas:
- Anlisis:
- Organizacional
- Sistemas
- Computacional
- Diseo :
- Conceptual
- Computacional
- Costo/Beneficio
- Modelo de Datos y Procesos
- Documentacin:
- Detallada
- Entrevistas
- Cuestionarios
- Otras Tcnicas (&)
- Controles, Polticas y
Estndares Nacionales
e Internacionales
- Areas de Especializacin :
- Comunicaciones (&)
- Otros
(&)
Habilidades y/o Virtudes :
- Creatividad
- Abstraccin
- Otros
(&)

Figura 5-3

(&) Es importante aclarar que las tablas anteriores no buscan limitar el buen desarrollo de
la Auditora de Informtica. Se recomienda analizar de manera objetiva, la Tecnologa y
tipo de Organizacin para definir la magnitud y el nfasis que debe drsele a cada uno de
los conceptos sealados.

6.

6.1.

Etapa Preliminar (Diagnstico de la Situacin Actual) :

Diagnstico de Negocio (Alta Direccin y Usuarios d e informtica)

6.1.1. Conocimiento del Negocio

6.1.2. Apoyo ai negocio
6.2.

Diagnstico d e Informtica (Responsables de la Funcin)

6.2.1. Conocimiento de ia Funcin de Informtica

6.2^. Servicios
6.2.3. Aspectos de Control

6.

Etapa Preliminar (Diagnstico de la Situacin Actual):

6.1.

Diagnstico de Negocio (Alta Direccin y Usuarios de Informtica)

Este es el primer paso que de manera prctica inica el Auditor de Informtica dentro de las
empresas o Instituciones al efectuar un proyecto de Auditora de Informtica, se busca una opinin
de la Alta Direccin para estimar el grado de satisfaccin y confianza que se tiene hacia los
productos, servicios y recursos de informtica en el negocio, as mismo es posible detectar en esta
etapa las fortalezas, aciertos y apoyo que brinda dicha funcin desde la perspectiva de los directivos
del negocio.
Un punto importante que debe quedar plasmado en esta fase o etapa preliminar son las reas
de oportunidad que tiene Informtica para hacer ms competitivo y rentable al negocio, sea este
soporte directo o indirecto, en alto o menor grado.
Es conveniente aclarar que esta etapa no debe ser tratada como un conjunto de tareas que
requieren muchos recursos involucrados ni un tiempo considerable, es simplemente un aspecto
necesario y generalizado para entender los puntos debiles y fuertes de la Funcin de Informtica
desde un punto de vista de los usuarios claves y la Alta Direccin.
TAREAS, PRODUCTOS TERMINADOS, RESPONSABLES E INVOLUCRADOS :
Todas las actividades del Auditor de Informtica deben estar claramente definidas en todos
los componentes formales que integran cualquier trabajo dentro de una organizacin, en
la Figura 6-1 tenemos toda la informacin detallada que guiara al Auditor de Informtica en esta
etapa.
los aspectos a evaluar son al menos los tres mencionados a continuacin, ms si el Auditor
considera que la complejidad del negocio, la fusin o compra de la empresa, la informalidad palpable
de Informtica o alguna consideracin especfica para el Lider de Proyectos y/o a peticin de la Alta
Direccin requieren ms puntos a considerar y un tiempo ms prolongado, se recomienda que lo
apliquen, ya que aqu se detectan los primeros sntomas de Informtica y pueden ser a la postre los
ms relevantes.

O
<

<
c

D
Ci
<
<

t. t.CC

<c <
t e

<
< os
< c
<
t c

(X

c o)

Oh

<
05

Oc - CL. O.
j j J J

04
J

<

<

C
-jk,

O
O
w
a
O
>

E
>

>

O
>
Z

O
So
<s

JO

O
o
u
za
a
o
uM
H
C/2
O
zCJ?

S
a

e*

z
o
u
<
y H H
E
M
5 O ca t

st oz
t <
*Ou

S
t u
Oo <

O
M
<

H
<J
zw
s
O

t>
ci
co
c
'5b
O.

6.1.1. Conocimiento del Negocio

El Auditor de Informtica debe conocer el tipo de organizacin, la misin, estrategias, planes
(de ser posible al menos sus proyectos globales), nivel jerrquico que tiene la Funcin de
Informtica, los procesos bsicos de negocio, asi como las entidades externas al negocio que se
relacionan con cada rea de negocio.
Los aspectos relevantes que debe solicitar el Auditor de Informtica para su anlisis
preliminar y que emanan de este punto son :
- Misin del Negocio
- Areas o Proceso del negocio
- Organigrama del Negocio ( Detectar ubicacin de Informtica)
- Relacin entre las diversas reas del negocio
- Relacin del Negocio con reas externas (Clientes, Proveedores, por ejemplo)
- Organigrama
- Polticas referentes a Informtica
- Otros de Interes para el Auditor de Informtica de acuerdo a las
caractersticas propias del proyecto
6.1.2. Apoyo al negocio
El Auditor de Informtica debe obtener una concepcin inicial del grado de apoyo y
satisfaccin que existe en el negocio, debe ubicar al menos una estimacin de haca donde se orienta
el soporte de la Funcin de Informtica :
- Apoyo a la Alta Direccin (Sistemas de Informacin Estratgica, Tecnologa, Etc.)
- Apoyo a las Gerencias (Sistemas de Informacin Integrales, Tecnologa, etc.)
- Apoyo a Niveles Operativos ( Sistemas de Informacin bsicos, Tecnologa, Etc.)
Debe conocer de manera general los siguientes aspectos :
- Involucracin de la Funcin de Informtica en los proyectos claves del negocio
- Difusin de las Polticas y Planes de Informtica en los niveles Estratgico, Tctico
y Operativos del Negocio
- Imagn de Informtica que tiene la Alta Direccin y Responsables de cada rea del
Negocio
- Grado de Satisfaccin que existe por cada servicio prestado por la Funcin de Informtica
- Expecttivas que tiene el negocio por Informtica
- Fortalezas de Informtica y debilidades de Informtica
- Areas de Oportunidad (Propuestas ya sea por la Alta Direccin, Usuarios o Informtica)
- Otros de Interes especfico del Auditor de Informtica

6.2.

Diagnstico de Informtica (Responsables de la Funcin)

6.2.1. Conocimiento de la Funcin de Informtica

En este parte de la etapa Preliminar el Auditor de Informtica pretende conocer:

- La estructura interna de Informtica
- Funciones
- Objetivos
- Estrategias
- Planes
- Polticas
- De manera general la Tecnologa de Software y Hardware en que se apoya
para llevar a cabo su Funcin dentro del negocio.
Otros de nteres especfico para el Auditor de Informtica
Se busca tambin obtener la Informacin relacionada con algunos aspectos que han sido
indagados con los usuarios y la Alta direccin con el objetivo de encontrar la consistencia o en su
defectos las discrepancias entre una opinin y la otra.
Las entrevistas deben efectuarse con el responsable de Informtica y ocasionalmente con los
encargados directos de las funciones claves de esta rea. La importancia de concientizarlos en la
necesidad y provecho que brinda su apoyo a este tipo de proyectos es indispensable, el Auditor de
Informtica debe ser profesional y tico en su trabajo para brindarles la seguridad de que al final todo
redundar en beneficios para todos los involucrados (la direccin, los usuarios e Informtica).
El hacer un equipo de trabajo unido es un aspecto muy positivo en cualquier proyecto, los de
Auditora de Informtica no son la excepcin, se requiere que el Lider del Proyecto desarrolle en la
etapa preliminar una buena comunicacin con el personal de Informtica, lo que podr ser logrado en
gran medida si entiende satisfactoriamente los logros, debilidades y fortalezas tecnolgicas, humanas
y organizacionales del personal que integra la Funcin de Informtica.
En caso de que el Auditor de Informtica revise vaga e informalmente la informacin aqui
recomendada o simplemente omita su busqueda, corre el riesgo de planear o sugerir proyectos que
no tengan el alcance requerido para asegurar que todas las reas de oportunidad y aspectos de riesgo
sean contemplados o evaluados.

6.2.2. Servicios
Un aspecto clave a considerar en la Etapa Preliminar es la evaluacin general de los servicios
que presta Informtica a las diferentes reas del negocio y en los diferentes niveles organizacionales.
El Auditor de Informtica puede ya formarse un juicio inicial de la congruencia que existe
entre las reas usuarias y el responsable de Informtica, aqui se detecta por lo general que servicios
ya son aceptados formalmente en el negocio como estratgicos y cuales son meramente operativos o
necesarios para llevar a cabo tareas que no producen valor agregado.
El objetivo de conocer su opinin respecto a esto es encontrar una consistencia entre lo que
es su funcin y lo que dice la Alta Direccin que debe ser. No se busca crear controversias, ni de
encontrar fallas personales.
El Auditor de Informtica tiene la responsabilidad moral de darle un sentido crtico y
prctico para orientar los esfuerzos de todas las reas del negocio a encontrar un mejor modo de
hacer las cosas desde el punto de vista profesional en el campo de Informtica y de ser posible en las
reas del negocio involucradas en este tipo de proyectos.
Los servicios que brinda generalmente Informtica son :
- Implantacin de Soluciones de Informacin :
- Desarrollo de Sistemas de Informacin :
- No integrados
- Integrales
- Estratgicos
- Compra y adecuacin de Aplicaciones hechas por externos
- Bases de Datos :
- Centralizadas - Descentralizadas
- Evaluacin, Adquisicin, Instalacin y Reemplazo de :
- Equipo de Computo
- Paquetes de Software (Procesadores de palabras, Hojas de Clculo, etc.)
- Equipos de Telecomunicaciones
- Lenguajes de Programacin
- Mantenimiento:
- Sistemas de Informacin
- Base de Datos
- Equipe de Computo y de Telecomunicaciones
- Redes Locales
- Soporte a Usuarios
- Capacitacin y Asesora
- Investigacin :
- Tecnologa (Equipos de Computo, Comunicaciones, CASE, EDI, etc.)
- Otros de acuerdo al tipo de negocio

6.2.3. Aspectos de Control

Otra actividad de la Etapa preliminar para e! Auditor de Informtica es el evaluar el Grado
de Formalidad y Cumplimiento que se le da a las Polticas, Controles y Procedimientos
relativos a cada una de las reas de Informtica.
Una manera de obtener dicha informacin es a travs de la entrevista que concede el
responsable de Informtica al Lider de Proyector o una manera ms directa es entrevistar a cada uno
de los encargados de cada una de las reas que conforman la Funcin de Informtica, evitando caer
en el detalle y ocupar mucho tiempo en las entrevistas.
Algunos aspectos que deben ser considerados, son al menos los siguientes :
- Polticas y Procedimientos de Organizacin de la Funcin de Informtica :
- Descripcin de Puestos y Funciones - Evaluacin de Desempeo
- Polticas y Procedimientos para el Desarrollo e Implantacin de Sistemas
- Polticas y Procedimientos de Evaluacin de Hardware y Software
- Polticas y Procedimientos de Seguridad
- Polticas y Procedimientos de Mantenimiento
- Preventivo - Detectivo
- Correctivo
- Plan de Contingencias
- Otros de Interes especfico del Auditor de Informtica
La actividad inicial de la siguiente Etapa, que es la de Justificacin, depende en alto
grado de los resultados y observaciones relativos al control emanados de los puntos de control
mencionados anteriormente.

7.

Etapa de Justificacin :

7.1,

Matriz de Riesgos / Justificacin por rea de revisin

7.2

Plan Genera] del Proyecto de Auditora de Informtica

7.

Etapa de Justificacin :

Una vez que se ha concluido la Etapa Preliminar (Cuando todas las tareas se han
terminado satisfactoriamente y se obtuvieron los Productos Terminados para esa fase) se
procede a continuar con la Etapa de Justificacin (Figura 6-1), la cual se explicar a
continuacin.
Etapa
Preliminar
(Terminada)

Etapa de Justificacin
(En ejecusin)
Etapa de Adecuacin
(Posterior)

Nota : Es Factible que el Lider del Proyecto de Auditora de Informtica desee realizar
algunas actividades en paralelo, lo cual es muy valido y justificado si se cuenta con los recursos
necesarios y la experiencia en este tipo de proyectos.
Volviendo a la descripcin de la Etapa de Justificacin diremos concretamente que es
aqu donde se justifica la Revisin o Evaluacin de las reas o funciones crticas relacionadas
con Informtica.
Los Productos terminados ms importantes de la etapa son tres :
1. Matriz de Riesgos

2. Plan General de Auditora de Informtica

3. Vo. Bo. por escrito

Cada uno de ellos forma parte escencial del Proceso Metodolgico, el primero porque
define las Areas que sern auditadas, el segundo porque establece las tareas, tiempos,
responsables, etc. del Proyecto y el tercero debido a que le da el visto bueno al Lider de
proyecto para continuar con las siguientes etapas contempladas en el Plan general.
7.1.

Matriz de Riesgos / Justificacin por Area de revisin

La siguiente tarea a realizar por el Auditor de Informtica en la presente tapa

(Justificacin) es elaborar la Matriz de Riesgos, cuyo objetivo principal es detectar las reas de
mayor riesgo que existene en relacin a Informtica y que requieren una revisin de manera
formal y oportuna.Las tareas, productos terminados, responsables e involucrados vienen en la
Figura 6-1
En las Figuras 7-1, 7-2 se muestra el contenido que debe tener la Matriz de Riesgos

4>
S
<
a 2c >
cl.

S
S
u
3a

i = .i2
e

en 0 fw> 2o
co bri

Ce U.l S
S s 2
H 1 S

>>

S3

S
<Z)
O
O
t

<
U
M
S

t
zMM
t
H

t
Q
N
M
as
H
<

^ ^

S S

H
Z
t
o t
z
a
t
t 06
O

a
(4A
C> c/3
o
0 'G
C
1c . uefl
< -S c
c ^
a 8 g

a

W
rti O S <U
S CO - Q
-H ri rn

a
So -oc
2 "G
.a S
"i 1
M

Ic

D
t
H
Z

z
< t
t t
O o
cu a.
^y QC
S

O s"
s "S 3o
a C.
44)>
RE
s
S
s a
a
&g
e s 9
SA
s o
41 S
v> o -uV
T!
C
<
/1 4 M
4A

4>
c? a ri
4a1 & cV 91
O" S VI
Su JS 53
ri

2
t

8
u
S
Oft

e
u
ss

4>
U
en
'C
s
o
o ~>k
s u
Ses a3o
h. 4*
43> o
S3
w B
<>
/ ^4*
4>
.S
'Se S
a

t4> 0CA
ex
a
T
sCA P
L
>
es
S
w
O
V) "H.
(4A
a
ie s4
'C .O
4>
ri ^
6
B0 4)
I
3 ri
IA O
"
CA O
Zce J u
a> a
H ri
A B T5
m
m
C
S
4 s
S
S
4 s ri41
C
A .4
O
S
ri
<A 4
S
eS 4 3
S
o &
ca; M
o
S B 1)
a OV
G
t o
es
^S
3
es B
o T
C
A
"S
e
As s
(J
4< 4> 2
a s
&
<A
U 2CA C
A
S
4> S
B
J
4
a CA
S
O
3 X41
a. SA
ri
(J
S
O
eo
ats
CA B <
u
e
9 u
o
'u
SA
C
T
41
CS ri "3
ai ^e
"U E
L.
<
O u4)
s
a4A

s 3tj
La M
es
4
(A o> 4>
f TU3
t
e a
s
S
o 5
Z <3

IT}
-flee
C
'ob
Cu

7.1.

Matriz de Riesgos / Justificacin por Area de revisin

Si de aqu emanan anomalas de considerable importancia, en alguno de sus elementos

evaluados, se deben tomar acciones inmediatas orientadas a minimizar y/o eliminar la
anomala (Se plantearn en el Plan de Auditora de Informtica como acciones Inmediatas).
Se debe determinar el nivel de Riesgo que existe en cada una de las reas de la
Funcin de Informtica : Cada rea, producto o servicio de Informtica es susceptible de
evaluacin y control para el aseguramiento de que se desarrolle de acuerdo a los
estndares, polticas y procedimientos especficos que le han sido asignados de acuerdo a
su funcin.

7.2.

Plan General del Proyecto de Auditora de Informtica

Una vez elaborada, revisada y documentada la Mtriz de Riesgos de acuerdo a los

riesgos ms relevantes se procede a la Formulacin del Plan General de Informtica, el cual
consiste bsicamente en plantear las tareas ms importantes que se llevarn durante un cierto
periodo al efectuar la Auditora de Informtica (Ver Figura 7-3).
Las actividades principales a ejecutar por el Auditor de Informtica o por el
Lider del Proyecto para la elaboracin del Plan General son al menos las siguientes :
* Estimar el tiempo que le llevar el auditar cada rea determinada en la Matriz de
Riesgos y en las tareas de apoyo para lograr las Areas de Oportunidad planteadas.
* Analizar y definir cuales sern los aspectos o componentes ms relevantes a evaluar
* De ser necesario verificar su importancia y validez con los involucrados sin llevarse
mucho tiempo y tecnisismos en las entrevistas (Puede servia telefnica, fax o personalmente)
* Asignar prioridades a cada rea a evaluar o revisar en conjunto con los principales
involucrados en el proyecto
* Definir fechas estimadas de Inicio y Terminacin por Area de Revisin, no por
componente.
* Otras de Interes para el Auditor de Informtica de acuerdo a las caractersticas del
Proyecto y el negocio

o
u
<
o

g
s

O
z H
o
ta*U
w
>
< o
C
O cu
os _
< t
O
w os
u

t
tu

C
S

SI

S
o
o

E
o
T9

es

ce
es

S
o
c

"s
E

O
u.
U

a
2

S
2

es

es

<U

ta
m

9
<t
V
3
o
ts "O
S c
s
.2
O. u
l a

<

<

"O

4> O
= "S
e *
.2
j
$

<

z<

H
Z

< t
t t

tf

CL OSW

e
4*
3
O"
U
(S
o
e
m
r
S9
S
U
.O

t
H

4
o
es
fi.
3

<
z
oM
u
u
t
J
t
<x
<

4> e
s "
S
gQ. l W
S i

CA
<
Q
<
Z
O
NH
u
u
w
u
w
c/5
55"

2
3

OD

r<3<
ce
'5o
H

8. Etapa de Adecuacin (Adaptacin a caractersticas del Negocio):

8.1.

Plan detallado del Proyecto de Auditora Informtica

8.2.

Aspectos a evaluar por Area de Revisin

83.

Definicin de Tcnicas y Herramientas a utilizar por

Area de revisin

8.4.

Definicin y/o Actualizacin de Estndares, Polticas

y Procedimientos a verificar porArea de Revisin

8.5.

Elaboracin y/o Actualizacin de Cuestionarios por Area

de Revisin

8.

Etapa de Adecuacin (Adaptacin a caractersticas del Negocio):

La Etapa que ahora nos ocupa es la que se enfoca al anlisis, adecuacin y

actualizacin de todos los elementos que se involucran en un Proyecto de Auditora de
Informtica pero a un nivel detallado.
Las tareas ejecutadas en la Etapa de Adecuacin tienen como objetivo principal el
adaptar todo el proyecto a las caractersticas del negocio, sin olvidar la referencia de los
estndares, polticas y procedimientos de Auditora de Informtica comunmente aceptados y
recomendados por las Asociaciones relacionadas con Auditora de Informtica, as como las
formuladas y aprobadas de manera particular en los negocios para Informtica.
Las tareas, Productos Terminados, Responsables e Involucrados de la Etapa de
Adecuacin se encuentran en la Figura 8-1

Etapa de Justificacin
(Terminada)

Etapa de Adecuacin
(En ejecusin)

Etapa de
Formalizacin
(Posterior)

om
C
'5b
CU

8.1.

Plan detallado del Proyecto de Auditora Informtica

Esta es, sin duda una de las tareas ms importantes de la Etapa de Adecuacin, ya
que en ella se define todo el detalle de los elementos involucrados en el proyecto, se
especifican tareas, productos terminados, responsables, fechas, etc. que sern validadas y
aprobadas en la Etapa de Formalizacin para arrancar el Proyecto definitiva y formalmente.
Plan Detallado de Auditora de Informtica : Es el que detalla la informacin
relacionada con:
* El desarrollo de la Auditora de Informtica (Auditora a las Areas seleccionadas en la
fase de Justificacin)
* La documentacin, la revisin y aprobacin del Informe de Auditora de Informtica

Los datos mencionados en el Plan Detallado de informtica se enfocan a ser la gua del
Proyecto de Auditora de Informtica desde el punto de vista del cliente ya que describe las
tareas, productos terminados, responsables, involucrados, fechas de revisin, etc.

Aspectos relevantes del Plan Detallado de Auditora de Informtica :

+ Especifica Responsables e Involucrados en cada Area a Auditar
+ Es el detalle final del Plan
+ Ya fu adaptado y actualizado en base a caractrsticas especificas del proyecto
+ Otros
8.2.

Aspectos a evaluar por Area de Revisin

Los aspectos o componentes a evaluar ya fueron mencionados en la Matriz de Riesgos,

lo que procede en esta tarea es hacer una verificacin de si son las requeridas y si los objetivos
de las reas mencionados son vlidos y completos
Es recomendable que las Areas Susceptibles de Auditar y los componentes de cada
Area que sean agregados por el Auditor de Informtica en el momento de que un proyecto as
lo requiera, se les elaboren los cuestionarios correspondientes y de ser posible que sean
manejados en los formatos y secuencia de tareas aqu sugeridos para no perder continuidad.

Pgina: 51

32618

83.

Definicin de Tcnicas y Herramientas a utilizar por

Area de revisin

Aqu se especifican las Tcnicas y Herramientas recomendadas que debe conocer

amplia y satisfactoriamente el Auditor de Informtica para a revisin con conocimiento de
causa de cada una de las Areas plasmadas en el Plan Detallado.(Ver Figuras 5-2 y 5-3)
La experiencia profesional que se haya obtenido en cada una de las reas (Desarrollo,
Telecomunicaciones, Mantenimiento, Administracin de Informtica, etc.) hacen ms viable
una auditora y definicin de soluciones eficiente y sin contratiempos.
No es un presagio negativo el no haber trabajado en las Areas que sern auditadas,
simplemente el grado de investigacin y actualizacin en los temas o aspectos que sern
evaluados debe ser ms profundo.
Es casi imposible asegurar que todos los Auditores de Informtica dominan todas las
Areas de Informtica susceptibles a auditarse, sin embargo el Auditor de Informtica debe
especializarse y actualizarse en medida de lo posible en las Areas que el considere criticas para
su negocio o especficamente de los requerimientos que van surgiendo a lo largo de su trabajo,
no debemos olvidar por ultimo, que debemos ser proactivos, no reactivos.

8.4.

Definicin y/o Actualizacin de Estndares, Polticas

y Procedimientos a verificar por Area de Revisin

Todas las acciones operativas y administrativas de las organizaciones deben ser

direccionadas en base a lincamientos, polticas y procedimientos, con el objetivo principal de
que los individuos que en ella laboran, lo hagan en forma metdica (sin entenderse como un
trabajo mecnico y robotizado), con estndares de negocio o con normas de calidad y
productividad comunmente aceptadas en negocios similares al mismo giro de empresa.
Adems existen Asociaciones Profesionales, Instituciones Educativas, etc. que orientan
a los individuos a trabajar de una manera productiva y especializada.
En lo que se refiere a Estndares, Polticas y Procedimientos se aclara que las
actividades y elementos que se involucran con Informtica se manejan con este criterio de
operar bajo estndares comunmente aceptados en el medio ambiente de dicho campo.
Las funciones de Desarrollo e Implantacin de Sistemas de Informacin, al igual que
las de Planeacin de Informtica o las de Telecomunicaciones e Investigacin se encuentran en
un marco nacional e internacional donde existen estndares, metodologas, tcnicas y
herramientas de trabajo recomendadas para un desempeo eficiente de cada una de las
actividades inherentes a sus tareas.

Como se definen los Estndares, Polticas, Procedimientos

de Auditora de Informtica ?
Al igual que para las funciones de Planeacin, Telecomunicaciones, etc. existen
Asociaciones Nacionales e Internacionales que se integran por profesionistas de gran
experiencia y conocimiento en el campo, que se enfocan a establecer, formalizar, difundir y
recomendar la aplicacin de los estndares, polticas y procedimientos ms convenientes a las
necesidades actuales y futuras de la rea de especializacin a la que ellos se dediquen.
Se menciona a continuacin las ventajas que tienen las Asociaciones Nacionales e
Internacionales en lo referente al punto que se est tratando :
+ Le estndares recomendados son reconocidos a nivel nacional e internacional
+ Agrupan personal de gran experiencia en el campo
+ Existen programas de actualizacin e iniciacin en la Auditora de Informtica
+ Cursos y seminarios son impartidos continuamente
+ Se pueden cambiar experiencias con miembros de diferentes empresas y paises
+ Otras

8.5.

Elaboracin y/o Actualizacin de Cuestionarios por Area de

Revisin:

Cada entrevista, visita o verificacin que vaya a realizarse en la Etapa de Desarrollo de

la Auditora de Informtica (Reflejada en el Plan Detallado de Auditora de Informtica como
la Evaluacin de las Areas Seleccionadas) debe ser soportada por preguntas especficas y
definidas previamente.
La forma en que se aplicarn los cuestionarios, puede ser a travs de una entrevista
personal con los involucrados en el proyecto (Usuarios o personal de Informtica), por medio
de visitas de verificacin fsica (Evaluando los equipos y materiales de informtica de nteres
para el proyecto) o la aplicacin de checklists (Lista de preguntas breves y concretas)
orientadas a personal que requiere una atencin breve por sus mltiples aplicaciones o
simplemente porque lo que se busca de l es una participacin mnima en el trabajo del
proyecto.
Las caractersticas ms importantes que deben cubrir los cuestionarios son al
menos los siguientes :
Actualizadas, orientadas a los aspectos evaluados, no
redundantes, concretas, tcnicas y basadas si es posible en estndares .
A CONTINUACION SE DESGLOSAN LOS CUESTIONARIOS SUGERIDOS PARA
APLICAR LA AUDITORIA DE INFORMATICA, LA FORMA, LA SECUENCIA D E APLICACION,
LAS PREGUNTAS COMPLEMENTARIAS U OTROS ASPECTOS QUE DESEEN SER EVALUADOS
CON
CUESTIONARIOS
ADICIONALES
SE
RECOMIENDA
SEAN
ELABORADOS
FORMALMENTE PARA EFECTUAR UNA EVALUACION COMPLETA Y VERAZ.

CUESTIONARIOS PARA EFECTUAR LA AUDITORIA

DE INFORMATICA POR AREAS DE REVISION
ADMINISTRACION DE INFORMATICA
USUARIOS DE INFORMATICA
CONTROL INTERNO
METODOLOGIA DE DESARROLI.O (CDISI)
SISTEMAS DE INFORMACION
MANTENIMIENTO
REDES LOCALES
SOFTWARE
SEGURIDAD

Nota : Al aplicar cada uno de los siguientes cuestionarios recomendados se debe

tomar como referencia a las figuras 5-2 y 5-3 que muestran algunas de las Tcnicas
sugeridas para el desarrollo de la Auditora de Informtica.
Dichas figuras podrn ser complementadas con el uso de Tcnicas y Herramientas
especificas recomendadas comunmente por los especialistas de cada una de las reas que
sern evaluadas.

OBJETIVOS DE ESTA REVISION :

- Verificar que se exista un uso eficiente de los recursos de Informtica
(Personal, Tiempo, Tecnologa y Dinero)
- Asegurar que la Funcin de Informtica cubra los mayores riesgos y exposiciones
existentes en el Medio Ambiente de Informtica
- Asegurar que los recursos de Informtica (Hardware, Software, Telecom i nunicaciones,
Servicios, Personal, Etc.) sean orientados a los objetivos y las estrategias del negocio.
- Verificar que exista una :
- Elaboracin y Formalizacin de Planes de Informtica
- Organizacin y control formal sobre los recursos de Informtica
- Direccin, coordinacin y control de los proyectos de Informtica
- Verificar la existencia de Servicios de Informtica documentados y difundidos en el
negocio
- Asegurar que existan parmetros de medicin para el desempeo de cada una de las
Funciones de Informtica

ADMINISTRACION DE INFORMATICA
1. MISION Y OBJETIVOS DE INFORMATICA

ADMINISTRACION DE INFORMATICA
Actividades Principales para Auditar esta Area :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.- Anexar esta informacin al documento que definir el Informe Final.

Requerimientos para el xito de la revisn :

1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable y/o encargados de Informtica

ADMINISTRACION DE INFORMATICA
1. MISION Y OBJETIVOS DE INFORMATICA
Aspectos Claves a Evaluar
1. Existe un documento formal que describa claramente los siguientes aspectos :
- Misin de Informtica en el Negocio
- Estructura Organizacional de la Funcin
- Roles dentro de la organizacin
- Funciones y actividades por cada puesto existente en el organigrama
- Planes de Informtica (Corto, Mediano y Largo Plazo)
- Polticas y Procedimientos de Informtica
- Otros
1.1. Si el documento no existe, cul ha sido la causa o motivos para no hacerlo
formalmente (en documento) ?
2. En caso de que exista dicho documento, fu el mismo comentado con las reas
internas de Informtica, Areas Usuarias y con la Alta Direccin respectivamente ?
3. Si es as cual fu el procedimiento que se utiliz :
- Juntas
- Va memorndum's, circulares, etc.
- Platicado en un reunin informal
- Induccin al momento de que el personal de Informtica ingresa
al negocio
- Otros
4. Fu aprobado por la Alta Direccin ?
5. Est conciente el personal de Informtica de la importancia que tiene el orientar los
esfuerzos al cumplimiento formal y oportuno de : La misin, objetivos, estrategias y de las
Polticas y Procedimientos de la Funcin de Informtica ?
6. Se encuentran bien establecidos y entendidos los Roles de Informtica en la
organizacin ?
6.1. Cuales son dichos roles desde un punto de vista objetivo y prctico ?
6.2. Son los roles que se ejercen actualmente los requeridos por el negocio ?
6.3. En caso de que los roles deban ser actualizados o complementados que
descripcin les dara a los roles requeridos para un apoyo ms significativo al negocio
7. Existe un Comit de Informtica ?
7.1. Quienes forman parte del Comit de Informtica?
7.2. Cuales son los objetivos y funciones principales del Cmite ?

1. MISION Y OBJETIVOS DE INFORMATICA

8. Existe una Estructura formal de Informtica (Manual, Documento, etc.) que
contemple al menos lo siguiente :
- Organigrama
- Descripcin de objetivos, funciones, responsabilidades y mtodos de
trabajo por cada puesto existente en el organigrama
- Flujos de informacin entre los diferentes niveles y reas de Informtica
- Otros aspectos organizacionales
9. Tiene el responsable de Informtica o la Alta Direccin planeado algn cambio
significativo en la estructura de Informtica para los prximos doce meses ?
10. Cules de los siguientes factores negativos se presentan actualmente en la Funcin
de Informtica :
-

Improductividad
Falta de Motivacin
Imagen negativa en el negocio
Otros

11. Existe un catalogo de servicios de informtica ? Est acorde a las necesidades

actuales del negocio?
12. Cuando existen servicios de Informtica proporcionados por terceros y que tienen
un alcance periodico y estratgico en el negocio ( Planeacin de Informtica, Desarrollo de
Sistemas, Asesora al personal usuario y/o Alta Direccin y/o Informtica, etc.) se integran al
catalogo de servicios ?
13. Existe un procedimiento formal de seguimiento al desempeo y
rendimiento del personal de Informtica ? En que consiste? Como se lleva a la
prctica ? En que periodos?
14. Otros aspectos que considere relevantes para el mejoramiento de la
Administracin de la funcin de Informtica?

USUARIOS DE INFORMATICA

1. COMUNICACION E INTEGRACION

OBJETIVOS DE ESTA REVISION :

- Detectar el grado de confianza, satisfaccin y respaldo que perciben los usuarios de parte de
la Funcin de Informtica.
- Detectar el soporte real que brinda la Funcin de Informtica a los diferentes
Departamentos Usuarios del Negocio.
Verificar que las bondades y limitaciones de cada uno de los Sistemas de Informacin sean
percibidos claramente (detalle) por los usuarios y que este entendimiento sea congruente con
la realidad.
La calidad, oportunidad, utilidad y confiabilidad real de cada uno de los Sistemas de
Informacin debe ser definida por el auditor y validado por los responsables de Informtica y
de los Usuarios.
- Verificar el grado de involucracin de los usuarios en
proyectos especifeos,como pueden ser el Desarrollo de Sistemas, Evaluaciny Adquisicin de
Paquetes que sern utilizadospor los mismos usuarios, Etc.
- Verificar Si existen procedimientos formales para el seguimiento de la comunicacin entre
los usuarios e Informtica.
- Verificar si existe un comit formal integrado por representantes de Informtica y de los
Departamentos Usuarios.

USUARIOS DE INFORMATICA
Actividades Principales para Auditaresta Area :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.- Anexar esta informacin al documento que definir el Informe Final.

Requerimientos para el xito de la revisn :

1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable y/o encargados del (os) Departamento(s) Usuario(s)

USUARIOS DE INFORMATICA
1. COMUNICACION E INTEGRACION :
Aspectos Claves a evaluar
1.- Conocen las reas usuarias la misin de Informtica en la empresa ?
2.- Conocen Cuales son los roles de Informtica en la empresa ?
2.1. Conocen los Usuarios los Servicios y Productos proporcionados por Informtica ?
3.- Ha difundido el Area de Informtica a las Areas Usuarias los conceptos anteriores
de manera formal ?
3.1. Estn por escrito ?
3.2. Como lo han difundido (reuniones entre las reas usuarias - Informtica, etc.)
3.3. Fueron aprobados formalmente ?
4.- Existe un compromiso formal de parte de las Areas Usuarias para cooperar en lo
necesario con la Funcin de Informtica en el cumplimiento oportuno y satisfactorio de sus
responsabilidades ?
4.1 Si es as, en que forma se da este compromiso ?
4.2. Existe un cmite integrado por los Usuarios e Informtica ? Que hace dicho cmite?
5.- Si no hay cmite, quien se hace responsable de la funcin de informtica por parte
de las reas usuarias ?
6.- Como se difunde a las reas usuarias los roles y responsabilidades de Informtica a
travs de la organizacin ?
7 .- Existen sugerencias que considere los usuarios que puedan apoyar a los objetivos
estrategias, roles y responsabilidades de la Organizacin por medio de los servicios de la
Informtica ? Cmo las han externado a Informtica ?
8. Como considera usted el nivel de comunicacin que existe entre ustedes
Informtica actualmente ? Porque ?

9. Como se aseguran que los compromisos de apoyo, seguimiento y aprobacin a

proyectos de Informtica para las reas usuarias se lleve a cabo oportuna y formalmente ?

1. COMUNICACION E INTEGRACION :
10..- Conoce cuales son los proyectos a corto, mediano y largo plazo donde el usuario
deba involucrarse ? Como los difundi Informtica? Se han dado los resultados esperados?
11 Si es as, que tipo de proyectos sern o estn siendo desarrollados en conjunto con
Informtica : (mencinelos y clasifiquelos por orden de Importancia para usted) ?
12. El proceso utilizado para la elaboracin y formalizacin de los proyectos se basa
en alguna metodologa formal utilizada por Informtica o en las dems reas del negocio ?
13. Que procedimiento o actividad se realiza para verificar avance y Calidad en los
proyectos ? quien lo lleva a cabo ?
14. En caso de existir inconsistencias entre los proyectos que acciones se llevan a la
prctica ?
15.- Ha difundido la Funcin de Informtica los productos y Servicios que ofrece a
los usuarios ? Si es as, como los difundieron? Son acordes a sus necesidades reales?
16.- Que opina de los productos o servicios que usted est utilizando ? (especifique por
servicio)
17.- Existe(n) algun(os) Requermiento(s) en su departamento que no esten apoyados
por los productos y servicios de la Funcin de Informtica ?
18.- Segn su opinin se da atencin oportuna y formal a las solicitudes de servicios
que usted hace ?
19. sugerencias para mejorar los Servicios y Productos de Informtica?
20.- Le brinda Informtica cursos de capacitacin ? Son formales ? Oportunos?
21. Respecto a los recursos de Informtica (Aplicaciones, Equipos de Computo,
Paquetes de Software) que existen en sus departamentos (reas usuarias) Quien es el
responsable de su administracin? Cmo se lleva a cabo? (especifique por tipo de recurso)

CONTROL

INTERNO

1. POLITICAS Y PROCEDIMIENTOS

OBJETIVOS DE ESTA REVISION :

- Detectar el grado de estandarizacin y seguimiento formal que existe en el medio ambiente
de Informtica
- Evaluar la existencia de Polticas y Procedimientos requeridos para el desempeo eficiente
de cada una de las funciones de Informtica :
- Administracin de la Funcin de Informtica
- Soporte a Usuarios (Capacitacin, Aseora en HW, SW, Aplicaciones, etc.)
- Desarrollo e Implantacin de Sistemas de Informacin
- Mantenimiento de Sistemas de Informacin
- Operacin de Sistemas de Informacin
- Automatizacin de Oficinas
- Otras especficas en su negocio
- Verificar y asegurar el cumplimiento oportuno y formal de las Polticas y Procedimientos
relacionados con la funcin de Informtica

CONTROL INTERNO
Actividades Principales para Auditar esta Area :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.

Requerimientos para el xito de la revisn :

1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al personal de Informtica y a los usuarios

CONTROL INTERNO
POLITICAS Y PROCEDIMIENTOS
Aspectos Claves a Evaluar
1. Existen Polticas y Procedimientos formales (Aprobados por el Responsable de
Informtica y/o Alta Direccin y/o Auditora de Informtica relativos a la Administracin de
cada una de las funciones de Informtica ?
1.1. Si es as, Mencinelas a continuacin, explicando brevemente en que consiste cada
una de ellas y las acciones que ejecuta para asegurar que se difundan, se entiendan, se cumplan
y se les de seguimiento formal y oportunamente.

Polticas
/ Descripcin
Procedimientos y Objetivos

Area / Funcin

Acciones
para
Cumplimiento
(Seguimiento)

Soporte a los Usuarios (Capacitacin,

Asesora, etc.)
Desarrollo e Implementacin
Sistemas de Informacin
Mantenimiento / Actualizacin
Sistemas de Informacin

de los

a los

Operacin de Sistemas de Informacin

Auditora de Informtica
Otras especificas en su negocio

2. Existe una funcin dentro de la organizacin o alguna funcin externa encargada de

evaluar el grado de cumplimiento de las Polticas y Procedimientos establecidos por Control
Interno ( o Funciones Similares) ?
2.1. Si es as, Cuales son las tareas y actividades que lleva a cabo ? En que periodos efecta
dicha evaluacin? Que tipo de informes presenta y a quienes lo entrega? Como se le da
seguimiento a sus recomendaciones?
2.2. Dicha funcin verifica el grado de actualizacin que requieren dichas Polticas y
Procedimientos para satisfacer los objetivos de control requeridos por el negocio ?

POLITICAS Y PROCEDIMIENTOS
3. Que acciones de Control se llevan a cabo cuando algunas de las siguientes funciones no
cuentan con Polticas y Procedimientos que asegueren al negocio que la implantacin,
operacin de tales servicios y productos no alteren la Integridad, veracidad y
Confidenciabilidad requerida en el manejo de la Informacin del negocio :
CONCEPTO

ACCIONES
DE CONTROL

- Soporte a Usuarios
- Desarrollo e Implantacin de Sistemas de Informacin
- Mantenimiento de Sistemas de Informacin
- Operacin de Sistemas de Informacin
- Otras especficas en su negocio ?
4. Existe una adecuada segregacin de Funciones para el desarrollo de cada uno de los
conceptos antes mecionados ?

METODOLOGIA DE DESARROLLO (CDISI)

1. METODOLOGIA

OBJETIVOS DE ESTA REVISION :

- Asegurar que exista un proceso metodolgico para ejecutar el Ciclo de Vida de

Desarrollo e Implantacin de Sistemas de Informacin (CDISI) formal y estandarizado
en la organizacin.
- Verificar y asegurar que se utilice la Metodologa del CDISI en cada proyecto de
Implantacin de Sistemas de Informacin (Evaluar este aspecto durante el desarrollo e
implantacin de un Sistema de Informacin).
- Verificar que exista un proceso formal de Capacitacin para el entendimiento y manejo
satisfactorio de la Metodologa por todo el personal responsable de los proyectos de desarrollo
e implantacin de Sistemas de Informacin (Aplicable a personal de nuevo ingreso)
- Verificar que exista un curso de orientacin bsica enfocado al personal involucrado en los
proyectos que no pertenece al rea de desarrollo y que sin embargo juegan un rol importante en
ste tipo de proyectos (Usuarios, Alta Direccin, Auditores, etc.).

Actividades Principales para Auditar esta Area :

1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.-Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.

Requerimientos para el xito de la revisn :

1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable y/o encargados del Desarrollo de Sistemas

1. METODOLOGIA
Aspectos Claves a evaluar
1. Existe en su rea una Metodologa formal de Desarrollo e Implantacin de Sistemas ?
2.- Si es asi, contempla dicha metodologa los pasos y lincamientos requeridos para la
siguiente CLASIFICACION DE PROYECTOS :
a) Desarrollo de Sistemas
b) Compra de aplicaciones de mercado
c) Adaptacin de Aplicaciones adquiridas a extemos (aplicaciones de mercado)
d) Rediseo de Sistemas ya existentes
e) Otros
3.- Esta documentada dicha metodologa formalmente ?
3.1. Si es as, contempla la documentacin al menos cada uno de los siguiente puntos :
- Un panorama general de la metodologa
- Equipos de Trabajo sugeridos de acuerdo al tipo de proyecto
- Etapas del Proyecto
- Secuencia dejas Etapas
- Responsables e involucrados en cada Etapa
- Productos Terminados a obtener por cada Etapa o Tarea
- Otros que el Auditor de Informtica o el Responsable de Informtica
consideren importantes
4.- En caso de contar con una metodologa de Desarrollo e Implantacin de Sistemas, la
misma, fu desarrollada por Personal de Informtica de la empresa, fue comprada o la rentan
cuando es requerida ?
5.- Se capacito al personal de desarrollo en el entendimiento y uso prctico de la misma ?
5.1. Si no se capacito al personal en el uso de la metodologa como se asegura su
entendimiento y uso eficiente durante los proyectos ?
6.- Se actualiza la metodologa cuando es requerido ? Cmo ?
7.- Se documentan formalmente estos cambios ?

8.-Capacitan formalmente al personal requerido en la actualizacin de la metodologa ?

9.- Existe una congruencia de la metodologa CDISI con las metodologas
recomendadas como estandar en el mercado ?
10. Conoce el Personal de Informtica cuales son las tcnicas requeridas para el
desarrollo, seguimiento y documentacin formal de las Etapas del CDISI mencionadas
anteriormente ? Cules son dichas Tcnicas y Herramientas ? Las clasifican por etapa?
11.- Que procedimiento se utiliza para la capacitacin al personal de desarrollo en el
uso de de dichas Tcnicas y Herramientas ?
12 .- Documentar de acuerdo a la siguiente tabla las etapas, tareas, productos
terminados y Responsables correspondientes a la Metodologa de CDISI utilizadas por la
Funcin de Informtica para los Proyectos de Desarrollo e Implantacin de Sistemas de
Informacin :

s
s

3
o

Sq
r
Z
^

w
S

o
c
o

D
o

If)
41
o
c
o
3
e
c s
O
S

m
t-

o K:
</i
o
4>1

03

C
'5b
ix

2
b

T3
C
>0
"C
S
w
C
S
o

<

a
o

"3

"C
V
bt
3

u
0 : 'i

g
>o
a.
E)
a

i9

z
o
u s
<
H
z r"
co
'S I/)
CL, -1
LU
tt

<

o
D (2
V)
S CO

SISTEMAS DE INFORMACION :

1. OPERACION

SISTEMAS DE INFORMACION
OBJETIVOS DE ESTA REVISION :

- Verificar la existencia de polticas y procedimientos formales relativos a la operacin

de los Sistemas de Informacin
- Verificar que la liberacin de los Sistemas que se encuentran en operacin haya sido
aprobada por los usuarios de manera formal
- Asegurar que existan al menos los controles y procedimientos requeridos para :
- Entendimiento y uso eficiente de los Sistemas de Informacin en Operacin
- Documentacin (Manuales de Operacin)
- Capacitacin Previa a la Operacin Inicial y Capacitacin a personal
de nuevo ingreso que estar involucrado con la operacin de los Sistemas
- Satisfaccin de los requerimientos de Usuarios
- Procedimientos que aseguren la Continuidad en la operacin
- Seguridad en la operacin de los Sistemas
- Totalidad, Mantenimiento, Actualizacin, Autorizacin, Exactitud y Registro de datos
- Asegurar que los Sistemas de Informacin en Operacin hayan sido desarrollodos bajo el
Proceso Metodolgico CDISI establecido por Informtica como el estandar en la empresa

SISTEMAS DE INFORMACION
Actividades Principales para Auditar esta Area :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.-Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.

Requerimientos para el xito de la revisn :

1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable de los Sistemas en Operacin (Usuarios e Informtica)

SISTEMAS DE INFORMACION
1. OPERACION
Aspectos Claves a evaluar
1 .-Cules son los sistemas de informacin que usted requiere para el soporte de las
funciones y actividades de su Gerencia/rea/departamento ?
2.- Cuales de ellos Estn en operacin/produccin de manera formal actualmente ?
1*
3.Estan
los usuarios ^debidamente capacitados en el uso de los sistemas que operan
actualmente ?
4.- Manejan de manera formal y satisfactoria el:
- Llenado de documentos
- Captura de transacciones
- Proceso de Transacciones
- Uso y distribucin de reportes
- Manejo de los manuales de usuario
- Procedimientos y controles del sistema
4.1. Existen sugerencias para el mejoramiento de cada uno de los aspectos
mencionados a continuacin para el mejoramiento de la Operacin de los Sistemas actuales :
- Llenado de documentos
- Captura de transacciones
- Proceso de Transacciones
- Uso y distribucin de reportes
- Manejo de los manuales de usuario
- Procedimientos y controles del sistema
5.- Que procedimientos se siguen en la atencin y solucin de los nuevos
requerimientos de su Area para el mejoramiento de los sistemas en Operacin?
6.- Cmo se definieron, autorizaron y difundieron estos procedimientos ?

1. OPERACION
7.- Existe una funcin responsable, ya sea de su rea o de Informtica a darle
seguimiento oportuno a dichos procedimientos ?
8. Conocen todos los usuarios que operan los Sistemas dichos procedimientos?
Porque?
9. Considera que los procedimientos anteriormente mencionados son suficientes?
Porque?
10.- Existen procedimientos para el manejo de errores o cambios en los sistemas
actuales ?
11.- Existe Documentacin formal de los Sistemas que se encuentran actualmente en
operacin?
11.1.- Si la respuesta es afirmativa verificar si existe al menos la siguiente
documentacin :
- Manuales de Usuarios
- Manuales de Operacin
- Procedimientos de Contingencia y recuperacin
- Procedimientos para el manejo del equipo donde se encuentran
operando los sistemas
- Lista de Usuarios responsables de cada sistema y sus principales funciones
- Personal de informtica responsable de cada Sistema
- Otros ?
13.- Existe un conocimiento real por parte de los usuarios de los alcances y
limitaciones de cada sistema en operacin ? Porque ?
14.- Estn distribuidos estos manuales donde les corresponde? (Verificarlo mediante
observacin directa en las res de los usuarios, de operacin y de Informtica)

MANTENIMIENTO
1. HARDWARE
2. SISTEMAS DE INFORMACION

OBJETIVOS DE ESTA REVISION :

- Verififcar la existencia de polticas y procedimientos formales relativos al Mantenimiento

Preventivo y Correctivo del Hardware y los Sistemas de Informacin dentro de la
organizacin.

- Verificar que el mantenimiento efectuado a los elementos antes mencionados, garantice la

continuidad en las operaciones crticas del negocio.

- Verificar que el Area de Informtica y las Areas usuarias sean oportunamente informadas
de los calendarios de mantenimiento, y en su caso si son mantenimiento de tipo correctivo,
debe proveerse a las areas afectadas de los elementos necesarios que les garanticen la
continuidad en el manejo de equipo, sistemas y software.

Actividades Principales para Auditar esta Area :

1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.

Requerimientos para el xito de la revisn :

1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla a los responsables de dar Mantenimiento al Hardware y los Sistemas de
Informacin.

MANTENIMIENTO
1. HARDWARE
Aspectos Claves a Evaluar
1.- Existe una lista del Hardware existente en su negocio (Departamento de Informtica y
Areas Usuarias) ?
2.- Esta identificado el lugar fsico del Hardware y los responsables de su uso y custodia ?
3.- Se cuenta con manuales y/o procedimientos para el manejo del Equipo ?
4.-Existe un procedimiento formal, para darle mantenimiento al Hardware ?
4.1. Contempla dicho procedimiento al menos lo siguiente :
- Formulacin y Difusin del Plan de Mantenimiento Preventivo/Correctivo
- Difusin del Plan de Mantenimiento Preventivo/Correctivo
- Identificacin del tipo de Mantenimiento (Preventivo o Correctivo)
y las causas o razones de su realizacin
- Identificacin de los Recursos de Hardware que tendrn mantenimiento
- Registro de las actividades realizadas, pendientes y problemas originados
durante el Mantenimiento Preventivo/Correctivo
4.2.- Es este procedimiento valido para :
- Microcomputadoras / Redes Locales
- Minicomputadoras
- Mainframes
- Equipo periferico
_ rWm aniunA ? / f i m a ^ f i n i i ^

6. Existen acciones complementarias que apoyen al proceso de Mantenimiento y que

registren algunos datos relacionados con el mismo, dichas acciones pueden ser :
- Registro del hardware que reemplazar al equipo que recibir mantenimiento
- Registro del Costo originado por el Mantenimiento Preventivo y el causado por
el Mantenimiento Correctivo
- Procedimientos de Seguridad (Egreso e ingreso del equipo)
-Etc.

MANTENIMIENTO
SISTEMAS DE INFORMACION
Aspectos Claves a evaluar

1.Existe una lista de los Sistemas de Informacin que estn en operacin actualmente ?
2.- Dichos Sistemas fueron aprobados formalmente por los usuarios ?
3.- Se cuenta con manuales de usuario, tcnicos y de operacin para cada uno de los
sistemas de informacin actualmente en produccin ?
4.- Estn dichos manuales actualizados ? (verificarlo)
5.- Existe un procedimiento formal de mantenimiento a los Sistemas de informacin ?
6.- Estn Identificados los Sistemas de Informacin Comprados a externos ?
7.- Existe un mismo procedimiento formal para darle Mantenimiento (Actualizacin) a
los Sistemas de Informacin instalados en:
-Miaros - Minis -Mainframes
7.1.- Se actualiza la Informacin de los manuales d e usuarios, tcnicos y de operacin
cuando as corresponda (verificar con los ltimos cambios) ?
8.- Existen controles para que nicamente personal autorizado, le de mantenimiento a
los sistemas de informacin que se encuentran en operacin ?
8.1. Si es as, cules son esos controles ?
9.- Existe algn sistema computarizado que apoye el control del mantenimiento, en
aspectos como:
- Calendarizacin del mantenimiento preventivo
- Seguimiento al mantenimiento (correctivo y preventivo)
- Niveles de servicio
- Costos del mantenimiento
- Causas y soluciones del mantenimiento
. Tareas, Fechas y Responsables del mantenimiento ^

w
1 ' j > '
4 !< "

\ >

REDES

LOCALES

1. ADMINISTRACION

REDES LOCALES
OBJETIVOS DE ESTA REVISION :

- Asegurar que exista un funcin formal de Administracin de la(s) Red(es) Local(es)

- Asegurar la existencia de Procedimientos y Controles que orienten a la satisfaccin de :
- La Administracin de las redes Locales
- La Instalacin de las Redes Locales
- La Operacin y Seguridad de las Redes Locales (Ver cuestionario de Seguridad
para mayor detalle)
- El Mantenimiento de las Redes Locales
- Verificar que existan parmetros de medicin del desempeo de las Redes (Bitcoras,
Grficas, Estadsticas, Etc.)
- Evaluar el grado de soporte que se brinda a los usuarios de la Red en el uso de
Sistemas y Software al que tienen acceso en la misma.
- Determinar si existen los suficientes controles y procedimientos de Seguridad
inherentes a la(s) Red(es) de la empresa.

REDES LOCALES
Actividades Principales para Auditar esta Area :
1.- Verificar proyectos contra la Plane acin de Auditoria.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.-Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.

Requerimientos para el xito de la revisn :

1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla a los responsables y usuarios de las Redes Locales

REDES LOCALES
1. ADMINISTRACION

1. Cuenta su empresa con Red(es) Local(es) ?

1.1. Si es as, Cuantas micros hay en dicha RED (incluyendo el servidor), mencione sus
caractersticas bsicas? (mencione los perrifericos y cactersticas bsicas)
1.2. Que Software (Paquetes, Lenguajes, Sistemas de Informacin, Sistemas Operativos
(S.O.), Bases de Datos, Etc. hay instalados ? Cuales son las versiones correspondientes?

FUNCION

1.3. Mencione que aspectos mencionados a

continuacin son cubiertos en su empresa :
- La evaluacin de HW, SW, Etc. de la RED
- Adquisicin/Instalacin de: HW/SW de RED
- Asignacin y Baja de Usuarios a 1 a RED
- Nivel de Servicios para usuarios de la RED :
- Desempeo
- Capacitacin
- Soporte
- Mantenimiento
- Operacin de :
- Equipo
- Software
- Aplicaciones
- Seguridad :
- Datos
- Procesos
- Equipos
- Software
- Otros

TAREAS

ACCIONES DE
SEGUIMIENTO

1. ADMINISTRACION
2. Existe alguna participacin de personal externo para el desempeo de las funciones
de Administracin de la RED antes mencionada ?
2.1 Si es as, mencione cuales son y el porque de que lo efecte dicho personal ?
3. Existen procedimientos que aseguren la oportuna y adecuada instalacin de los
diferentes componentes de la RED, conforme se hayan realizado los contratos y compras
formales de los mismos ?
4.-Se cuenta con manuales de operacin de la red ? Contemplan aspectos de
Seguridad?
5.- Se tiene identificada formalmente la siguiente Informacin :
- Usuarios de la Red
- Logins y niveles de Acceso
- Terminales conectadas a la Red
- Responsables de la Red
- Capacidad de Discos/Espacio Libre x Servidor y micros
- Etc. ?
5.1. Estos registros son generados por algn software de RED o los generan de manera
independiente los responsables de la administracin de misma ?
.- Existe un procedimiento formal para dar un servicio oportuno y eficiente a los
requerimientos de los usuarios de la Red ?
6.1.- Lo conocen los usuarios de la Red ?
7. Se tienen procedimientos de Respaldo (Equipo / Datos Software Etc.) ?
7.1. Se conocen por todos los usuarios y responsables de la Red?
8.- Se tiene un seguro que proteja el software y equipo de la Red ?

SOFTWARE

1. ADMINISTRACION
Z LEGALIZACION

OBJETIVOS DE ESTA REVISION :

- Asegurar que exista un funcin formal de Administracin del SOFTWARE

- Asegurar la existencia de Procedimientos y Controles que orienten a la satisfaccin de :
- La Administracin del SOFTWARE
- La Instalacin del SOFTWARE
- La Operacin y Seguridad del SOFTWARE (Ver cuestionario de Seguridad
para mayor detalle)
- El Actualizacin del SOFTWARE
- Detectar el grado de confianza, satisfaccin y desempeo que brinda al negocio el
SOFTWARE existente.
- Determinar si existen los suficientes controles y procedimientos de Seguridad inherentes al
SOFTWARE de la empresa.
- Asegurar que solo Software Legalizado se encuentre
microcomputadoras y/o Redes Locales de la organizacin

instalado

en

todas

las

Actividades Principales para Auditar esta Area :

1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.- Anexar esta informacin al documento que definir el Informe Final.

Requerimientos para el xito de la revisn :

1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable y/o usuarios del Software

1. ADMINISTRACION
1. Cuenta su empresa con microcomputadoras, minicomputadoras o mainframes ?
1.1. Existe un documento que muestre la distribucin del equipo y sus usuarios?
1.2. Que Software (Paquetes, Lenguajes, Sistemas de Informacin, Sistemas
Operativos (S.O.), Bases de Date, Etc. hay instalados ? Cuales son las versiones
correspondientes?.
2. Se llev a cabo en su empresa un Estudio de Justificacin de Instalacin /
Actualizacin/Reemplazo de Software que contemplar al menos lo siguiente :
- SW Requerido :
- Aspectos Legales - Paquetes de Computo
- Lenguajes de Programacin -S.O. -Etc.
- HW Requerido :
- Micros - Perifricos, Etc.
- Evaluacin Costo/Beneficio
- Procedimientos d e :
- Capacitacin - Seguridad - Operacin
- Actualizacin - Monitoreo - Etc.
3. Que procedimientos de Seguridad existen para el manejo adecuado del software
instalado en la empresa'
3. Cuales son dichos procedimientos ?
3.2. Quienes son los responsables de ejecutar dichos procedimientos ?
3.3. Cmo se da seguimiento formal al cumplimiento de dichos procedimientos ?
3.4. Cmo se ejecuta dicho procedimiento?
4. Existe alguna participacin de personal externo para el desempeo de las funciones
de Administracin del Software antes mencionada ?
4.1 Si es as, mencione cuales son y el porque de que lo efecte dicho personal ?
5. Existe la documentacin formal que especifique el que hacer y como llevar a cabo
cada una de las funciones de Administracin del Software ?

SOFTWARE
2. LEGALIZACION
Aspectos Claves a Evaluar :
1. Existen procedimientos que aseguren la oportuna y adecuada evaluacin /
legalizacin / instalacin y actualizacin del Software , conforme se hayan realizado los
contratos y compras formales del mismo ?
PROCEDIMIENTOS

RESPONSABLES
DE EJECUTARLOS

RESPONSABLES
DE SEGUIMIENTO

2. Las compras del Software , as como su instalacin se derivan de un proceso de

planeacin y evaluacin formal ? Como se aseguran de que esto sea cumplido siempre?
3. En caso de que las compras e instalacin del Software no hayan sido planeadas
formalmente como se justifican ante los responsables de Informtica y de las Areas usuarias
involucradas en el uso del mismo ?
4. Se tiene un plan de evaluacin y compra de Software por semestre / ao?
5. Respecto a la Instalacin de Software Como se aseguran que ste haya sido
comprado legalmente ? Como se aseguran que dicho Software no sea instalado en otros
equipos de la empresa que no tienen licencia de uso ? Que hacen cuando detectan algunas
anomalas al respecto?
6. Se conoce cual es el inventario actual de Software instalado en su empresa ?
7. Se conoce cual de ese Software instalado es legal ?
8. Que se piensa hacer respecto al Software que no es legal ?
9. Existen Polticas que aseguren que se compre solo Software estandar y que no se
violen los acuerdos de legalizacin de la empresa ?
10. Cuales son ?
10.1 Quien les da seguimiento ?
10.2. Cmo se les da seguimiento ?

SEGURIDAD
HARDWARE
SOFTWARE / APLICACIONES
PLAN DE CONTINGENCIAS V DE RECUPERACION

OBJETIVOS DE ESTA REVISION :

- Verificar que existan los planes, polticas y procedimientos relativos a la seguridad dentro
de la Organizacin.
-Verificar que exista un Anlisis Costo / Beneficio de los controles y procedimientos de
Seguridad antes de ser implantados.
Verificar que los planes y polticas de Seguridad y de Recuperacin sean difundidos y
conocidos por la Alta Direccin.
- Evaluar el grado de compromiso que existe por parte de la Alta Direccin, de los
Departamentos Usuarios y del personal de Informtica hacia el cumplimiento satisfactorio de
los planes, polticas y procedimientos relativos a la Seguridad
- Asegurar la disponibilidad y continuidad del equipo de computo, por el tiempo que requiera
los usuarios para el procesamiento oportuno de sus aplicaciones.
- Asegurar que las polticas y procedimientos brinden confidenciabilidad a la informacin
que es manejada en el medio ambiente de desarrollo, implantacin, operacin y mantenimiento.
- Verificar que exista la Seguridad requerida para el aseguramineto de la Integridad de la
Informacin que es procesada, en los aspectos de totalidad y exactitud.
- Asegurar que se brinde la seguridad necesaria a los diferentes equipos de computo que
existen en la organizacin.
- Verificar que exista una funcin responsable de la Administracin de la Seguridad
para :
- Recursos Humanos relacionados con la Tecnologa de Informtica
- Recursos Materiales relacionados con la Tecnologa de Informtica
- Recursos Financieros relacionados con la Tecnologa de Informtica
- Recursos Tecnolgicos de Informtica

SEGURIDAD
Actividades Principales para Auditar esta Area :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.-Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.-Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.

Requerimientos para el xito de la revisn :

1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla a los Responsables de Seguridad, as como a los usuarios de Informtica

SEGURIDAD
1. HARDWARE
Aspectos a Evaluar
1.- Existen polticas y procedimientos relativos al uso y proteccin del Hardware existente
en la Organizacin ?
2.- Si existen, Estn formalmente identificados los siguientes aspectos de seguridad :
- Administracin del Hardware :
Micros, Mnis y Macrocomputadoras (Mainframes)
Tecnologa de Comunicaciones, Redes, Etc.
- Cuantificacin del Hardware
- Descripcin del Hardware (Caractersticas bsicas)
- Distribucin del Hardware (Ubicacin Fsica)
- Registro de: Hardware instalado, dado de baja, en proceso de adquisicin, etc.)
- Uso del Hardware :
- Funciones responsables del control del Hardware
- Etc.
- Procedimientos y Controles de seguridad para :
- La Evaluacin, Seleccin y Adquisicin de Hardware :
A) Existen polticas que verifiquen que el software que sea adquirido cubra los
siguientes puntos :
- Mdulos de seguridad para :
- Acceso al Hardware (Llaves de seguridad, por ejemplo)
- Uso del Hardware (Facilidades de monitorear la operacin)
- Bitacoras de uso del Hardware :
- Quien ? , Cundo ?, Para que ?, etc.
- Etc. ?
C) Existen polticas que verifiquen que el Hardware que sea reemplazado y/o
actualizado cubra los siguientes puntos :
- Autorizacin del Hardware por medio de :
- Justificacin del reemplazo del Hardware
- Impacto de la implantacin del Hardware en el medio ambiente de Informtica
- Implicaciones de control en la Implantacin y uso del Hardware nuevo.
-Etc. ?

2.- En cuanto al equipo de Soporte se tienen al menos los siguientes datos :

. Localizacin Fsica, Control y Mantenimiento de :
- Aire Acondicionado
- Equipo No-Break
- Equipos contra Incendios
- Otros
4.- La ubicacin fsica del Equipo de Computo dentro del edificio es la ms adecuada
contra los diversos desastres o contingencias que se pueden presentar :
- Manifestaciones (Huelgas, por ejemplo)
- Robos

- Inundaciones
- Temblores

- Incendios
- Etc.

Nota : Verificar si el edificio presenta facilidades de escape en casos de emergencia

5.- Existen procedimientos que garantizen la continuidad y disponibilidad del equipo de
computo en caso de desastres o contingencias ?
6.- Si es as, estn documentadas y difundidas formalmente ? (Verificar la existencia de
esos documentos y la difusin de los mismos en la Organizacin)
7.- Se cuenta con controles y procedimientos para :
- Clasificacin y justificacin del personal que tiene acceso a los centros de computo del
negocio y a las oficinas donde se encuentra papelera y/o accesorios relacionados a Informtica
- Restringir el acceso a los centros de computo solo a personal autorizado
- Definicin y difusin de las horas de acceso que son permitidas al centro de computo
- Uso y control de bitacoras de acceso a centros de computo
- Definir la aceptacin de entrada a visitantes
- Manejo de bitacoras especiales para visitantes a los centros de computo ?
Nota : Verificar el cumplimiento de estos controles y procedimientos.
8.- Existe personal de Seguridad encargado de manera especfica a la salvaguarda de los
equipos de computo del negocio?
9.- Existen polticas relacionadas al ingreso y salida de Hardware dentro de la organizacin,
que aseguren al menos lo siguiente :

SEGURIDAD
2. SOFTWARE / APLICACIONES
Aspectos Claves a Evaluar
1.- Existen polticas y procedimientos relativos al uso y proteccin del Software existente
en la Organizacin ?
2.- Si existen, Estn formalmente identificados los siguientes aspectos de seguridad :
- Administracin del Software :
Sistemas Operativos, Utileras, Paquetes, etc.
- Cuantifcacin del Software (Original y copias)
- Descripcin del software (Por original)
- Distribucin del Software (En que equipos y/o dispositivos de almacenamiento
secundarios se encuentra, mencionar un lugar fsico donde se localizan: Areas del
negocio, Bancos, etc.)
- Registro de: Software instalado, dado de baja, en proceso de adquisicin, etc.)
- Uso del Software (Tipo de uso, responsables de su uso, Etc.)
- Etc. ?
- Procedimientos y Controles de seguridad para :
- La Evaluacin, Seleccin y Adquisicin de Software :
A) Existen polticas que verifiquen que el software que sea adquirido cubra los
siguientes puntos :
- Acceso al Software
- Uso del Software
- Bitcoras de uso del Software :
- Quien ? , Cundo ?, Qu ?, etc.
- Etc. ?
B) Existen polticas que verifiquen que el software que sea reemplazado cubra los
siguientes puntos :
- Autorizacin del Software por medio de :
- Justificacin del reemplazo del Software
- Impacto de la implantacin del Software en el medio ambiente de Informtica :
- Implicaciones de control en la Implantacin y uso del software nuevo.
-Etc. ?

3.- Existen polticas relacionadas al ingreso y salida de software dentro de la

organizacin? Cules son ?
- Que el software que ingrese a la empresa sea :
- Revisado (Contenido, cantidad, destino)
- Aprobado por el responsable de Informtica
- Registrado
- Devuelto (Verificar contra fecha estimada de devolucin)
- El personal este comprometido formalmente a no hacer un mal uso del mismo (Copia,
Daos, etc.)
-Etc. ?
4. En cuanto a las aplicaciones (Sistemas de Informacin) que se desarrollan en la empresa
los controles y procedimientos necesarios para garantizar la seguridad mnima que requieren
los sistemas a ser desarrollados ?
4.1. - En caso de que existan, contemplan dichos controles al menos lo siguiente :
- Procedimientos de llenado de documentos fuente
- Procedimientos de uso del computador:
- Encedido y arranque del equipo
- Restauracin del equipo en caso de fallas
- Manejo de bitacoras de uso del computador
- Monitoreo de uso del computador
-Etc.
- Niveles de acceso (perfil de Usuarios) a los mdulos de :
- Captura
- Actualizacin
- Consulta
- Generacin de Reportes
- Respaldos
- Etc.
- Procedimientos de uso de los mdulos de :
- Captura
- Actualizacin
- Consulta
- Generacin de Reportes
- Respaldos
- Etc.
- Etc.

Aspectos Claves a Evaluar

1. Considera usted que tanto la Alta Direccin, Usuarios y Personal de Informtica estn
concientes que todos los recursos involucrados con la informtica son activos del negocio y
deben protegerse de una manera formal y permanente ? Porque?
1.1. Cuales de los siguientes Recursos relacionados con Informtica considera usted que
son ms crticos para la organizacin y cuales crea que contemplan ms y mejores mtodos de
proteccin para que puedan seguir operando/trabajando/apoyando a los objetivos del negocio
en condiciones ptimas :
RECURSOS

Grado de Importancia (A)

(C / 1 / N / M / NS)

Mtodos Formales
para su Proteccin (-)

HUMANOS
MATERIALES
FINANCIEROS
TECNOLOGICOS
DE INFORMACION
(A)

C = CRITICO
M = MINIMO

I = IMPORTANTE
NS = NO SABE

N = NECESARIO

() Verificar que los recursos que ellos consideran crticos, importantes o necesarios
tengan los mtodos de seguridad necesarios para prevenir y enfrentar contingencias, en caso de
que no existan se podr observar que dichas consideraciones son ms tericas que prcticas.
Para aquellos recursos que ellos consideren de importancia mnima o que la
desconozcan tendremos que preguntar el porque de tales afirmaciones.
1.2.- Existen planes de contingencias y de recuperacin de operaciones para casos de
contingencias o desastres ?
1.3. Contemplan dichos Planes de Contingencia y de Recuperacin al menos los siguientes
aspectos :
- Red de Comunicaciones (RC)
- Hardware
- Software / Aplicaciones / Datos
- Recursos Humanos
- Lugares Fsicos donde se localizan los recursos anteriores
- Otros

2.- Si es as, fueron difundidos formalmente en toda la organizacin ?

2.1. Fueron elaborados por terceros, personal de Informtica, por los usuarios o fu un
proyecto donde se involucraron varias reas del negocio ?
2.2. En el proceso de Planeacin de Contingencias y Recuperacin y de su Implementacin
de su empresa, cuales fueron las Tareas realizadas, cuales estn pendientes, cuales en desarrollo
y quienes son sus responsables :
TAREA

STATUS ( D / T / NI) (-)

PRODUCTOS
TERMINADOS

1 .DEFINICION DE
METAS Y OBJETIVOS
DEL PLAN
2. EVALUACION E
IDENTIFICACION DE
RIESGOS
3. ELABORACION DE
ACCIONES. POLITICAS
Y PROCEDIMIENTOS
POR TIPO DE RIESGO
4. DOCUMENTACION DEL
PLAN
5. APROBACION DEL PLAN
DIFUSION DEL PLAN
6. SIMULACION DEL PLAN
7. ACTUALIZACION DEL
PLAN

(-) D = TAREA EN DESARROLLO

T = TAREA TERMMINADA
N/I = TAREA NO INICIADA
2.3. Se han presentado contingencias que hayan sido enfrentadas con el Plan de
Contingencias y de recuperacin diseado para su empresa ? Cuales fueron los resultados ?
2.4. Si no existe un Plan de Contingencias y de Recuperacin que acciones han tomado
para enfrentar dichas eventualidades y quienes han sido los responsable de ejecutar estas
acciones ?

9.

Etapa de Form alizacin :

9.1.

Verificacin de Prioridades, Restricciones y Alcances del

Proyecto

9.2

Actualizacin del H a s de Auditora de Informtica

93.

Presentacin Forma! del Plan de Auditora de Informtica

9.4.

Aprobacin Formal del Proyecto de Auditoria de Informtica

9.

Etapa de Formalizacin :

Las Etapas anteriores fueron de introducin e investigacin a la empresa y sus diversas

funciones de negocio, sus debilidades y fortalezas ms relevantes fueron detectadas, la
planeacin y proyeccin de las reas que requieren ser auditadas ya se han definido, as como
las adecuaciones y/o agregados requeridos ya fueron documentados, ahora en la presente
Etapa de Formalizacin (Figura 9-1) corresponde a la Alta Direccin, dar su aprobacin
y apoyo formal para el desarrollo del Proyecto de Auditora de Informtica presentado
por el Lder de Proyecto y del Responsable de la Funcin de Auditora de Informtica.

Etapa de Adecuacin
(Terminada)

Etapa de Formalizacin
(En ejecusin)
Etapa de Desarrollo
(Posterior)

La participacin real de la Alta Direccin es crtica, lo mismo que la del Responsable

de la Funcin de Informtica en el negocio. Los usuarios claves deben tambin estar presentas
durante el proceso de Formalizacin del Proyecto.

9.1.

Verificacin de Prioridades, Restricciones y Alcances del Proyecto :

La verificacin, validacin, clasificacin y documentacin de las prioridades,

restricciones y alcances del proyecto son de alto valor para el Auditor de Informtica, ya que
mediante su realizacin se clarifica el rumbo, lmites y cobertura que tendr el proyecto.
Aqu las actividades requeridas para efectuar la presente tarea son una serie de
pequeas entrevistas personales o reuniones de varios involucrados con un enfoque muy
objetivo y prctico.
Se recomienda que de las reuniones o entrevistas que se efecten, el Auditor de
Informtica ( o el Lider de Proyecto) documenten lo ah expuesto mediante una minuta o
resumn (Tablas, grficas, narrativa, etc) donde se mencionen los puntos tratados y las
conclusiones a que se lleg, lo anterior se soporta ms formalmente si aparecen las firmas de
conformidad de cada uno de los involucrados.

u ZJ
w <

il

u
zw
s

o
z

9.2

Actualizacin del Plan de Auditora de Informtica

Se ha hablado ya de como efectuar la tarea de actualizacin de un Plan, lo importante

en este momento es asegurarnos de que los pocos (pero significativos) cambios que se
hayan efectuado despues de realizar la Tarea anterior, sean reflejados en el Plan
Detallado de Auditora de Informtica que ser presentado a la Alta Direccin para su
aprobacin final y formal.

93.

Presentacin Formal del Plan de Auditora de Informtica

La presente tarea es la ms crtica para el Lider del Proyecto y para el Responsable de

Auditora de Informtica, ya que justificar en sta, la continuacin del proyecto.
Las actividades ms relevantes y necesarias del responsable de esta tarea son :
+ Asegurarse de contar con toda la informacin en un formato de presentacin
sumarizada y entendible, ya que su principal audiencia ser la Alta Direccin, los
Usuarios Claves y el Responsable de Informtica.
+ Revisarla y verificarla con el Responsable de Auditora de Informtica
+ Concertar la cita en una fecha y lugar apropiados
+ Otras que se consideren oportunas para el xito de la tarea

9.4.

Aprobacin Formal del Proyecto de Auditora de Informtica

Se puede decir que es la Tarea que lleva menos tiempo y que sin embargo es una de las
ms importantes, ya que de ella surge la aprobacin formal del proyecto. Aqui el proyecto
pasa a ser un proyecto autorizado para su desarrollo y terminacin segn el Plan de Auditora
de Informtica.
Consideraciones claves que aseguran la terminacin satisfactoria de esta tarea :
+ Presentar un resumen de la Matriz de Riesgos, Areas de Oportunidad, Plan detallado
de Auditora de Informtica, Prioridades, restricciones, etc. (en trminos claros)
+ Entendimiento del Proyecto (La informacin tiene el mismo significado para todos)
+ No surgen adecuaciones al proyecto (Nuevas prioridades, reas a revisin, etc.)
+ Se aprueba formalmente el proyecto (Firma de conformidad de los involucrados)
+ Se autoriza las fechas de incio del proyecto
+ Otras que el Auditor de Informtica considere pertinentes en su negocio
Nota : No todo lo planeado y justificado es siempre autorizado por la Alta Direccin,
en ocasiones, la falta de una buena venta del proyecto en la presentacin o la falta de
compromiso por alguno de los involucrados puede retrasar la aprobacin formal del proyecto,
sin embargo el Lider de Proyecto debe lograr el visto bueno de todos a travs de buen soporte.

10.
10.1.

ETAPA DE DESARROLLO

Concertar fechas de entrevistas, visitas y aplicacin de

cuestionarlos

10.2,

Clasificar tcnicas, herramientas, cuestionarios, entrevistas, etc.

103

Aplicacin de Entrevistas y Cuestionarios

10.5

Efectuar visitas de verificacin

10.6

Elaborar informe preliminar por?

+ Area auditada

10.7

Revisin del Informe Preliminar

10.8

Elaborar el Informe Final de Auditora de Informtica :

10.9

Presentacin a la Alta Direccin e involucrados claves

10.

ETAPA DE DESARROLLO :

La Etapa de Desarrollo (Figura 10-1) es la ms importante para el Auditor de

Informtica, ya que es aqu donde se ejerce su funcin de manera prctica, empieza a
ejecutar las tareas de su trabajo de acuerdo al Plan aprobado en la Etapa de Formalizacin.

Etapa de Formalizacin
(Terminada)

Etapa de Desarrollo
(En ejecusin)

Las actividades ms importantes del Auditor en Informtica en la Etapa de

Desarrollo son al menos las siguientes :
+ Ejecutar las tareas de acuerdo a la secuencia establecida en el Plan detallado de
Auditora de Informtica
+ Respetar el Proceso Metodolgico (Capitulo Cinco)
+ Coordinar los Recursos Humanos ficientemente para el cumplimiento
oportuno del proyecto
+ Impulsar el apoyo permanente de la Alta Direccin
+ Motivar a todos los involucrados del Proyecto
+ Orientar a los recursos humanos, tecnolgicos y financieros a
resultados que brinden soluciones factibles y de valor agregado
+ Otros considerados por el Lider del Proyecto de acuerdo a las caractrsticas de
su negocio y de la Funcin de Informtica
Nota : Cada una de las tareas de la Etapa de Desarrollo ser explicada de una
manera uniforme para hacerla ms prctica y entendible, se mencionarn las
actividades ms importantes que llevar a cabo el Auditor de Informtica y los
Productos Terminados mnimos que debe obtener al finalizar cada una de ellas.
(VER FIGURAS 10.2,103,10.4)

D-

b Q> Q>
J J J

-5 OS

a- o. .

cu

<

cl,
J <

a.
J

ap sE

<
o

UJ o

uNM
H

ti

2
< < <

< <~

< < <

W S

< LU

OS
g

<<<<

Q
<

o>
ob
Z
t

< Q
w D<
x
9
co
Z
O

zp

Si

IX J
_

u<

n
V3 P

C <

t
zHt

a
S

H
H"
O
3

oo O
W fe
a: Z

<!*2

C/3 O r

H cis ld

H rj en ^r
TT TT Tf u- i/-T wT wi

<
UJ

Ctf
<

t
S
a
O

>

o
u

o
s

H
X
>

o
o
o Ir*

o
C/5 "8
a
u

CU
t
t

o.

bu

O
t
t
o
a:

<

<*>

t
o

t
t

X
H

g
m d
ih

o UG
tu

~ O
OS
2g
a,
o
Z

z o
oC/3 OS
W

Q
M
M

II
C
J

TAREA
Concertar fechas de
entrevistas, visitas y
de Aplicacin de
Cuestionarios

ACTIVIDADES
PRINCIPALES

PRODUCTOS
TERMINADOS

+ Solicitar una lista con

todos los nombres, puestos
y departamentos del
Personal de Informtica y
de las reas usuarias
involucrados en el proyecto

+ Lista del Persona! de

Informtica y de usuarios
+ Fecha y hora formal de
cada entrevista

+ concertar citas
Clasificar Tcnicas,
Herramientas,
cuestionarios, entrevistas,
etc.

+ Verificar la lista de
Mtodos, Tcnicas y
Herramientas requeridas
+ Verificar cuestionarios
requeridos
+ Clasificar y documentar
de acuerdo al Proyecto.

Aplicacin de Entrevistas
y cuestionarios

+ Efectuar Entrevistas y
Cuestionarios
+ Elaborar Observaciones y
Recomendaciones

Efectuar visitas de
verificacin

+ Lista de Mtodos,
Tcnicas y Herramientas
clasificadas por rea de
Revisin
+ Cuestionarios de cada
rea, actualizados y
documentados

+ Entrevistas y
cuestionarios aplicados y
documentados
+ Observaciones y
Recomendaciones iniciales

+ Realizar cada entrevista

programada

+ Visitas de revisin y
verificacin efectuadas

+ Documentar debilidades
de control y seguridad
detectadas en cada visita

+ Observaciones y
Recomendaciones iniciales

(Figura 10-2)

TAREA

ACTIVIDADES
PRINCIPALES

PRODUCTOS
TERMINADOS

Elaborar Informe
Preliminar

+ Analizar la Informacin
documentada en tareas
anteriores
+ Elaborar observaciones y
conclusiones de cada rea
auditada.
+ Documentar
Observaciones y
Recomendaciones de
Auditora de Informtica
(Ver Figura 10-5)

+ Hojas de Resumen de
Observaciones y
Recomendaciones de
Auditora
(Ver Figura 10-5)
+ Observaciones,
conclusiones y
Recomendaciones por:
* Area

Revisin del Informe

Preliminar

+ Verificar cada una de las

observaciones y
recomendaciones por Area
con el Lider del Proyecto
+ Asegurarse que se tenga
en documento todo el
soporte requerido para
cada observacin
+ Concertar citas con el
responsable de Informtica
y de los usuarios para dar
un avance del proyecto y
sus principales conclusiones
y recomendaciones

+ Observaciones,
conclusiones y
recomendacioes verificadas
y depurada
+ Reunin informal de
notificacin de avance del
proyecto con el responsable
de Informtica y con el
Responsable de los
usuarios
+ Compromiso de
terminacin de pendientes
por medio de entrevistas
y/o visitas y/o aplicacin de
cuestionarios

Elaborar el Informe Final

de Auditora de
Informtica

+ Elaborar el Informe Final

+ Verificar que el Informe
contenga al menos:
* Antecedentes
* Observaciones,
Conclusiones,
Recomendaciones,
Responsables y
Tiempos por Area
Auditada
(Figura 10-3)

+ Informe para la Alta

Direccin
+ Informe detallado para:
* Responsable de
Informtica
* Usuarios Claves

TAREA

ACTIVIDADES
PRINCIPALES

PRODUCTOS
TERMINADOS

Presentacin a la Alta
Direccin e Involucrados
Claves

+ Verificar que los

Informes sean claros,
completos y congruente
entre s

+ Informes verificados

+ Verificar que se tenga el

soporte de lo mencionado
en los informes
+ Formalizar fecha de la
presentacin de informes
+ Presentar los Informes de
Alta Direccin y detallado
+ Elaborar una minuta
+ Obtener la aprobacin
formal (documento) de la
Terminacin del Proyecto
de Auditora de
Informtica.
+ Delegar en Informtica y
las reas usuarias la
implantacin de las
acciones recomendadas

(Figura 10-4)
Pgina : 114

+ Informes finales
+ Informes presentados a la
Alta Direccin y a los
Involucrados claves del
Proyecto (Responsable de
Informtica y el
Responsable de los
Usuarios al menos)
+ Minuta de la Reunin
+ Aprobacin formal de la
Alta Direccin dla
terminacin del proyecto de
Auditora de Informtica
+ Compromiso del
Responsable de Informtica
y de las Areas usuarias para
ejecutar la Etapa de
Implantacin.

WZ
iJO
ZRh

0<r0
Mena
UZhJ
zoo
3d en
ken
U<r
KJ
Pc.

CD

OOa<

yijzs
Q

<_>
l-U
PS
CO

CC
LU
CO

O
en
U
O
K K
O

PQ
U

O
H

UJ

PC

K
<x

<x
K
<x
cu
M

O
M
en

M
K
U

CO

a
en
U
K
Ph

Id

U
K

CU

en
W
z

U U
e en
a
en
a

en
U
H
Z

o en

FU
Z
o
u

O
H

en

en
o
NN

H
Z

U
o

O
U
H 3

h
A

a
o
a

en
K
U
(U

H
o

en
U

O
W
(s.

CK
C
H
A

K
<E

H
w

O
O
Z

11.

F U E N T E S D E INFORMACION P A R A U N A A C T U A L I Z A C I O N
P E R M A N E N T E D E LA F U N C I O N D E A U D I T O R I A D E I N F O R M A T I C A

Algunas acciones que nos garantizan la eficiencia en el desarrollo permanente de la

Auditora de Informtica son entre otras ;

- Apoyo de la Alta Direccin

- Planeadn formal de la Auditora de Informtica
- Involucracin de los Usuarios y del Personal de Informtica
- Apoyo en los proyectos por Asesores externos cuando as se requiera
- Actualizacin del Proceso Metodolgico de Auditora de Informtica
- Actualizacin del Auditor de Informtica en los campos de Auditora
e Informtica
- Otros
La actualizacin del Auditor en los aspectos metodologicos, tcnicos y de manejo de
herramientas de productividad se puede lograr llevando al menos las siguientes acciones :
- Capacitacin por medio d e :
- Seminarios o Cursos d e :

- Auditora de Informtica
- Auditora
- Informtica
- Areas especializadas de Negocio (Finanzas, manufactura, etc.)
- Suscripciones a revistas especializadas de Auditora de Informtica
- Suscripciones a revistas especializadas de Informtica y/o Auditora
- Participacin permanente y formal en :
- Asociaciones Profesionales Nacionales o Internacionales de :

- Auditora de Informtica
- Auditora
- Informtica
- Otros medios que se consideren convenientes

Dicha actualizacin tiene como objetivo primordial el garantizar que el proceso

formal de Auditora de Informtica cumpla con los requerimientos de Seguridad y
Control apropiados para el negocio, as como con los estndares sugeridos por las
Asociaciones Profesionales a nivel nacional e internacional.

INTEREX The International

; Association of Hewlett Packard
Computers Users

INTEREX HP Computer
Users Conference

Instituto Mexicano de Contadores

Pblicos

Asociacin Mexicana de Auditores en

Informtica / The EDP Auditors
Foundation, INC

INFOAMAI (BOLETINES) /
The EDP Auditors Journal

Normas y procedimientos

MIS Training Institute

EDP Auditing and Controls

1991

The EDP Auditors Foundation, Inc.

The EDP Auditors Foundation, Inc.

Control Objetives

1991

Me G raw Hill

Jos Antonio Echenique

Auditora en Informtica

Mxico

1990
1991
1992

Asociacin Mexicana de Auditores

de Informtica

Expositores de la
Asociacin Mexicana de Auditores de
Informtica

Auditora 11

Estados
Unidos
Mxico /
Estados
Unidos
Estados
Unidos

Mxico

1993

19881993

1992

1992
1993

MIS Training Institute

Asociacin Mexicana de Auditores en

Informtica / The EDP Auditors
Foundation, INC.
INTEREX

IMCP

Estados
Unidos

Mxico

Mxico

PAIS

ANO
1990
1993

EDITORIAL

Expositores de la Asociacin Mexicana de Asociacin Mexicana de Auditores

de Informtica
Auditores de Informtica

AUTOR

Auditoria I

1 LI URO / FUENTE

00

eo
a
'5b
a.