Auditoría en Informática (Practica Profesional)

Prctica profesional I
Trabajo prctico No 1
AUDITORIA INFORMTICA
NDIC
Cap!t"lo 1 Intro#"cci$n% conceptos & ter'inolo(!a..........................................................3
1.1 Introduccin y antecedentes del tema..................................................................3
1.2 Informtica............................................................................................................5
1.3 Auditora............................................................................................................ 7
1.4 Auditora en informtica..................................................................................... 7
Cap!t"lo ) ntorno & f"nciones #e la a"#itoria% estr"ct"ra or(ani*acional................ 9
2.1 Entorno de la informtica
2.2 Estructura organiacional.
2.3 !lan de negocios. "efinicin.
2.4 #unciones de la auditora en informtica dentro de la estructura.
Cap!t"lo + Planificar.........................................................................................................11
3.1 $ue es %lanificar y %or&ue %lanificar................................................................11
3.2 !laneacin en informtica................................................................................11
3.3 !laneacin de la auditora................................................................................12
3.4 !laneacin de la auditora en informtica........................................................ 12
Cap!t"lo , Meto#olo(!a....................................................................................................1'
4.1 !roceso metodolgico de la auditora en informtica......................................17
4.2 ()todos...........................................................................................................19
4.3 *)cnicas..........................................................................................................21
4.4 +erramientas...................................................................................................21
Cap!t"lo - tapas...................................................................................................................27
5.1 !reliminar o diagnstico.................................................................................. 27
5.2 ,ustificacin..................................................................................................... 31
5.3 Adecuacin...................................................................................................... 32
5.4 #ormaliacin.................................................................................................. 34
5.5 "esarrollo e im%lantacin................................................................................ 35
5.' !resentacin del informe final......................................................................... 3-
Ane.os....................................................................................................................................47
Objeti/os....................................................................................................................47
0iblio(raf!a.................................................................................................................47
Concl"siones.............................................................................................................47
A"#itoria en infor'tica
Cap!t"lo 1
Intro#"cci$n% conceptos & ter'inolo(!a
111 Intro#"cci$n & antece#entes #el te'a
En este ca%itulo .amos a realiar una /re.e rese0a %ara e1%licar las causas %or las
cuales surgi la acti.idad denominada auditora en informtica y tam/i)n dar una idea del
entorno en el cual se desen.uel.e la funcin.
2riginalmente la informtica se orient al a%oyo de reas tales como conta/ilidad3
li&uidacin de sueldos3 etc.3 a %artir de la necesidad de conocer y medir el a%oyo &ue la
misma realia/a en las reas antes mencionadas3 y a la em%resa en general3 se origin el
%roceso conocido como auditora a sistemas de informacin o auditoria de sistemas.
(as adelante la informtica %as a formar %arte de toda organiacin y el uso de
com%utadoras %ersonales3 redes locales de com%utadoras3 etc.3 se difundi a lo largo de toda
la em%resa3 la informtica tam/i)n da a%oyo a la relacin entre em%resas a tra.)s de redes
4A5 y tam/i)n en la actualidad a tra.)s de I5*E65E* 7828 9 82:3 etc.;
"e este modo la tarea de los res%onsa/les de informtica y los auditores de sistemas
tradicionales se .i des/ordada %or estos acontecimientos y les im%osi/ilit continuar con los
m)todos utiliados <asta ese entonces.
As surgi la necesidad del re%lanteamiento total de la auditora en informtica3
conocida tam/i)n como auditora de sistemas3 si /ien esta a/arca solamente la re.isin de
los sistemas de informacin en desarrollo3 o%eracin y mantenimiento.
Entonces la auditora en informtica se encarga de e.aluar y .erificar %olticas3
controles3 %rocedimientos y seguridad en los recursos dedicados al mane=o de la informacin.
El rol del auditor en informtica no es el de oficiar como ca%ata o %olica del negocio3
como se suele %lantear com>nmente3 sino el de funcionar como un %unto de control y
confiana %ara la alta direccin o los due0os de la em%resa3 adems de/e ser el facilitador
de soluciones. ?na de las tareas %rinci%ales del auditor es la de conducir siem%re a la
em%resa a o%timiar el uso de los recursos informticos.
!or otro lado es incorrecto %ensar &ue la auditora informtica %roducir un cam/io
instantneo en la cultura organiacional3 en los m)todos de tra/a=o3 o en la mala calidad o
im%roducti.idad3 se de/e %ensar &ue la auditora en informtica es un elemento estrat)gico
directo &ue a%oya o %romue.e la eliminacin o correccin de cada una de las de/ilidades
antes mencionadas.
@e es%era &ue un auditor en informtica sea un %rofesional3 un e1%erto3 %ero so/re
todo &ue sea un ser sensi/le3 <umano3 &ue entienda el conte1to real del negocio &ue est
auditando. @u %rinci%al o/=eti.o es darle a cada %ro/lema la dimensin =usta y con.ertirlo en
una solucin %ara el negocio de la em%resa.
Un poco #e 2istoria3
En los a0os cuarenta em%earon a %resentarse resultados rele.antes en el cam%o de
la com%utacin3 a ra de los sistemas de a%oyo %ara estrategias militares3 %osteriormente se
2
increment el uso de com%utadoras y sus a%licaciones y se di.ersific el a%oyo a otros
sectores de la sociedadA educacin3 salud3 industria3 %oltica3 aeronutica3 comercio3 etc.
En a&uellos a0os la seguridad y control se limita/a a %ro%orcionar custodia fsica a los
e&ui%os y a %ermitir la utiliacin de los mismos a %ersonas altamente calificadas3 ya &ue no
e1ista un gran n>mero de usuarios t)cnicos ni administrati.os.
En las >ltimas d)cadas3 la informtica se <a e1tendido a todas las ramas de la
sociedad3 es decir3 es %osi/le desde controlar un .uelo es%acial %or medio de com%utadoras
<asta armar una receta de cocina en una com%utadora o lle.ar los gastos %ersonales.
"e lo anterior se des%rende la idea de &ue se <an o/tenido im%ortantes /eneficios
7reduccin de costos3 incremento en .entas3 etc.;3 %ero3 tam/i)n se de/e tener en cuenta &ue
los costos de estos /eneficios <an sido altos y en muc<as ocasiones <an su%erado los
lmites es%erados3 ocasionando grandes %)rdidas y dece%ciones en los negocios.
Bas em%resas y organismos interesados en &ue la informtica contin>e creciendo %ara
/eneficio de la <umanidad 7educacin3 %roducti.idad3 calidad3 ecologa3 etc.; desean &ue
este incremento se controle y oriente de manera %rofesional. Esto significa &ue se de/e
o/tener el resultado %lanteado y es%erado de cada in.ersin realiada.
Es raona/le decir &ue corre %or cuenta de &uien administra la funcin de informtica
la res%onsa/ilidad de &ue las in.ersiones y %royectos sean =ustificados y eficaces.
*am/i)n es lgico su%oner &ue la direccin no de/e a%ro/ar %royectos &ue no
aseguren la renta/ilidad de la in.ersin a realiar.
El incremento constante de las e1%ectati.as y necesidades relacionadas con la
informtica3 al igual &ue la actualiacin continua de los elementos &ue com%onen la
tecnologa de este cam%o3 o/ligan a las entidades &ue la a%lican3 a dis%oner de controles3
%olticas y %rocedimientos &ue aseguren a la alta direccin la correcta utiliacin de los
recursos <umanos3 materiales3 y financieros in.olucrados3 %ara &ue se %rote=an
adecuadamente y se orienten a la renta/ilidad y com%etiti.idad del negocio.
Ba im%roducti.idad3 el mal ser.icio3 el rec<ao de los usuarios a los sistemas de
informacin y la carencia de soluciones totales de la funcin de informtica3 fueron3 son y
%ueden continuar siendo mal de muc<as organiaciones.
!arad=icamente los %royectos %rioritarios <acen gala del a%oyo &ue o/tienen de la
informtica. !or este moti.o es ilgico descuidar su control y no garantiar su eficacia.
I'portancia #e la a"#itoria en infor'tica3
Ba tecnologa informtica 7<ardCare3 softCare3 redes3 /ases de datos3 etc.; es una
<erramienta estrat)gica &ue /rinda renta/ilidad y .enta=as com%etiti.as a los negocios frente
a otros negocios similares en el mercado3 %ero %uede originar costos y des.enta=as si no es
/ien administrada %or el %ersonal encargado.
Ba solucin clara es entonces realiar e.aluaciones o%ortunas y com%letas de la
funcin informtica3 a cargo de %ersonal calificado3 consultores e1ternos3 auditores en
informtica o e.aluaciones %eridicas realiadas %or el mismo %ersonal de informtica.
@urge entonces la o/.ia necesidad de auditar la funcin informtica3 ya &ue resulta
innega/le &ue la misma se <a con.ertido en una <erramienta %ermanente y necesaria de los
%rocesos %rinci%ales de los negocios3 en un aliado confia/le y o%ortuno. Esto es %osi/le si se
im%lementan los controles y es&uemas de seguridad re&ueridos %ara su a%ro.ec<amiento
%timo.
3
?na .e &ue la alta direccin com%renda la im%ortancia de contar con un rea
inde%endiente &ue asegure y %romue.a el /uen uso y a%ro.ec<amiento de la tecnologa de
informtica3 ya %uede delegar la res%onsa/ilidad en %ersonal altamente ca%acitado %ara
e=ercer la auditora en informtica dentro de la organiacin de manera formal y %ermanente.
Ter'inolo(!a #e la a"#itor!a en infor'tica3
11) Infor'tica3
Ba informtica es el cam%o &ue se encarga del estudio y a%licacin %rctica de la
tecnologa3 m)todos3 t)cnicas y <erramientas relacionados con las com%utadoras y el mane=o
de la informacin %or medios electrnicos3 el cual com%rende las reas de la tecnologa de
informacin orientadas al /uen uso y a%ro.ec<amiento de los recursos com%utacionales %ara
asegurar &ue la informacin de las organiaciones fluya 7entidades internas y e1ternas de los
negocios; de manera o%ortuna y .era.
*am/i)n se %uede decir &ue es el %roceso metodolgico &ue se desarrolla de manera
%ermanente en las organiaciones %ara el anlisis3 e.aluacin3 seleccin3 im%lementacin y
actualiacin de los recursos <umanos3 conocimientos3 <a/ilidades3 normas3 etc.3
tecnolgicos 7<ardCare3 softCare3 etc.;3 materiales 7escritorios3 edificios3 accesorios3 etc.; y
financieros 7in.ersiones; encaminados al mane=o de la informacin3 /uscando &ue no se
%ierdan los %ro%sitos3 confia/ilidad3 o%ortunidad3 integridad y .eracidad3 entre otros.
11+ A"#itor!a
Es un %roceso formal y necesario %ara las em%resas &ue tiene como fin asegurar &ue
sus acti.os sean %rotegidos en forma adecuada.
Asimismo3 la alta direccin es%era &ue de los %royectos de auditora sur=an las
recomendaciones necesarias %ara &ue se lle.en a ca/o de manera o%ortuna y satisfactoria
las %olticas3 controles y %rocedimientos definidos formalmente3 con o/=eto de &ue cada
indi.iduo o sector de la organiacin o%ere de modo %roducti.o en sus acti.idades diarias3
res%etando las normas generales de <onestidad y tra/a=o ace%tadas.
*am/i)n es un con=unto de tareas realiadas %or un es%ecialista %ara la e.aluacin o
re.isin de %olticas y %rocedimientos relacionados con las diferentes reas de una em%resa
Administrati.as.
#inancieras.
2%erati.as.
Informtica.
:r)dito.
#iscales.
11, A"#itor!a en infor'tica
Es un %roceso formal e=ecutado %or es%ecialistas del rea de auditora y de informtica
cuyo o/=eti.o es el de .erificar y asegurar &ue las %olticas y %rocedimientos esta/lecidos
4
%ara el mane=o y uso adecuado de la tecnologa de informtica en la organiacin se realicen
de manera eficiente y efica.
Bas acti.idades e=ecutadas %or los %rofesionales del rea de informtica y de auditora
encaminadas a e.aluar el grado de cum%limiento de %olticas3 controles y %rocedimientos
corres%ondientes al uso de los recursos de informtica %or el %ersonal de la em%resa
7usuarios3 informtica3 alta direccin3 etc.;.
"ic<a e.aluacin de/er ser la %auta %ara la entrega del informe de auditora en
informtica3 el cual de/e contener las o/ser.aciones3 recomendaciones y reas de
o%ortunidad %ara el me=oramiento y o%timiacin %ermanente de la tecnologa de informtica
en el negocio.
*am/i)n se %uede definir como el con=unto de acciones &ue realia el %ersonal
es%ecialiado en las reas de auditora y de informtica %ara asegurar &ue los recursos de
infomtica o%eren en un am/iente de seguridad y control eficientes3 con la finalidad de
%ro%orcionar a la alta direccin o ni.eles e=ecuti.os la certea de &ue la informacin &ue
circula %or el rea se mane=a con los conce%tos /sicos de integridad3 totalidad3 e1actitud y
confia/ilidad re&ueridos.
!roceso metodolgico &ue tiene el %ro%sito %rinci%al de e.aluar los recursos 7<uD
manos3 materiales3 financieros3 tecnolgicos3 etc.; relacionados con la funcin de informtica
%ara garantiar al negocio &ue dic<o con=unto o%ere con un criterio de integracin y
desem%e0o de ni.eles altamente satisfactorios3 %ara &ue a su .e a%oyen la %roducti.idad y
renta/ilidad de la organiacin.
5
Capit"lo )3
ntorno & f"nciones #e la a"#itor!a% estr"ct"ra or(ani*acional1
Ubicacin jerrquica de la funcin
Ba alta direccin de cual&uier organiacin tiene &ue esar consciente de &ue la funcin
de auditora se de/e e=ercer con el criterio /sico de inde%endencia funcional =err&uica3 es
decir3 el desem%e0o de las acti.idades %rofesionales en el %roceso de e.aluacin y control
no de/e .erse afectado %or as%ectos emocionales ni de autoridad emanados de los res%onD
sa/les e in.olucrados en el momento de la auditora.
En la medida en &ue la direccin esta/leca %olticas claras &ue es%ecifi&uen &ue la
funcin del auditor es asegurar el control y la seguridad de los elementos relacionados con la
informtica y &ue res%onde a una necesidad de la alta direccin3 el a%oyo y %artici%acin de
las reas del negocio fluir de manera naturalE asimismo3 se e.itar &ue esta situacin se
con.ierta en un %roceso tenso y com%licado3 o en una acti.idad /urocrtica e im%roducti.a.
Es recomenda/le u/icar la funcin de auditora en informtica en un ni.el organiacioD
nal &ue le asegure la inde%endencia y so%orte re&uerido de la alta direccin3 con la finali dad
de &ue su desem%e0o sea confia/le y eficiente.
Ba falta de una %osicin organiacional adecuada a las caractersticas es%ecficas &ue
la rodean %uede con.ertirla en foco de frustracin e incertidum/re con el %aso del tiem%o.
El control y la seguridad no %ueden esta/lecerse ni su%er.isarse desde los ni.eles
inferiores de una em%resaE su %osicin de/e estar en la %arte su%eriror del organigrama. Ba
taread de auditoria nunca se de/era e=ercer desde un ni.el o%erati.o. Ba alternati.a es &ue
los realice %ersonal %rofesional e1terno.
@i la auditora en informtica es e=ercida %or %ersonal e1terno a la em%resa3 se recoD
mienda &ue el seguimiento3 coordinacin3 a%oyo y a%ro/acin del tra/a=o efectuado %or los
asesores e1ternos sea lle.ado a ca/o %or la alta direccin 7director o gerentes de auditora y
del rea de informtica;.
Tipos de estructuras donde se ubica la auditora en informtica
Ba auditora en informtica se de/e considerar en un alto ni.el organiacional3 de igual
manera &ue cual&uier otra rama de la auditora tradicional.
Ba u/icacin desea/le es su/ordinada =err&uicamente a una direccin o su/direccin3
ya sea administrati.a o de informtica.
El o/=eti.o %rimordial %ara la alta direccin del negocio es asegurar &ue el desem%e0o
de las acti.idades de auditora en informtica se e=ecuten o%ortuna y eficientemente3 de
forma &ue se logre &ue los auditores cuenten conA
Inde%endencia funcional.
Bi/ertad de accin.
#acultad %ara la toma de decisiones.
5egociacin con los ni.eles gerenciales.
!artici%acin en %royectos de alto im%acto en el negocio.
6
Es im%ortante resaltar &ue en la actualidad e1iste muy %oca difusin y menor ace%D
tacin %or %arte de las em%resas so/re la necesidad de contar con una funcin de auditora
en informtica.
@in em/argo3 es facti/le %ronosticar3 con un alto grado de certidum/re3 &ue el
crecimiento acelerado de las in.ersiones y %royectos de informtica3 donde se in.olucran
todas las em%resas3 forar a &ue se tome una decisin al res%ecto3 aun&ue a la auditora en
informtica se le denomine aseguramiento de calidad3 e.aluacin de informtica o auditora
de sistemas y sea e=ercida %or %ersonal e1terno o interno.
?na cantidad considera/le de em%resas a>n cuestiona la renta/ilidad y %roducti.idad
de la funcin de informtica3 !rue/a de ello son las cor%oraciones e instituciones donde la
funcin de informtica de%ende de la direccin o las gerencias de recursos <umanos3 fi D
nanas3 manufactura 7em%resas industriales;3 etc.3 y en algunos casos 7&ue resultan inD
cre/les en estos tiem%os; de alguna =efatura de conta/ilidad o de los usuarios.
7
Cap!t"lo +3
+11 Planificar
En t)rminos generales3 %odemos decir &ue planificar es esta/lecer3 en funcin del
tiem%o3 a tra.)s de un enfo&ue metodolgico3 la distri/ucin de tareas y la asignacin de
recursos in<erentes a un %royecto3 de manera de cum%lir con el o/=eti.o del mismo3 de la
me=or manera %osi/le.
Esto %ermitir controlar el estado de a.ance de las acti.idades %ara el %osterior a=uste
de las tareas &ue no se desarrollen de la manera %laneada y de )sta forma %ongan en
%eligro el )1ito del %royecto.
Es muy im%ortante considerar el %roceso de %laneacin en cual&uier organiacin3
como la /ase de las acti.idades &ue se e=ecutan en ella.
Ba informalidad en el desarrollo de los %lanes de tra/a=o sor%renden a &uienes
sostienen &ue %lanear es una %)rdida de tiem%o. Es lgico %ensar &ue si no se %lanea el
tra/a=o3 tam%oco se %lanean las anomalas y dece%ciones &ue el desarrollo de dic<o tra/a=o
deri.ar.
E1isten muc<os /eneficios asociados a la %lanificacin3 %ero el mas im%ortante es
%oder asegurar con alto grado de credi/ilidad a e=ecuti.os y em%resarios3 cunto in.ertirn y
cunto o/tendrn de /eneficio %or un %royecto.
+1) Planeaci$n en infor'tica3
Ba %lanificacin en informtica %odemos definirla como el %roceso de identificar el
con=unto de %royectos relacionados con la funcin de informtica. :ada %royecto de/e estar
orientado a o/=eti.os y estrategias es%ecficos de acuerdo al ti%o de organiacin.
El %erodo de ela/oracin o actualiacin del %lan de informtica de%ende de las
estrategias y formalidad &ue %osea dic<o %roceso en cada organiacin.
@e recomienda &ue al ser a%ro/ado %or la alta direccin se e=ecute o%ortuna y
formalmente3 con su actualiacin.
Bas tareas /sicas del %roceso de %laneacin en informtica sonA
Ba determinacin de reas a%oyadas %or informtica3 cuyo res%onsa/le de e=ecucin
%uede ser el coordinador o su%er.isor de %laneacin de informtica y su res%onsa/le de
seguimiento es el director o gerente del rea de informtica.
Ba ela/oracin del %lan de informtica3 donde el res%onsa/le de la e=ecucin tam/i)n
es el coordinador o su%er.isor de %laneacin en informtica y el res%onsa/le del seguimiento
es el director o gerente de informtica.
Ba %resentacin del %lan a la alta direccin3 donde en este caso el res%onsa/le de la
e=ecucin es el director o gerente de informtica y la res%onsa/ilidad del seguimiento &ueda
a cargo de la alta direccin de la organiacin.
Ba e=ecucin del %lan de informtica &ueda /a=o la res%onsa/ilidad del rea de
desarrollo3 in.estigacin3 comunicaciones3 so%orte a usuarios3 entre otros y los res%onsa/les
del seguimiento son el gerente o los su%er.isores.
8
+1+ Planeaci$n en a"#itor!a3
En toda organiacin es im%ortante asegurar el /uen mane=o y administracin de los
recursos. !are ello e1iste el %roceso de %lanificacin de la auditora3 el cual consiste en la
definicin de un con=unto de %royectos de e.aluacin y .erificacin de %olticas3 controles y
%rocedimientos in<erentes a las reas administrati.as3 financieras3 o%erati.as3 etc.
Bas cuatro tareas /sicas del %roceso de %laneacin de auditora sonA
Ba determinacin de las reas &ue se .a a auditar3 lo cual de/e ser realiado %or el
coordinador o su%er.isor de auditora y controlado %or el director o el gerente de auditora.
En este %unto3 se de/en e.aluar los sistemas de informacin financieros y conta/les.
El auditor definir si re&uiere el a%oyo del %ersonal de auditora informtica3 el cual %uede ser
interno o e1terno.
Ba ela/oracin del %lan de auditora de/e ser tam/i)n efectuada %or el coordinador o
su%er.isor de auditora y el res%onsa/le del seguimiento ser el director o gerente de
auditora. Bas reas sern auditadas en las fec<as y %erodos en las cuales las estrategias
%ro%ias de la alta direccin lo dis%ongan.
Ba %resentacin del %lan a la alta direccin ser e=ecutada %or el director o gerente de
auditora y controlada %or la alta direccin del negocio. Esta tarea de/e ser efectuada de
manera o%ortuna y autoriada formalmente.
Ba e=ecucin del %lan de auditora est a cargo del su%er.isor o auditores 7los cuales
%ueden ser e1ternos o internos; y el seguimiento ser efectuado %or el gerente o
su%er.isores. Algunas em%resas consideran recomenda/le &ue el %ersonal de auditora sea
e1terno %ara dar inde%endencia al informe y9o aligerar las cargas de tra/a=o.
Ba funcin de auditora de/e ser un rea de control y aseguramiento3 o sea una
entidad inde%endiente y %rofesional &ue e.al>e y efect>e un seguimiento so/re las
acti.idades &ue afecten3 ya sea de manera directa o indirecta3 lo estados administrati.os3
conta/les y financieros.
El %erodo de ela/oracin o actualiacin del %lan de auditora de%ende de las
necesidades e1ternas o de las %rioridades del negocio &ue tenga dic<o %roceso dentro de la
organiacin.
+1, Planeaci$n #e la A"#itor!a en Infor'tica3
!ara <acer una adecuada %laneacin de la auditora en informtica3 <ay &ue seguir
una serie de %asos %re.ios &ue %ermitirn dimensionar el tama0o y caractersticas de rea
dentro del organismo a auditar3 sus sistemas3 organiacin y e&ui%o.
En el caso de la auditora en informtica3 la %laneacin es fundamental3 %ues <a/r
&ue <acerla desde el %unto de .ista de los dos o/=eti.osA
E.aluacin de los sistemas y %rocedimientos.
E.aluacin de los e&ui%os de cm%uto.
9
!ara <acer una %laneacin efica3 lo %rimero &ue se re&uiere es o/tener informacin
general so/re la organiacin y so/re la funcin de informtica a e.aluar.
!ara ello es %reciso <acer una in.estigacin %reliminar y algunas entre.istas %re.ias3
con /ase en esto3 %lanear el %rograma de tra/a=o3 el cual de/er incluir tiem%o3 costo3
%ersonal necesario y documentos au1iliares a solicitar o formular durante el desarrollo de la
misma.
In.estigacin %reliminarA
@e de/er o/ser.ar el estado general del rea3 su situacin dentro de la organiacin3
si e1iste la informacin solicitada3 si es o no necesaria y la fec<a de su >ltima actualiacin.
Ba in.estigacin %reliminar se de/e realiar solicitando y re.isando la informacin de
cada una de las reas /asndose en los siguientes %untosA
A#'inistraci$n
@e reco%ila la informacin %ara o/tener una .isin general del de%artamento %or
medio de o/ser.aciones3 entre.istas %reliminares y solicitud de documentos %ara %oder
definir el o/=eti.o y alcances del de%artamento.
!ara analiar y dimensionar la estructura a auditar se de/e solicitarA
Al rea #e infor'tica3
2/=eti.os a corto y largo %lao.
6ecursos y materiales t)cnicosA
@olicitar documentos so/re los e&ui%os3 n>mero de ellos3 localiacin y
caractersticas.
Estudios de .ia/ilidad.
5>mero de e&ui%os3 localiacin y las caractersticas 7de los e&ui%os instalados y
%or instalar y %rogramados;
#ec<as de instalacin de los e&ui%os y %lanes de instalacin.
:ontratos .igentes de com%ra3 renta y ser.icio de mantenimiento.
:ontratos de seguros.
:on.enios &ue se tienen con otras instalaciones.
:onfiguracin de los e&ui%os y ca%acidades actuales y m1imas.
!lanes de e1%ansin.
?/icacin general de los e&ui%os.
!olticas de o%eracin.
!olticas de uso de los e&ui%os.
@istemas
"escri%cin general de los sistemas instalados y de los &ue est)n %or instalarse
&ue contengan .ol>menes de informacin.
10
(anual de normas
(anual de %rocedimientos de los sistemas.
"escri%cin gen)rica.
"iagramas de entrada3 arc<i.os3 salida.
@alidas.
#ec<a de instalacin de los sistemas.
!royecto de instalacin de nue.os sistemas.
En el momento de <acer la %laneacin de la auditora o /ien su realiacin3 de/emos
e.aluar &ue %ueden %resentarse las siguientes situaciones.
@e solicita la informacin y se .e &ueA
1. 5o se tiene y se necesita.
2. 5o se tiene y no se necesita.
3. 5o se tiene %ero es necesaria.
4. @e tiene la informacinA
5. 5o se usa
'. Es incom%leta.
7. 5o esta actualiada.
-. 5o es la adecuada.
9. @e usa3 est actualiada3 es la adecuada y est com%leta.
En el caso de 1;3 se de/e e.aluar la causa %or la &ue no es necesaria. En el caso 3; 3
se de/e recomendar &ue se ela/ore de acuerdo con las necesidades y con el uso &ue se le
.a a dar. En el caso de &ue se tenga la informacin %ero no se utilice3 se de/e analiar %or
&ue no se usa. En caso de &ue se tenga la informacin3 se de/e analiar si se usa3 si est
actualiada3 si es la adecuada y si est com%leta.
El )1ito del anlisis crtico de%ende de las consideraciones siguientesA
Estudiar <ec<os y no o%iniones 7no se toman en cuenta los rumores ni la informacin sin
fundamento;.
In.estigar las causas3 no los efectos.
Atender raones3 no e1cusas.
5o confiar en la memoria3 %reguntar constantemente.
:riticar o/=eti.amente y a fondo todos los informes y los datos reca/ados.
Personal participante
?na de las %artes ms im%ortantes dentro de la %laneacin de la auditora en
informtica es el %ersonal &ue de/er %artici%ar y sus caractersticas.
?no de los es&uemas generalmente ace%tados %ara tener un adecuado control es &ue
el %ersonal &ue inter.enga est) de/idamente ca%acitado3 con alto sentido de moralidad3 al
11
cual se le e1i=a la o%timiacin de recursos 7eficiencia; y se le retri/uya o com%ense
=ustamente %or su tra/a=o.
:on estas /ases se de/e considerar las caractersticas de conocimientos3 %rctica
%rofesional y ca%acitacin &ue de/e tener el %ersonal &ue inter.endr en la auditora.
En %rimer lugar se de/e %ensar &ue <ay %ersonal asignado %or la organiacin3 con el
suficiente ni.el %ara %oder coordinar el desarrollo de la auditora3 %ro%orcionar toda la
informacin &ue se solicite y %rogramar las reuniones y entre.istas re&ueridas.
Fste es un %unto muy im%ortante ya &ue3 de no tener el a%oyo de la alta direccin3 ni
contar con un gru%o multidisci%linario en el cual est)n %resentes una o .arias %ersonas del
rea a auditar3 sera casi im%osi/le o/tener informacin en el momento y con las
caractersticas deseadas.
*am/i)n se de/e contar con %ersonas asignadas %or los usuarios %ara &ue en el
momento &ue se solicite informacin o /ien se efect>e alguna entre.ista de com%ro/acin de
<i%tesis3 nos %ro%orcionen a&uello &ue se est solicitando3 y com%lementen el gru%o
multidisci%linario3 ya &ue se de/e analiar no slo el %unto de .ista de la direccin de
informtica3 sino tam/i)n el del usuario del sistema.
!ara com%letar el gru%o3 como cola/oradores directos en la realiacin de la auditora
se de/en tener %ersonas con las siguientes caractersticasA
*)cnico en Informtica
E1%eriencia en el rea de informtica.
E1%eriencia en o%eracin y anlisis de sistemas.
:onocimientos de los sistemas ms im%ortantes.

En caso de sistemas com%le=os se de/er contar con %ersonal con conocimientos y
e1%eriencia en reas es%ecficas como /ase de datos3 redes3 etc.
Bo anterior no significa &ue una sola %ersona tenga los conocimientos y e1%eriencias
se0aladas3 %ero si de/en inter.enir una o .arias %ersonas con las caractersticas se0aladas.
12
Capit"lo ,3
Meto#olo(!a
Ba auditora en informtica de/e res%aldarse en un %roceso formal &ue asegure su
%re.io entendimiento %or cada uno de los res%onsa/les de lle.ar a la %rctica dic<o %roceso
en la em%resa. Al igual &ue otras funciones en el negocio3 la auditora en informtica efect>a
sus tareas y acti.idades mediante una metodologa.
5o es recomenda/le fomentar la de%endencia en el desem%e0o de esta im%ortante
funcin slo con /ase en la e1%eriencia3 <a/ilidades3 criterios y conocimientos sin una refeD
rencia metodolgica. :ontar con un m)todo garantia &ue las cualidades de cada auditor
sean orientadas a tra/a=ar en e&ui%o %ara la o/tencin de resultados de alta calidad y de
acuerdo a estndares %redeterminados.
Ba funcin de auditora en informtica <a de contar tam/i)n con un desarrollo de acD
ti.idades /asado en un m)todo de tra/a=o formal3 &ue sea entendido %or los auditores en
informtica y com%lementado con t)cnicas y <erramientas %ro%ias de la funcin.
Bo anterior se facilita si los auditores en informtica cuentan con una metodologa &ue
oriente en cada %royecto a una e=ecucin armoniosa y %laneada en cada una de las tareas y
acti.idades in.olucradas.
?n alto %orcenta=e de los es%ecialistas en reas de in.estigacin3 %laneacin
financiera3 informtica3 sistemas3 etc.3 se a%oyan en gran medida en tareas3 acti.idades3
%roductos terminados3 re.isiones3 funciones y res%onsa/ilidades3 etc.3 definidas %re.iamente
en un documento formal &ue contiene la metodologa necesaria.
El o/=eti.o es /rindar a los res%onsa/les de dic<as reas un camino estructurado %or
el &ue arri/en a los resultados es%erados %or la em%resa3 siguiendo un %lan.
Es im%ortante se0alar &ue el uso de la metodologa no garantia %or s sola el )1ito de
los %royectos de auditoria en informticaE adems3 se re&uiere un /uen dominio y uso
constante de los siguientes as%ectos com%lementariosA
*)cnicas
+erramientas de %roducti.idad
+a/ilidades %ersonales
:onocimientos t)cnicos y administrati.os
E1%eriencia en los cam%os de auditora e informtica
:onocimiento de los factores del negocio y del medio e1terno al mismo
Actualiacin %ermanente
:omunicacin constante con asociaciones nacionales e internacionales relacionadas.
13
,11 Proceso 'eto#ol$(ico #e la a"#itor!a en Infor'tica
El uso de un %roceso de tra/a=o metodolgico y estndar en la funcin de auditora en
informtica genera las siguientes .enta=asA
Bos recursos orientan sus esfueros a la o/tencin de %roductos y ser.icios de caD
lidad3 con caractersticas y re&uisitos comunes %ara todos los res%onsa/les.
Bas tareas y %roductos terminados de los %royectos se encuentran definidos y for D
maliados en un documento al alcance de los auditores en informtica.
@e facilita en alto grado la administracin y seguimiento de los %royectos3 %ues la
metodologa o/liga a la %laneacin detallada de cada %royecto /a=o criterios estnD
dares.
#acilita la su%eracin %rofesional y <umana de los indi.iduos3 ya &ue orienta los
esfueros <acia la es%ecialiacin3 res%onsa/ilidad3 estructuracin y de%uracin en las
funciones del auditor en informtica.
Es un com%lemento cla.e en el desarrollo de cada indi.iduo3 %ues su formal segui D
miento3 aunado a las <a/ilidades3 normas y criterios %ersonales3 cola/ora con el cumD
%limiento e1itoso de los %royectos de auditora en informtica.
El %roceso de ca%acitacin o actualiacin en el uso de un %roceso metodolgico es
ms gil y eficiente3 dado &ue se tra/a=a so/re tareas y %autas %erfectamente
definidas.
Re4"isitos para el 5.ito #el proceso 'eto#ol$(ico
:ontar con una metodologa formalmente documentada no es garanta de &ue los
%royectos de auditora en informtica tendrn )1itoE %ero3 no cum%lir con las siguientes conD
diciones conducir a la funcin de auditora en informtica a &ue sus %royectos no cum%lan
con los tiem%os3 costos o resultados es%eradosA
A%ro/acin de la metodologa %or la alta direccin.
Adecuacin de la metodologa a los re&uerimientos es%ecficos del negocio 7cuidado
con reducir tareas y eliminar %roductos im%ortantes con el fin de a<orrar tiem%o o %or
criterios %ersonalesE es >til a%oyarse en un asesor e1%erto;.
"ocumentacin o actualiacin de la metodologa.
:a%acitacin formal en el uso de la metodologa 7de acuerdo con el %erfil y ni.el de
%artici%acin de cada indi.iduo in.olucrado;.
Ela/oracin de los %lanes de auditora en informtica seg>n la metodologa.
Gerificacin del uso formal de la metodologa en cada %royecto.
:a%acitacin formal %ara el %ersonal de nue.o ingreso o cuando se lle.en a ca/o
actualiaciones rele.antes a la metodologa.
14
A continuacin %odemos .er un cuadro &ue muestra las eta%as de un e=em%lo de
metodologa de auditora en informticaA
tapas 'eto#olo(!a a"#itor!a
Preli'inar 6Dia(n$stico;A @e define el negocio y rele.a la Informtica.
7"stificaci$n3 @e estudian las areas a auditar siguiendo el %lan %ro%uesto.
A#ec"aci$n3 @e /uscan y estudian m)todos3 t)cnicas y <erramientas.
For'ali*aci$n3 A%ro/acin de %lan y del %royecto %ara determinar el Arran&ue.
Desarrollo3 @e lle.an a ca/o las Entre.istas3 Gisitas3 2/ser.aciones y 6ecomendaciones
mientras se desarrola el Informe de auditora.
I'plantaci$n3 @e im%lementan las Acciones :orrecti.as y %re.enti.as estudiadas
anteriormente mientras se <ace un @eguimiento continuo de su transcurso en el tiem%o y
como afectan al sistema.
Re/isi$n Infor'al3 @e .uel.e a re.isar y estudiar el sistema %ara .erificar cam/ios3
falencias3 me=oras y cum%limiento del %lan acordado.
Re/isi$n For'alA @e .uel.e a estudiar el sistema ms detalladamente3 documentando todas
e.aluaciones del mismo.
Aprobaci$n Final3 @e realia la a%ro/acin final %or los e=ecuti.os de la em%resa auditada.
15
Preli'inar 6Dia(n$stico;
D5egocio
DInformtica
7"stificaci$n
DAreas a auditar
D!lan %ro%uesto
Re/isi$n Infor'al
A#ec"aci$n
D()todo
D*)cnicas
D+erramientas
For'ali*aci$n
DA%ro/acin
DArran&ue
Aprobaci$n Final Desarrollo
DEntre.istas
DGisitas
D2/ser.aciones
D6ecomendaciones
DInforme Auditora
Re/isi$n for'al
El cuadro anterior muestra los caminos a seguir en la a%licacin de la metodologa3
%asando %or todas las eta%as <asta llegar a la a%ro/acin final. Esta .isin ser de gran
utilidad tanto %ara el auditor en informtica como %ara los dems in.olucrados en el %royecto.
El res%onsa/le de la funcin de auditora en informtica %uede .alerse de la
informacin consolidada de la ta/la de descri%cin general de la metodologa de auditora en
informtica3 %ara realiar un seguimiento o%ortuno y estructurado con cada %royecto3 de/ido
a &ue tareas y %roductos estn terminados 7sal.o algunas tareas y resultados;.
(as adelante detallaremos cada eta%a con el fin de e1%licarlas detalladamenteE %or
otro lado3 el %roceso metodolgico no de/e tomarse al %ie de la letraE al contrario3 <a de
considerarse como una referencia &ue trata de orientar al lder de %royecto e in.olucrados en
un me=or desarrollo de cada tarea re&uerida en la auditora en informtica.
?na o/ligacin de cada rea dentro de una organiacin es actualiarse3 adecuando
%rocesos y m)todos a las caractersticas %ro%ias del negocio3 sin %erder las
recomendaciones com>nmente ace%tadas %or los negocios3 asociaciones %rofesionales y
dems es%ecialistas.
M5to#os% t5cnicas & 2erra'ientas por rea #e re/isi$n
:omo <emos comentado en ca%tulos anteriores3 el desarrollo e1itoso de la auditora
en informtica de%ende de un con=unto de factores interDrelacionados. Agru%ar y coordinar de
manera eficiente los siguientes factores /rindar resultados satisfactorios %or %arte de los
auditores en informticaA
"ominio de los conce%tos t)cnicos y administrati.os
+a/ilidades in<erentes a la auditoria en informtica.
5ormas %ersonales.
Entendimiento de la auditora en informtica y sus tendencias.
Ada%tacin o actualiacin seg>n el medio dominante.
Administracin formal de la auditora en informtica en el negocio.
In.olucramiento formal en los %rocesos de %laneacin del negocio3 informtica y de la
auditora tradicional.
"esarrollo de un %roceso formal de %laneacin de auditoria en informtica.
Entendimiento y a%licacin de un %roceso metodolgico formal de la auditoria e
informtica.
Gocacin %rofesional %or la auditora en informtica 7es un re&uisito moral3 no una
%oltica organiacional;.
!artici%acin formal Den la medida de lo %osi/leD en las asociaciones3 institutos
educati.os3 etc.3 con fines de actualiacin o de com%artir las e1%eriencias
%rofesionales ad&uiridas en el cam%o de la auditoria en informtica.
16
I'plantaci$n
DAcciones :orrecti.as y %re.enti.as
D@eguimiento
Entendimiento satisfactorio de los m)todos3 t)cnicas y <erramientas necesarios %ara
auditar.
2tros &ue de%enden de las caractersticas de la organiacin en &ue se desarrolle la
funcin de auditora en informtica.
?no de los factores %rimordiales %ara &ue el auditor en informtica o/tenga un
desem%e0o eficiente en su tra/a=o es el conocimiento y a%licacin de los m)todos3
t)cnicas y <erramientas com>nmente ace%tados %ara la informtica en los negocios o
asociaciones.
En la medida en &ue el auditor en informtica %osea e1%eriencia y conocimientos
actualiados so/re los diferentes as%ectos &ue e.aluar3 o/tendr resultados %o/res o
e1itosos en la organiacin donde tra/a=a.
El con=unto de elementos metodolgicos3 t)cnicos y o%erati.os recomendados %ara
a%oyar la funcin de auditora en informtica en la re.isin y e.aluacin de reas
es%ecficas de informtica y los dems com%onentes relacionados con ella3 se .an a
mencionar ms adelante en el %unto &ue <ace referencia a elementos &ue
com%lementan la Auditora
Por4"e "tili*ar "na 'eto#olo(!a for'al & acor#e a los objeti/os act"ales #e se("ri#a#
& control
"iagnosticar el so%orte real de informtica en cada %roceso del negocio.
"iagnosticar el estado de informtica.
Asegurar continuidad en o%eraciones.
A%oyo en la calidad de informtica.
Esta/lecimiento de %olticas3 controles y %rocedimientos de informtica.
2rientar <acia el cum%limiento de estndares definidos a ni.el nacional e
internacional.
Asesorar a los administradores de informtica %ara o/tener una me=ora continua.
Esta/lecer un es&uema de seguridad y control en informtica.
8"5 es "na 'eto#olo(!a #e a"#itor!a #e infor'tica
?n camino estructurado de forma lgica %ara asegurar el )1ito de %royectos de
auditora de informtica.
Es%ecifica el &u)3 cmo3 cundo3 &ui)n y &u) de los siguientes %untos.
- 6oles y res%onsa/ilidades de auditora en informtica3 %ersonal de informtica y
usuarios de sistemas de informacin y <erramientas de tecnologa.
- 6e&uerimientos %ara el logro e1itoso del %royecto de auditora en informtica.
- Eta%as de cada %royecto.
- 6e&uerimientos %ara el )1ito del %royecto.
- *areas y %roductos terminados 7%or eta%a y %royecto;.
- *)cnicas y <erramientas.
17
le'entos & aspectos 4"e co'ple'entan la 'eto#olo(!a
*)cnicas
- "ocumentacin
- Anlisis
- 2/ser.acin
- Entre.istas
- :osto 9 /eneficio
- :ontrol de %royectos
+erramientas
- @oftCare de oficina
- A%licaciones
- +ardCare
- :omunicaciones
- :ontrol de %royectos
- :AA*s
- :28I*
Asociaciones !rofesionales
- A(AI
- IIA
- I(:!3I:!5B
- I@A:A
CO0IT :ontrol 2/=ecti.es for Information and related *ec<nology
Intro#"cci$nA Es muy im%ortante %ara el suceso y so/re .i.encia de una organiacin &ue
tenga un efecti.o sistema de management y control de las tecnologas de informacin 7I*;. @i
una em%resa &uiere crecer formal y armoniosamentetiene tiene &ue tener en cuenta los
siguientes %untosA
Aumentar la de%endencia de la informacin y de los sistemas &ue le distri/uyen la
informacin3 %ero esto traeun aumento de las .ulnera/ilidades de un gran es%ectro de
tareas3 desde es%iona=e em%resarial <asta el <acHing en Internet3 es %or eso &ue una /uena
in.ersin en el control ayuda a reducir los costos y crear nue.as o%ortunidades de negocios
%ara el desarrollo de la em%resa.
18
!ara muc<as organiaciones3 la tecnologa y la informacin &ue la so%orta son su mas
.alua/le ca%ital3 y %ractimente estn contenidas en esta estructura3 &ue cual&uier falencia o
%ro/lema &ue %osea .a a determinar el fracaso del o/=eti.o de la misma.
!ara minimiar los %ro/lemas relacionados con la tecnologa de informacin3 se
desarrollo :28I*3 I2/=eti.os de :ontrol %ara la Informacin y la *ecnologa relacionadaJ3 es
un marco de tra/a=o 7#rameCorH; Es%ecialmente desarrollado %ara la auditora en
Informtica. Ba misin y 2/=eti.os de :28I* son In.estigar3 "esarrollar3 !u/licitar y
%romocionar 2/=eti.os de :ontrol de I* 7*ecnologas de Informacin; internacionales3
actualiados a la realidad actual %ara ser usado %or los Kerentes de 5egocios y Auditores.
Actualmente se encuentra desarrollada la 3 .ersin de este %roducto.
:28I* <a sido desarrollado con estndares generalmente a%lica/les y ace%tados %ara
me=orar las %rcticas de control y seguridad de las *ecnologas de Informacin 7I*; &ue
%ro.ean un marco de referencia %ara la Administracin3 ?suarios y Auditores. 8sicamente
consta de 4 li/ros3 a sa/erA
1. Resumen Ejecutivo
2. Antecedentes y Marco de Referencia
3. Guas de Auditora
4. Herramientas de mplementaci!n
1. El 6esumen E=ecuti.o consiste de una Gisin E=ecuti.a3 la cual %ro.ee a la Administracin
un entendimiento de los %rinci%ios y conce%tos cla.es de :28I* y el marco &ue %ro.ee a la
Administracin con ms detalle y entendimiento de :28I* y define cuatro dominios con sus
corres%ondientes %rocesos de *I3 34 en total.
2. El marco descri/e en detalle los 34 2/=eti.os de :ontrol de *I a un ni.el macro3 e identifica
los re&uerimientos del negocio %ara la informacin e im%actos %reliminares de recursos de *I
%ara cada o/=eti.o de control.
Bos o/=eti.os de control contienen declaraciones de los resultados deseados o %ro%sitos a
ser alcanados %ara la im%lementacin de 3L2 o/=eti.os de control es%ecficos a tra.)s de
los 34 !rocesos de *I.
3. Bas Kuas de Auditora3 las cuales contienen %asos de auditora sugeridos
corres%ondientes a cada uno de los 34 2/=eti.os de :ontrol macro %ara asistir a los
auditores de sistemas de informacin en re.isar los %rocesos de *I =unto a los 3L2 detalles
de o/=eti.os de control %ara %ro.eer seguridad a la administracin y9o aconse=ar sus me=oras.
4. ?na +erramienta de im%lementacin3 la cual contiene el :onocimiento de la
Administracin y "iagnstico de :ontrol de *I3 una Kua de Im%lementacin3 #A$3 casos de
estudio de organiaciones actualmente usando :o/it3 y %resentaciones &ue %ueden ser
usadas %ara introducir :28I* dentro de la organiacin. Esta nue.a <erramienta es
dise0ada %ara facilitar la im%lementacin de :28I*3 relacionar sesiones a%rendidas desde
organiaciones &ue r%idamente y e1itosamente a%licaron :28I* en sus am/ientes de
tra/a=o.
19
CO0IT infor'aci$n & rec"rsos re4"eri#os
Ba orientacin de los negocios es el gran tema &ue a/arca :o/it. #ue dise0ado no
solo %ara ser im%lementado %or los usuarios3 sino &ue tam/i)n y a>n ms im%ortante3 %ara
los due0os de los negocios.
Incluye todo el refuero de los %rocesos de los negocios3 %or lo &ue tiene total
res%onsa/ilidad de todos los
as%ectos del %roceso del
negocio.
En %articular incluye todos
los controles adecuados. El
marco de tra/a=o :o/it %ro.ee
una <erramienta &ue facilita la
delegacin de res%onsa/ilidades3
la cual em%iea con una %remisa
%ragmtica.
!ara %ro.eer informacin
&ue la organiacin necesita
cum%lir con sus o/=eti.os3 Bos
recursos I* necesitan ser
mane=ados %or un con=unto de
%rocesos agru%ados.J
:ontinua con un con=unto
de 34 ni.eles de control y
o/=eti.os3 uno %ara cada %roceso I*3 agru%ado en 4 dominiosA
1 Planea'iento
) A#4"isici$n #e la Or(ani*aci$n
+ Distrib"ci$n #e la i'ple'entaci$n
, 9oporte & Monitoreo
Estas estructuras cu/ren todos los as%ectos de la informacin y la tecnologa.
Accediendo a estos 34 ni.eles de control3 con las %olticas de la organiacin. Bos due0os
del %roceso del negocio %ueden adecuar los controles de los sistemas %ro.istos %or el
am/iente I*.
20
A esto se le suma &ue los 34 ni.eles tienen una gua de Auditora3 %ara &ue la
informacin %ueda ser auditada y re.isada contra los o/=eti.os recomendados %or :o/it %ara
%ro.eer a la "ireccin de la em%resa una fuente fiel de los informes de cada %roceso.
Bos %rocesos I* definidos en los 4 dominiosA
:o/it es una <erramienta &ue %ermite a los directores comunicarse y <acer de %uente
entre los controles de re&uerimiento3 %artes t)cnicas y riesgos de negocios. El desarrollo de
:o/it esta determinado en 5 %asos.
21
Objeti/os #el Ne(ocio
CO0IT
Definir un plan estratgico
Definir la arquitectura de la
Inforaci!n
Deterinar la direcci!n tecnol!gica
Definir la "rgani#aci!n $ las
relaciones
%ane&ar la in'ersi!n
(ounicar a los directi'os a donde
se apunta $ se dirige
%ane&ar los recursos )uanos
*segurar los requeriinentos
e+ternos
,osi-les riesgos
%ane&ar los pro$ectos
%ane&ar la calidad
%onitorear los procesos
"-tener independencia asegurada
,ro'eer Independencia a la auditor.a
*segurar el control interno
Identificar soluciones
*dquirir $ antener aplicaciones de soft/are
*dquirir $ antener la arquitectura de la tecnolog.a
Desarrollar $ antener los procediientos de I0
Instalar $ acreditar 1$steas
%ane&ar ca-ios
Definir los ni'eles de ser'icio
%ane&ar los ser'icios de terceros
%ane&ar la capacidad $ eficacia
*segurar los ser'icios continuos
*segurar la seguridad del sistea
Indentificar $ atri-uir (ostos
2ducar $ entrenar a usuarios
*sistir $ ad'ertir a los consuidores de I0
%ane&ar las configuraciones
%ane&ar los pro-leas e incidentes
%ane&ar los datos
%ane&ar las facilidades
ane&ar las "peraciones
Planea'iento &
Or(ani*aci$n
A#4"isici$n &
I'ple'etaci$n
Monitoreo
ntre(a &
9oporte
Infor'aci$n
Rec"rsos
#e
IT
*eniendo en cuenta los o/=eti.os del negocio3 el %rimer %aso es la reco%ilacin de la
informacin. Buego sigue el %laneamiento y la organiacin del %lan a seguir3 /asicamente en
esta eta%a se definen los %lanes3 ar&uitecturas3 recursos 7<umanos o tecnolgicos;3 riesgos y
calidades.
El segundo %aso es la ad&uisicin y la im%lementacin de lo determinado
anteriormente3 en donde se ad&uieren y se mantienen los recursos3 %lanes y so%ortes. El
siguiente %aso es el de entrega y de so%orte3 en esta eta%a se definen los ni.eles de ser.icio
%ara el monitoreo y mantencin de lo acordado3 .erificando %osi/les %ro/lemas o conflictos a
surgir. El >ltimo %aso es el de (onitoreo3 &ue una .e %uesto en marc<a el %lan se
monitorean los %rocesos intentando o/tener una inde%endencia asegurada3 es%ecialmente
en el control interno.
Act"ali*aciones% el f"t"ro & las 2erra'ientas #e 'anejo3
?n nue.o agregado %ara la familia de :o/it 7se encuentra en la .ersin 3; es el
desarrollo de %roductos %ara guas de control de management3 &ue incluyen #actores de
suceso crtico3 Indicadores de rendimiento y estadsticas.
*odas estas <erramientas %ara asesorar el am/iente de la organiacin3
es%ecialmente %ara la %arte directi.a de la em%resa en donde %ueda com%arar los datos
estadsticos y de control contra los 34 ni.eles de contrl de o/=eti.os3 y los factores de
indicadores crticos &ue identifican los ms im%ortantes %untos %ara tener en cuenta a la <ora
de tomar decisiones %ara direccionar el management3 y el control de los %rocesos I*.
Bas Kuas %ara el management &ue se encuentran dentro del marco de tra/a=o3 se
encuentran di.ididas en tres %artes &ue sonA el #actor de sucesos crticos. Bos indicadores
de eficacia y las estadsticas. 2tra %arte im%ortante del marco de tra/a=o es el control
detallado de los o/=eti.os3 =unto con el uso de guas %ara auditar.
22
:o/it im%lementado en Argentina.
En la Argentina :o/it fue im%lementado en los ni.eles nacionales y %ro.inciales de la
siguiente maneraA
Ba organiacin reguladora de las %ensiones y la administracin de fondos mutuales
de las com%anas 7@u%erintendencia Administradoras de #ondos de ,u/ilaciones y
!ensiones; ado%t a :o/it como %oltica del marco de *ra/a=o en su %lan estrat)gico %ara
ser usado en sus e1menes de la tecnologa de informacin. El uso de :o/it en el control de
(etodologas I*3 es referenciado en la %gina 24 del 8oletn 2ficial 29.19-.
El go/ierno de (endoa <a seleccionado a :o/it como el control del marco de tra/a=o
%ara su auditora interna de las tecnologas de informacin. Ba im%lementacin .a a tener
lugar en todos los de%artamentos del go/ierno %ro.incial. El te1to de la a%ro/acin del
go/ierno esta incluido en la 6esolucin 5 54.
23
Cap!t"lo -3
tapas #e la a"#itoria en infor'tica
-11 tapa preli'inar o #ia(n$stico
El %rimer %aso &ue tiene el auditor en informtica dentro de las em%resas o
instituciones al efectuar un %royecto de auditora en informtica es <acer un diagnstico del
negocio3 &ue incluye a la alta direccin y las reas usuarias.
@e /usca la o%inin de la %rimera %ara %oder sa/er el grado de satisfaccin y
confiana &ue tienen en los %roductos3 ser.icios y recursos de informtica en el negocio.
*am/i)n se detectan las fortaleas3 aciertos y a%oyo &ue /rinda dic<a funcin3 %or otro
lado son muy im%ortantes las o%ortunidades &ue %uede ofrece la informtica %ara <acer ms
com%etiti.o el negocio.
Bas acti.idades del auditor en informtica de/en &uedar /ien definidas en los
com%onentes formales &ue integran cual&uier tra/a=o dentro de una organiacin.
En esta fase3 se .isualian los %rimeros sntomas3 los cuales %osteriormente %ueden
ser los ms rele.antes.
Dia(n$stico #el ne(ocio3
:onocimiento del negocioA
24
El auditor en informtica de/e conocer e interioriarse en el ti%o de organiacin &ue
act>aA la misin3 estrategias3 %lanes y el ni.el =err&uico de la funcin de informticaE tam/i)n
es im%ortante sa/er las entidades e1ternas a la em%resa &ue se relacionan con cada rea de
la misma.
A%oyo al negocioA
El auditor en informtica de/e tener una idea glo/al del grado de a%oyo y satisfaccin
&ue e1iste en el negocio3 y sa/er <acia donde se orienta el so%orte de la funcin de
informtica. !or e=em%lo3 se de/en conocer de manera general los siguientes as%ectosA
Ba %artici%acin de la informtica en los %royectos cla.e %ara el negocio3
Imagen de informtica ante la alta direccin3
Krado de satisfaccin &ue e1iste %or los ser.icios %restados %or la informtica3
E1%ectati.as &ue tiene el negocio so/re la funcin de la informtica3
"e/ilidades y fortaleas de informtica
2tros de inter)s es%ecfico del auditor
Mreas de o%ortunidadA
A&u se detectan las caractersticas &ue .an a facilitar la im%lementacin de
soluciones /rindadas %or informtica y &ue tendrn un gran im%acto so/re alguna funcin o
gerencia del negocioE
*am/i)n se %ueden %ro%oner acciones inmediatas o a corto %lao3 de las cuales se
%odr o/tener /eneficios directos.
En esta fase %reliminar el estudio es corto en tiem%o y general en su in.estigacin. Es
muy im%ortante mencionar &ue las %ro%uestas de las reas de o%ortunidad de/en ser
analiadas y documentadas antes de %onerlas en %ractica.
Dia(nostico #e infor'tica
A&u el auditor se coordina directamente con el res%onsa/le de la funcin de
informtica.
:onocimiento de la funcin de informticaA
En esta %arte el auditor conocer la estructura interna de informtica3 funciones3
o/=eti.os3 estrategias3 %lanes y %olticas.
Ba tecnologa de softCare y <ardCare es en la &ue se a%oya %ara lle.ar a ca/o su
funcin dentro del negocio.
Bas entre.istas de/en <acerse con el res%onsa/le de informtica. El auditor de/e ser
%rofesional y )tico en su tra/a=o %ara /rindarles seguridad de &ue al final de su tarea
/eneficiar a los &ue lo contrataron.
El auditor en informtica de/e lograr un e&ui%o de tra/a=o unido3 y &ue el lder de
%royectos 7es &uien se encarga de coordinar y su%er.isar los %royectos de la auditoraE
25
%uede tener a uno o ms auditores; desarrolle una /uena comunicacin con el %ersonal de
informtica en esta eta%a.
Es cla.e remarcar y e.aluar los ser.icios &ue %resta informtica a las diferentes reas
del negocio y en los distintos ni.eles organiacionales3 estos ser.icios %ueden ser e=ecutados
%or %ersonal e1terno y coordinados %or informtica.
E=em%los de ser.icios /rindadosA
Im%lantacin de soluciones de informacinA
1. "esarrollo de sistemas de informacin
2. :om%ra y adecuacin de a%licaciones
3. 8ases de datos
E.aluacin3 ad&uisicin3 instalacin y reem%lao deA
1. E&ui%os de com%uto y telecomunicaciones
2. !a&uetes de softCare
3. Bengua=es de %rogramacin
(antenimiento de los sistemas y e&ui%os
@o%orte a usuarios
1. :a%acitacin y asesora t)cnica
In.estigaciones so/re tecnologas 7e&ui%os; y a%licaciones en el mercado
!laneacin de informtica
Auditora en informtica
@o%orte a la alta direccin
Obser/aci$n3
!ara o/tener toda la informacin %osi/le so/re el diagnstico del negocio y de
informtica3 el auditor se a%oyara so/re cuestionarios detallados.
El diagnstico inicial del negocio refle=ar algunos %untos como el giro de la em%resa3
sus reas organiacionales3 %lanes y %royectos del negocio3 imagen de informtica ante la
alta direccin3 etc.
Bos as%ectos tecnolgicos3 administrati.os3 culturales y financieros3 entre otros3
/rindan al auditor en informtica un %anorama real del escenario donde desarrollar su
tra/a=o.
E=em%los de cuestionariosA
1; :uestionario de diagnstico actual ;as%ectos administrati.os de informtica;
Concepto Descripci$n Co'entarios
26
(isin de informtica 7solicitar organigrama;
#unciones
(acro%royectos de informtica
2/=eti.os de la funcin de informtica
!olticas referentes a cada funcin de

informtica
Mreas de o%ortunidad &ue se deri.an de

informtica
2; :uestionario de ca%acitacin9actualiacin 7diagnstico de informtica;

2 3 2+celente
4 3 4uena
5 3 5egular
D 3 Deficiente
E 8 6 "
@istemas estrat)gicos de
informacin
5om/re 7s;
7 ; 7 ; 7 ; 7 ;
@istemas tcticos de
informacin
5om/re 7s;
7 ; 7 ; 7 ; 7 ;
@istemas o%erati.os de
informacin dedicados a tareas
diarias y re%etiti.as
7o%eracin;
5om/re 7s;
7 ; 7 ; 7 ; 7 ;
27
3; :uestionario de ca%acitacin9actualiacin 7diagnstico de informtica;
2 3 2+celente
4 3 4uena
5 3 5egular
D 3 Deficiente
E 8 6 "
!rocesador de %ala/ras
5om/re 7s;
7 ; 7 ; 7 ; 7 ;
+o=as de clculo9graficadores
5om/re 7s;
7 ; 7 ; 7 ; 7 ;
Bengua=es9mane=ador de /ase
de datos
5om/re 7s;
7 ; 7 ; 7 ; 7 ;
!resentador9te1tos
5om/re 7s;
7 ; 7 ; 7 ; 7 ;
:orreo electrnico9control de
%royectos
5om/re 7s;
7 ; 7 ; 7 ; 7 ;
Interfase
5om/re 7s;
7 ; 7 ; 7 ; 7 ;
-1) tapa #e j"stificaci$n
?na .e finaliada la eta%a %reliminar3 el auditor en informtica de/e enfocar en la
siguiente fase donde se .a a dedicar a ela/orar un documento fundamental %ara la
a%ro/acin del %royecto.
*al documento contiene tres %roductos terminados &ue contem%lan las reas &ue se
auditarn 7matri de riesgo;3 el tiem%o sugerido %ara <acerlo 7%lan de auditora en
informtica; y el .isto /ueno 7com%romiso e=ecuti.o;.
Matri* #e ries(o3
El o/=eti.o %rinci%al es detectar las reas de mayor %eligro en relacin con informtica
y &ue re&uieren una re.isin formal y o%ortuna. E=em%los de las reas susce%ti/les a auditarA
Administracin de informtica 7misin3 organiacin3 ser.icios3 etc.;
?suarios de informtica 7comunicacin e integracin3 %royectos con=untos;
@istemas de informacin 7%laneacin3 desarrollo3 o%eracin;
(antenimiento 7<ardCare3 softCare3 telecomunicaciones;
6edes locales 7administracin3 instalacin3 o%eracin9seguridad;
@oftCare 7administracin y legaliacin de lengua=es de %rogramacin3 sistemas
o%erati.os;
@eguridad 7<ardCare3 softCare9a%licaciones;
28
In.estigacin tecnolgica 7metodologas3 t)cnicas3 <erramientas3 ca%acitacin;
!rocedimiento de anlisis y ela/oracin de la matriA
Es im%ortante identificar el ni.el de riesgo de cada uno de los elementos en el negocio
a tra.)s del diagnstico de la situacin actual de informtica. Bas reas &ue se .an a
diagnosticar %ueden .ariar seg>n el tama0o y estructura del negocio.
El auditor de/e utiliar los elementos de medicin y e.aluacin %osi/les sin caer en un
anlisis detallado3 ya &ue solo se trata de detectar la %ro/lemtica %rinci%al de cada rea.
@i se %roducen dificultades de considera/le im%ortancia de alg>n elemento e.aluado3
se de/en tomar acciones inmediatas %ara eliminar o minimiar el %ro/lema.
*am/i)n <ay &ue determinar el ni.el de riesgo &ue e1iste en cada rea de la funcin
de informtica3 ya &ue son susce%ti/les a una e.aluacin y control %ara asegurar &ue se
desarrolle de acuerdo con los estndares3 %olticas y %rocedimientos &ue se le asignaron
seg>n su funcin.
Plan #e a"#itor!a en infor'tica3
?na .e ela/oradas3 re.isadas y documentadas la matri de riesgos3 se %rocede a la
formulacin del %lan general de informtica3 &ue consiste en %lantear las tareas ms
im%ortantes &ue se e=ecutarn durante cierto %erodo al efectuar la auditora.
Este %lan se deri.a de los siguientes elementosA Mreas de o%ortunidad3 matri de
riesgos y las %rioridades de la alta direccin3 de auditora y de informtica.
El lder de %royectos de/eA
Estimar el tiem%o necesario %ara auditar cada rea determinada en la matri de riesgo
Analiar y definir los as%ectos ms rele.antes &ue se e.aluarn
Asignar %rioridades a cada rea %or re.isar o e.aluar
Esta/lecer fec<as estimadas de inicio y terminacin %or rea de re.isin
Esta/lecer fec<as de re.isin formales e informales
"efinir res%onsa/les directos %or eta%as de %royecto
Buego el %lan detallado se lle.a a ca/o3 %osteriormente3 en la eta%a de adecuacin.
Co'pro'iso ejec"ti/o
Es la ultima tarea de esta eta%a y su o/=eti.o %rinci%al es o/tener el .isto /ueno
7a%ro/acin; inicial de la alta direccin y dems res%onsa/les %ara continuar con el %royecto
de auditora en informtica.
-1+ tapa #e a#ec"aci$n
29
Esta eta%a es un con=unto de tareas estructuradas %ara &ue el %royecto de auditora
en informtica se ada%te a las necesidades de la em%resa estudiada3 %ero sin ol.idar la
referencia de los estndares3 %olticas y %rocedimientos de auditora &ue siem%re son
ace%tados y recomendados %or las asociaciones relacionadas con el %roceso.
A continuacin se mencionan los elementos &ue se de/en contem%lar antes de iniciar
formalmente la re.isin de las reas a%ro/adas en la eta%a anterior.
Objeti/os & re4"eri'ientos #e 5.ito por ca#a rea 4"e se a"#itar3
Buego de terminar las eta%as %reliminar y de =ustificacin3 el auditor en informtica
%odr definir me=or los o/=eti.os y re&uerimientos %articulares3 tomando como referencia la
matri de riesgo3 con el o/=eti.o de concluir e1itosamente la re.isin de las reas
mencionadas en el %lan de auditora en informtica.
E=em%los de los o/=eti.os y re&uerimientos %ara los usuarios de informticaA
Objeti/os #e a"#itor!a Re4"eri'iento #e 5.ito
Gerificar la %resencia de un comit) de
informtica9usuarios
:onocimiento satisfactorio de los usuarios
de informtica y sus funciones
Asegurar &ue e1ista una comunicacin
formal al final de %royecto
:onocimiento de los ser.icios &ue %resta
informtica
:om%ro/ar &ue <aya un seguimiento A%oyo a la alta direccin en el desarrollo de
la auditora en informtica
Act"ali*aci$n #el plan (eneral
@a/iendo &ue en el %royecto3 a medida &ue a.ana surgen cancelaciones3 %rioridades3
re&uerimientos3 e1%ectati.as3 nue.os in.olucrados3 etc. el auditor se encuentra o/ligado a
actualiar el %lan de tra/a=o y detallar fec<as3 tiem%os3 resultados es%erados3 funciones y
res%onsa/ilidades3 as como estimar gastos y el numero de %ersonas de las reas usuarias y
de informtica &ue %artici%arn en el %royecto.
As3 ya es %osi/le estimar3 con /astante %recisin3 los as%ectos o com%onentes &ue se
de/en e.aluar %or cada rea de informtica durante el desarrollo de la eta%a de adecuacin.
Plan #etalla#o #el pro&ecto #e a"#itor!a en infor'tica
Es una de las tareas ms im%ortantes de la eta%a de adecuacin3 ya &ue en ella se
define cada detalle de los elementos del %royectoE se es%ecifican las tareas3 %roductos
terminados3 res%onsa/les3 fec<as3 etc.3 &ue sern .alidados y a%ro/ados en la eta%a de
formaliacin %ara arrancar el %royecto.
+ay dos ti%os de %lanes detallados con orientacin diferente y o/=eti.o com>nA
30
!lan internoA Be corres%onde al lder de %royecto y su %ro%sito es <acer un
seguimiento interno a las tareas y res%onsa/ilidades de los auditores en informtica.
!lan detallado de auditoria en informtica3 @e es%ecifica el detalle emanado del %lan
general de auditora en informtica definido en la fase de =ustificacin. Bos datos
mencionados en este %lan %retenden ser gua del %royecto de auditora desde el %unto de
.ista del cliente3 ya &ue descri/en tareas3 %roductos terminados3 res%onsa/les3 in.olucrados3
fec<as de re.isin3 etc.
Definici$n #e t5cnicas & 2erra'ientas
Esta es una %arte muy im%ortante y estrat)gica %ara el /uen desem%e0o de la
auditora en informtica &ue consiste en definir las t)cnicas y <erramientas necesarias y
fundamentales %ara re.isar eficientemente cada rea seleccionada.
?n claro e=em%lo son los softCare &ue incluyen un con=unto de t)cnicas como anlisis3
documentacin3 muestreo3 etc.3 resultan elementos indis%ensa/les %ara asegurar la calidad y
confia/ilidad de la auditora.
Ba e1%eriencia %rofesional &ue se <aya o/tenido en cada una de las reas 7desarrollo3
telecomunicaciones3 mantenimiento3 /ase de datos3 seguridad3 etc.; <ace ms .ia/le la
auditora como la definicin de soluciones.
A#ec"aci$n a la alta pol!tica #e e'presa
*odas las tareas realiadas %or la auditora en informtica de/en cum%lir con los
estndares3 %olticas y %rocedimientos esta/lecidos %or las asociaciones %rofesionales
relati.as a la mismaE tam/i)n se cum%lirn con los de las em%resas donde se %reste el
ser.icio durante la gestin de auditoria.
"ic<as asociaciones integradas %or %rofesionales de gran e1%eriencia y conocimiento
en el cam%o &ue se enfocan a esta/lecer3 formaliar3 difundir y recomendar la a%licacin de
los estndares3 %olticas y %rocedimientos ms con.enientes a las necesidades actuales y
futuras del rea de es%ecialiacin a la &ue se dedican.
"efinido y detallado el %lan3 el auditor %roceder con o/=eti.idad y disci%lina a
esta/lecer referencias cruadas entre los estndares3 %olticas y %rocedimientos
generalmente ace%tados y cada uno de los com%onentes de informtica &ue se auditarn.
laboraci$n #e c"estionarios
?n con=unto de cuestionarios %articulares com%lementan el tra/a=o del auditor durante
el desarrollo de su e.aluacinE de los mismos deri.an entre.istas3 .isitas a los centros de
cm%uto o de%artamentos usuarios.
Bos cuestionarios re%resentan una <erramienta de gran .alor %ara el auditor en
informticaE se estructuran de manera &ue funcionan como gua %ara .erificar la confia/ilidad
de la informacin del %ersonal entre.istadoE adems3 %ermiten %erci/ir el grado de
cum%limiento de estndares3 %olticas y %rocedimientos &ue generalmente son ace%tados.
31
-1, tapa #e for'ali*aci$n
Bas eta%as anteriores /rindan en con=unto3 al auditor3 un %anorama de la situacin de
la em%resa y de la funcin de informticaE en ellas se detectaron las de/ilidades y fortaleas
ms rele.antes3 tam/i)n se defini la %laneacin y %royeccin de las reas &ue re&uieren ser
auditadas3 y se documentaron las adecuaciones.
En esta eta%a corres%onde a la alta direccin dar su a%ro/acin y a%oyo formal %ara el
desarrollo del %royecto de auditora 7%resentado %or el lder de %royectos y el res%onsa/le de
auditora en informtica;3 de manera tal &ue3 su funcin es =ustificar el desarrollo del %royecto
/asndose en lo &ue se <io en las eta%as anteriores.
1; Gerificacin de %rioridades3 restricciones y alcances del %royectoA
Ba .erificacin3 .alidacin3 clasificacin y documentacin de las %rioridades3
restricciones y alcances del %royecto tienen un alto .alor %ara el auditor en informtica3 ya
&ue mediante su realiacin se clarifica el rum/o3 lmites y co/ertura &ue tendr el %royecto.
Es recomenda/le &ue el auditor documente lo e1%uesto en las reuniones o entre.istas3
donde se mencionen los %untos tratados y las conclusiones. N %ara &ue tenga mas .alide el
documento3 se necesita las firmas de conformidad de cada %artici%ante.
!rioridadesA @on las acciones &ue de/en lle.arse a ca/o antes &ue las dems sugeridas
%ara el %royecto. !or e=em%lo3 la urgencia de me=orar alg>n <ec<o &ue %er=udica en
alto grado al negocio.
6estriccionesA @on los <ec<o o circunstancias &ue no se identifican con facilidad y &ue
ocurren o %ueden ocurrir durante el transcurso de la auditora y &ue afectan directa
o indirectamente al %royecto. Keneralmente don limitaciones o carencias &ue no se
%odran resol.er de inmediato o a lo largo del %royecto3 %or e=em%lo el /a=o
%resu%uesto %ara asignar recursos al %royecto.
AlcanceA A&u se aclara &ue se realiar en el %royecto 7tareas3 eta%as; y los resultados
7%roductos terminados;. Bo &ue no se mencione a&u no se o/tendr durante el
%royecto.
2; !resentacin formal del %lan de auditora en informticaA
Esta tarea es la ms im%ortante %ara el lder del %royecto y el res%onsa/le de la
auditora en informtica3 ya &ue se =ustificara la continuidad del %roceso. Bas acti.idades
fundamentales del res%onsa/le de esta tarea sonA
Asegurarse de contar con toda la informacin resumida y %resenta/le3 ya &ue su %rinci%al
audiencia ser la alta direccin.
6e.isarla y .erificarla con este >ltimo.
32
:oncertar en una cita en una fec<a y lugar a%ro%iados.
@er fluido3 claro y contundente en la %resentacin.
Asegurar el entendimiento de la audiencia de los datos %resentados.
3; A%ro/acin formal del %royectoA
Esta no es una tarea &ue demande muc<o tiem%o a %esar de ser una de las ms
im%ortantes3 ya &ue en ella surge la a%ro/acin formal del %royecto de auditora.
"ado el .isto /ueno de los in.olucrados3 la res%onsa/ilidad de la funcin de auditora
en informtica es mas clara y e.idente.
4; :om%romiso e=ecuti.oA
?na .e terminada la tarea anterior3 el siguiente %aso es lograr &ue la alta direccin3
los usuarios cla.e3 el res%onsa/le de informtica y el de la auditora se com%rometan a lo
largo del %royecto3 desde ese momento <asta el desarrollo e im%lantacin de las acciones
recomendadas %or auditora en informtica en su informe final.
-1- tapa #e Desarrollo e I'plantaci$n
En esta eta%a3 el auditor en informtica .a a e=ercer su funcin de manera %rctica3 es
decir3 comiena a e=ecutar sus tareas con %rofesionalismo3 )tica %ersonal y a%licando sus
conocimientos y e1%eriencias3 de acuerdo con el %lan a%ro/ado en la eta%a anteriorE con el
fin de o/tener un %roducto final de calidad y /eneficios tangi/les %ara el negocio.
Esta #ase com%rende los siguientes %untos e1%licados %aso %or %asoA
"oncertaci!n de fec#asA
#ec<as de entre.istas3 de .isitas y de a%licacin de cuestionarios. Ba accin es inmediata
y <ay &ue corro/orar las fec<as a%ro/adas o actualiadas. Bas .isitas se realian con el
o/=eti.o de .alidar el uso de %olticas y %rocedimientos de seguridad y control3 como el
registro de acceso a centros de cm%uto y reas en donde e1iste documentacin o
tecnologa im%ortante %ara el negocio.
@e solicita al res%onsa/le de informtica una lista con los nom/res3 %uestos y
de%artamentos del %ersonal de informtica y de las reas usuarias in.olucradas en el
%royecto.
$erificaci!n de las tareas y productos involucradosA
El %ersonal in.olucrado tam/i)n de/e ser re.isado al igual &ue tareas y %roductos. @e
.erifica si la tarea anterior alter el orden de las acciones mencionadas en el %lan detallado3 y
33
<ay &ue asegurar &ue los cam/ios sean mnimos y de /a=o im%acto en el %lan. *am/i)n se
tienen &ue documentar los cam/ios necesarios y =ustificados.

"lasificar t%cnicas y #erramientasA
Gerificar la lista de m)todos3 t)cnicas y <erramientas sugeridas %or el rea auditada3 =unto
con los cuestionarios sugeridos con el o/=eti.o de asegurar &ue sean los re&ueridos %ara
cada rea &ue se auditar. Actualiar cuestionarios solo si es necesario3 y ela/orar la
entre.ista con /ase en la e1%eriencia3 cuestionarios y necesidades del %royecto.
Reali&aci!n de entrevistas y cuestionarios'
Efectuar cada una de las entre.istas en las fec<as y <oras %laneadas y a%licar cada uno
de los cuestionarios en las fec<as %laneadas. 7siem%re <ay &ue documentar todo los
<ec<os;. 2/tener a%oyo re&uerido 7re%ortes3 co%ias3 documentos fuente3 entre otros;.
6egistrar entre.istas y cuestionarios %endientes.
Efectuar visitas para la verificaci!n'
+acer .isitas a centros de cm%utos o a los usuarios de informtica. 5otificar la .isita a
los re%resentantes de dic<o de%artamento. 6egistrar la informacin ms rele.ante y o/tener
el so%orte re&uerido. 6egistrar .isitas %endientes.
Ela(oraci!n de informes preliminaresA
!or lo general son de largo %lao y su informacin es sacada detalladamente de las .istas
realiadas3 comentarios documentados y %re.iamente analiados. Buego se ela/ora
o/ser.aciones y conclusiones de cada uno de los com%onentes y reas auditadas y llenar la
<o=a de resumen de o/ser.aciones y recomendaciones de la auditora informtica.
Revisi!n de estos informes'
@e tiene &ue .erificar detalladamente cada rea com%rendida con la ayuda de /orradores
re.isados. Asegurarse de registrar %or escrito el so%orte re&uerido %ara .alidar cada una de
las o/ser.aciones 7co%ias de re%orte3 documentos fuente3 etc.;. N %or ultimo3 concertar citas
con el res%onsa/le de informtica y los usuarios %ara sacar conclusiones.
"lasificaci!n y documentaci!n de los informes) para su correcta lectura'
6egistrar de manera formal cada o/ser.acin3 conclusin y recomendacin sugerida3
re.isada y a%ro/ada y luego clasificar la informacin %or com%onente de rea auditada.
*inali&aci!n de tareas o productos pendientes'
34
@e analiar la informacin emanada de cada entre.ista3 .isita o cuestionario3 y luego
actualiar3 documentar y clasificar el informe de la auditora.
Ela(oraci!n del informe final de la auditora en inform+tica'
Ela/orar un informe orientado a la alta direccin y otro mas detallado 7&ue contenga
antecedentes3 o/ser.aciones3 recomendaciones3 etc.; %ara el res%onsa/le de informtica y
los usuarios cla.e.
,resentaci!n a la alta direcci!n e involucrados clave'
@e de/e .erificar &ue los informes sean claros3 com%letos y congruentes entre s.
:om%ro/ar &ue se encuentre con el so%orte documentado de lo mencionado en los informes
y formaliar la fec<a de la %resentacin de informes a la alta direccin.
Apro(aci!n del proyecto y compromiso ejecutivo'
@e o/tiene la a%ro/acin y el com%romiso formal de la alta direccin %ara luego ela/orar
un %lan de im%lantacin general de acciones sugeridas y clasificadas %or %laos sugeridos.
Buego se %resenta el costo /eneficio del %lan a seguir. N %or ultimo se delega a informtica y
las reas usuarias la im%lantacin de las acciones recomendadas.
En este momento nos encontramos en la eta%a media del %roceso de la auditora. Ba
eta%a de formaliacin ya se encuentra determinada3 y la eta%a de desarrollo se encuentra
en e=ecucin3 %ara %asar luego a la eta%a de im%lantacin.
Esta es la ms im%ortante %ara los in.olucrados en el %royecto de auditora en
informtica3 ya &ue termina la tarea de los auditores y comiena %ara los res%onsa/les de las
reas usuarias y de informtica. Ellos e=ecutaran las acciones recomendadas en los informes
detallados y a%ro/ados %or la alta direccin. Ba funcin del auditor se con.ierte as en una
la/or de seguimiento y a%oyo.
Bos elementos cla.e de la eta%a de im%lantacin sonA
"efinicin de re&uerimientos %ara el )1ito de la eta%a de im%lantacin 7la e=ecuta el
res%onsa/le de informtica;A
@e analian algunos as%ectos 7recursos <umano3 materiales tecnolgicos3 in.ersiones3
etc.; &ue se necesitan %ara e=ecutar las acciones recomendadas en los %laos acordados
anteriormente.
"esarrollo del %lan 7tam/i)n a cargo del res%onsa/le de informtica;A
@e documentan dic<os re&uerimientos y3 de ser necesario3 solicitar la a%ro/acin de la
alta direccin.
35
Im%lantacin de las acciones sugeridas %or auditoria en informtica 7res%onsa/le de inf.;A
1; !rimero <ay &ue .erificar &ue se cuente con los recursos estimados en la tarea
anterior.
2; :onsultar los informes %ara .erificar acciones y tiem%os de terminacin
3; Ela/orar un %lan de im%lantacin &ue tengaA
- *areas
- !roductos terminados
- 6es%onsa/les e in.olucrados
- #ec<as de inicio y t)rmino
- #ec<as de re.isin
- Gerificar tareas3 %roductos terminados3 etc. del %lan de im%lantacin
- E=ecutar cada una de las tareas
@eguimiento a la im%lantacin 7esta tarea le corres%onde al auditor en informtica;A
*iene &ue solicitar el %lan de im%lantacin %ara re.isar su congruencia con los informes
de la auditora en informtica. Buego com%ro/ar el cum%limiento formal de las tareas en
los tiem%os y formas &ue considere con.enientes %ara asegurar resultados. "ocumentar
de/ilidades y anomalas rele.antes. N %or ultimo3 sugerir acciones %ara el cum%limiento
o%ortuno de la im%lantacin al ni.el &ue se considere %ertinente.
:1: Presentaci$n #el infor'e final
Ba funcin de la auditora se materialia e1clusi.amente %or escrito. !or lo tanto la
ela/oracin del informe final es el e1%onente de su calidad. 6esulta e.idente la necesidad de
redactar /orradores e informes %arciales %re.ios al informe final3 los &ue son elementos de
contraste entre o%inin entre auditor y auditado y &ue %ueden descu/rir fallos de a%reciacin
en el auditor.
Estructura del informe final
El informe comiena con la fec<a de comieno de la auditora y la fec<a de redaccin
del mismo. @e incluyen los nom/res del e&ui%o auditor y los nom/res de todas las %ersonas
entre.istadas3 con indicacin de la =efatura3 res%onsa/ilidad y %uesto de tra/a=o &ue ostente.
El informe tiene es%ecial im%ortancia %or&ue en el <a de resumirse la auditora
realiada. @e destina e1clusi.amente al res%onsa/le m1imo de la em%resa3 o a la %ersona
concreta &ue encargo o contrato la auditora. As como %ueden e1istir tantas co%ias del
informe final como solicite el cliente3 la auditora no <ar co%ias del citado informe.
36
Pre("ntas sobre trabajo prctico
A"#itor!a en infor'tica3
1; <Tra#icional'ente% antes #e la #if"si$n 'asi/a #e la infor'tica% los siste'as #e
infor'aci$n #aban soporte a operaciones & a#'inistraci$n #e 4"e reas o
#eparta'entos & por4"5 s"r(i$ la necesi#a# #e a"#itar los siste'as #e
infor'aci$n =
2riginalmente la informtica se orient al a%oyo de reas tales como conta/ilidad3
li&uidacin de sueldos3 etc.3
Ba necesidad de auditar los sistemas de informacin surgi a %artir de la necesidad de
conocer y medir el a%oyo &ue la informtica realia/a en las reas antes mencionadas3 y a la
em%resa en general3 as se origin el %roceso conocido como Auditora a sistemas de
informacin o Auditoria de sistemas.
P(ina + Trabajo prctico
P(ina 1 A"#itoria en info'tica >ernan#e* 6/er biblio(raf!a;1
37
); <C"l f"5 la ra*$n por la c"al se /ieron #esbora#as las tareas #e los responsables
#e infor'tica & los a"#itores #e siste'as=
Ba ran es &ue la informtica %as a formar %arte de toda organiacin y el uso de
com%utadoras %ersonales3 redes locales de com%utadoras3 etc.3 se difundi a lo largo de toda
la em%resa3 la informtica tam/i)n da a%oyo a la relacin entre em%resas a tra.)s de redes
4A5 y tam/i)n en la actualidad a tra.)s de I5*E65E* 7828 9 82:3 etc.;
"e este modo la tarea de los res%onsa/les de informtica y los auditores de sistemas
tradicionales se .io des/ordada %or estos acontecimientos y les im%osi/ilit continuar con los
m)todos utiliados <asta ese entonces.
P(ina + #el trabajo prctico
P(ina ) ? + 6Un poco #e 2istoria111; #el libro
+; Mencione al("nas consec"encias ne(ati/as 4"e s"elen s"ce#er en "na
or(ani*aci$n co'o consec"encia #e la falta #e a"#itor!a infor'tica1
Ba im%roducti.idad3 el mal ser.icio3 rec<ao de usuarios a los sistemas de informacin
y la carencia de soluciones totales de la funcin de informtica3 fueron3 son y %ueden
continuar siendo mal de muc<as organiaciones.
Pa(ina + @ , #el trabajo prctico
P(ina : libro
,; <Por4"e es necesario reali*ar a"#itorias #e la f"nci$n #e infor'tica=
Ba tecnologa informtica 7<ardCare3 softCare3 redes3 /ases de datos3 etc.; es una
<erramienta estrat)gica &ue /rinda renta/ilidad y .enta=as com%etiti.as a los negocios frente
a otros negocios similares en el mercado3 %ero %uede originar costos y des.enta=as si no es
/ien administrada %or el %ersonal encargado.
Ba solucin clara es entonces realiar e.aluaciones o%ortunas y com%letas de la
funcin informtica3 a cargo de %ersonal calificado3 consultores e1ternos3 auditores en
informtica o e.aluaciones %eridicas realiadas %or el mismo %ersonal de informtica.
@urge entonces la o/.ia necesidad de auditar la funcin informtica3 ya &ue resulta
innega/le &ue la misma se <a con.ertido en una <erramienta %ermanente y necesaria de los
%rocesos %rinci%ales de los negocios3 en un aliado confia/le y o%ortuno.
P(ina , 6I'portancia #e11; trabajo prctico
P(ina : libro
-; <8"5 es infor'tica=
38
Ba informtica es el cam%o &ue se encarga del estudio y a%licacin %rctica de la
tecnologa3 m)todos3 t)cnicas y <erramientas relacionados con las com%utadoras y el mane=o
de la informacin %or medios electrnicos3 el cual com%rende las reas de la tecnologa de
informacin orientadas al /uen uso y a%ro.ec<amiento de los recursos com%utacionales %ara
asegurar &ue la informacin de las organiaciones fluya 7entidades internas y e1ternas de los
negocios; de manera o%ortuna y .era
P(ina - trabajo prctico
P(ina A libro
:; <8"e es la a"#itoria tra#icional & 4"e aspectos e/alBa=
Es un %roceso formal y necesario %ara las em%resas &ue tiene como fin asegurar &ue
sus acti.os sean %rotegidos en forma adecuada. Asimismo3 la alta direccin es%era &ue de
los %royectos de auditora sur=an las recomendaciones necesarias %ara &ue se lle.en a ca/o
de manera o%ortuna y satisfactoria las %olticas3 controles y %rocedimientos definidos
formalmente3 con o/=eto de &ue cada indi.iduo o sector de la organiacin o%ere de modo
%roducti.o en sus acti.idades diarias3 res%etando las normas generales de <onestidad y
tra/a=o ace%tadas.
P(ina C #el trabajo prctico
P(ina 1+ libro
C; <8"5 es a"#itoria en infor'tica=
Es un %roceso formal e=ecutado %or es%ecialistas del rea de auditora y de informtica
cuyo o/=eti.o es el de .erificar y asegurar &ue las %olticas y %rocedimientos esta/lecidos
%ara el mane=o y uso adecuado de la tecnologa de informtica en la organiacin se realicen
de manera eficiente y efica.
P(ina C #el trabajo prctico
P(ina 1, libro
D; Defina a"#itor!a infor'tica en f"nci$n #e proceso 'eto#ol$(ico & rec"rsos 4"e
e/al"a
!roceso metodolgico &ue tiene el %ro%sito %rinci%al de e.aluar los recursos 7<umanos3
materiales3 financieros3 tecnolgicos3 etc.; relacionados con la funcin de informtica %ara
garantiar al negocio &ue dic<o con=unto o%ere con un criterio de integracin y desem%e0o
de ni.eles altamente satisfactorios3 %ara &ue a su .e a%oyen la %roducti.idad y renta/ilidad
de la organiacin.
P(ina D trabajo prctico
P(ina 1+ libro
A; <n 4"e ni/el #el or(ani(ra'a #e "na e'presa es reco'en#able "bicar al sector o
f"nci$n #e a"#itoria en infor'tica =
39
Es recomenda/le u/icar la funcin de auditora en informtica en un ni.el organiacioD
nal &ue le asegure la inde%endencia y so%orte re&uerido de la alta direccin3 con la finali dad
de &ue su desem%e0o sea confia/le y eficiente.
P(ina A prrafo + #el trabajo prctico
P(ina 1+ libro
1E;8"5 objeti/os b"sca la (erencia al "bicar a la a"#itor!a info'r'tica en "na alta
posici$n #entro #e la or(ani*aci$n=
$ue los auditores cuenten conA
Inde%endencia funcional.
Bi/ertad de accin.
#acultad %ara la toma de decisiones.
5egociacin con los ni.eles gerenciales.
!artici%acin en %royectos de alto im%acto en el negocio.
P(ina A #el trabajo prctico
P(ina +E #el libro
11; <C"l es la #if"si$n act"al #e la f"nci$n #e a"#itoria en infor'tica=
En la actualidad e1iste muy %oca difusin y menor ace%tacin %or %arte de las
em%resas so/re la necesidad de contar con una funcin de auditora en informtica.
P(ina 1E #el trabajo prctico
P(ina +E #el libro
1);P"e#e a"'entar la necesi#a# o #if"si$n #e la f"nci$n #e a"#itoria en infor'tica=
@i3 es facti/le %ronosticar3 con un alto grado de certidum/re3 &ue el crecimiento
acelerado de las in.ersiones y %royectos de informtica3 donde se in.olucran todas las
em%resas3 forar a &ue se tome una decisin al res%ecto3 aun&ue a la auditora en
informtica se le denomine aseguramiento de calidad3 e.aluacin de informtica o
auditora de sistemas y sea e=ercida %or %ersonal e1terno o interno.
P(ina 11 #el trabajo prctico
P(ina +E #el libro
1+;<8"e si(nifica planificar=
40
,lanificar es esta/lecer3 en funcin del tiem%o3 a tra.)s de un enfo&ue metodolgico3
la distri/ucin de tareas y la asignacin de recursos in<erentes a un %royecto3 de manera de
cum%lir con el o/=eti.o del mismo3 de la me=or manera %osi/le.
Cap!t"lo + Te'a Planificar 6P( D ;
1,;<C"les son los beneficios #e planificar=
Ba %lanificacin %ermitir controlar el estado de a.ance de las acti.idades3 %ara el %osterior
a=uste de las tareas &ue no se desarrollen de la manera %laneada y de )sta forma %ongan en
%eligro el )1ito del %royecto.
El mas im%ortante de los /eneficios3 es %oder asegurar con alto grado de credi/ilidad a
e=ecuti.os y em%resarios3 cunto in.ertirn y cunto o/tendrn de /eneficio %or un %royecto.
Cap!t"lo + Te'a Planificar 6P( A ;
1-;<n 4"e consiste la planeaci$n en infor'tica=
:onsiste en el %roceso de identificar el con=unto de %royectos relacionados con dic<a funcin3
y desarrollar el %lan de tra/a=o %ara cada uno de ellos. :ada %royecto de/e estar orientado a
o/=eti.os y estrategias es%ecficos de acuerdo al ti%o de organiacin.
Cap!t"lo + Te'a Planeaci$n en Infor'tica 6P( 1E ;
1:;<C"les son las tareas bsicas #el proceso #e planeaci$n en infor'tica=
Bas cuatro tareas /sicas sonA
Ba determinacin de reas a%oyadas %or informtica
Ba ela/oracin del %lan de informtica
Ba %resentacin del %lan a la alta direccin
Ba e=ecucin del %lan de informtica
Cap!t"lo + Te'a Planeaci$n en Infor'tica 6P( 11 ;
1C;<n 4"e consiste la planeaci$n en a"#itor!a=
:onsiste en la definicin de un con=unto de %royectos de e.aluacin y .erificacin de
%olticas3 controles y %rocedimientos in<erentes a las reas administrati.as3 financieras3
o%erati.as3 etc.
Cap!t"lo + Te'a Planeaci$n en A"#itor!a 6P( 1) ;
1D;<C"les son las /entajas #el "so #e "n proceso 'eto#ol$(ico en la a"#itor!a en
Infor'tica=
41
El uso de un %roceso de tra/a=o metodolgico y estndar en la funcin de auditora en
informtica genera las siguientes .enta=asA Bos recursos orientan sus esfueros a la
o/tencin de %roductos y ser.icios de calidad3 con caractersticas y re&uisitos comunes %ara
todos los res%onsa/les.
Bas tareas y %roductos terminados de los %royectos se encuentran definidos y forD
maliados en un documento al alcance de los auditores en informtica3 tam/i)n se facilita en
alto grado la administracin y seguimiento de los %royectos3 %ues la metodologa o/liga a la
%laneacin detallada de cada %royecto /a=o criterios estndares.
Esto facilita la su%eracin %rofesional y <umana de los indi.iduos3 ya &ue orienta los
esfueros <acia la es%ecialiacin3 res%onsa/ilidad3 estructuracin y de%uracin en las
funciones del auditor en informtica.
Es un com%lemento cla.e en el desarrollo de cada indi.iduo3 %ues su formal seguiD
miento3 aunado a las <a/ilidades3 normas y criterios %ersonales3 coadyu.a al cum%limiento
e1itoso de los %royectos de auditora en informtica.
El %roceso de ca%acitacin o actualiacin en el uso de un %roceso metodolgico es
ms gil y eficiente3 dado &ue se tra/a=a so/re tareas y %autas %erfectamente definidas.
1A;<n 4"5 se basa el 5.ito #el proceso 'eto#ol$(ico=
6e&uisitos %ara el )1ito del %roceso metodolgicoA A%ro/acin de la metodologa %or
la alta direccin =unto a los re&uerimientos es%ecficos del negocio como documentacin o
actualiacin de la metodologa.
Ba :a%acitacin formal en el uso de la metodologa 7de acuerdo con el %erfil y ni.el de
%artici%acin de cada indi.iduo in.olucrado;3 es otro factor im%ortante %ara determinar el
)1ito. Ba ela/oracin de los %lanes de auditora en informtica seg>n la metodologa
.erificando el uso formal de la metodologa en cada %royecto.
Actualiar el %ersonal nue.o o cuando se lle.en a ca/o actualiaciones rele.antes a la
metodologa.
)E; <C"les son las etapas #e la 'eto#olo(!a=
Preli'inar 6Dia(n$stico;A @e define el 5egocio y rele.a la Informtica.
7"stificaci$n3 @e estudian las Areas a auditar siguiendo el !lan %ro%uesto.
A#ec"aci$n3 @e /uscan y estudian ()todos3 *)cnicas y +erramientas.
For'ali*aci$n3 A%ro/acin de %lan y del %royecto %ara determinar el Arran&ue.
Desarrollo3 @e lle.an a ca/o las Entre.istas3 Gisitas3 2/ser.aciones y 6ecomendaciones
mientras se desarrola el Informe de Auditora.
I'plantaci$n3 @e im%lementan las Acciones :orrecti.as y %re.enti.as estudiadas
anteriormente mientras se <ace un @eguimiento continuo de su transcurso en el tiem%o y
como afectan al sistema.
Re/isi$n Infor'al3 @e .uel.e a re.isar y estudiar el sistema %ara .erificar cam/ios3
falencias3 me=oras y cum%limiento del %lan acordado.
Re/isi$n For'alA @e .uel.e a estudiar el sistema ms detalladamente3 documentando todas
e.aluaciones del mismo.
Aprobaci$n Final 3 @e realia la a%ro/acin final %or los e=ecuti.os de la em%resa auditada.
42
)1;<C"les son los conceptos% 2abili#a#es & actit"#es para lle/ar acabo la A"#itor!a
en Infor'tica=
"ominio de los conce%tos t)cnicos y administrati.os
+a/ilidades in<erentes a la auditoria en informtica.
5ormas %ersonales.
Entendimiento de la auditora en informtica y sus tendencias.
Ada%tacin o actualiacin seg>n el medio dominante.
Administracin formal de la auditora en informtica en el negocio.
In.olucramiento formal en los %rocesos de %laneacin del negocio3 informtica y de la
auditora tradicional.
"esarrollo de un %roceso formal de %laneacin de auditoria en informtica.
Entendimiento y a%licacin de un %roceso metodolgico formal de la auditoria e informtica.
Gocacin %rofesional %or la auditora en informtica 7es un re&uisito moral3 no una %oltica
organiacional;.
!artici%acin formal Den la medida de lo %osi/leD en las asociaciones3 institutos educati.os3
etc.3 con fines de actualiacin o de com%artir las e1%eriencias %rofesionales ad&uiridas en el
cam%o de la auditoria en informtica.
Entendimiento satisfactorio de los m)todos3 t)cnicas y <erramientas necesarios %ara auditar.
2tros &ue de%enden de las caractersticas de la organiacin en &ue se desarrolle la funcin
de auditora en informtica.
?no de los factores %rimordiales %ara &ue el auditor en informtica o/tenga un desem%e0o
eficiente en su tra/a=o es el conocimiento y a%licacin de los m)todos3 t)cnicas y
<erramientas com>nmente ace%tados %ara la informtica en los negocios o asociaciones.
En la medida en &ue el auditor en informtica %osea e1%eriencia y conocimientos
actualiados so/re los diferentes as%ectos &ue e.aluar3 o/tendr resultados %o/res o
e1itosos en la organiacin donde tra/a=a.
));<8"5 es "na 'eto#olo(!a #e la a"#itor!a en Infor'tica=
?na metodologa es el %roceso formal %or el cual un auditor en Informtica llega a su
o/=eti.o siguiendo un camino estructurado %or el &ue arri/e a los resultados es%erados %or la
em%resa3 siguiendo un %lan.
:on lo cual se facilita si los auditores en informtica cuentan con una metodologa3 &ue
esta se oriente en cada %royecto a una e=ecucin armoniosa y %laneada en cada una de las
tareas y acti.idades in.olucradas. Es%ecifica el &u)3 cmo3 cundo3 &ui)n y &u) de los
siguientes %untosA
6oles y res%onsa/ilidades de auditora en informtica3 %ersonal de informtica y usuarios
de sistemas de informacin y <erramientas de tecnologa.
6e&uerimientos %ara el logro e1itoso del %royecto de auditora en informtica.
Eta%as de cada %royecto.
6e&uerimientos %ara el )1ito del %royecto.
*areas y %roductos terminados 7%or eta%a y %royecto;.
*)cnicas y <erramientas.
43
)+;<8"5 es Cobit=
:28I*3 I2/=eti.os de :ontrol %ara la Informacin y la *ecnologa relacionadaJ3 es un marco
de tra/a=o 7#rameCorH; Es%ecialmente desarrollado %ara la auditora en Informtica. Ba
misin y 2/=eti.os de :28I* sonA In.estigar3 "esarrollar3 !u/licitar y %romocionar 2/=eti.os
de :ontrol de I* 7*ecnologas de Informacin; internacionales3 actualiados a la realidad
actual %ara ser usado %or los Kerentes de 5egocios y Auditores.
),;<C"les son los libros 4"e confor'an el 'arco #e Cobit=
11 l Res"'en jec"ti/o consiste de una Gisin E=ecuti.a3 la cual %ro.ee a la
Administracin un entendimiento de los %rinci%ios y conce%tos cla.es de :28I* y el marco
&ue %ro.ee a la Administracin con ms detalle y entendimiento de :28I* y define cuatro
dominios con sus corres%ondientes %rocesos de *I3 34 en total.
2. l 'arco descri/e en detalle los 34 2/=eti.os de :ontrol de *I a un ni.el macro3 e
identifica los re&uerimientos del negocio %ara la informacin e im%actos %reliminares de
recursos de *I %ara cada o/=eti.o de control.
Bos o/=eti.os de control contienen declaraciones de los resultados deseados o %ro%sitos a
ser alcanados %ara la im%lementacin de 3L2 o/=eti.os de control es%ecficos a tra.)s de
los 34 !rocesos de *I.
3. Fas G"!as #e A"#itor!a3 las cuales contienen %asos de auditora sugeridos
corres%ondientes a cada uno de los 34 2/=eti.os de :ontrol macro %ara asistir a los
auditores de sistemas de informacin en re.isar los %rocesos de *I =unto a los 3L2 detalles
de o/=eti.os de control %ara %ro.eer seguridad a la administracin y9o aconse=ar sus me=oras.
4. ?na >erra'ienta #e i'ple'entaci$n3 la cual contiene el :onocimiento de la
Administracin y "iagnstico de :ontrol de *I3 una Kua de Im%lementacin3 #A$3 casos de
estudio de organiaciones actualmente usando :o/it3 y %resentaciones &ue %ueden ser
usadas %ara introducir :28I* dentro de la organiacin. Esta nue.a <erramienta es
dise0ada %ara facilitar la im%lementacin de :28I*3 relacionar sesiones a%rendidas desde
organiaciones &ue r%idamente y e1itosamente a%licaron :28I* en sus am/ientes de
tra/a=o.
)-;<C"les son los aspectos co'ple'entarios #e la Meto#olo(!a=
!ara el )1ito de los %royectos de auditoria en informticaE adems3 se re&uiere un /uen
dominio y uso constante de los siguientes as%ectos com%lementariosA
*)cnicas
+erramientas de %roducti.idad
+a/ilidades %ersonales
:onocimientos t)cnicos y administrati.os
E1%eriencia en los cam%os de auditora e informtica
:onocimiento de los factores del negocio y del medio e1terno al mismo
Actualiacin %ermanente
:omunicacin constante con asociaciones nacionales e internacionales relacionadas.
44
):;<Por 4"5 se #ebe "tili*ar "na 'eto#olo(!a para reali*ar "na a"#itor!a en
infor'tica=
Es im%rescindi/le %ara seguir una metodologa3 &ue se siga un %roceso formal %ara
diagnosticar el so%orte real de informtica en cada %roceso del negocio y el estado de
informtica. *am/ien %ara Asegurar continuidad en o%eraciones y el a%oyo en la calidad de
informtica.
Este entorno ayuda al auditor a esta/lecer las %olticas3 controles y %rocedimientos de
la informtica3 %ara orientar <acia el cum%limiento de estndares definidos a ni.el nacional e
internacional. Al seguir una metodologa es %osi/le asesorar a los administradores de
informtica %ara o/tener una me=ora continua esta/leciendo un es&uema de seguridad y
control en informtica.
)C;n"'ere las etapas #e la 'eto#olo(!a #e la a"#itor!a en infor'tica1
Eta%a %reliminar
Eta%a de =ustificacin
Eta%a de adecuacin
Eta%a de formaliacin
Eta%a de desarrollo e im%lantacin
!resentacin del Informe final
P(inas )CH+D T1P1
P(inas C-H1,A libro

)D;<8"e es la etapa preli'inar o #ia(n$stico en "na a"#itor!a en infor'tica=
Es el %rimer %aso &ue tiene el auditor en informtica dentro de las em%resas o
instituciones al efectuar un %royecto de auditora en informtica es <acer un diagnstico del
negocio3 &ue incluye a la alta direccin y las reas usuarias.
@e /usca la o%inin de la %rimera %ara %oder sa/er el grado de satisfaccin y confiana
&ue tienen en los %roductos3 ser.icios y recursos de informtica en el negocio.
*am/i)n se detectan las fortaleas3 aciertos y a%oyo &ue /rinda dic<a funcin3 %or otro
lado son muy im%ortantes las o%ortunidades &ue %uede ofrece la informtica %ara <acer ms
com%etiti.o el negocio.
P(ina )C T1P1
P(ina C- libro
)A;<8"e es el l!#er #e pro&ectos en "na a"#itor!a=
Es &uien se encarga de coordinar y su%er.isar los %royectos de la auditoraE %uede tener
a carg%o a uno o ms auditores.
45
P(ina )D T1P1
P(ina C- libro
+E;Ubicar en 4"e etapa #e "na a"#itor!a en infor'tica se #isena la 'atri* #e ries(o &
e.plicarla bre/e'ente1
Ba matri de riesgo se encuentra en la eta%a de =ustificacin y su o/=eti.o %rinci%al de es
detectar las reas de mayor %eligro en relacin con informtica y &ue re&uieren una re.isin
formal y o%ortuna.
P(ina +1 T1P1
P(ina A) libro
+1;.plicar bre/e'ente #e 4"e trata la etapa #e a#ec"aci$n #e la a"#itor!a en
infor'tica
Esta eta%a es un con=unto de tareas estructuradas %ara &ue el %royecto de auditora en
informtica se ada%te a las necesidades de la em%resa estudiada3 %ero sin ol.idar la
referencia de los estndares3 %olticas y %rocedimientos de auditora &ue siem%re son
ace%tados y recomendados %or las asociaciones relacionadas con el %roceso.
P(ina +) T1P1
P(ina 1E- libro
+);<Para 4"e le sir/en los c"estionarios al a"#itor en infor'tica=
?n con=unto de cuestionarios %articulares com%lementan el tra/a=o del auditor durante el
desarrollo de su e.aluacinE de los mismos deri.an entre.istas3 .isitas a los centros de
cm%uto o de%artamentos usuarios.
Bos cuestionarios re%resentan una <erramienta de gran .alor %ara el auditor en
informticaE se estructuran de manera &ue funcionan como gua %ara .erificar la confia/ilidad
de la informacin del %ersonal entre.istadoE adems3 %ermiten %erci/ir el grado de
cum%limiento de estndares3 %olticas y %rocedimientos &ue generalmente son ace%tados.
P(ina +, T1P1
P(ina 11: libro
++;.plicar bre/e'ente la etapa #e #esarrollo e i'plantaci$n #e la a"#itor!a en
infor'tica1
46
En esta eta%a3 el auditor en informtica .a a e=ercer su funcin de manera %rctica3 es
decir3 comiena a e=ecutar sus tareas con %rofesionalismo3 )tica %ersonal y a%licando sus
conocimientos y e1%eriencias3 de acuerdo con el %lan a%ro/ado en la eta%a anteriorE con el
fin de o/tener un %roducto final de calidad y /eneficios tangi/les %ara el negocio.
P(ina +- T1P1
P(ina 1)A libro
+,;<Por 4"e es tan i'portante el infor'e final #e "na a"#itor!a en infor'tica=
El informe final tiene es%ecial im%ortancia %or&ue en el <a de resumirse la auditora
realiada. @e destina e1clusi.amente al res%onsa/le m1imo de la em%resa3 o a la %ersona
concreta &ue encarg o contrato la auditora. As como %ueden e1istir tantas co%ias del
informe final como solicite el cliente3 la auditora no <ar co%ias del citado informe.
P(ina +A T1P1
Ane.os
A1 Objeti/os
E1%licar el conce%to de Auditora en informtica3 cuales son sus o/=eti.os3 &ue actores
inter.ienen en el %roceso de auditora y de &ue medios se .ale %ara lograr los o/=eti.os.
E1%licacin de la metodologa &ue se de/e utiliar. "eterminar &ue se de/e auditar3 como y
&uienes de/en %artici%ar.
A) Alcance
Ba e1%licacin de los temas con la informacin mas actualiada y la /i/liografa &ue se
ada%te a las nue.as realidades tecnolgicas.
A+ Concl"siones
47
El tra/a=o realiado nos %ermiti conocer con /astante %rofundidad la funcin
denominada Auditoria en sistemas3 su u/icacin dentro de la em%resa3 su estado actual y
futuro. !aralelamente nos <io .er el cuadro general de las acti.idades de una em%resa3 ya
&ue el conocerlo es %arte fundamental de la tarea del auditor.
:onsideramos &ue el <a/er %odido conocer las acti.idades de esta funcin nos %odr
ayudar en nuestro futuro %rofesional ya sea %ara consultar con un auditor o %ara con.ertirnos
nosotros mismos en uno.
Gr"po + A"#itor!a en infor'tica
A, 0iblio(raf!a
A?"I*26IA E5 I5#26(M*I:A.
Enri&ue +ernnde +ernnde3 :.E.:.@.A3 Edicin 2LLL. 334 %ginas
A?"I*26IA E5 I5#26(M*I:A.
,os) Antonio Ec<eni&ue Karca3 (cKraCD+IBB3 Enero 19973 2LL %aginas.
I@2 9LLL E5 E(!6E@A@ "E @E6GI:I2@.
Andr)s @enlle O ,oan Gilar3 Ediciones Kestin 2LLL3 @.A. Edicin 199'.
48

Auditoría en Informática (Practica Profesional)

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoría en Informática (Practica Profesional)

Cargado por

Copyright:

Formatos disponibles

Prctica profesional I

2/=eti.os de la funcin de informtica

!olticas referentes a cada funcin de

Mreas de o%ortunidad &ue se deri.an de

2; :uestionario de ca%acitacin9actualiacin 7diagnstico de informtica;

También podría gustarte