AUDITORIA DE SISTEMAS COMPUTACIONALES

Normas ISO 9000 aplicables a la auditoria de sistemas.

UNIVERSIDAD FRANCISCO GAVIDIA

Ing. Beatriz Chavez
OBJETIVO
• Conocer la aplicación de las
normas ISO 9000 en el
desarrollo de la auditoria de
sistemas
 Estándares y marcos de referencia de la
auditoría de SI

• COBIT: Control Objectives for Information and related

Technology
• ITIL: The Information Technology Infrastructure Library
• ISO 20000 Estándar internacional en gestión de servicios de TI
• COSO: Committee of Sponsoring Organizations of the Treadway
Commission
 Estándares y marcos de referencia de la auditoría de SI

• ISO 27001 Estándar internacional para la implementación de

SGSI
• MAGERIT: "Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información” (creado en España por Consejo
Superior de Administración Electrónica)
• ISO 27005: Estándar para la administración del riesgo de
seguridad de la información
 Auditoría ISO 9000 a los sistemas computacionales

•Es la evaluación de la calidad de los sistemas

computacionales, de acuerdo con los
estándares y requerimientos de las normas
ISO-9000, a fin de obtener la certificación de
los sistemas de la organización.
 Auditoría ISO 9000a los sistemas computacionales

•El propósito fundamental de esta

revisión es evaluar, dictaminar y
certificar que la calidad de los
sistemas computacionales de una
empresa se apegue a los
requerimientos del ISO-9000.
 Auditoría ISO 9000a los sistemas
computacionales

• Por lo general, esta auditoría ISO-9000 es de

carácter externo y tiene que ser practicada
por algún despacho reconocido y autorizado
para otorgar la certificación ISO-9001, ISO-
9004
• Para obtener su certificación de calidad es
necesario recurrir a los auditores ISO-9000,
certificados.
 Auditoría ISO 9000 a los sistemas
computacionales

Los fundamentos de la calidad ISO-9000 se pueden resumir en tres acciones

fundamentales:
1. Documentar lo que se hace.
2. Realizar lo que se está documentado.
3. Revisar lo que se hace con lo documentado.
 Auditoría ISO 9000a los sistemas computacionales

• La norma ISO-9004, la cual se puede aplicar a los

sistemas computacionales utilizando los elementos de
administración y sistemas de calidad en sus cuatro
partes:4
1. Parte 1. Guías
2. Parte 2. Guías para servicios
3. Parte 3. Guías para materiales procesados
4. Parte 4. Guías para mejoramiento de la calidad
 Auditoría ISO 9000a los sistemas computacionales

• Debido a que se tiene que cumplir con un plan de

certificación ISO-9000, es indispensable que el
responsable de la auditoría tome en cuenta lo
siguiente al elaborar su programa de auditoría:
1. La elaboración de una guía de evaluación, a fin de
planear específicamente
2. Cada uno de los aspectos importantes del
funcionamiento de las actividades y secuencia de
pasos de la auditoría ISO-9000.
 Auditoría ISO 9000a los sistemas computacionales

3. Es recomendable que tome en cuenta los

procedimientos, herramientas y técnicas para la
certificación de calidad, adaptándolos a las
necesidades específicas de la certificación de calidad
a los sistemas computacionales de la empresa, e
incluso modificándolos de acuerdo con sus
necesidades de evaluación.
 Auditoría ISO 9000a los sistemas computacionales

Otras herramientas que es recomendable utilizar en estas auditorías son

las siguientes:
• Las técnicas de observación a fin de verificar que:
Los servicios de cómputo se otorguen conforme con lo documentado

Verificar que el desarrollo de las operaciones y actividades de servicios

de cómputo sí satisfagan los requisitos demandados por la auditoría ISO-
9000.
 Auditoría ISO 9000a los sistemas computacionales

Otras herramientas que es recomendable utilizar en estas auditorías

son las siguientes:

• Las técnicas de revisión documental para revisar:

La documentación de los servicios y actividades y los demás
documentos relacionados con la función informática de los sistemas
de la empresa.

Revisar el cumplimiento de los requisitos, normas, procedimientos

relacionados con la certificación ISO-9000.
 Auditoría ISO 9000a los sistemas computacionales

Otras herramientas que es recomendable utilizar en estas auditorías son las

siguientes:
• La matriz de evaluación o la matriz DOFA según las preferencias y
necesidades de revisión del auditor; con estas herramientas puede
analizar las fortalezas y debilidades de la certificación de calidad ISO-9000,
así como las áreas de oportunidad para fortalecer la calidad de los
sistemas de la empresa.

• También puede evaluar las debilidades, fortalezas, amenazas y áreas de

oportunidad de la actualización de esta certificación, de las nuevas
tecnologías de servicio, así como las necesidades de las áreas de cómputo,
los costos de la actividad informática.
 Auditoría ISO 9000a los sistemas computacionales

Un elemento de control para el responsable de esta evaluación de la

calidad es el siguiente:

• El uso de la lista de chequeo ya que con esta herramienta puede

verificar el cumplimiento de todos los criterios de evaluación
contemplados para la planeación de la auditoría de las normas ISO-
9000.

• Ayuda a verificar que quien realice la auditoría cubra todos los puntos
descritos.
• Puede evaluar todos los aspectos que repercuten en el cumplimiento de
las actividades, requisitos y criterios de la calidad ISO-9000.
GRACIAS