UNIVERSIDAD NACIONAL DE ASUNCIÓN

FACULTAD POLITÉCNICA
CIENCIAS INFORMÁTICAS
PLAN 2009
PROGRAMA DE ESTUDIOS

IDENTIFICACIÓN

1. Materia : AUDITORÍA Y CONTROL DE CALIDAD

2. Código : 8.5
3. Horas semanales : 5 horas
3.1. Clases teóricas: 3 horas
3.2. Clases prácticas: 2 horas
4. Total real de horas disponibles: 75 horas
4.1. Total de Clases teóricas: 45 horas
4.2. Total de clases prácticas: 30 horas

I. JUSTIFICACIÓN

La existencia de sistemas informáticos bien implantados es un hecho relativamente común en el

panorama empresarial actual. Lo que no es tan frecuente es la realización periódica de actividad
de auditoría y verificación del correcto funcionamiento de los mismos.
La seguridad en los sistemas de información, por lo general, no es un tema que se considere en
forma apropiada por los directivos de una organización, la importancia y apoyo que se le da es
relativamente poca.
Esto se debe a que no están al tanto de la atención que requieren los centros de informática, ya
que estos son muy vulnerables y se encuentran expuestos a robos, fraudes, sabotaje, vandalismo,
interrupción de actividades, perdida de información, sobrecargas eléctricas y mucho más; aunque
es bueno tener presente que muchos de los riesgos no provienen del exterior, sino que se originan
dentro de las mismas organizaciones, como la presencia de errores, omisiones, concentración de
funciones administrativas y operativas, empleados desmotivados, mal remunerados, deshonestos,
etc.
Se debe tener una adecuada seguridad orientada a proteger todos los recursos informáticos
desde el dato más simple hasta lo más valioso, el talento humano. Tampoco se deben caer en
excesos, diseñando tantos controles y medidas de desvirtúen el propio sentido de la seguridad,
por lo tanto, se debe hacer un análisis de costo/beneficio evaluando las consecuencias que pueda
acarrear la pedida de información y demás recursos informáticos, así como analizar los factores
que afectan negativamente la productividad de la empresa
De acuerdo a esta perspectiva, se puede apreciar que la complejidad es amplia y de gran
transcendencia para la empresa, por lo tanto, la auditoria informática es fundamental y tiene como
propósito brindar apoyo a través de la orientación y asesoría irrestricta a todos sus funcionarios
para que logren el cabal desempeño de sus funciones

II. OBJETIVOS GENERALES

Comprender y aplicar los conceptos fundamentales y las metodologías más importantes para
realizar una auditoria informática, utilizando técnicas y herramientas, a fin de evaluar el
cumplimiento de funciones, actividades, tareas y procedimientos de una organización, con el
propósito de emitir recomendaciones y conclusiones que servirán de guía para la toma de
decisiones, tendientes a garantizar una seguridad razonable, y a optimizar el uso de los recursos y
actividades de procesamiento de información en la organización

Aprobado por Resolución Nº Acta Nº del Consejo Directivo de la FP-UNA Página 1 de 5

Ciencias Informáticas - Plan 2009 Facultad Politécnica

III. OBJETIVOS ESPECÍFICOS

A. Conocimientos
1. Describir las diferentes herramientas y métodos utilizados en la auditoria de los sistemas de
información de una organización.
2. Determinar los riesgos a los que se enfrentan las organizaciones.
3. Analizar, evaluar y establecer los controles a implementar en las diferentes áreas de la
organización
4. Describir los conceptos relacionados con la seguridad en un Sistema de Información
5. Aplicar de forma adecuada técnicas, métodos, estándares, buenas prácticas y procedimientos
especializados de auditoría a fin de evaluar el cumplimiento de funciones, actividades, tareas y
procedimientos de una organización, y dictaminar sobre el resultado de dicha evaluación.

B. Habilidades
1. Desarrollarse de manera ética en sus funciones como auditor.
2. Maneja las tecnologías de la información y la comunicación para obtener información y
expresar ideas.
3. Aplica distintas estrategias comunicativas según quienes sean los interlocutores, el contexto
en el que se encuentra y los objetivos que persigue.
4. Desarrollará la capacidad de Trabajo en equipo.
5. Será capaz de aplicar un sentido de crítica constructiva, hacia los problemas del mundo real,
basados en la solución de auditorías informáticas.

C. Competencias
1. Capacidad de aplicar los conocimientos en la práctica.
2. Capacidad de investigar, aprender y actualizarse permanentemente
3. Habilidad de liderazgo en proyectos.
4. Habilidad para trabajar en forma autónoma.
5. Preocupación por la calidad.
6. Capacidad para identificar, plantear y resolver problemas
7. Capacidad de comunicación oral y escrita.
8. Disposición para el trabajo en equipo.

IV. PRE - REQUISITO

1. Base de Datos II
2. Ingeniería de Software II

V. CONTENIDO

5.1. Unidades programáticas

1. Introducción a la auditoría informática
2. Metodología de auditoría informática
3. Riesgos informáticos
4. Controles internos
5. Marco de control Interno.
6. Seguridad Informática
7. Ciclo de Vida de los Sistemas
8. Recuperación de desastres y continuidad del negocio

Aprobado por Resolución Nº Acta Nº del Consejo Directivo de la FP-UNA Página 2 de 5

Ciencias Informáticas - Plan 2009 Facultad Politécnica

5.2. Desarrollo de las unidades programáticas

1. Introducción y conceptos básicos de Auditoría Informática (A.I.)

1.1. Antecedentes y Concepto
1.2. Origen y desarrollo de la A.I.
1.3. Áreas de revisión de la A.I.
1.4. Objetivos de la A.I.
1.5. Tipos de A.I.
1.6. Principales pruebas y herramientas de A.I.
1.7. Perfil y capacidades del Auditor Informático.
1.8. Motivos de realización de la A.I.

2. Metodología de trabajo de Auditoría Informática

2.1. Conceptos básicos
2.2. Etapa de la metodología
2.2.1. Planeación de la Auditoria de Sistemas
2.2.1.1. Identificar el origen de la auditoria
2.2.1.2. Realizar una visita preliminar al área que será evaluada
2.2.1.3. Establecer los objetivos de la auditoria
2.2.1.4. Determinar los puntos que serán evaluados en la auditoria
2.2.1.5. Elaborar planes, programas y presupuestos para realizar la auditoria
2.2.1.6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos
necesarios para la auditoria
2.2.1.7. Asignar los recursos y sistemas computacionales para la auditoria
2.2.2. Ejecución de la Auditoria de Sistemas
2.2.2.1. Realizar las acciones programadas para la Auditoria
2.2.2.2. Aplicar los instrumentos y herramientas para la auditoria
2.2.2.3. Identificar y elaborar documentos de oportunidades de mejoramiento
2.2.2.4. Elaborar el dictamen preliminar y presentarlo a discusión
2.2.2.5. Integrar el legajo de papeles de trabajo de la auditoria
2.2.3. Dictamen de la Auditoria de Sistemas
2.2.3.1. Analizar la información y elaborar un informe de situaciones detectadas
2.2.3.2. Elaborar el Dictamen final
2.2.3.3. Presentar el informe de auditoria

3. Riesgos informáticos
3.1. Conceptos
3.1.2. Vulnerabilidad
3.1.3. Amenaza
3.1.4. Impacto
3.2 Análisis de riesgos
3.2.1. Proceso del Análisis de Riesgo
3.2.2. Técnicas de evaluación de Riesgo
3.2.3. Metodologías del Análisis de riesgos
3.2.4. Tipos de análisis del riesgo
3.2.4.1. Análisis cuantitativo del riesgo
3.2.4.2. Análisis cualitativo del riesgo
3.3. Tipos de Riesgos
3.3.1. Riesgos de integridad
3.3.2. Riesgos de acceso
3.3.3. Riesgos en la infraestructura
3.3.4. Otros riesgos
3.4. Delito o Fraude Informático.
3.4.1. Tipos de delitos o fraudes informáticos

Aprobado por Resolución Nº Acta Nº del Consejo Directivo de la FP-UNA Página 3 de 5

Ciencias Informáticas - Plan 2009 Facultad Politécnica

3.4.1.1. Sabotaje informático

3.4.1.2. Fraude a través de computadoras
3.4.1.3. Copia ilegal de software y espionaje informático
3.4.1.4. Uso ilegítimo de sistemas informáticos ajenos
3.4.1.5. Delitos informáticos contra la privacidad
3.4.1.6. Delitos informáticos como instrumento o medio.

4 Controles internos informáticos

4.1. Conceptos
4.2. Objetivos del Control Interno
4.3. Funciones principales del Control Interno
4.4. Control Interno Vs Auditoria Informática
4.5. Clasificación de los controles
4.5.1. Preventivos
4.5.2. Detectivos
4.5.3. Correctivos
4.6. Requerimientos para implantación del control Interno Informático
4.7. Principales Tipos de controles interno informático
4.7.1. Controles sobre la organización del área de informática
4.7.2. Controles de análisis, desarrollo e implementación de sistemas
4.7.3. Controles de operación del sistema
4.7.4. Controles de procesamientos
4.7.4. Controles sobre las aplicaciones
4.7.5. Controles de la calidad.

5 Normas de Auditoría Informática disponibles

5.1. COSO
5.2. ITIL
5.3. ISO/IEC 17799:2000
5.4. COBIT
5.4.1. Evolución del CobIT
5.4.2. Controles vs. Objetivos de control de TI
5.4.3. Objetivos del CobIT
5.4.4. Beneficios
5.4.5. Marco de control del CobIT
5.4.6. Principios del CobIT
5.4.7. Dominios del CobIT
5.4.8. Procesos del CobiT
5.4.9. Modelos de Madurez

6. Seguridad Informática
6.1. Concepto
6.2. Objetivos de la Seguridad Informática
6.3. Términos relacionados con la Seguridad Informática
6.4. Principios de la Seguridad Informática
6.5. Factores de riesgos
6.6. Mecanismos de seguridad
6.7. Políticas de la Seguridad Informática
6.8. Clasificación de la información
6.9. Tipos de seguridad
6.9.1 Seguridad Física
6.9.2 Seguridad Lógica
6.10. Estándar para la seguridad de la información (ISO/IEC 27001)

7. Auditoria al Ciclo de Vida de los sistemas.

7.1. Etapas del proceso de desarrollo de software
7.2. Objetivos de control a auditar

Aprobado por Resolución Nº Acta Nº del Consejo Directivo de la FP-UNA Página 4 de 5

Ciencias Informáticas - Plan 2009 Facultad Politécnica

7.3. Auditoría a la fase de análisis

7.4. Auditoría a la fase de diseño
7.5. Auditoría a la fase de desarrollo
7.6. Auditoría a la fase de implantación
7.6. Auditoría a la fase de administración del cambio

8. Recuperación de desastres y continuidad del negocio

8.1. Introducción
8.2. Definiciones
8.3. Norma ISO 22301: 2012
8.4. Objetivos de la Recuperación/ Continuidad del Negocio
8.5. Planificación de la Recuperación/ Continuidad del Negocio
8.6. Metodología de implantación
8.6.1. Fase 1: Definición
8.6.2. Fase 2: Requerimientos funcionales
8.6.3. Fase 3: Diseño y desarrollo
8.6.4. Fase 4: Implementación
8.6.5. Fase 5: Pruebas y ejercicios
8.6.6. Fase 6: Mantenimiento y actualización
8.6.7. Fase 7: Ejecución
8.7. Auditoria a la Recuperación/ Continuidad del Negocio

VI. ESTRATEGIAS METODOLÓGICAS

Las clases serán esencialmente teóricas y prácticas. Se dispondrá de una plataforma e-

learning (EDUCA), para el seguimiento de la parte teórica de las clases, realizándose
ejercicios que evalúan el grado de asimilación de los contenidos explicados.

Se propondrán trabajos a realizar por el alumno de manera individual o en grupos. Uno de los
trabajos consistirá en la realización de una auditoría informática dentro de una organización,
con la intención de que el alumno obtenga un mayor aprovechamiento de las clases

VII. MEDIOS AUXILIARES

1. Pizarrón, pincel
2. Medios audiovisuales
3. PCs

VIII. EVALUACIÓN

1. Parciales en forma teórica y práctica conforme al calendario que determine la facultad.

2. Evaluación final sobre el contenido desarrollado.

X. BIBLIOGRAFÍA

 Piattini, M. y del Peso, E. (2001). Auditoría Informática: Un enfoque práctico. 2ª Edición.

Madrid. Editorial Ra-ma.
 Muñoz Razo, Carlos.(2002). Auditoría en sistemas computacionales. México. Pearson
Educación
 Echenique Garcia, José antonio. (2001). Auditoría en Informática. 2da. Edición. México.
McGraw-Hill
 Nava, F. Apuntes de Auditoría Informática. Servicio de Publicaciones de la URJC
 Information Systems Audit and Control Foundation, IT
 Governance Institute. Cobit 4ta Edition. 3701 Algolquin Road, Il inois (USA), 2000.
 Curso de preparación para examen CISA

Aprobado por Resolución Nº Acta Nº del Consejo Directivo de la FP-UNA Página 5 de 5