KAIN U1 A3 JUBB

Auditoría informática (KAIN-2101)

Materia:

Auditoría Informática

Nombre de la actividad:

Reporte de normas

Nombre del alumno:

Juan Carlos Bautista Barrios

Grupo:
TM-KAIN-2101-B1-001

Nombre del profesor(a):

Andrea Zentella León

Febrero 2021
Introducción

Para que un auditor elabore su trabajo de manera correcta, este debe seguir su
labor bajo ciertas normas, técnicas y procedimientos que lleven a buen puerto su
trabajo, por ello un auditor debe ser una persona altamente calificada y
especializada en el área que se desea auditar, un auditor requiere emplear las
técnicas y los pasos correctos en tiempo además de tener un comportamiento
intachable respecto a su actividad, su labor debe ser consistente e intachable ya
que no debe responder a ningún interés que pretenda una alteración a la auditoría.

En cuanto a una auditoría informática se cuentan con sus propias técnicas y

procedimientos, pero el auditor debe ejecutar su labor con el correcto empleo de
sus conocimientos, siempre se debe apoyar en software especializado que le facilite
su labor, si bien se siguen ciertas técnicas y procedimientos, no es una tarea que
se ejecute de manera mecánica, para que la auditoría se lleve de manera correcta
el auditor debe tener un juicio sólido, imparcial, profesional para que el
procedimiento se siga de manera correcta y sin contratiempos, es importante
mencionar que la responsabilidad del auditor es elaborar un informe 100% veraz
que cumpla con las expectativas tanto de las personas que lo contratan como de
aquellas que revisaran su informe,
Investiga en diversas fuentes las características que existen entre las normas
actuales y las normas emergentes
Realizar un cuadro comparativo donde coloques las diferencias que existen
entre estas dos normas (mínimo 5 diferencias)
Normas actuales Normas emergentes
Cuentan con el respaldo de gobiernos o Su validez se puede dar en un país o
bien de Instituciones prestigiosas que zona específica, para ser reconocida de
respaldan sus funciones. manera global debe cumplir con ciertos
estándares mundiales.
Su realización se debe elaborar por Solamente puede ser expedida por una
personal bastante competitivo y dependencia competente en el tema
especializado en el área específica a que abarca la norma.
estudiar.
De acuerdo con las acciones que se Se elaboran cuando existe un caso de
desean realizan, se deben seguir una emergencia que amerite su creación.
serie de pasos y técnicas para obtener
los resultados buscados.
El auditor debe tener completa Tienen vigencia de 6 meses y pueden
autonomía en su trabajo y tener un expedirse 2 veces seguidas, pero con
comportamiento intachable en su labor. una justificación valida.
El auditor debe incluir su opinión dentro Esta norma debe cumplir con el soporte
del informe final, esto con el fin de dar de una base científica que apoye su
un punto de vista de la realidad. creación.

Coloque algunas normas actuales y normas emergentes que se utilizan en

auditoria informática (mínimo 5 en total) es importante agregar su principal
objetivo de cada una de ellas, además colocar si es norma nacional o
internacional y si es una norma emergente o no.

Norma COBIT (Objetivos de control para la información y tecnologías relacionadas)

esta consiste en un método que se publicó en 1996 por el TI (instituto de control) y
la ISACA (Asociación de auditoría y control de sistemas de información) y se enfoca
en calificar un departamento de informática de una empresa, el enfoque se da de
acuerdo a los índices de referencia de los procesos, medidores de objetivos clave
(KGI) y medidores del rendimiento clave (KPI) que se emplean para el control de
procesos en la recolección de datos de una compañía, estos datos se analizan para
saber cómo pretende la compañía llegar a sus objetivos, COBIT emplea 34
procesos que se dividen en 4 áreas funcionales con un total de 318 objetivos. Es
una norma internacional y entra en el rango de las normas actuales de auditoría.
Norma COSO en esta normativa se contemplan las reglas para que en una
organización mantenga de forma correcta la implantación, control y gestión de los s
de los sistemas de control, existen dos versiones de dicha norma la de 1992 y la
nueva versión de 2004 esta última incorpora exigencias de Sarbenes Oxley y se
aplican al modelo COSO de 2004, y se enfoca a la detección de causas que sean
capaces de afectar el buen funcionamiento de una empresa, así mismo permite la
administración de los riesgos y la seguridad que permitan a la organización llevar a
los objetivos planteados. Es una norma aceptada internacionalmente y su rango
entra dentro de las normas actuales de auditoría.

Norma CISA es una norma que se respalda por la CIS (Certified Information
System) junto con la ISACA (Asociación de Control y Auditoría de Sistemas de
Información), se emplea para dar certeza en áreas establecidas tales como los
sistemas de información en cuanto a su operación, soporte y mantenimiento de los
sistemas, así como mantenimiento de la tecnología, protección de la información y
la adquisición, desarrollo y ejecución de los sistemas de información. Es una norma
con validez internacional y entra en el rango de las normas actuales de auditoría.
Norma ISACA (Information System Audit and Control Association) se originó en
1967, esta pretende unificar criterios para los encargados de realizar control y
auditorias con el único objetivo de tener una fuente común de información,
directrices y metodologías para las áreas comunes, estas normas se especializan
en la auditoría y seguridad de los sistemas de información, con esta norma se
asegura el desarrollo y difusión de estándares de alta calidad bajo el apoyo de
ISACA. Es una norma con validez universal y tiene la validez de auditoría actual.

Norma IMAI (Instituto Mexicano de Auditores Internos) se formó en 1984 y se

enfoca a la investigación de auditorías internas, control de riesgos , TI y demás
temas que se asemejan, la idea es que los auditores apliquen sus técnicas y
saberes de manera ordenada bajo técnicas con validez internacional por ello se
consiguió una afiliación al The Institute of Internal Auditors para tener un mayor
respaldo. Bajo sus reglas se busca la difusión de normas profesionales que los
auditores internos puedan usar como referente para medir su propia labor, con ello
se garantiza que la organización se asegura recibir servicios de calidad, unifica
criterios para sus asociados, busca mantener el prestigio de los auditores internos
por medio del empleo de conocimientos técnicos relativos al ejercicio profesional de
dicha actividad. Esta norma es de carácter nacional y se le puede considerar dentro
del rango de auditoría actual.
Investiga dos casos diferentes, uno en el que se muestren el uso de las
normas actuales y otro de las normas emergentes y colocar lo más relevante
de dichos casos.
Ejemplo 1

https://www.academia.edu/13209530/ejemplo_de_una_auditoria_informatica_y_de
_seguridad_fisica

En el primer caso tenemos una auditoria que se ejecutara en una escuela con el fin
de evaluar las condiciones en las que se encuentra el aula, el mobiliario, hardware
y software de los equipos y el entorno de seguridad, esto mediante unos
cuestionarios ejecutados con preguntas claras y concisas de responder, dicha
auditoría se ejecuta a modo de práctica de estudiantes esto con el fin de ejemplificar
el cómo se debe proceder en una auditoría con un carácter más formal.

Es importante mencionar que esta auditoria no está amparada por ningún tipo de
norma específica que la ampare, esta auditoría, es solamente una auditoría
ejecutada por un grupo de estudiantes que pretende otorgar una certificación a la
institución a la que se le está ejecutando la auditoría en este caso la Escuela Primara
Nueva Creación, cabe mencionar que dicha institución nunca ha recibido un
ejercicio de una índole semejante.

Antes de proceder a ejecutar esta auditoría se solicitará permiso a la mayor

autoridad de este instituto que en este caso es Luz Delia Miranda Bojórquez, la
auditoría se ejecutará en un lapso de dos días durante los cuales se examina y
calificaran los siguientes aspectos:

1) Infraestructura
2) Evaluación del entorno
3) Mobiliario y equipo
4) Hardware
5) Software
6)Seguridad

Como ya se mencionó todos estos aspectos se calificarán de acuerdo con preguntas

cuya respuesta son sí o no, cada opción cuenta con preguntas que van relacionadas
a los casos que se estén estudiando, esto pretende obtener una nota calificadora
para el personal encargado de cada uno de los rubros ya mencionados, y ver si
ejecutan su tarea de manera adecuada, la directora cuidando el entorno de manera
general, el personal de mantenimiento, el personal de soporte y demás miembros
que deben cuidar a la institución, es importante mencionar que para sustentar la
información recolectada se tomara evidencia fotográfica que sustente lo reportado,
al final se muestran los resultados de cada una de las partes auditadas en forma de
barras de pastel pero no se especia más del resultado final de la auditoría.
Ejemplo 2

http://www.ieec.org.mx/Documentacion/Procesos/2018/micro/IAuditor/PREP/
10_Reporte_Final_Auditori_30_06_2018.pdf

En este caso tenemos una auditoría ejecutada de manera profesional por una
Institución hacia otra Institución que solicita una auditoría (INE), esto para poder
medir el alcance de una de sus aplicaciones durante la jornada electoral del año
2018.

Esta auditoría se ejecuta por parte del ITESCAM Instituto Tecnológico Superior de
Calkini de Campeche, esto para medir la eficacia del software especial del PREP
que se usara para medir las votaciones locales durante la jornada electoral, dicha
auditoría se ejecutar bajo el estándar IEEE Standard for Software Reviews and
Audits IEEE Std 1028™-2008 que es la base sobre la que se realizaron las pruebas
pertinentes a dicho software especial.

La auditoría se ejecutó con apoyo de la empresa proveedora del software GRUPO

PROISI S.A. de C.V otorgo la versión final del programa para su verificación, así
como verificar la funcionalidad del PREP y sus dispositivos de captura de
información, todo ello fue revisado por el grupo auditor para verificar su correcto
funcionamiento de todos estos elementos, si bien no se obtuvo acceso al código
fuente para verificar su integridad, si se logro verificar de forma remota las bases
de datos en las que se sustenta dicho programa.

Se realizo un cronograma en donde se especifica de manera clara las cuatro etapas

y los días en los que estas se deben elaborar para respetar dicho cronograma,
además de plantear el modelo de procesos en el cual se basan las actividades y las
personas encargadas de ejecutarlas al mismo tiempo que se señalan algunas de
las herramientas especiales que se ocuparan para realizar la auditoría de forma
correcta.

Finalmente se entrega el reporte donde se entregan los resultados en forma de

barras de pastel, las partes que se analizaron y reportaron fueron:

Módulos y bases de datos

Pruebas de seguridad

Ambas pruebas fueron sometidas a rigurosos exámenes y revisiones, que luego de

ser ejecutadas debían presentar los resultados esperados de acuerdo a los cálculos
hechos con anterioridad por los auditores, las pruebas en todos los casos fueron
positivas por lo cual se decidió dar como positivo el funcionamiento entre el software
señalado y las herramientas del PREP.

Conclusión

Durante la realización de esta actividad estudiamos y analizamos cuales son las

normas que se deben cuidar para ejecutar una auditoría de manera correcta y
cuáles son las reglas básicas que un auditor debe seguir para que su trabajo sea
bien ejecutado y fundamentado.

También es importante señalar que entendimos cuales son las diferencias

principales entre las normas generales y las emergentes que se pueden usar para
que una auditoría tenga sustento y validez, es así como las normas generales se
pueden explicar como aquellas que cuentan con un soporte de instituciones con
reconocimiento internacional y respaldo de gobiernos su amplio reconocimiento se
da porque tienen un amplio soporte técnico y tecnológico detrás suyo, las normas
emergentes son aquellas que nacen cuando se presenta un estado de emergencia
y se necesita tener un estándar que pueda dar apoyo a dicha emergencia, dicho
estándar debe estar sustentado con un apoyo científico y tecnológico bien
sustentado
Bibliografía

Gonzáles, F, D; Ríos, M, A. (junio 2015) Auditoria Física e Informática a Escuela

Primara Nueva Creación. Recuperado el 5 de febrero de 2021, de
https://www.academia.edu/13209530/ejemplo_de_una_auditoria_informatica_y_de
_seguridad_fisica

IEEC, ITESCAM (2018) INFORME FINAL DE AUDITORÍA DEL SISTEMA

INFORMÁTICO DEL PREP PARA LAS ELECCIONES EN EL EDO DE CAMPECHE
2018. Recuperado el 5 de febrero de 2021, de
http://www.ieec.org.mx/Documentacion/Procesos/2018/micro/IAuditor/PREP/10_R
eporte_Final_Auditori_30_06_2018.pdf

L, Orozco; Oaxaca, A; Sanchez, P, R; Zapahua, I, I. (8 de marzo de 2015) Unidad

2: Normatividad Aplicada a la Auditoria Informática. Recuperado el 4 de febrero de
2021, de http://auditoriainformaticaritaneoletyivan.blogspot.com/2015/03/unidad-2-
normatividad-aplicadad-la.html

Lopez, J, C. (2 de febrero de 2021) ¿Qué es COBIT y para qué se usa? Recuperado

el 4 de febrero de 2021, de https://es.ccm.net/contents/596-cobit

Lopez, S, R. (s.f.) Normas actuales y emergentes aplicadas a la auditoría

informática. Recuperado el 3 de febrero de 2021, de
https://coggle.it/diagram/WrCrMuLDphEB5iRy/t/normas-actuales-y-emergentes-
aplicadas-auditoria-inform%C3%A1tica

OLEA (s.f.) Normas, técnicas y procedimientos de auditoría en informática.

Recuperado el 3 de febrero de 2021, de http://olea.org/~yuri/propuesta-
implantacion-auditoria-informatica-organo-legislativo/ch03s03.html

Rodríguez, I. (10 de febrero de 2020) Las normas de auditoría generalmente

aceptadas. Recuperado el 4 de febrero de 2021, de
https://www.auditool.org/blog/auditoria-externa/6982-las-normas-de-auditoria-
generalmente-aceptadas
Salvador, L, A. (21 de julio de 2016) ¿Qué es COSO? Recuperado el 3 de febrero
de 2021, de https://www.auditool.org/blog/control-interno/4413-que-es-coso/

SEMARNAT (2002) Normas Oficiales Mexicanas: Emergentes. Recuperado el 4 de

febrero de 2021, de http://www.paot.org.mx/centro/ine-
semarnat/informe02/estadisticas_2000/compendio_2000/04dim_institucional/04_0
2_Normatividad/data_normatividad/RecuadroIV.2.12.htm

Solís, M, G. (18 de enero de 2012) ISACA. Recuperado el 4 de febrero de 2021, de

https://www.auditool.org/blog/auditoria-de-ti/998-isaca