Auditoría Informática

I. DATOS GENERALES

Código: BIS24
Créditos: 4
Naturaleza del curso: Teórico
Modalidad: Cuatrimestral
Nivel académico: Bachillerato
Año: 3
Ciclo lectivo: IX
Total de horas semanales: 12
Horas lectivas semanales: 3
Horas teóricas: 3
Horas prácticas: 0
Horas de estudio independiente: 9
Requisitos: BIS20 Administración Función en TI

II. DESCRIPCION DEL CURSO

En este curso el estudiante adquiere los conocimientos y herramientas básicas para

la ejecución de una auditoría de tecnología de información. El curso tiene como
punto de partida, el estudiar los conceptos más elementales tales como: definición
de auditoría, control interno, gobierno de TI y el proceso para la realización de un
estudio de auditoría informática en términos generales; llegando a establecer los
controles mínimos, que se deben considerar en cada una de las áreas específicas
que componen el conjunto de tareas y labores propias de un departamento de T.I.
Además, se mencionan algunas herramientas de auditoría disponibles en el
mercado.

III. OBJETIVOS

3.1 OBJETIVO GENERAL

Analizar los conceptos generales de auditoría de sistemas o auditoría

informática, para tomar decisiones que permitan mitigar riesgos, corregir errores
u omisiones y mejorar el proceso en la evaluación de las operaciones críticas
de una organización.

3.2 OBJETIVOS ESPECÍFICOS

• Interpretar pruebas que se utilizan para realizar los controles de las

aplicaciones, con el fin de asegurar la integridad, confidencialidad y
disponibilidad de la información.
• Establecer los controles mínimos, en cada una de las áreas específicas que
componen el conjunto de tareas y labores propias de un departamento de T.I
• Determinar la importancia de la auditoría de tecnologías de información como
elemento fundamental para el cumplimiento de los objetivos estratégicos de
una organización.
IV. CONTENIDOS

1. Conceptos generales sobre auditoría de sistemas

1.1. Definición de auditoría

1.2. Definición de auditoría de sistemas
1.3. Importancia de la auditoría de sistemas
1.4. Funciones de una unidad de auditoría
1.5. Conocimientos requeridos para hacer una auditoría informática
1.6. Normas internacionales aplicables en auditoría de sistemas (COBIT)
1.7. Gobierno Corporativo y gobierno de TI
1.8. Marco de referencia de seguridad ISO 27001
1.9. Implicaciones jurídicas de la seguridad informática: Delitos informáticos
1.10. Regulaciones nacionales en gestión de tecnologías (SUGEF 14-09,
Reglamento de la contraloría )
1.11. Concepto de control preventivo, correctivo y detectivo
1.12. Tipos de controles aplicables a un ambiente automatizado
1.12.1. Proceso de auditoría
1.12.2. Diagnóstico preliminar
1.12.3. Técnicas de recopilación de evidencias
1.12.4. Evaluación del control interno
1.12.5. Formulación del programa de auditoría
1.12.6. Ejecución del programa
1.12.7. Pruebas sustantivas y de cumplimiento
1.12.8. Elaboración del informe

2. La auditoría y la Planeación Estratégica Informática

2.1. Evaluación de la misión y visión del departamento de T.I.

 2.2. Evaluación de los objetivos del departamento de T.I.
2.3. Evaluación de la estructura organizacional de T.I. (evaluación de la posición
estratégica del departamento de T.I. dentro de la organización)
2.4. Evaluación de los procesos de tecnologías de información
2.5. Evaluación del impacto estratégico de las tecnologías de información en la
organización
2.6. Evaluación de las estrategias del departamento de T.I.
2.7. Evaluación del Plan Estratégico de Tecnología de Información
2.7.1. Evaluación del contenido del plan estratégico de T.I. y su consistencia
con respecto al Plan estratégico organizacional

3. Auditoría de la Administración de la función informática

3.1. Perfil general de los integrantes de las áreas del Departamento de

Informática
3.2. Descripción de puestos
3.3. Selección de personal
3.4. Evaluación del desempeño del personal de T.I.
3.5. Actividades de contratación de servicios externos
3.6. Proceso de planeación de la función informática
3.6.1. Rol de la gerencia de informática
3.6.2. Tipos de planes existentes (estratégico informático, operativo, para
proyectos en desarrollo, de capacitación, de adquisición, de
conversión, plan de contingencias informáticas)
3.7. Organización de la función informática
3.7.1. Organigrama del departamento de T.I. a nivel departamental y
unidades estratégicas
3.7.2. División del trabajo
3.7.3. Asignación de responsabilidades
3.7.4. Establecimiento de estándares para la organización
 3.7.5. Perfiles de puestos
3.8. Dirección
3.8.1. Evaluación de la distribución y coordinación de los recursos
3.8.2. Evaluación de la supervisión de actividades
3.8.3. Evaluación de la delegación de autoridad
3.8.4. Evaluación de la asignación de actividades

4. Evaluación del ambiente de producción

4.1. Elementos requeridos: Hardware, software, telecomunicaciones, ambiente

de desarrollo de software.

5. Evaluación de los sistemas en producción

5.1. Seguridad del sistema

5.2. Controles en la entrada de datos
5.3. Controles en el procesamiento
5.4. Controles en la producción de salidas
5.5. Procedimientos de respaldo y recuperación
5.6. Integridad de los datos
5.7. Control de la calidad de los sistemas en producción

6. Evaluación del proceso de desarrollo de sistemas

6.1. Evaluación de la metodología empleada en el ciclo de vida del desarrollo de

sistemas en producción
6.2. Análisis de Requerimientos
6.3. Diseño
 6.4. Programación
6.5. Pruebas
6.6. Capacitación
6.7. Implantación
6.8. Post-implantación
6.9. Control de la calidad en cada fase del desarrollo de sistemas

7. Evaluación de controles en la contratación por servicios profesionales

7.1. Marco Legal que aplica: Marco legal privado, Ley de contratación
administrativa
7.2. Contratos, garantías, documentación, equipos de trabajo, metodología,
estándares

V. METODOLOGÍA

Curso teórico-práctico que se combina con clases magistrales y dinámicas de

discusión, se establece una metodología participativa, cooperativa y colaborativa en
donde el estudiante es un sujeto activo, por tanto:
El curso propiciará un ambiente para el desarrollo de desempeños determinados por
aspectos conductuales, actitudinales y de conocimiento, los cuales se resumen a
continuación:

• COGNITIVA: Desarrollar capacidades de observación, investigación,

organización de información, capacidad de análisis, pensamiento crítico y
solución efectiva de problemas.

• COMUNICATIVA: Capacidad para lograr una comunicación efectiva, que

involucre habilidades para escuchar, escribir, leer, manejar información y
 exposición de criterios personales y técnicos mediante el uso de un lenguaje
técnico apropiado para el nivel académico.

• VALORATIVA: Se espera que el alumno disponga de la información

necesaria que le permita formarse un juicio crítico y que dé respuesta y
solución a los problemas con los que se enfrentará en su vida profesional
futura; aplicando principios y valores con responsabilidad personal y frente a
terceros en las diferentes situaciones de las Tecnologías de la información,
incluyendo la valoración de diferentes metodologías para hacerla
eficientemente en las organizaciones empresariales.

• CONTEXTUAL: Al finalizar el curso el estudiante deberá ser capaz de

comprender y explicar los conceptos y principios básicos que integran y dan
sustento a la elaboración de las estructuras de tecnologías, para el
financiamiento de aquellos proyectos de inversión que tenga la empresa,
llegando a considerar las diferentes opciones del mercado.

Las clases se impartirán magistralmente con dinámicas de discusión y en el

laboratorio, con el propósito de desarrollar los casos en estudio y utilizar
herramientas para realizar análisis de datos (IDEA, MS Excel, SQL).

Durante el curso, se desarrollará un proyecto de investigación y aplicación de una

auditoría de tecnología en una empresa real.

Prevalece el respeto mutuo en las opiniones al desarrollar los temas. La ética,

responsabilidad social y la comunicación será parte del compromiso permanente
del profesor y estudiante en la ejecución de este curso. El profesor como
responsable del curso, dirige, evacua dudas y permite que se dé un ambiente
democrático en el aprendizaje.
IV. ESTRATEGIAS DE APRENDIZAJE

Para alcanzar los objetivos del curso eficientemente, el profesor se valdrá de:

Se inicia con un diagnóstico de necesidades en cada una de los temas de estudio,

y se retroalimenta con los conocimientos previos de los estudiantes.

ACTIVIDAD DESCRIPCIÓN

Lecturas Se pone a disposición de los estudiantes lecturas que

complementan o guíen las clases magistrales.

Análisis de Se evaluarán casos reales e hipotéticos de problemas que se

casos pueden presentar para que el estudiante plantee una solución.

Proyecto de Esta actividad tiene como objetivo: investigar, entender,

investigación documentar y exponer el tema asignado analizando los
principales componentes que lo conforman, y cómo estos
afectan el gobierno de tecnología de una organización.
Posteriormente debe realizarse una auditoría basada en el
tema asignado.

Ejercicios Se utilizan para guiar al estudiante y dar énfasis a los temas

prácticos y vistos en clase. Estimula la práctica fuera del horario de clase.
tareas
extraclase

Pruebas con Las pruebas tendrán temáticas concretas que evaluarán la

autoevaluación solución de problemas, así como la ponencia de razonamientos
del aprendizaje y análisis sobre la interpretación de criterios técnicos
desarrollados. Las pruebas pueden ser escritas o de
investigación.

VII. RECURSOS DIDACTICOS

 • Laboratorio de cómputo: equipos PCS, pizarra acrílica, equipo audiovisual y
multimedia, servicio de Internet y red de datos.
• Aula virtual: Foro, sitio de archivos, mensajería email.
• Hardware suministrado por el Centro de Cómputo de la Universidad.
• Software: Sistema Operativo Windows, Paquete ofimático Office, lenguajes
de programación y diversos utilitarios.
• Biblioteca física del CRAI: libros, revistas, periódicos, etc.
• Biblioteca Digital:
o Hemeroteca Digital.- journals de alto impacto académico, en
abstracts y Texto completo.
o EBSCO: Revistas en texto completo, con recursos adicionales como
videos y libros electrónicos. Multitemáticos.
o PROQUEST: 26 Bases de datos multitemáticas (journals y
magazines), tesis de doctorado, maestría y disertaciones, reportes de
países y empresas, directorios empresariales.
o EMERALD: Base de datos con artículos de alto impacto académico.
Contiene artículos, ebooks y casos.
o WILSON WEB: Base de datos multitemática, Cobertura en múltiples
temas universitarios e investigación. Incluye más de la mitad de sus
publicaciones indizadas y revisadas por pares académicos.

VIII. EVALUACIÓN

Mediante la evaluación del desempeño mostrado por el estudiante al realizar las

actividades de aprendizaje, el docente proveerá retroalimentación a los estudiantes
sobre las fortalezas y debilidades como complemento de la evaluación sumativa.

Se aplica una evaluación continua e integral, con rubricas holísticas que permiten
evaluar el desempeño del estudiante, estableciendo así los resultados sumativos
de la siguiente forma:
• Evaluación Diagnóstica: Se realiza previo al abordaje de cada contenido.
Permite al docente valorar los conocimientos previos y las necesidades del grupo,
con el fin de poder flexibilizar el proceso formativo.
• Evaluación Formativa: Se realiza a partir de la valoración del desempeño
mostrado por el estudiante al realizar las actividades de aprendizaje y conlleva
un proceso de retroalimentación sobre las fortalezas y oportunidades de mejora
de los discentes.
• Evaluación Sumativa: Implica la valoración cuantitativa del rendimiento
académico del estudiante y se realiza con base a los rubros indicados en la
siguiente tabla.

La evaluación del curso se desglosa mediante las siguientes actividades:

CONCEPTO PONDERACION

2 Pruebas(ejercicios prácticos) (20% c/u) 40 %

1 Proyecto de investigación 40%

2 Pruebas cortas(quices) (5% c/u) 10%

2 Trabajos extraclase (5% c/u) 10 %

Total 100%

TRABAJO EXTRACLASE 5 %

Nombre del
estudiante_________________________________________________
Rubros a evaluar Porcentaje % Observaciones

1- Presentación del documento o

tarea y Cumplimiento de fecha
establecida.
1%

1.-El procedimiento está

claramente establecido y
ordenado, para la solución del
problema.

2- Realiza un análisis de la 4%
solución del problema para dar
respuesta al mismo.

3- Utiliza variedad de elementos

estadísticos y tecnológicos que
justifican la información recabada

4- Trabajo original, con nuevos

conocimientos

TOTAL DE PUNTOS 5%

Presentación del Proyecto de Investigación

Calificación Descripción

Excelente La investigación está bien organizada. Utiliza representaciones

(95-100) visuales como gráficas y láminas. Está dividido por temas. La
información es relevante al tema de la investigación. Incluye más
de cuatro ideas secundarias que apoyan la idea principal. La
información está sustentada con ejemplos. Logra identificar
recursos de internet adicionales al tema. Los hallazgos se
originaron de una empresa real, están en un formato adecuado,
están relacionados al tema de investigación y con una redacción
adecuada para ser entendida fácilmente.
 Notable La investigación está bien organizada. Utiliza representaciones
(94-80) visuales como gráficas y láminas. La información es relevante al
tema de la investigación. Incluye dos o tres ideas secundarias que
apoyan a la idea principal. Usualmente utiliza el internet. Los
hallazgos están relacionados directamente con el tema pero se
basan en supuestos, la redacción es detallada utilizando un formato
ordenado, la redacción puede ser entendida.

Bueno La investigación está bien organizada. Aunque utiliza gráficas y

(79-70) láminas, las mismas no son correctas o relevantes. La información
es relevante al tema de la investigación. No incluye detalles o ideas
secundarias que apoyen la idea principal. Usualmente utiliza el
internet. No todos los hallazgos se relacionan con el tema, el
formato utilizado no permite una lectura fluida de los hallazgos, se
utiliza una redacción confusa.

Desempeñ La investigación está desorganizada. La información tiene poco o

o nada que ver con la idea principal. Requiere atención continua para
Insuficiente utilizar el internet. Los hallazgos no tienen relación alguna con el
(menor a tema, no se utilizó un formato adecuado, la redacción es muy
70) confusa.

PRUEBAS CORTAS (QUICES)

Nombre del
estudiante__________________________________________________

Criterios Porcentaje % Observaciones

Aplicación de conocimientos 1%
Todos los requerimientos de la 1%
solución están incluidos en la
respuesta

Planteamiento del problema : 1%

Claridad ,coherencia y solidez en
la presentación del problema

Solución eficiente del problema 1%

Solución correcta del problema 1%

TOTAL DE PUNTOS 5%

PROYECTO FINAL (POR ETAPAS) 45 %

Nombre del
estudiante________________________________________________

Rubros a evaluar Porcentaje % Observaciones

Etapa 1: Investigación del tema

• Seguimiento de la estructura: 2%
20%
• Completitud del trabajo:3%

• Presentación con diapositivas: 5%

• Exposición del tema:10%

Etapa 2: Aplicación del tema en una

auditoría

• Razonabilidad de los hallazgos: 5%

25%
• Documentación y redacción de los
hallazgos: 10%

• Exposición de los resultados: 10%

 Rubros a evaluar Porcentaje % Observaciones

TOTAL DE PUNTOS 45%

IX. BIBLIOGRAFIA

1. Arens, Alvin. (2010). Auditoria: Un Enfoque Integral. México:Pearson

Educación.
2. Castellanos, L. R. (2012). Seguridad en Informática: Seguridad,
Auditoría, Cortafuegos, Ingeniería Social, ISO 27000. España: Editorial
Académica Española.
3. Jiménez Alzate, A. (2009). Una visión sistémica de la auditoría
informática. Colombia: Universidad Santiago de Cali.

X. CRONOGRAMA DE ACTIVIDADES
SESIO ESTRATEGIAS DE
CONTENIDO TEMATICO
N APRENDIZAJE

1 1. Conceptos generales sobre auditoría Presentación y análisis del

de sistemas programa de estudios

Discutir la evaluación propuesta

en el curso.

Introducción a la temática , con

participación activa de los
estudiantes

Revisión de ejemplos u
realización de ejercicios

Formación de grupos de trabajo

para el Proyecto (máximo 5
estudiantes).

2 1. Conceptos generales sobre auditoría
de sistemas
- Diagnóstico de necesidades
- Conocimientos previos,
análisis y conclusiones.
Revisión de ejemplos y
realización de ejercicios.

Dinámicas de Discusión.
Exposición oral

3 1. Conceptos generales sobre auditoría Análisis crítico Dinámicas de

de sistemas Discusión.

Asignación de Tarea 1,
extraclase. Entrega próxima
sesión
SESIO ESTRATEGIAS DE
CONTENIDO TEMATICO
N APRENDIZAJE

4 2.La auditoría y la Planeación Estratégica Revisión de ejemplos y

Informática realización de ejercicios.

Dinámicas de Discusión. Análisis

de casos.

- Diagnóstico de necesidades
- Conocimientos previos,
análisis y conclusiones.
5 2.La auditoría y la Planeación Estratégica Análisis y discusión de
Informática resultados.

Prueba corta 1(quiz)

6 3. Auditoría de la Administración de la Dinámicas de Discusión.

función informática
Revisión de ejemplos y
realización de ejercicios. Análisis
de casos

Asignación de Tarea 2
extraclase. Entrega próxima
sesión.

- Diagnóstico de necesidades
- Conocimientos previos,
análisis y conclusiones.
SESIO ESTRATEGIAS DE
CONTENIDO TEMATICO
N APRENDIZAJE

7 3. Auditoría de la Administración de la Revisión de ejemplos y

función informática realización de ejercicios.

Prueba corta 2(quiz)

Análisis crítico y conclusiones.

Dinámicas de Discusión.

8 Prueba 1: Ejercicios Prácticos Autoevaluación de aprendizaje

9 Evaluación del ambiente de producción Introducción a la temática , con

participación activa de los
estudiantes

Programación de casos prácticos

en grupos de trabajo.

- Diagnóstico de necesidades
- Conocimientos previos,
análisis y conclusiones.
10 5. Evaluación de los sistemas en Análisis y discusión de
producción resultados. Revisión de ejemplos
y realización de ejercicios

6. Evaluación del proceso de desarrollo

de sistemas
SESIO ESTRATEGIAS DE
CONTENIDO TEMATICO
N APRENDIZAJE

11 Exposiciones Proyecto Investigación Presentación de temas con

análisis crítico y conclusiones.

Dinámicas de Discusión.

Trabajo de Investigación, con

presentaciones en forma de
exposición, con técnicas que el
estudiante considere y que
involucre la reflexión, análisis
crítico de todo el grupo.

12 Exposiciones (en caso de que no se Presentación de temas con

finalizaran en semana 11) análisis crítico y conclusiones.

Dinámicas de Discusión.

7. Evaluación de controles en la
contratación por servicios profesionales
- Diagnóstico de necesidades
- Conocimientos previos,
análisis y conclusiones.

Trabajo de Investigación, con

presentaciones en forma de
exposición, con técnicas que el
estudiante considere y que
involucre la reflexión, análisis
crítico de todo el grupo.
SESIO
CONTENIDO TEMATICO
N APRENDIZAJE
13 Exposiciones (en caso de que no se
finalizaran en semana 11)
7. Evaluación de controles en la
contratación por servicios profesionales
14 Exposiciones (en caso de que no se
finalizaran en semana 11)
7. Evaluación de controles en la
contratación por servicios profesionales
15 Prueba 2: Ejercicios Prácticos
ESTRATEGIAS DE
Presentación de temas con
análisis crítico y conclusiones.
Dinámicas de Discusión.
Trabajo de Investigación, con
presentaciones en forma de
exposición, con técnicas que el
estudiante considere y que
involucre la reflexión, análisis
crítico de todo el grupo.
Análisis reflexivo y crítico.
Autoevaluación de aprendizaje