Auditoria de Sistemas TI

Universidad Tecnoló gica de
Netzahualcó yotl
AUDITORIA DE SISTEMAS EN TI
Auditoria de Sistemas TI 2010
Contenido
1.1 Auditoria de la Función Informática...........................................................................................................................4
1.1.1 Definir conceptos de Auditoria y Auditoria Informática......................................................................................4
1.1.2 Describir la estructura organizacional y funciones de la auditoria Informática..................................................4
1.1.3 Reconocer las TI y sus características..............................................................................................................5
1.2 Políticas de la Organización (Reglas de la Organización)........................................................................................5
1.2.1 Describir el concepto de Política........................................................................................................................5
1.2.2 Describir la importancia del manual de Políticas de la Organización................................................................6
1.3 Interpretación del Manual de Procedimientos de la organización.............................................................................6
1.3.1 Reconocer los conceptos de procesos, roles y funciones.................................................................................6
1.3.2 Definir el concepto de manual...........................................................................................................................7
1.3.3 Describir los tipos de manuales de la organización y sus apartados................................................................7
1.4 Recursos Humanos...................................................................................................................................................7
1.4.1 Definir el concepto de Capital Humano.............................................................................................................7
1.4.2 Describir la Gestión de Recursos Humanos......................................................................................................9
1.5 Diagnostico de la Situación Actual..........................................................................................................................10
1.5.1 Describir los pasos para realizar un diagnostico de la situación actual de una organización.........................11
1.5.2 Explicar el diagnostico del negocio u organización.........................................................................................11
1.5.3 Áreas de Oportunidad de TI dentro de la Organización..................................................................................12
1.6 Control Interno.........................................................................................................................................................13
1.6.1 Describir el concepto de control Interno, sus funciones y tipos de Control.....................................................13
1.6.2 Describir la metodología para el establecimiento de Controles.......................................................................16
2.1 Planeación de la auditoria Informática....................................................................................................................17
2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI.........................................................17
2.1.2 Identificar las fases de la auditoria Informática................................................................................................17
2.1.3 Definir los elementos de la planeación de la auditoria Informática..................................................................18
2.1.4 Definir el concepto de la lista de Verificación..................................................................................................18
2.2 Evaluación de la Seguridad.....................................................................................................................................19
2.2.1 Identificar los modelos de Seguridad...............................................................................................................19
2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad...................................................19
2.2.3 Definir la auditoria de seguridad física lógica de los datos..............................................................................20
2.3 Selección de proveedores.......................................................................................................................................21
2.3.1 Reconocer las características que debe tener un proveedor..........................................................................22
2.3.2 Reconocer los procedimientos vigentes o existentes para la selección de proveedores................................22
2.4 Licenciamiento del Software...................................................................................................................................23
2.4.1 Identificar los diferentes tipos de licenciamientos de software y condiciones de uso.....................................23
2.5 Evaluación de Hardware y Software.......................................................................................................................24
2.5.1 Describir las características del Hardware y software apropiado para tareas específicas..............................25
2.6 Evaluación de sistemas...........................................................................................................................................26
2.6.1 Describir los pasos para evaluar los sistemas de información de acuerdo al ciclo de vida............................26
2.6.2 Explicar los elementos de la evaluación de análisis de sistemas....................................................................26
2.6.3 Explicar los elementos de la evaluación del diseño lógico.............................................................................27
2.6.4 Explicar los elementos de la evaluación del desarrollo del sistema................................................................27
2.7 Evaluación de la red................................................................................................................................................28
2.7.1 Reconocer los elementos que debe contener una red local con base en el estándar ANSI/TIA 569 A y B...28
2.7.2 Reconocer los elementos que debe contener una red inalámbrica con base en el estándar ANSI EIA/TIA
802.11x.....................................................................................................................................................................29
2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI EIA/TIA 569)..............................30
2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP.............................................................................................30
2.7.5 Describir la vulnerabilidad de las redes...........................................................................................................32
2.7.6 Explicar la auditoria de la red física y lógica....................................................................................................34
3.1 Conceptos Básicos..................................................................................................................................................36
3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentación.................36
3.2 Interpretación de los resultados de la Auditoria Informática...................................................................................36
3.2.1 Identificar los tipos de opiniones......................................................................................................................36
3.2.2 Describir los componentes, características y tendencias de un informe.........................................................37
3.3 Identificar los tipos de conclusiones de la Auditoria Informática.............................................................................37
3.3.1 Identificar los tipos de de conclusiones...........................................................................................................37
3.4 Áreas de oportunidad e las ITIL.............................................................................................................................38
3.4.1 Reconocer el concepto de FODA y sus componentes....................................................................................38
3.4.2 Definir el concepto de ITIL...............................................................................................................................39
3.4.3 Describir los lineamientos y/o estándares que ayudan en el control, operación, administración de recursos y
servicios informáticos................................................................................................................................................39
1.1 Auditoria de la Función Informática

1.1.1 Definir conceptos de Auditoria y Auditoria Informática
Auditoria: Es la revisión y examen de una función, cifra, proceso o reporte, efectuados por personal
independiente a la operación, para apoyar la función ejecutiva.
La Auditoria de tecnologías de información (T.I.), como se le conoce actualmente, (Auditoria informática o

Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de
conocimientos cierto y consistente, respondiendo a la acelerada evolución de la tecnología informática de
los últimos 10 años. En algunos países altamente desarrollados es catalogada como una actividad de
apoyo vital para el mantenimiento de la infraestructura crítica de una nación, tanto en el sector público
como privado, en la medida en que la información es considerada un activo tan o más importante que
cualquier otro en una organización. Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas
prácticas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y
disponibilidad de la información tratada y almacenada a través del computador y equipos afines, así como
de la eficiencia, eficacia y economía con que la administración de un ente están manejando dicha
INFORMACION y todos los recursos físicos y humanos asociados para su adquisición, captura,
procesamiento, transmisión, distribución, uso y almacenamiento. Todo lo anterior con el objetivo de emitir
una opinión o juicio, para lo cual se aplican técnicas de auditoría de general aceptación y conocimiento
técnico específico.
1.1.2 Describir la estructura organizacional y funciones de la auditoria

Informática
Especialidad profesional apoyada por un conjunto de conocimientos profundos acerca de la tecnología

informática, de técnicas y procedimientos de auditoría y de conocimientos contables suficientes, para
evaluar la calidad, fiabilidad y seguridad de un entorno informático dado, así como brindar seguridad
razonable acerca de la utilidad de la información almacenada y procesada en ellos, con el fin de emitir un
juicio al respecto. Complementariamente, su trabajo, deberá permitir la emisión de un juicio u opinión
acerca de lo adecuado del control interno informático. Finalmente, deberá expresar su opinión acerca de el
grado de eficiencia, eficacia y economía con que están siendo usados - administrados todos los recursos
de tecnología informática a cargo de la administración, incluido el factor humano.
Rol de la auditoria/auditor de T.I. en la empresa El auditor de sistemas debe jugar un rol proactivo a través
de todas las etapas del proceso de sistematización del negocio. Adicionalmente debe apoyar a la Auditoria
Financiera en su proceso de obtención de evidencia y validación de procedimientos de control a través del
uso de C.A.A.T. (computer audit assisted technologies) y del computador
1.1.3 Reconocer las TI y sus características
Las TIC conforman el conjunto de recursos necesarios para manipular la información y particularmente los
ordenadores, programas informáticos y redes necesarias para convertirla, almacenarla, administrarla,
transmitirla y encontrarla.
Se puede reagrupar las TIC según:

Las redes.
Los terminales.
Los servicios.
Ejemplos de tic
Las redes
Telefonía fija
Banda ancha
Telefonía móvil
Redes de televisión
Redes en el hogar
Los terminales
Ordenador personal
Navegador de Internet
Sistemas operativos para ordenadores
Teléfono móvil
Televisor
Reproductores portátiles de audio y vídeo
Consolas de juego
1.2 Políticas de la Organización (Reglas de la Organización)
1.2.1 Describir el concepto de Política
La política, Es la actividad humana que tiende a gobernar o dirigir la acción del Estado en beneficio de la
sociedad. Es el proceso orientado ideológicamente hacia la toma de decisiones para la consecución de los
objetivos de un grupo. La ciencia política es una ciencia social que estudia dicha conducta de una forma
académica utilizando técnicas de análisis político; los profesionales en esta ciencia adquieren el título
de politólogos, mientras quienes desempeñan actividades profesionales a cargo del Estado o se presentan
a elecciones se denominan políticos
1.2.2 Describir la importancia del manual de Políticas de la Organización
Los Manuales representan una guía práctica que se utiliza como herramienta de soporte para la
organización y comunicación, que contiene información ordenada y sistemática, en la cual se establecen
claramente los objetivos, normas, políticas y procedimientos de la empresa, lo que hace que sean de
mucha utilidad para lograr una eficiente administración. Son considerados uno de los elementos más
eficaces para la toma de decisiones en la administración, ya que facilitan el aprendizaje y proporcionan la
orientación precisa que requiere la acción humana en cada una de las unidades administrativas que
conforman a la empresa, fundamentalmente a nivel operativo o de ejecución, pues son una fuente de
información que trata de orientar y mejorar los esfuerzos de sus integrantes para lograr la adecuada
realización de las actividades que se le han encomendado.
1.3 Interpretación del Manual de Procedimientos de la organización
1.3.1 Reconocer los conceptos de procesos, roles y funciones
Son los documentos en los que se integra toda la información operativa y administrativa de las unidades,
con la finalidad de lograr la estandarización de operaciones, procesos, procedimientos, imagen y servicio.
Manual de procedimientos
Un manual de procedimientos es el documento que contiene la descripción de actividades que deben
seguirse en la realización de las funciones de una unidad administrativa, o de dos ò más de ellas.
Incluye:
Puestos o unidades Administrativas
Información y formatos de formularios
Autorizaciones o documentos necesarios
Funciones:
Permite conocer el funcionamiento interno por lo que respecta a descripción de tareas, ubicación,
requerimientos y a los puestos responsables de su ejecución.
Auxilian en la inducción del puesto y al adiestramiento y capacitación del personal

Sirve para el análisis o revisión de los procedimientos de un sistema
Interviene en la consulta de todo el personal
Sirve Para establecer un sistema de información o bien modificar el ya existente.
Para uniformar y controlar el cumplimiento de las rutinas de trabajo y evitar su alteración arbitraria.
Determina en forma más sencilla las responsabilidades por fallas o errores.
Facilita las labores de auditoría, evaluación del control interno y su evaluación.
Aumenta la eficiencia de los empleados, indicándoles lo que deben hacer y cómo deben hacerlo.
Ayuda a la coordinación de actividades y evitar duplicidades.
Construye una base para el análisis posterior del trabajo y el mejoramiento de los sistemas,
procedimientos y métodos
1.3.2 Definir el concepto de manual
Instrumento administrativo que contiene en forma explícita, ordenada y sistemática información sobre
objetivos, políticas, procedimientos etc.
1.3.3 Describir los tipos de manuales de la organización y sus apartados
Tipos de Manuales:
Manual de Organización
Describe la Organización Formal de la Empresa consignando:
Misiones: enunciación sintética del objetivo que persigue el área de la Organización.
Funciones Básicas de la Autoridad: Quienes dependen de él y él de quien depende
Responsabilidad Características y Especificaciones de la Posición.
Manual de Procedimientos.
Describe en detalle las operaciones que integran los procedimientos administrativos en orden
secuencial de su ejecución y las normas a cumplir por los miembros de la organización
compatibles con dichos procedimientos.
La estructura de un Manual de Procedimientos debe contemplar: Carátula de Presentación:
indicando Tema, Nº de Procedimiento, Vigencia, Áreas afectadas y Analista Actuante.
Objetivos y Alcance Instrucciones acerca de codificaciones utilizadas o de la forma de
actualización.
Manual del Puesto de Trabajo.

Describe en forma pormenorizada la intervención que le corresponde a la posición en cada uno de
los procedimientos en los que le toca intervenir. El Cómo, el Porqué y el Para Qué.
Su contenido debe responder a la siguiente estructura:
Objetivos.
Funciones del Sector.
Descripción de Procedimientos.
Tareas a realizar.
Instrucciones.
Responsabilidad
1.4 Recursos Humanos
1.4.1 Definir el concepto de Capital Humano
Se denomina recursos humanos al trabajo que aporta el conjunto de los empleados o colaboradores de
una organización. Pero lo más frecuente es llamar así a la función que se ocupa de seleccionar, contratar,
formar, emplear y retener a los colaboradores de la organización. Estas tareas las puede desempeñar una
persona o departamento en concreto (los profesionales en Recursos Humanos) junto a los directivos de la
organización.
El capital humano es un término usado en ciertas teorías económicas del crecimiento para designar a un
hipotético factor de producción dependiente no sólo de la cantidad, sino también de la calidad del grado de
formación y productividad de las personas involucradas en un proceso productivo.
A partir de ese uso inicialmente técnico, se ha extendido para designar el conjunto de recursos
humanos que posee una empresa o institución económica. Igualmente se habla de modo informal de
mejora en el capital humano cuando aumenta el grado de destreza, experiencia o formación de las
personas de dicha institución económica.
En las instituciones educativas se designa al "conjunto de conocimientos, habilidades, destrezas y talentos

que posee una persona y la hacen apta para desarrollar actividades específicas"
Capital: cantidad de dinero o valor que produce interés o utilidad. Elemento o factor de la producción formado
por la riqueza acumulada que en cualquier aspecto se destina de nuevo a aquella unión del trabajo y de
los agentes naturales.
Humano: relativo al hombre o propio de él.
Gestión: efectuar acciones para el logro de objetivos.
Competencia: aptitud; cualidad que hace que la persona sea apta para un fin. Suficiencia o idoneidad para
obtener y ejercer un empleo. Idóneo, capaz, hábil o propósito para una cosa. Capacidad y disposición para
el buen de desempeño. Estos términos por separado no nos dan mucha claridad o luz de su utilización en la
administración del RRHH, sin embargo veamos las interacciones que se suceden entre ellos.
Capital Humano: Es el aumento en la capacidad de la producción del trabajo alcanzada con mejoras en las
capacidades de trabajadores. Estas capacidades realzadas se adquieren con el entrenamiento,
la educación y la experiencia. Se refiere al conocimiento práctico, las habilidades adquiridas y las
capacidades aprendidas de un individuo que lo hacen potencialmente.
En sentido figurado se refiere al término capital en su conexión con lo que quizá sería mejor llamada la
"calidad del trabajo" es algo confuso. En sentido más estricto del término, el capital humano no es
realmente capital del todo.
El término fue acuñado para hacer una analogía ilustrativa útil entre la inversión de recursos para aumentar
el stock del capital físico ordinario (herramientas, máquinas, edificios, etc.) para aumentar la productividad del
trabajo y de la "inversión" en la educación o el entrenamiento de la mano de obra como medios alternativos
de lograr el mismo objetivo general de incrementar la productividad.
La empresa es una entidad económica donde se combinan dinámicamente factores que son necesarios
para el proceso de producción, entre estos factores esenciales está el capital, el capital humano, el trabajo
y la dirección empresarial.
1.4.2 Describir la Gestión de Recursos Humanos
La gestión de los recursos humanos se encarga de obtener y coordinar a las personas de una
organización, de forma que consigan las metas establecidas. Para ello es muy importante cuidar las
relaciones humanas.
Las fases por las que ha pasado la gestión de los RRHH son cuatro:
1. Administrativa: Es puramente burocrático y actúa sobre la disciplina y las remuneraciones. Las
medidas a adoptar son de tipo reactivo.
2. Gestión: Se empieza a considerar las necesidades de tipo social y sociológico de las personas.
Las medidas a adoptar son de tipo pro activo.
3. Desarrollo: Se busca la conciliación entre las necesidades de los trabajadores y las necesidades
económicas de la empresa. Se considera que las personas son elementos importantes para la
empresa y se busca su motivación y eficiencia.
4. Gestión estratégica de los RRHH: La gestión de los RRHH esta ligada a la estrategia de la
empresa. Los trabajadores son la fuente principal de la ventaja competitiva de la empresa. Esta
evolución ha sido protagonizada por:
Objetivos de la gestión de recursos humanos
Atraer a los candidatos al puesto de trabajo que estén potencialmente cualificados

Retener a los mejores empleados
Motivar a los empleados
Ayudar a los empleados a crecer y desarrollarse en la organización
Aumento de la productividad
Mejorar la calidad de vida en el trabajo
Cumplimiento de la normativa y legislación.
A continuación se sintetizan algunas de las funciones más importantes de la Gestión de los Recursos
Humanos:
El proceso de selección
1º el formulario de solicitud: la preselección.

En este punto vamos a analizar los distintos currículos o formularios de solicitud que hayamos recoger
viendo el grado de adecuado de los candidatos al perfil deseado. Para ello clasificaremos los datos en
excluyentes, valorables o ponderables e indicativos.
2º pruebas de selección
Son unas operaciones por medio de las cuales se juzgan las cualidades y el valor de cada candidato en
relación con el puesto que se quiere cubrir. Estas pruebas tienen un carácter prospectivo en el sentido en
que tratan de predecir el comportamiento futuro de una persona interpretando y extrapolando los
resultados de las pruebas. Tenemos pruebas profesionales, en las que se simulan las condiciones reales
de trabajo; pruebas psicotécnicas, otras pruebas son juegos de empresas, ejercicios dinámicos de grupo,
grafología, etc.
La entrevista de selección
En primer lugar hay que determinar la preparación del entrevistador y seleccionarlo. Hay que programarse
la entrevista, y decidir los objetivos perseguidos con la misma. Hay que crear un ambiente apropiado, y
citar a los candidatos, generalmente por teléfono, y hacer que no coincida en la sala de espera.
Conocimiento del puesto a cubrir y del perfil ideal. Hay que reconocer a cada candidato
-La gestión del desempeño está estrechamente vinculada a la evaluación de las competencias, del
potencial y a los resultados obtenidos, lo que permite tener un estimado de cómo se está
desarrollando el trabajo a la vez que constituye un ente motivador del mismo y de su desempeño
respecto a las nuevas exigencias, que logre elevar la motivación con nuevas formas de
estimulación y contribuya a hacer coincidir las necesidades de los individuos que trabajan en la
organización con la misión y los objetivos de esta, dando respuesta en cuanto a eficiencia, eficacia
y efectividad.
La remuneración parte de la valoración de los puestos de trabajo y se basa en los resultados
obtenidos de forma individual y colectiva, por lo que tenderá a ser un componente variable
favoreciendo la eficacia que debe primar en las organizaciones.
Las promociones se apoyan cada vez más en la competencia de los individuos, por lo que el
concepto de evaluación del desempeño, de evaluación del potencial y el desarrollo de carrera
prevén la evolución futura de los recursos humanos dentro de la organización.
Evaluación del desempeño

Toda evaluación es un proceso para estimular o juzgar el valor, la excelencia las cualidades de alguna
persona.
Los objetivos fundamentales de la evaluación del desempeño son:
Permitir condiciones de medición del potencial humano en el sentido de determinar su plena

aplicación.
Permitir el tratamiento de los recursos humanos como un recurso básico de la empresa y cuya
productividad puede desarrollarse indefinidamente, dependiendo la forma de administración.
Dar oportunidades de crecimiento y condiciones de efectiva participación a todos los miembros de
la organización, teniendo en cuenta, por una parte, los objetivos empresariales y, por la otra, los
objetivos individuales.
Estos sistemas efectivos de evaluación del desempeño pueden aplicarse a través de:
Técnicas orientadas a la tarea
Técnicas orientadas a las personas
Sistemas de retroalimentación
Sistemas de mejora del rendimiento
1.5 Diagnostico de la Situación Actual

El diagnostico de la situación actual busca analizar tanto el entorno como la empresa en si. El análisis del
entorno tiene que ver con la totalidad de los sistemas que rodean a la empresa y que interactúan con ella.
Interesa identificar le conjunto de elementos y actores formales e informales que afectan o pudieran
afectar sus operaciones y decisiones actuales o futuras. Se supone, por lo general que la empresa tiene
poca o ninguna posibilidad de dominio sobre el entorno donde se encuentra y actual.
1.5.1 Describir los pasos para realizar un diagnostico de la situación actual de

una organización
Los programas de cambio organizacional planeado, parten del reconocimiento previo de que el
comportamiento humano presenta una complejidad en su estudio derivada de su carácter
multidimensional, de tal forma que se reconoce de antemano, la influencia de factores sociales e
individuales que determinan el comportamiento individual y grupal. Por ello, es necesario precisar que para
alcanzar la objetividad y garantizar mejores resultados en las intervenciones de agentes de cambio en
organizaciones formales, se requiere la adopción de un enfoque multidisciplinario que retome las
aportaciones de diferentes ciencias sociales que comparten como objeto de estudio el comportamiento
humano en general y organizacional en particular.
Revitalizar una organización implica intensificar las acciones de capacitación e incrementar la contribución
de los directivos, trabajadores y la organización como un todo, de manera que puedan hacer frente a las
exigencias de un entorno social cada vez más competitivo. La revitalización implica partir de un
diagnóstico adecuado e integral de la organización como fase previa a la implementación de cambios
planeados. La planeación de todo cambio organizacional debe incluir como una de sus primeras acciones
la realización de un diagnóstico organizacional, que sirva como punto de partida y referencia para una
retroalimentación posterior. Esta nueva filosofía de la organización ha venido a reducir la confianza
exclusiva en la autoridad de la dirección, en las reglas rígidas y en las divisiones de trabajo estrictas y
cerradas. Resaltan en cambio, como verdaderas necesidades de cambio las siguientes:
a. Involucrar a los miembros de la organización en el proceso de toma de decisiones en base a un
modelo horizontal
b. Integración de equipos de trabajo en las diferentes áreas de la organización
c. Crear, fortalecer y mantener diversos canales de comunicación organizacional, a través de los
cuales fluya la información referente al rendimiento y el entorno competitivo que rodea a la
organización.
d. Desarrollo de una identidad organizacional que aumente los niveles de compromiso y
responsabilidad a lo largo de toda la estructura ocupacional de la organización
e. Fortalecimiento del proceso de socialización organizacional con el objeto de mejorar el contrato
psicológico entre el individuo y su organización
1.5.2 Explicar el diagnostico del negocio u organización
Diagnóstico organizacional es una actividad vivencial que involucra a un grupo de personas de una
empresa o institución interesadas en plantear soluciones a situaciones problemáticas o conflictivas,
sometiéndose a un auto-análisis que debe conducir a un plan de acción concreto que permita solucionar la
situación problemática.
La base del diagnóstico organizacional es que, al igual que las personas, las empresas o instituciones
deben someterse a exámenes periódicos, para identificar posibles problemas antes de que estos se tornen
graves. Estos exámenes periódicos constituyen un sistema de control que permite optimizar el
funcionamiento de las empresas e instituciones, al identificar problemas en el funcionamiento de éstas,
surgen acciones dirigidas a su eliminación o disminución, que en conjunto constituyen una parte
importante de la planeación operativa.
Se debe notar que en un diagnóstico se está evaluando el comportamiento de un sistema contra un

modelo normativo, aunque es posible que este modelo nunca sea definido en forma explícita. De la misma
manera que el médico examina a un paciente y lo compara mentalmente con el funcionamiento de una
persona sana, el analista tiene un modelo mental de lo que debería ser su organización funcionando
correctamente. Esta analogía es muy clara, ya que el paciente (organización) proporciona una serie de
síntomas (funciones corporales alteradas) al médico (analista de sistemas), el cual puede identificar la
enfermedad del paciente y proponer una terapia. En la figura N° 1 Se muestra un diagrama que ejemplifica
la situación anteriormente mencionada.
De aquí se puede ver que existen tres factores importantes a tomar en cuenta cuando se realiza un
diagnóstico organizacional. Estos factores son muy importantes tanto para determinar la problemática,
como para dar soluciones a la misma y son:
La situación de la empresa dentro del contexto de su rama industrial.
La posición de la empresa en el ciclo de vida de las organizaciones.
El sistema social que prevalece dentro de la empresa.
Además desde un punto global, un diagnóstico, aunque no necesariamente un Diagnóstico

Organizacional, es el obligado punto de partida de un proceso de planeación, en donde es necesario saber
dónde se está antes de decidir a dónde se quiere ir, y como se llegará a ese punto. La figura N° 2 que se
muestra a continuación describe el proceso de planeación.
Asignar
recursos
Planes Realizació
detallados
n de los
Plan
estratégico
Diagnóstico
Asignación de
Incentivo responsabilidades
s y funciones
Monitoreo y control
1.5.3 Áreas de Oportunidad de TI dentro de la Organización
El objetivo del diagnóstico organizacional es someter a la organización a un auto-análisis que le permita

identificar síntomas presentes en la organización, y a través de ellos, encontrar los problemas que
podríamos llamar “de fondo”, y que deben ser resueltos para preservar la salud organizacional.
Como en todo sistema participativo, el proceso es tan importante como el resultado, ya que el espíritu de
grupo generado y el conocimiento de las opiniones y problemas de otros componentes de la organización
son beneficios casi tan importantes como el de identificar y resolver el problema.
El procedimiento general del Diagnóstico Organizacional consta de los siguientes pasos:

Selección del grupo de trabajo
Entrenamiento del grupo de trabajo
Generación de síntomas individuales
Generación de la lista colectiva
Proceso de síntesis y generación de problemas
Clasificación de problemas
Planteamiento de soluciones
Generación de un plan de trabajo
1.6 Control Interno
El control interno es de importancia para la estructura administrativa contable de una empresa. Esto
asegura que tanto son confiables sus estados contables, frente a los fraudes y eficiencia y eficacia
operativa.
1.6.1 Describir el concepto de control Interno, sus funciones y tipos de Control
El sistema de control interno comprende el plan de la organización y todos los métodos coordinados y
medidas adoptadas dentro de una empresa con el fin de salvaguardar sus activos y verificara la
confiabilidad de los datos contables.
Pero cuando tenemos empresas que tienen más de un dueño, muchos empleados, y muchas tareas
delegadas. Por lo tanto los dueños pierden control y es necesario un mecanismo de control interno. Este
sistema deberá ser sofisticado y complejo según se requiera en función de la complejidad de la
organización.
Con la organización de tipo multinacional, los directivos imparten órdenes hacia sus filiales en distintos
países, pero el cumplimiento de las mismas no puede ser controlado con su participación frecuente. Pero
si así fuese su presencia no asegura que se eviten los fraudes.
Entonces cuanto más se alejan los propietarios de las operaciones mas es necesario se hace la existencia
de un sistema de control interno estructurado.
Limitaciones de un sistema de control interno
Ningún sistema de control interno puede garantizar su cumplimiento de sus objetivos ampliamente, de
acuerdo a esto, el control interno brinda una seguridad razonable en función de:
Costo beneficio:
El control no puede superar el valor de lo que se quiere controlar.
La mayoría de los controles hacia transacciones o tareas ordinarias.
Debe establecerse bajo las operaciones repetitivas y en cuanto a las extraordinarias, existe la
posibilidad que el sistema no sepa responder
•El factor de error humano
Posibilidad de conclusiones que pueda evadir los controles.
Polución de fraude por acuerdo entre dos o más personas. No hay sistema de control no
Vulnerable a estas circunstancias.
Control interno administrativo y control interno contable
Dos tipos de controles internos (administrativos y contables)
El control interno administrativo no está limitado al plan de la organización y procedimientos que se

relaciona con el proceso de decisión que lleva a la autorización de intercambios
Entonces el control interno administrativo se relaciona con la eficiencia en las operaciones establecidas
por el ente.
El control interno contable comprende el plan de la organización y los registros que conciernen a la
salvaguarda de los activos y a la confiabilidad de los registros contables. Estos tipos de controles brindan
seguridad razonable:
1. Los intercambios son ejecutados de acuerdo con autorizaciones generales o especificas de la

gerencia
2. Se registran los cambios para: * mantener un control adecuado y * permitir la preparación de los
ee.cc.
3. Se salvaguardan los activos solo accesandolos con autorización
4. Los activos registrados son comparados con las existencias.
Clasificación de los controles internos
Generales: No tienen un impacto sobre la calidad de las aseveraciones en los estados contables , dado
que no se relacionan con la información Contable.
Específicos: Se relacionan con la información Contable y por lo tanto con las aseveraciones de los saldos
de los estados contables. Este tipo de controles están desde el origen de la información hasta los saldos
finales.
Tipos de controles generales
Conciencia de control
La gerencia es responsable del establecimiento de una conciencia favorable de control interno de la

organización. Es importante que la gerencia no viole los controles establecidos porque el sistema es
ineficaz.
La Gerencia se podría motivar a violarlos por las siguientes causas:

Cuando el ente está experimentando numerosos fracasos.
Cuando le falte capacidad de capital de trabajo o crédito.
Cuando la remuneración de los administradores este ligada al resultado.
Cuando el ente se va a vender en base a sus ee.cc.
Cuando se obtienen beneficios en exponer resultados más bajos.
Cuando la gerencia se encuentra bajo presión en cumplir sus objetivos.
Estructura organizacional
Establecida una adecuada estructura en cuanto al establecimiento de divisiones y departamentos

funcionales y así como la asignación de responsabilidades y políticas de delegación de autoridad.
Esto incluye la existencia de un departamento de control interno que dependa del máximo nivel de la
empresa.
Personal
Calidad e integridad del personal que esta encargado de ejecutar los métodos y procedimientos
prescriptos por la gerencia para el logro de los objetivos. Protección de los activos y registros
Políticas adoptadas para prevenir la destrucción o acceso no autorizado a los activos, a los medios de
procesamiento de los datos electrónicos y a los datos generados. Además incluye medidas por el cual el
sistema contable debe estar protegido ante la eventualidad de desastres ( incendio , inundación, etc. )
Separación de funciones
La segregación de funciones incompatibles reduce el riesgo de que una persona este en condiciones tanto
de cometer o ocultar errores o fraudes en el transcurso normal de su trabajo. Lo que se debe evaluar para
evitar la colusión de fraudes son: autorización, ejecución , registro, custodia de los bienes, realización de
conciliaciones.
Control circundante en el procesamiento electrónico de datos
El funcionamiento de los controles generales dependía la eficacia del funcionamiento de los controles
específicos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado.
Los controles generales en el procesamiento electrónico de datos ( PED ) tiene que ver con los siguientes
aspectos.
Organización
El personal de PED (sistemas) no realice las siguientes tareas:

iniciar y autorizar intercambios que no sean para suministros y servicios propios del departamento.
Registro de los intercambios
Custodia de activos que no sean los del propio departamento
Corrección de errores que no provengan de los originados por el propio dpto.
En cuanto a la organización dentro del mismo departamento, las siguientes funciones deben estar
segregadas:
Programación del sistema operativo
Análisis, programación y mantenimiento
Operación
Ingreso de datos
Control de datos de entrada / salida
Archivos de programas y datos.
Desarrollo y mantenimiento de sistemas

Las técnicas de mantenimiento y programación operativos del sistema deben estar normalizadas y
documentadas.
Operación y procedimientos
Deben existir controles que aseguren el procesamiento exacto y oportuno de la información contable.
Instrucciones por escrito sobre procedimiento para preparar datos para su ingreso y
procesamiento
La función de control debe ser efectuada por un grupo específico e independiente.
Instrucciones por escrito sobre la operación de los equipos.
Solamente operadores de computador deben procesar los SIST OP.
Controles de equipos y programas del sistema

Debe efectuarse un control de los equipos:
Programación del mantenimiento preventivo y periódico
Registro de fallas de equipos
Los cambios del sist. Op. Y la programación.
Controles de acceso
El acceso al PED debe estar restringido en todo momento. También debe controlarse:
El acceso los equipos debe estar restringido a aquellos autorizados
El acceso de la documentación solo aquellos autorizados
El acceso a los archivos de datos y programas solo limitados a operadores
1.6.2 Describir la metodología para el establecimiento de Controles
Metodologías más comunes
Entre las metodologías más comunes de evaluación de sistemas se encuentra:
Control interno informático. Sus métodos y procesamientos. Las herramientas de control
Función de Control;
En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los
auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la seguridad
con mayor visión, y realizan evaluaciones de tipo cualitativo.
Control interno informático; Cumplen funciones de control dual en los diferentes departamentos, que puede
ser normativa, marco jurídico, la funciones del control interno es la siguientes determinar los propietarios y
los perfiles según la clase de información, permitir a dos personas intervenir como medida de control,
realizar planes de contingencias, dictar normas de seguridad informática, controla la calidad de software,
los costos, los responsables de cada departamento, control de licencias, manejo de claves De cifrado,
vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad
informática. Metodologías de clasificación de información y de obtención de procedimientos de control;
Es establecer cuáles son las entidades de información a proteger, dependiendo del grado de importancia
de la información para el establecimiento de contramedidas.
Herramientas de control;
Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas que
brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del sistema, seguridad
lógica complementaria del sistema, seguridad lógica en entornos distribuidos, control de acceso físico,
control de copias, gestión de soporte magnéticos, gestión de control de impresión y envío de listados por
red, control de proyectos y versiones , gestión de independencia y control de cambios. Y físicos los
cifradores
2.1 Planeación de la auditoria Informática
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos
previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus
sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental,
pues habrá que hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI
En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos
que debe cumplir, tiempos , herramientas y conocimientos previos, así como de crear su equipo de
auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del área de informática.
2.1.2 Identificar las fases de la auditoria Informática
El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto
de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta
significativamente las técnicas a aplicar.
Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de
formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los
procedimientos para control del cliente.
2.1.3 Definir los elementos de la planeación de la auditoria Informática

Una de las partes más importantes en la planeación de la auditoría en informática es el personal que
deberá participar, ya que se debe contar con un equipo seleccionado y con ciertas características que
puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.
2.1.4 Definir el concepto de la lista de Verificación
La Lista de Verificación, se usa para determinar con qué frecuencia ocurre un evento a lo largo de un
período de tiempo determinado.
En la Lista de Verificación se pueden recoger informaciones de eventos que están sucediendo o aquellos
que ya sucedieron.
A pesar de que la finalidad de la Lista de verificación es el registro de datos y no su análisis,

frecuentemente indica cuál es el problema que muestra esa ocurrencia.
La lista de verificación permite observar, entre otros, los siguientes aspectos:
Número de veces que sucede una cosa.
Tiempo necesario para que alguna cosa suceda.
Costo de una determinada operación, a lo largo de un cierto período de tiempo.
Impacto de una actividad a lo largo de un período de tiempo.
Se usa para:
Registrar informaciones sobre el desempeño de un proceso.
¿Cómo usarla?
Determine exactamente lo que debe ser observado.
Defina el período durante el cual los datos serán recolectados.
Construya un formulario simple y de fácil manejo para anotar los datos.
Haga la recolección de datos, registrando la frecuencia de cada ítem que está siendo observado.
Sume la frecuencia de cada ítem y regístrela en la columna Total.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los
escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el
trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de
sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar
Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno
de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos
débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto,
bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas,
en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los
puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas
complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las
notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su
presencia.
2.2 Evaluación de la Seguridad
Para realizar una evaluación de la Seguridad, es importante conocer cómo desarrollar y ejecutar la
implantación de un Sistema de Seguridad.
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las
actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la
función informática, así como el resguardo de los activos de la empresa.
2.2.1 Identificar los modelos de Seguridad
Definir elementos administrativos

Definir Políticas de Seguridad: A nivel departamental, a nivel institucional
Organizar y dividir las responsabilidades
Contemplar la Seguridad Física contra catástrofes (incendios, terremotos, inundaciones, etc.)
Definir prácticas de Seguridad para el personal: Plan de emergencia, Plan de evacuación, Uso de
recursos de emergencia (extinguidores, etc.)
Definir el tipo de Pólizas de Seguros
Definir elementos técnicos de procedimientos: Técnicas de aseguramiento del sistema
Codificar la información: Criptografía
Contraseñas difíciles de averiguar (letras mayúsculas, minúsculas, números y símbolos ) que
deben ser cambiadas periódicamente
Vigilancia de Red: Tecnologías repelentes o protectoras (Cortafuegos (firewalls), sistema de
detección de intrusos, etc.)
2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la

seguridad
Anti-spyware, antivirus, llaves para protección de software, etc.
Mantener los sistemas de información (sistemas operativos y programas) con las actualizaciones
que más impacten en la Seguridad
Definir las necesidades de Sistemas de Seguridad para hardware y software
Flujo de energía
Cableados locales y externos
Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos
Planificación de los papeles de los Auditores internos y externos
Planificación de programas de contingencia o recuperación de desastre y sus respectivas pruebas
(Simulación)
Planificación de Pruebas al Plan de Contingencia con carácter periódico
Política de Destrucción de basura, copias, fotocopias, discos duros, etc.
Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de
Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas
Especificas de la Auditoría Informática más importantes.
Áreas Específicas Áreas Generales

Explotación Interna Dirección Usuario Seguridad
Desarrollo
Sistemas
Comunicaciones
Seguridad
2.2.3 Definir la auditoria de seguridad física lógica de los datos
La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales.
La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su
funcionalidad, racionalidad y seguridad.
Existen tres tipos de seguridad:
Seguridad lógica.
Seguridad física.
Seguridad de las comunicaciones.
EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE:
Realizar un análisis de riesgos de los sistemas críticos.

Establecer un periodo crítico de recuperación.
Realizar un análisis de las aplicaciones críticas estableciendo periodos de proceso.
Establecer prioridades de proceso por días del año de las aplicaciones y orden de los procesos.
Establecer objetivos de recuperación que determine el periodo de tiempo entre la declaración del
desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos.
Asegurar la capacidad de las comunicaciones.
Asegurar los servicios de bookup.
Técnicas:
Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y
contratos de seguros.
Entrevistas con directivos y personal.
Consultas a técnicos y peritos.
Fases de la Auditoria:
Alcance de la Auditoría
Adquisición de Información General
Administración y Planificación
Plan de Auditoría
Resultado de las Pruebas
Conclusiones y Comentarios
Borrador de Informe
Discusión con los Responsables de Área
Informe Final
2.3 Selección de proveedores
Una vez que se han buscado proveedores, se procede a la selección de los más adecuados; esto implica
el estudio exhaustivo de los posibles proveedores y su eliminación sucesiva basándose en los criterios de
selección que se hayan elegido, hasta reducir la cantidad a unos pocos proveedores. Con la información
que se recabe en el proceso de selección se realiza el siguiente trabajo:
Una ficha de cada proveedor para formar un fichero de proveedores en el que se reflejarán las
características de los artículos que cada proveedor puede suministrar y las condiciones
comerciales que ofrece.
Modelo de ficha de proveedores.
2.3.1 Reconocer las características que debe tener un proveedor
La investigación de proveedores consiste en investigar y estudiar los posibles proveedores de los

materiales requeridos. Esta investigación generalmente se hace mediante la verificación de los
proveedores previamente registrados en el organismo de compras.
El organismo de compras debe tener un fichero o banco de datos sobre los proveedores registrados, que
contengan los abastecimientos que hayan efectuado y las condiciones en que se negocio, este fichero
debe permitir una evaluación del mercado de proveedores para cada material como modelo para comprar
las características de cada proveedor potencial.
La selección del proveedor más adecuado dentro de los investigados consiste en comparar las diversas
propuestas y cotizaciones de venta de varios proveedores y escoger cual es el que mejor atiende a las
conveniencias de la empresa, condiciones de pago, posibles descuentos, plazos de entrega, etc.
Negociación con el proveedor

Una vez escogido el proveedor, compras comienzan a negociar con la adquisición del material requerido,
dentro de las condiciones más adecuadas del precio de pago. La negociación sirve para definir como se
hará la emisión del pedido de compra del proveedor.
El pedido de compra es un contrato formal entre la empresa y el proveedor, en donde se especifican las
condiciones en que se hizo la negociación. El comprador es el responsable de las condiciones y
especificaciones contenidas en el pedido de compra.
Acompañamiento del pedido
Hecho el pedido de compra, el organismo de compras necesita asegurarse de que la entrega del material
se hará dentro de los plazos establecidos y en la cantidad y calidad negociadas, debe haber un
acompañamiento o seguimiento del pedido, a través de constantes contactos personales o telefónicos con
el proveedor, para conocer el avance de la producción del material requerido, este seguimiento representa
una constante supervisión del pedido y una cobranza permanente de resultados, esto permite localizar
anticipadamente problemas y evitar sorpresas desagradables, pues a través de el, compras puede
asegurar el pedido, exigir la entrega en los plazos establecidos o intentar complementar el atraso con
oreos proveedores.
2.3.2 Reconocer los procedimientos vigentes o existentes para la selección de

proveedores
Para la selección de los proveedores se utilizan básicamente criterios económicos y de calidad, aunque se
puede utilizar una combinación de ambos.
Criterios económicos
La selección se realiza teniendo en cuenta el precio de los artículos, los descuentos comerciales, el pago
de los gastos ocasionados (transporte, embalajes, carga y descarga, etc.), los descuentos por volumen de
compra (rappels) y los plazos de pago.
Se elegirá el proveedor cuyo precio final sea más bajo. Lógicamente, cuando dos productos reúnan las
mismas condiciones económicas, se elegirá el de mayor calidad.
Criterios de calidad
Cuando a la hora de la selección el proveedor le conceda una gran importancia a la calidad de los
artículos, éstos han de ser sometidos a un meticuloso estudio comparativo de sus características técnicas,
analizar muestras, realizar pruebas, etcétera. Este criterio se utiliza cuando lo que prima en la empresa es
conseguir un producto de una determinada calidad, que no tiene que ser necesariamente la mejor, sino la
que interese al comprador en ese momento.
También se utilizan criterios de calidad cuando el producto ha de responder a unas características técnicas
determinadas. Cuando los artículos sean de la misma calidad se elegirá el que resulte más económico.
No siempre la oferta más barata es la más conveniente, puesto que también se pueden considerar como
parámetros de calidad aspectos no directamente relacionados con los productos como, por ejemplo:
servicio postventa, periodo de garantía, imagen que el producto y el proveedor tengan en el mercado,
existencia de servicios de atención al cliente, etcétera. También se toman en cuenta del proveedor, su
prestigio, localización, instalaciones, fuerza técnica, capacidad financiera y nivel organizativo y de
administración.
2.4 Licenciamiento del Software
Es un contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor) y el

licenciatario del programa informático (usuario consumidor /usuario profesional o empresa), para utilizar el
software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas.
Las licencias de software pueden establecer entre otras cosas: la cesión de determinados derechos del
propietario al usuario final sobre una o varias copias del programa informático, los límites en la
responsabilidad por fallos, el plazo de cesión de los derechos, el ámbito geográfico de validez del contrato
e incluso pueden establecer determinados compromisos del usuario final hacia el propietario, tales como la
no cesión del programa a terceros o la no reinstalación del programa en equipos distintos al que se instaló
originalmente.
2.4.1 Identificar los diferentes tipos de licenciamientos de software y

condiciones de uso
Elementos personales de una licencia de software
Licenciante
El licenciante o proveedor-licenciante es aquel que provee el software más la licencia al licenciatario, la

cual, le permitirá a este último tener ciertos derechos sobre el software. El rol de licenciante lo puede
ejercer cualquiera de los siguientes actores:
Autor: El desarrollador o conjunto de desarrolladores que crea el software, son por antonomasía
quienes en una primera instancia poseen el rol de licenciante, al ser los titulares originales del
software.
Titular de los derechos de explotación: Es la persona natural o jurídica que recibe una cesión de
los derechos de explotación de forma exclusiva del software desde un tercero, transformándolo en
titular derivado y licenciante del software.
Distribuidor: Es la persona jurídica a la cual se le otorga el derecho de distribución y la posibilidad
de generar sublicencias del software mediante la firma de un contrato de distribución con el titular
de los derechos de explotación.
Garantía de titularidad
Es la garantía ofrecida por el licenciante o propietario, en la cual, asegura que cuenta con suficientes
derechos de explotación sobre el software como para permitirle proveer una licencia al licenciatario.
Licenciatario
El licenciatario o usuario-licenciatario es aquella persona física o jurídica que se le permite ejercer el
derecho de uso más algún otro derecho de explotación sobre un determinado software cumpliendo las
condiciones establecidas por la licencia otorgada por el licenciante.
Usuario consumidor: Persona natural que recibe una licencia de software otorgada por el licenciante, la
cual, se encuentra en una posición desventajosa ante los términos y condiciones establecidas en ella.
Usuario profesional o empresa: Persona natural o jurídica que recibe una licencia de software otorgada por
el licenciante, la cual, se encuentra en igualdad de condiciones ante el licenciante para ejercer sus
derechos y deberes ante los términos y condiciones establecidos en la licencia.
Elementos objetivos de una licencia de software
Plazo
El plazo determina la duración en el tiempo durante la cual se mantienen vigentes los términos y
condiciones establecidos en licencia. Las licencias en base a sus plazos se pueden clasificar en:
Licencias con plazo específico.
Licencias de plazo indefinido.
Licencias sin especificación de plazo.
Precio
El precio determina el valor el cual debe ser pagado por el licenciatario al licenciante por el concepto de la
cesión de derechos establecidos en la licencia.
2.5 Evaluación de Hardware y Software
Cuando se utiliza el término Hardware se están englobando todos los aspectos materiales, es decir, que
se “VEN” y se “TOCAN” dentro la función informática de la Empresa.
Existen una serie de Objetivos de la Auditoria Informática del entorno Hardware:

Determinar si el Hardware se utiliza eficientemente
Revisar los Informes de la dirección sobre la utilización del Hardware.
Revisar el Inventario Hardware
Verificar los procedimientos de seguridad Física
Revisar si el equipo se utiliza por el personal Autorizado.
Comprobar las condiciones Ambientales
Comprobar los Procedimientos de Prevención, Detección, Corrección frente a cualquier tipo de
Desastre.
Evaluación del Software
La evaluación del Software en una empresa va a permitir determinar si este esta siendo bien utilizado
Revisar cada cuando se le da mantenimiento, y si el que se le brinda es confiable y seguro.
Si todos los cambios son suficientemente controlados.
El Auditor debe someter a evaluaciones periódicas el software operativo y deberá obtener resultados que
le permitan asegurarse de las fortalezas del Software.
2.5.1 Describir las características del Hardware y software apropiado para
tareas específicas
El Software de sistemas es un conjunto de programas que interactúan con el entre el hardware y el

software.
El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el
software, la computadora sería un conjunto de medios sin utilizar.
Sus Componentes:
Procesamiento de texto
Bases de datos
Graficas
Servicios en línea
Programas
Características del Hardware para tareas Específicas

Sus Componentes son:
Teclado
Mouse
CPU
Monitor
Impresora
Memoria ROM
Memoria RAM
Consta de:
1.- Evaluación de los Sistemas
2.- Evaluación de los equipos
Capacidades
Utilización
Seguridad y evaluación física y lógica
3.- Evaluación de la Seguridad
4.-La seguridad en la informática
5.- La seguridad lógica
2.6 Evaluación de sistemas
La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de

información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información,
hardware y software).
2.6.1 Describir los pasos para evaluar los sistemas de información de acuerdo
al ciclo de vida
En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el
análisis.
Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:
La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el
momento de la planeación.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.
2.6.2 Explicar los elementos de la evaluación de análisis de sistemas
En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el
análisis.
Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:
La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el
momento de la planeación.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.
La situación de una aplicación en dicho inventario puede ser alguna de las siguientes:
Planeada para ser desarrollada en el futuro.
En desarrollo.
En proceso, pero con modificaciones en desarrollo.
En proceso con problemas detectados.
En proceso sin problemas.
En proceso esporádicamente.
2.6.3 Explicar los elementos de la evaluación del diseño lógico
En esta etapa se deberán analizar las especificaciones del sistema.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la
determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está
obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.
2.6.4 Explicar los elementos de la evaluación del desarrollo del sistema
En esta etapa se deberán analizar las especificaciones del sistema.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la
determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está
obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.
BASES DE DATOS.
Fases:
1. Análisis de requisitos.
2. Diseño conceptual.
3. Elección del sistema gestor de bases de datos.
4. Diseño lógico.
5. Diseño físico.
6. Instalación y mantenimiento.
La seguridad en Bases de Datos Está compuesta de

Control de acceso
Permisos y Privilegios
Definición de roles y perfiles
Control de Acceso a Bases de Datos:
Acceso al Sistema Operativo
Acceso a la Base de Datos
Acceso a los objetos de la base de datos
2.7 Evaluación de la red
2.7.1 Reconocer los elementos que debe contener una red local con base en el
estándar ANSI/TIA 569 A y B
ANSI/TIA/EIA-568-A
Alambrado de Telecomunicaciones para Edificios Comerciales
Este estándar define un sistema genérico de alambrado de telecomunicaciones para edificios comerciales
que puedan soportar un ambiente de productos y proveedores múltiples.
El propósito de este estándar es permitir el diseño e instalación del cableado de telecomunicaciones

contando con poca información acerca de los productos de telecomunicaciones que posteriormente se
instalarán.
La instalación de los sistemas de cableado durante el proceso de instalación y/o remodelación son
significativamente más baratos e implican menos interrupciones que después de ocupado el edificio
Esta norma guía la selección de sistemas de cableado al especificar los requisitos mínimos de sistemas y
componentes, y describe los métodos de pruebas de campo necesarios para satisfacer las normas.
Propósito del Estándar EIA/TIA 568-A:

Establecer un cableado estándar genérico de telecomunicaciones que respaldará un ambiente
multiproveedor.
Permitir la planeación e instalación de un sistema de cableado estructurado para construcciones
comerciales.
Establecer un criterio de ejecución y técnico para varias configuraciones de sistemas de cableado
El estándar especifica:
Requerimientos mínimos para cableado de telecomunicaciones dentro de un ambiente de oficina
Topología y distancias recomendadas
Parámetros de medios de comunicación que determinan el rendimiento
La vida productiva de los sistemas de telecomunicaciones por cable por más de 10 años (15
actualmente)
ANSI/TIA/EIA-568-B
El estándar TIA/EIA-568-B se publica por primera vez en 2001. Sustituyen al conjunto de estándares
TIA/EIA-568-A que han quedado obsoletos.
TIA/EIA-568-B tres estándares que tratan el cableado comercial para productos y servicios de
telecomunicaciones. Los tres estándares oficiales: ANSI/TIA/EIA-568-B.1-2001, -B.2-2001 y -B.3-2001.
El contenido de 568-B.3 se refiere a los requerimientos de rendimiento mecánico y de transmisión del
cable de fibra óptica, hardware de conexión, y cordones de conexión, incluyen el reconocimiento de la fibra
multi-modo y el uso de conectores de fibra de factor de forma pequeño
TIA/EIA 568-B.3
Cables de fibra
se reconoce la fibra de 50 mm
se reconocen tanto la fibra multimodo como la modo-simple para el área de trabajo
Conectores de fibra
el conector 568SC dúplex permanece como estándar en el área de trabajo
otros conectores pueden se usados en otro sitios
Deben con Fiber Optic Connector Intermateability Standard (FOCIS)
2.7.2 Reconocer los elementos que debe contener una red inalámbrica con
base en el estándar ANSI EIA/TIA 802.11x
Una red inalámbrica 802.11 está basada en una arquitectura celular en la que el sistema se divide en
células llamadas BSS (Basic Service Set). Cada célula está controlada por una estación base llamada AP
(Access Point).
Un sistema puede constar de una o varias células; en el caso pluricelular los diferentes AP se conectan
entre sí mediante un backbone llamado DS (Distribution System), típicamente Ethernet, aunque en
algunos casos también puede ser inalámbrico.
Todo este conjunto de células interconectadas se ve como una única red desde los protocolos de las
capas superiores, y se llama ESS (Extended Service Set). Cada ESS tiene un identificador conocido como
SSID, que debe ser el mismo en todos los AP del ESS.
El protocolo 802.11 puede utilizarse para soportar la conexión inalámbrica de puntos de acceso, de forma
que el sistema de distribución se vuelve inalámbrico. Esta opción recibe el nombre de WDS (Wireless
Distribution System). Los AP que soportan WDS pueden actuar con dos funciones: bridge inalámbrico o
repetidor.
El protocolo 802.11 define la capa física y la capa MAC. Hay distintas posibilidades para la capa física
dependiendo del tipo de red (a, b, g, h), e incluso distintas opciones dentro del mismo tipo. Actualmente el
tipo más común es el 802.11b, cuyas características de la capa física son:
La banda de frecuencia de 2,4 GHz.

El DSSS (Direct Sequence Spread Spectrum).
La codificación CCK (para las velocidades de 5,5 y 11 Mbit/s).
La capa MAC, además de la funcionalidad típica de estas capas, realiza funciones que normalmente se
implementan en capas superiores: fragmentación, retransmisión de paquetes, y asentimientos .Esto es así
debido a las características de los enlaces radio, con errores altos, que aconsejan un tamaño pequeño de
los paquetes, pero debiéndose preservar desde el punto de vista de las capas superiores los paquetes de
1.518 bytes típicos de Ethernet.
2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI

EIA/TIA 569)
Estándar ANSI/TIA/EIA-569 de Rutas y Espacios de telecomunicaciones para Edificios Comerciales

El Grupo de Trabajo de la Asociación de Industrias de Telecomunicaciones (TIA)TR41.8.3 encargado de
Trayectorias & Espacios de Telecomunicaciones publicó la Norma ANSI/TIA/EIA-569-A ('569-A) en 1998.
Este estándar reconoce tres conceptos fundamentales relacionados con telecomunicaciones y edificios:
Los edificios son dinámicos. Durante la existencia de un edificio, las remodelaciones son más la
regla que la excepción. Este estándar reconoce, de manera positiva, que el cambio ocurre.
Los sistemas de telecomunicaciones y de medios son dinámicos. Durante la existencia de un
edificio, los equipos de telecomunicaciones cambian dramáticamente. Este estándar reconoce
este hecho siendo tan independiente como sea posible de proveedores de equipo.
Telecomunicaciones es más que datos y voz. Telecomunicaciones también incorpora otros
sistemas tales como control ambiental, seguridad, audio, televisión, alarmas y sonido. De hecho,
telecomunicaciones incorpora todos los sistemas de bajo voltaje que transportan información en
los edificios.
A continuación los rasgos sobresalientes de la Norma '569-A:
Objetivo
Estandarizar las prácticas de construcción y diseño.
Provee un sistema de soporte de telecomunicaciones que es adaptable a cambios durante la vida útil de la
instalación.
Alcance
Trayectorias y espacios en los cuales se colocan y terminan medios de telecomunicaciones.
Trayectorias y espacios de telecomunicaciones dentro y entre edificios.
Diseño de edificios comerciales para viviendas unifamiliares y multifamiliares.
2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP
El modelo de referencia de Interconexión de Sistemas Abiertos (OSI, Open System Interconnection) es el

modelo de red descriptivo creado por la Organización Internacional para la Estandarización lanzado en
1984. Es decir, es un marco de referencia para la definición de arquitecturas de interconexión de sistemas
de comunicaciones.
Capa física (Capa 1)
Es la que se encarga de las conexiones físicas de la computadora hacia la red, tanto en lo que se refiere al
medio físico como a la forma en la que se transmite la información.
Capa de enlace de datos (Capa 2)
Esta capa se ocupa del direccionamiento físico, de la topología de la red, del acceso a la red, de la
notificación de errores, de la distribución ordenada de tramas y del control del flujo.
Capa de red (Capa 3)
El objetivo de la capa de red es hacer que los datos lleguen desde el origen al destino, aún cuando ambos
no estén conectados directamente. Los dispositivos que facilitan tal tarea se denominan encaminadores,
aunque es más frecuente encontrar el nombre inglés routers y, en ocasiones enrutadores. Los routers
trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo
de la función que se le asigne. Los firewalls actúan sobre esta capa principalmente, para descartar
direcciones de máquinas.
Capa de transporte (Capa 4)
Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la
máquina origen a la de destino, independizándolo del tipo de red física que se esté utilizando. La PDU de
la capa 4 se llama Segmento o Datagrama, dependiendo de si corresponde a TCP o UDP. Sus protocolos
son TCP y UDP; el primero orientado a conexión y el otro sin conexión.
Capa de sesión (Capa 5)
Esta capa es la que se encarga de mantener y controlar el enlace establecido entre dos computadores que
están transmitiendo datos de cualquier índole.
Capa de presentación (Capa 6)
El objetivo es encargarse de la representación de la información, de manera que aunque distintos equipos

puedan tener diferentes representaciones internas de caracteres los datos lleguen de manera reconocible.
Capa de aplicación (Capa 7)
Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las demás capas y define los
protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrónico (POP y SMTP),
gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones
distintas y puesto que continuamente se desarrollan nuevas aplicaciones el número de protocolos crece
sin parar.
Modelo TCP/IP
El Protocolo de Internet (IP) y el Protocolo de Transmisión (TCP), fueron desarrollados inicialmente en
1973 por el informático estadounidense Vinton Cerf como parte de un proyecto dirigido por el ingeniero
norteamericano Robert Kahn y patrocinado por la Agencia de Programas Avanzados de Investigación
(ARPA, siglas en inglés) del Departamento Estadounidense de Defensa. Internet comenzó siendo una red
informática de ARPA (llamada ARPAnet) que conectaba redes de ordenadores de varias universidades y
laboratorios en investigación en Estados Unidos. World Wibe Web se desarrolló en 1989 por el informático
británico Timothy Berners-Lee para el Consejo Europeo de Investigación Nuclear (CERN, siglas en
francés).
DEFINICION TCP / IP
Se han desarrollado diferentes familias de protocolos para comunicación por red de datos para los
sistemas UNIX. El más ampliamente utilizado es el Internet Protocol Suite, comúnmente conocido como
TCP / IP.
Es un protocolo DARPA que proporciona transmisión fiable de paquetes de datos sobre redes. El nombre
TCP / IP Proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el
Internet Protocol (IP). Todos juntos llegan a ser más de 100 protocolos diferentes definidos en este
conjunto.
Las capas están jerarquizadas. Cada capa se construye sobre su predecesora. El número de capas y, en
cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier
red, la misión de cada capa es proveer servicios a las capas superiores haciéndoles transparentes el modo
en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su
nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien
devuelve resultados.
Capa 4 o capa de aplicación: Aplicación, asimilable a las capas 5 (sesión), 6 (presentación) y 7 (aplicación)
del modelo OSI.la capa de aplicación debía incluir los detalles de las capas de sesión y presentación OSI.
Crearon una capa de aplicación que maneja aspectos de representación, codificación y control de diálogo.
Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo OSI.
Capa 2 o capa de red: Internet, asimilable a la capa 3 (red) del modelo OSI.
Capa 1 o capa de enlace: Acceso al Medio, asimilable a la capa 1 (física) y 2 (enlace de datos) del modelo
OSI.
2.7.5 Describir la vulnerabilidad de las redes
El análisis de la vulnerabilidad, a veces llamado exploración de la vulnerabilidad, es el acto de determinar

qué agujeros y vulnerabilidades de la seguridad pueden ser aplicables a la red. Para hacer esto,
examinamos las máquinas identificadas dentro de la red para identificar todos los puertos abiertos y los
sistemas operativos y los usos que los anfitriones están funcionando (número de versión incluyendo, nivel
del remiendo, y paquete del servicio). Además, comparamos esta información con varias bases de datos
de la vulnerabilidad del Internet para comprobar qué vulnerabilidades y hazañas actuales pueden ser
aplicables a la red.
Dado el constreñimiento del tiempo nos podemos estar debajo durante un contrato y el número de
anfitriones dentro del alcance, puede ser necesario centrarse inicialmente en los anfitriones críticos. Sin
embargo, si el pelado abajo de la lista de la blanco necesita ser hecho, él se hace generalmente durante el
paso siguiente.
Nota: Es importante tomar en la consideración que los resultados del silbido de bala autoritariamente no
demuestran a que un anfitrión está abajo. En la luz de esto, si hay alguna duda si el target(s) está filtrado o
protegido con eficacia contra silbido de bala o está realmente abajo, recomendamos el continuar con una
exploración portuaria. Mantenga el número de puertos tales exploraciones abajo que estas exploraciones
tiendan para tomar a una cantidad de tiempo más larga. Si es necesario explorar una gran cantidad de
puertos en los anfitriones insensibles, es el mejor hacer esto durante la noche.
En el extremo de esta etapa, tenemos gusto de poder documentar todos los anfitriones de la blanco (vivos
y de otra manera) en una tabla junto con el OS, el IP address, los usos corrientes, cualquier información de
la bandera disponible, y vulnerabilidades sabidas. Esta información es útil durante la etapa de la
explotación y para la presentación al cliente de modo que el cliente sea enterado de las vulnerabilidades
en la red y la cantidad de información que un forastero puede recopilar antes de comprometer la red.
Identificación del OSI
Identificando el sistema operativo, podemos procurar predecir los servicios que pueden funcionar en el
anfitrión y adaptar nuestras exploraciones del puerto basadas en esta información. Nmap, la herramienta
principal usada para realizar la identificación del OS, hace esto analizando la respuesta del apilado del
TCP de la blanco a los paquetes que Nmap envió. Vario RFCs gobierna cómo el apilado del TCP debe
responder cuando está preguntado. Sin embargo, los detalles de la puesta en práctica se dejan al
vendedor. Por lo tanto, las diferencias en cómo los vendedores satisfacen el RFCs permiten que sean
identificados. Mientras que este método no es a toda prueba, la detección del OS de Nmap es bastante
confiable y aceptada bien por la industria. Cambiar la firma del OS de una computadora es posible pero no
trivial, y no ha sido nuestra experiencia que las compañías realizan este nivel de enmascarar.
La identificación del OS va una manera larga en la ejecución de la enumeración de la red y de la

exploración de la vulnerabilidad. Tan pronto como sepamos el OS de una máquina particular, podemos
comenzar a generar una lista de agujeros y de vulnerabilidades potenciales—a menudo de propio sitio del
Web del vendedor. Por ejemplo, tan pronto como sepamos una máquina es Windows NT, podemos
comprobar si el puerto 139 del TCP esté abierto y procurar una conexión nula a la parte del IP. Si
identificamos una caja de UNIX, podemos buscar los puertos de X Windows (6000–6063).
Enumeración Del Uso
De los resultados de la exploración portuaria, ganamos una lista de puertos abiertos en las máquinas
receptoras. Un puerto abierto no indica enteramente lo que puede ser activo el servicio que escucha. Los
puertos debajo de 1024 se han asignado a los varios servicios y si éstos se encuentran abiertos, indican
generalmente el servicio asignado. Además, otros usos se han funcionado en ciertos puertos para tan de
largo que se han convertido en el estándar de hecho, tal como puerto 65301 para el pcAnywhere y 26000
para el temblor. Por supuesto los administradores de sistema pueden cambiar el puerto que un servicio
funciona encendido en una tentativa “de ocultarla” (un ejemplo de la seguridad con oscuridad). Por lo
tanto, procuramos conectar con el puerto abierto y asir una bandera para verificar el funcionamiento del
servicio.
Investigación Del Internet
Una vez que la lista de usos se sepa, el paso siguiente es investigar la lista y determinarse existen qué
vulnerabilidades. Mientras que usted realiza pruebas de penetración, usted hace familiar con ciertas
vulnerabilidades populares y puede determinarse rápidamente si un uso es vulnerable. Sin embargo, es
importante tener presente que las nuevas vulnerabilidades están fijadas sobre una base diaria, y usted
debe comprobar sus bases de datos preferidas de la vulnerabilidad para saber si hay todos los usos,
servicios, y sistemas operativos que usted encuentra en cada contrato.
2.7.6 Explicar la auditoria de la red física y lógica
Auditoria De La Red Física

Se debe garantizar que exista:
Áreas de equipo de comunicación con control de acceso.

Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico
en ella.
Prioridad de recuperación del sistema.
Control de las líneas telefónicas.
Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
La seguridad física del equipo de comunicaciones sea adecuada.
Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas
telefónicas.
Las líneas de comunicación estén fuera de la vista.
Se dé un código a cada línea, en vez de una descripción física de la misma.
Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a
la red.
Existan revisiones periódicas de la red buscando pinchazos a la misma.
El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.
Existan alternativas de respaldo de las comunicaciones.
Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas
configuradas con retrollamada, código de conexión o interruptores.
AUDITORIA LOGICA
En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.
Para éste tipo de situaciones:

Se deben dar contraseñas de acceso.
Controlar los errores.
Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto,
regularmente se cambia la ruta de acceso de la información a la red.
Registrar las actividades de los usuarios en la red.
Encriptar la información pertinente.
Evitar la importación y exportación de datos.
Que se comprueban si:
El sistema pidió el nombre de usuario y la contraseña para cada sesión:

En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha
de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su
propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las
contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar
información sobre su última conexión a fin de evitar suplantaciones.
Inhabilitar el software o hardware con acceso libre.
Generar estadísticas de las tasas de errores y transmisión.
Crear protocolos con detección de errores.
Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes
duplicados, fuera de orden, perdidos o retrasados.
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde
una terminal debidamente autorizada.
Se debe hacer un análisis del riesgode aplicaciones en los procesos.
Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes
organizaciones.
Asegurar que los datos que viajan por Internet vayan cifrados.
Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado
para impedir el acceso de equipos foráneos a la red.
Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
Los accesos a servidores remotos han de estar inhabilitados.
La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en
cada una de las siguientes facetas:
Servidores = Desde dentro del servidor y de la red interna.

Servidores web.
Intranet = Desde dentro.
Firewall = Desde dentro.
Accesos del exterior y/o Internet.
3.1 Conceptos Básicos
3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de

trabajo o documentación
De acuerdo al diccionario de la real academia española, una evidencia es un conocimiento que se
nos aparece intuitivamente de tal manera que podemos afirmar la validez de su contenido, como
verdadero, con certeza y sin sombra de duda
La evidencia es la base de juicio del auditor. Es con lo que se sustentara la correcta ejecución de
los procesos, procedimientos o instrucciones de trabajo.
La evidencia, es uno de los fundamentos de la auditoria, la forma de solicitar evidencia y el tipo de
evidencia dependerá del tipo de auditoría aplicada.
Permite al auditor constatar la existencia real de los activos y la calidad de los mismos,
Física mediante la inspección ocular. Puede haber ocasiones en que el auditor necesite
apoyarse en personas técnicas, peritos, etc.
Es obtenida a través del examen de documentos importantes y registros contables. Hay 2

Documental tipos: las creadas dentro de la organización (Se debe considerar al control interno de la
organización como débil), y las creadas fuera de la organización.
Es la obtenida del conjunto de procedimientos que implican la realización de cálculos

Analítica aritméticos y comprobaciones matemáticas.
Se obtiene a través del contacto personal con los distintos responsables y empleados de
la compañía y con terceras personas independientes. Este tipo de evidencia sirve para
Verbal detectar puntos débiles y conflictivos en el sistema permitiendo iniciar una investigación
sobre los mismos.
Condiciona el alcance del trabajo de auditoria, su evaluación determina el nivel de
pruebas que el auditor deberá realizar. La evidencia de un sistema de control interno
Control interno eficaz y que además se cumpla, constituye para el auditor una evidencia válida del
correcto funcionamiento de la empresa.
Mayores y diarios Esta evidencia depende del grado de control interno exigidos en su preparación.
Es la comparación de las cantidades de cada una de las cuentas de activos, pasivos,

Comparaciones e índices ingresos y gastos con los saldos correspondientes al periodo precedente.
3.2 Interpretación de los resultados de la Auditoria Informática
El informe de auditoría financiera tiene como objetivo expresar una opinión técnica de las cuentas anuales
en los aspectos significativos o importantes, sobre si éstas muestran la imagen fiel del patrimonio, de la
situación financiera y del resultado de sus operaciones, así como de los recursos obtenidos y aplicados
durante el ejercicio.
3.2.1 Identificar los tipos de opiniones

Opinión Favorable:
En una opinión favorable, el auditor manifiesta de forma clara y precisa que las cuentas anuales
consideradas expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situación
financiera, de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el
ejercicio, y contienen la información necesaria y suficiente para su interpretación y comprensión adecuada.
Opinión con Salvedades
Este tipo de opinión es aplicable cuando el auditor concluye que existen una o varias de las circunstancias
que se relacionan en este apartado, siempre que sean significativas en relación con las cuentas anuales
tomadas en su conjunto.
Opinión Desfavorable
La opinión desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su
conjunto no presentan la imagen fiel del patrimonio, de la situación financiera, del resultado de las
operaciones o de los cambios de la situación financiera de la entidad auditada, de conformidad con los
principios y normas contables generalmente aceptados.
Opinión Denegada
Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinión sobre las cuentas
anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una opinión
sobre las mismas.
3.2.2 Describir los componentes, características y tendencias de un informe

Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de auditoría.
Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido formuladas de
acuerdo con la legislación vigente y, también, si dichas cuentas han sido elaboradas teniendo en cuenta el
principio contable de uniformidad.
3.3 Identificar los tipos de conclusiones de la Auditoria Informática
3.3.1 Identificar los tipos de de conclusiones

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el
exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que
son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de
apreciación en el auditor.
Breve
Después de aplicar los procedimientos y técnicas de auditoría, siendo auditores recurrentes, se le pide
elaborar el Dictamen de auditoría por los años terminados al 31 de diciembre de 2009 y 2008 de la
Empresa Ejemplo, S.A. tomar en consideración que no hubo observaciones importantes de auditoría que
calificaran la opinión.
Detallada
Después de aplicar los procedimientos y técnicas de auditoría, siendo el año 2008 auditado por otros
auditores emitiendo una opinión con salvedades, siendo esta:
Al 31 de diciembre de 2008 la empresa cuenta con una contingencia en concepto de penalizaciones por
concepto de software apócrifo para lo cual no se tiene provisión para dar cobertura a dicha contingencia.
3.4 Áreas de oportunidad e las ITIL

Es una estructura propuesta por la Oficina Gubernamental de Comercio (OGC) del Reino Unido que reúne
las mejores prácticas del área de la gestión de servicios de Tecnología Informática (TI) en una serie de
guías.
3.4.1 Reconocer el concepto de FODA y sus componentes

Es una herramienta que permite conformar un cuadro de la situación actual de la empresa u organización,
permitiendo de esta manera obtener un diagnóstico preciso que permita en función de ello tomar
decisiones acordes con los objetivos y políticas formulados.
El término FODA es una sigla conformada por las primeras letras de las palabras Fortalezas,
Oportunidades, Debilidades y Amenazas
De entre estas cuatro variables, tanto fortalezas como debilidades son internas de la organización,
por lo que es posible actuar directamente sobre ellas.
En cambio las oportunidades y las amenazas son externas, por lo que en general resulta muy
difícil poder modificarlas.
Fortalezas: son las capacidades especiales con que cuenta la empresa, y por los que cuenta con una
posición privilegiada frente a la competencia.
Recursos que se controlan, capacidades y habilidades que se poseen, actividades que se desarrollan
positivamente, etc.
Oportunidades: son aquellos factores que resultan positivos, favorables, explotables, que se deben
descubrir en el entorno en el que actúa la empresa, y que permiten obtener ventajas competitivas.
Debilidades: son aquellos factores que provocan una posición desfavorable frente a la competencia.
Recursos de los que se carece, habilidades que no se poseen, actividades que no se desarrollan
positivamente, etc.
Amenazas: son aquellas situaciones que provienen del entorno y que pueden llegar a atentar incluso
contra la permanencia de la organización.
Se utilizará para desarrollar un plan que tome en consideración muchos y diferentes factores
internos y externos para así maximizar el potencial de las fuerzas y oportunidades minimizando
así el impacto de las debilidades y amenazas.
Se debe de utilizar al desarrollar un plan estratégico, o al planear una solución específica a un
problema.
3.4.2 Definir el concepto de ITIL
Es proporcionar a los administradores de sistemas de TI las mejores herramientas y documentos que les
permitan mejorar la calidad de sus servicios, es decir, mejorar la satisfacción del cliente al mismo tiempo
que alcanzan los objetivos estratégicos de su organización.
La ITIL está dividida en nueve áreas (que corresponden a nueve libros) que abarcan todos los problemas
encontrados por los administra dores de sistemas de IT.
Soporte técnico del servicio
Entrega del servicio
Administración de infraestructura
Administración de aplicaciones
Administración del servicio
Perspectiva empresarial
Requisitos empresariales
Tecnología
 Soporte técnico del servicio

El área de soporte técnico del servicio se ocupa de la operación y soporte de la infraestructura de TI. Se
divide en los siguientes seis procesos:
3.4.3 Describir los lineamientos y/o estándares que ayudan en el control,

operación, administración de recursos y servicios informáticos
Los presentes lineamientos tienen por objeto establecer los mecanismos que regulen la captación,
ejercicio, registro e información de los recursos externos obtenidos por los Organismos Descentralizados
del Sector Salud.
Capítulo I
1. Definiciones
Para efectos de estos lineamientos se entenderá por:
a) Coordinadora de Sector: La Secretaría de Salud.

b) Secretaría: La Secretaría de Hacienda y Crédito Público.
c) Contraloría: La Secretaría de Contraloría y Desarrollo Administrativo.
d) Organismos Descentralizados del Sector Salud:
Las Entidades sectorizadas en el Sector Salud, es decir los Institutos Nacionales de Salud definidos por la
Ley de los Institutos Nacionales de Salud, así como el Hospital General de México y el Hospital General
Dr. Manuel Gea González, con personalidad jurídica y patrimonio propios, que tienen como objeto principal
la investigación científica en el campo de la salud, la formación y capacitación de recursos humanos
calificados y la prestación de servicios de atención médica de alta especialidad, y cuyo ámbito de acción
comprende todo el territorio nacional.
e) Actividades de Investigación: Las que se realicen con el propósito de generar conocimientos sobre la
salud o la enfermedad para su aplicación inmediata o mediata en la atención médica.
f) Actividades de Enseñanza: Las que contribuyen a la identificación de necesidades de docencia,

elaboración de planes de estudios, diseño e impartición de cursos, tutorías y evaluación de planes y
programas de estudio, en los niveles de pregrado, especialización, subespecialización, maestría y
doctorado, así como diplomados y educación continua, en los diversos campos de la ciencia médica.
g) Desarrollo Profesional: A las actividades cuyos resultados contribuyen a la capacitación y actualización

técnica del personal académico, como asistencia a cursos, simposia y congresos, estancias de
entrenamiento, estudios de posgrado, visitas a grupos y centros de investigación o docencia, compra de
revistas, libros y organización de reuniones técnicas y académicas.
h) Actividades de carácter académico: Las que incluyan la participación especializada del personal, como
entrenamientos técnicos, impartición de conferencias, asesorías técnicas y profesionales, evaluación de
pruebas e instrumentos de investigación, procesamiento y análisis de muestras, análisis estadísticos de
datos y servicios de informática electrónica.
i) Actividades de carácter asistencial: Las relacionadas con la atención médica en el campo de su

especialidad.
j) Patronato: El órgano de apoyo de los Órganos de Gobierno de las Entidades que contribuye a la
obtención de recursos para coadyuvar en el cumplimiento de los objetivos institucionales y cuyo
funcionamiento se contiene en la Ley de Institutos Nacionales de Salud y en los decretos de creación de
los hospitales generales.
k) Personal Académico: Todo aquel que realiza funciones directas o de apoyo en actividades académicas
de enseñanza e investigación.
l) Personal Operativo: Todo aquel no comprendido en el inciso anterior que realice funciones asistenciales,
de apoyo o de administración en las actividades sustantivas y adjetivas de la Entidad.
m) Manual: Manual de Normas Presupuestarias para la Administración Pública Federal.
n) Recursos Externos: Los subsidios, participaciones, donativos, herencias y legados, en efectivo o en

especie, de personas físicas o morales, públicas o privadas, nacionales o extranjeras, que se otorguen de
manera directa a los Organismos Descentralizados a través de su patronato. Estos recursos constituyen
ingresos extraordinarios no programables aunque si proyectables; pueden o no estar etiquetados para un
fin específico.
o) Disponibilidad: Son los recursos no ejercidos en el ejercicio fiscal de que se trate, por lo que al témino
del mismo adquirieren el estatus de disponibilidad final y de disponibilidad inicial al comienzo de un nuevo
ejercicio fiscal; cuyos montos permanecerán en la Tesorería del Organismo Descentralizado, y su ejercicio
estará sujeto a la autorización expresa de la
Secretaría, en función de la normatividad presupuestaria aplicable.
p) Responsable del Proyecto: El Servidor Público designado por el Director General del Organismo Público
para fungir como encargado directo del desarrollo de un proyecto financiad con recursos externos con fin
específico.
q) Proyecto específico: El desarrollo articulado de actividades de enseñanza o asistenciales u otras

actividades académicas con objetivos y metas precisas para lo cual el Organismo Descentralizado recibe
recursos externos con un fin determinado.
2. Registro e Información
a) Ningún servidor público del Organismo Descentralizado podrá recibir a título personal recursos
externos.
b) Los recursos externos en efectivo que reciba el Organismo Descentralizado se deberán controlar en
registros contables y presupuestales, así como en cuentas bancarias independientes de los recursos
federales. Los recursos externos forman parte del presupuesto del Organismo Descentralizado, por lo que
su registro se deberá consignar en el ingreso-gasto del flujo de efectivo correspondiente y por lo tanto
quedarán debidamente identificados en los reportes del sistema integral de información como ingresos
diversos.
c) Los recursos externos con fin determinado se administrarán como un proyecto específico de enseñanza,
asistencial o de otras actividades académicas o asistenciales aplicados durante el ejercicio fiscal en curso,
y su registro presupuestal se realizará conforme a las disposiciones establecidas por el Manual.
d) Aunque los recursos externos son de captación extraordinaria, el Organismo Descentralizado realizará
una proyección o estimación anual de su monto, así como de su probable ejercicio, para ser incorporados
como ingresos diversos en el flujo de efectivo del Anteproyecto de Presupuesto anual.
e) El Organismo Descentralizado deberá informar en las sesiones ordinarias del Órgano de Gobierno
sobre la captación y aplicación real de los recursos externos.
f) La Dirección de Administración del Organismo Descentralizado será responsable del adecuado manejo
de los recursos externos.
3. Administración de los Recursos Externos con fin específico

La Dirección de Administración tendrá las siguientes funciones en la administración de recursos externos
con un fin específico:
a) Informar al responsable del proyecto, dentro de las 24 horas siguientes a la captación, del depósito y
registro de los recursos externos en las cuentas bancarias autorizadas del Organismo Descentralizado
para este fin.
b) Obtener y conservar por el tiempo que determinen las leyes, la documentación comprobatoria de la
captación y aplicación de los recursos externos, para su verificación e integración.
c) Conservar permanentemente actualizados los registros contables y auxiliares por cada proyecto,
incluyendo activos fijos.
d) Proporcionar asesoría en el ámbito de su competencia a los responsables de cada proyecto.
e) Elaborar los informes financieros globales y por proyecto, con el nivel de detalle que requiera la
Coordinadora Sectorial, la Secretaría y la Contraloría, en todos los casos previa
Conciliación con el responsable del proyecto.
4. Obligaciones del Responsable del Proyecto

Para todos los efectos legales, es obligación de los responsables de los proyectos, lo siguiente:
a) Informar al Director General del Organismo Público Descentralizado sobre el avance y desarrollo del
proyecto.
b) Contratar al personal con cargo a los recursos externos que participe en el proyecto, a través de la
Subdirección de Administración y Desarrollo de Personal, sujetándose a lo dispuesto en estos
Lineamientos y demás disposiciones legales aplicables. Estas contrataciones en razón de su naturaleza
civil, sólo podrán hacerse bajo el régimen de honorarios por tiempo o por obra determinada, por lo que los
contratos que los amparen sólo consignarán el derecho al pago de los emolumentos convenidos sin
ninguna otra prestación adicional, ni podrán pagarse con recursos fiscales o transformarse en plazas
presupuestarias. Ningún contrato de honorarios podrá exceder el 31 de diciembre de cada ejercicio fiscal.
c) Validar los informes sobre el avance financiero del proyecto que elabore la Dirección de Administración
del Organismo Descentralizado, en los términos requeridos por el Órgano de Gobierno, la Coordinadora
Sectorial, la Secretaría o la Contraloría.
d) Integrar el informe de avance físico del proyecto, en los términos requeridos por el Órgano de Gobierno,
la Coordinadora Sectorial, la Secretaría o la Contraloría.
e) Fijar, en coordinación con el aportante de los recursos y el Organismo Descentralizado, los términos y
condiciones para la distribución de los recursos del proyecto en gastos de operación, servicios personales
y gastos de inversión; en todos los casos se incluirá una cantidad que no exceda de 15% del total del
monto del proyecto como aportación al Organismo Descentralizado, para cubrir los costos de
administración del proyecto.
f) Vigilar que los recursos externos asignados al proyecto sean suficientes para su conclusión; de ninguna
manera se le podrá asignar recursos fiscales o propios.
5. De los Convenios para el ejercicio de recursos externos con fin específico

a) El Organismo Descentralizado y el aportante de los recursos externos decidirán sobre la viabilidad de
suscribir convenios para el ejercicio de recursos externos con fin específico que señalen las metas,
resultados a obtener y el monto de los recursos aportados, así como la periodicidad de la información que
deberá entregarse al aportante.
b) Los convenios serán suscritos por el Director General del Organismo Descentralizado previo dictamen
favorable de su área jurídica, y de ninguna manera podrán incluir condiciones que contravengan los
objetivos del Organismo Descentralizado.
c) El Director General del Organismo Descentralizado deberá informar al Órgano de Gobierno de la

suscripción, objetivos, montos y duración de los convenios establecidos.
Capítulo II
Del control de los recursos externos y su ejercicio
5. El gasto derivado de recursos externos con o sin fin específico se sujetará en su ejercicio y control a lo
dispuesto por la normatividad vigente, incluida la adquisición de bienes y servicios, ejecución de obra
pública y servicios personales.
6. El proceso de registro, aplicación e información de los recursos externos a que se refieren estos
Lineamientos podrá ser sujeto de revisiones por las diferentes instancias fiscalizadoras.
7. El responsable del proyecto dispondrá de hasta el 85% de los recursos externos obtenidos y asignados
a sufragar las erogaciones necesarias para el cumplimiento de los objetivos del proyecto. La disposición
de estos recursos se sujetará a lo referido en el numeral 10 de estos Lineamientos.
8. El 15% de los recursos externos obtenidos o asignados a un proyecto con fin específico, se destinará a
los gastos de administración directos e indirectos siguientes:
a) Cubrir el costo administrativo del proyecto.

b) El costo por la utilización de la infraestructura del Organismo Descentralizado.
c) El gasto generado por mantenimiento y conservación de las instalaciones del Organismo
Descentralizado.
d) El Director General del Organismo Descentralizado podrá autorizar, en casos específicos y previa
solicitud del responsable del proyecto y con la validación de la Dirección de Administración del Organismo
Descentralizado, la disminución o eliminación del referido porcentaje, cuando las necesidades y

características del proyecto así lo requiera. De lo anterior deberá informar al Órgano de Gobierno.
9. Los recursos externos que perciba el Organismo Descentralizado y los productos financieros que éstos
generen deberán manejarse conforme a las disposiciones vigentes sobre disponibilidades financieras.
10. Todo gasto efectuado con recursos externos, deberá estar amparado con la documentación
comprobatoria correspondiente, debidamente requisitada conforme a los procedimientos y políticas
establecidas en los manuales de operación del Organismo Descentralizado y en la normatividad
presupuestaria y fiscal aplicable.
11. Las erogaciones correspondientes a los recursos externos se efectuarán a través de la Dirección de
Administración, a excepción de los gastos de carácter urgente, los que podrán realizarse por el
responsable del proyecto, previa autorización de la Dirección de Administración.
En ningún caso el monto del gasto urgente podrá ser mayor al 10% del costo total del proyecto.
12. La documentación comprobatoria de los gastos se deberá presentar a la Dirección de Administración

por el responsable del proyecto a más tardar dentro de los quince días naturales siguientes al ejercicio de
los recursos.
Capítulo III
De los recursos humanos
13. El responsable del proyecto propondrá al Director General del Organismo Descentralizado, al personal
del mismo Organismo Descentralizado que colaborará en el desarrollo del mismo, indicando las
actividades, remuneración asignada y la duración del proyecto. La relación de personal deberá contar con
el visto bueno del director o responsable del área de que se trate.
14. Para la ejecución de los proyectos con fin específico, las contrataciones del personal del Organismo
Descentralizado serán realizadas por tiempo u obra determinada mediante un contrato de honorarios,
conforme a la legislación y disposiciones presupuestarias y fiscales vigentes.
15. El personal del Organismo Descentralizado que participe en el desarrollo de proyectos Financiados
con recursos externos, tendrá definidas las funciones a realizar; en contraprestación recibirá una
remuneración. Esta participación siempre requerirá la opinión favorable de las áreas jurídicas y de
recursos humanos, quienes definirán, conforme a norma, los tiempos dentro o fuera de la jornada laboral.
16. Toda remuneración a los servidores públicos derivada de recursos externos, deberá considerar la
retención y entero de los impuestos correspondientes, de conformidad con las disposiciones fiscales y
laborales aplicables. Dicho pago será independiente y no creará derechos para el trabajador, ni
responsabilidad de tipo laboral o salarial para el Organismo Descentralizado
17. La remuneración al personal del Organismo Descentralizado que participe en el desarrollo de

proyectos o actividades financiados con recursos externos, en ningún caso podrá rebasar los montos
máximos de remuneración salarial establecidos por las disposiciones normativas vigentes; lo que se hará
de la siguiente manera:
A. Para mandos medios y superiores:
a) Podrán recibir compensación los mandos medios (jefes de departamento, subdirectores y directores de
área) y superiores (director general) cuando participen directamente en un proyecto con fin específico,
siempre que esas actividades no vayan en detrimento de las funciones que tengan asignadas por la plaza
presupuestaria que ocupen.
b) El monto máximo de compensación global mensual, del total de proyectos en los que participen, será
hasta 1.5 veces el salario integrado vigente de la plaza que ocupe.
B. Para el personal académico:
a) El monto máximo de compensación global mensual, del total de proyectos en los que participen, será
hasta 1.5 veces de su salario integrado vigente.
C. Para el personal operativo:
a) El monto máximo de compensación global mensual, del total de proyectos en los que participen, será
hasta 1.5 veces su salario vigente.
18. El monto máximo de remuneración mensual se asignará con base en la responsabilidad dentro del
proyecto y el tiempo adicional a su jornada laboral la cual no podrá ser mayor a cuatro horas diarias. El
personal que participe en el desarrollo de un proyecto específico estará sujeto a los controles establecidos
por el Organismo Descentralizado.
Capítulo IV
Del Activo Fijo
19. Los bienes muebles e inmuebles adquiridos con recursos externos, en todos los casos, formarán parte
del patrimonio del Organismo Descentralizado, por lo que deberán estar debidamente inventariados y
resguardados conforme a la normatividad vigente.
Transitorios
PRIMERO. Estos lineamientos entrarán en vigor el 1 de enero de 2003.
SEGUNDO. Los presentes lineamientos se aplicarán a los recursos que se reciban a partir de su entrada
en vigor, los estudios o trabajos que actualmente se vienen realizando con aportaciones externas se
ajustarán en un plazo no mayor de 180 días naturales después de su entrada en vigor.
TERCERO. Se concede un plazo de 90 días naturales para que se actualice el manual de procedimientos
para el registro, operación e información sobre recursos externos.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si

un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y los
flujos de información dentro de una organización y determinar qué información es crítica para el
cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras,
que obstaculizan flujos de información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una
empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados
objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los
mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de
recuperación ante una contingencia.
Los objetivos de la auditoría Informática son:
El control de la función informática
El análisis de la eficiencia de los Sistemas Informáticos
La verificación del cumplimiento de la Normativa en este ámbito
La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:
Gobierno corporativo
Administración del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Protection y Seguridad.
Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría
informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las
más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de
un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos)
para no perder la certificación

Auditoria de Sistemas TI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria de Sistemas TI

Cargado por

Copyright:

Formatos disponibles

Universidad Tecnoló gica de

1.1 Auditoria de la Función Informática

La Auditoria de tecnologías de información (T.I.), como se le conoce actualmente, (Auditoria informática o

1.1.2 Describir la estructura organizacional y funciones de la auditoria

Especialidad profesional apoyada por un conjunto de conocimientos profundos acerca de la tecnología

1.1.3 Reconocer las TI y sus características

Se puede reagrupar las TIC según:

1.2 Políticas de la Organización (Reglas de la Organización)

1.2.1 Describir el concepto de Política

1.2.2 Describir la importancia del manual de Políticas de la Organización

1.3 Interpretación del Manual de Procedimientos de la organización

1.3.1 Reconocer los conceptos de procesos, roles y funciones

Auxilian en la inducción del puesto y al adiestramiento y capacitación del personal

1.3.2 Definir el concepto de manual

1.3.3 Describir los tipos de manuales de la organización y sus apartados

Manual del Puesto de Trabajo.

1.4 Recursos Humanos

1.4.1 Definir el concepto de Capital Humano

En las instituciones educativas se designa al "conjunto de conocimientos, habilidades, destrezas y talentos

Humano: relativo al hombre o propio de él.

Gestión: efectuar acciones para el logro de objetivos.

1.4.2 Describir la Gestión de Recursos Humanos

Objetivos de la gestión de recursos humanos

Atraer a los candidatos al puesto de trabajo que estén potencialmente cualificados

1º el formulario de solicitud: la preselección.

Evaluación del desempeño

Los objetivos fundamentales de la evaluación del desempeño son:

Permitir condiciones de medición del potencial humano en el sentido de determinar su plena

1.5 Diagnostico de la Situación Actual

1.5.1 Describir los pasos para realizar un diagnostico de la situación actual de

Se debe notar que en un diagnóstico se está evaluando el comportamiento de un sistema contra un

Además desde un punto global, un diagnóstico, aunque no necesariamente un Diagnóstico

1.5.3 Áreas de Oportunidad de TI dentro de la Organización

El objetivo del diagnóstico organizacional es someter a la organización a un auto-análisis que le permita

El procedimiento general del Diagnóstico Organizacional consta de los siguientes pasos:

1.6 Control Interno

1.6.1 Describir el concepto de control Interno, sus funciones y tipos de Control

Limitaciones de un sistema de control interno

Control interno administrativo y control interno contable

Dos tipos de controles internos (administrativos y contables)

El control interno administrativo no está limitado al plan de la organización y procedimientos que se

1. Los intercambios son ejecutados de acuerdo con autorizaciones generales o especificas de la

Clasificación de los controles internos

Tipos de controles generales

La gerencia es responsable del establecimiento de una conciencia favorable de control interno de la

La Gerencia se podría motivar a violarlos por las siguientes causas:

Establecida una adecuada estructura en cuanto al establecimiento de divisiones y departamentos

Control circundante en el procesamiento electrónico de datos

El personal de PED (sistemas) no realice las siguientes tareas:

Desarrollo y mantenimiento de sistemas

Controles de equipos y programas del sistema

1.6.2 Describir la metodología para el establecimiento de Controles

Metodologías más comunes

Entre las metodologías más comunes de evaluación de sistemas se encuentra:

Control interno informático. Sus métodos y procesamientos. Las herramientas de control

2.1 Planeación de la auditoria Informática

2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI

2.1.2 Identificar las fases de la auditoria Informática

2.1.3 Definir los elementos de la planeación de la auditoria Informática

2.1.4 Definir el concepto de la lista de Verificación

A pesar de que la finalidad de la Lista de verificación es el registro de datos y no su análisis,

2.2 Evaluación de la Seguridad

2.2.1 Identificar los modelos de Seguridad