Está en la página 1de 55

Auditoria en Tecnologías de

la Información
Universidad La Salle
Maestría en Administración
M. A. Camilo Roman Serna

Datos
M.A. Camilo Roman Serna
Tel 01 55 55352380 (tardes)
01 55 19442500 ext-54055 (ofna)
Nextel 31868041
email: croman@git.pemex.com
camilomarco@gmail.com

Manejo de expectativas
 Indicar los intereses particulares o
expectativas relacionados con la
materia


 Con la maestría

Reglas de aprendizaje
1. Exigir compromiso a largo plazo
2. No separar alumnos de maestros
3. Vincular los esfuerzos a necesidades del
mundo real
4. Nadie esta exento de aprender
5. La escuela tiene que demostrar sus
principios
6. Solo deben asistir los que lo desean
ardientemente

 Como maestro, no puedo desconocer las
realidades, pero si proveo un lugar
seguro para hablar y pensar sobre ellas.
L No egos
* Los miembros del grupo tienen
la autoridad de tomar decisiones
* Comentarios
constructivos
solamente

Una persona
habla a la vez
) No conversaciones aisladas
* Seguir la agenda
J Todos participan
% Todos comprometidos
al éxito del grupo
J Todos somos iguales
Estándares
Estándares de Equipo
Evitar discutir
Ir por ganar-ganar
Ser cautelosos por
una decisión rápida
y fácil
Luchar por el consenso,
pero saber cuando usar
la regla de la mayoría
gana
Aprovechar la
diversidad del equipo;
hacer uso de los
expertos
Guías
Guías para Obtener el Consenso
Evitar discutir
Que propongo
Que no entiendo
Paciencia
Que me gusta
Guía
Guías para Dar Observaciones
Calificación
I. Tareas y trabajos
II. Presentación de Tema
asociado
III. Examen
IV. Proyecto final
%
20
10

20
50
Objetivo
 Explicar las características de las
auditorias de Tecnologías de Información,
sus tipos y procedimientos de aplicación.

Método
Método Dialéctico
 Método de razonamiento que enfrenta
posiciones diferentes para confrontarlas y
extraer de ellas la verdad.



 Arte del diálogo y el convencimiento a
través de la palabra
Organizaciones


Instituto Mexicano de Contadores Públicos
http://www.imcp.org.mx/

Asociación Mexicana de Profesionales en informática
http://www.ampi.org.mx/

Auditores en Sistemas de Información SC
http://www.auditoria.com.mx

I.Antecedentes y
Conceptos
II. Organizaciones de TI
III. Metodología
IV. Controles Generales
V. Herramientas
Auditoria de Calidad y
de Procesos


Resumen de Temas
05/01/2006
M. A. Camilo Roman Serna

Enero 2006
Auditoría de Tecnologías
de Información
Antecedentes y Conceptos
Contenido
I. Antecedentes Históricos
II. Conceptos de Auditoría
III. Tipos de Auditoría
• Marco Jurídico y
Deontología del Auditor

• Fechas: 31 agosto- 7 de
septiembre

Organización de TI
M. A. Camilo Roman Serna
Contenido
I. Estructura Organizacional
de TI

II. Áreas de Aplicación


Fechas: 14 y 21 de septiembre
Presentación tema
Asociado
Presentación trabajo final y
examen
Fechas: 30 de noviembre y
7 y 14 de diciembre
Temas adicionales
05/01/2006
M. A. Camilo Roman Serna

Enero 2006
I. Antecedentes
Históricos
M. A. Camilo Roman Serna

Antecedentes Históricos
 En los años cuarenta empezaron a darse resultados
relevantes en el campo de la computación, con sistemas de
apoyo para estrategias militares; posteriormente se
incrementó el uso de las computadoras y sus aplicaciones y
se diversificó el apoyo a otros sectores de la sociedad:
educación, salud, industria, política, banca, aeronáutica,
comercio
 En el presente la informática se ha extendido a todas las
ramas de la sociedad; es decir, resulta factible controlar un
vuelo espacial por medio de una computadora así como
seleccionar las compras del hogar en una
microcomputadora.
Antecedentes
 La tecnología de informática, traducida en
hardware, software, sistemas de información,
investigación tecnológica, redes locales, bases de
datos, ingeniería de software, telecomunicaciones,
servicios y organización de informática es una
herramienta estratégica que brinda rentabilidad y
ventaja competitiva a los negocios frente a sus
similares en el mercado; pero puede originar
costos y desventajas competitivas si no es bien
administrada y dirigida por el personal encargado.
¿Porque la Auditoría?
 Todas las actividades de la sociedad buscan apoyarse de alguna
forma en la tecnología de informática.
 Tanto los equipos de cómputo de diferentes marcas y capacidades
como las bases de datos y los sistemas de información deben ser
una solución integrada.
 La capacitación tiene que ser permanente en el uso de la tecnología
de informática debido a su constante crecimiento y actualización.
 Hardware, software, telecomunicaciones y otros medios electrónicos
han de estar interrelacionados para explotar al máximo sus
capacidades y dar soluciones a todos los sectores de la sociedad.
 Integrar a la comunidad de manera permanente al campo de la
informática.
 La gran penetración de la informática en todos los niveles del sector
educativo, así como en los sectores social y cultural.
 El control y seguridad sobre todos los recursos de informática es una
necesidad.
 Se debe evaluar de manera formal y periódica la función de
informática.
 El proceso de planeación de los negocios ha de integrar de manera
permanente la función de informática.
Algunos otros
porques?
M. A. Camilo Roman Serna

II. Concepto de
Auditoría
M. A. Camilo Roman Serna

Definición de Auditoría
La auditoría, es una actividad planeada y documentada
realizada de acuerdo con procedimientos y listas de
verificación por escrito, para comprobar mediante la
investigación, el examen y la evaluación de evidencia
objetiva, que se han elaborado, documentado y puesto en
pràctica los elementos aplicables, de acuerdo con los
requisitos especificados.
Lionel Stebling, Aseguramiento de
Calidad

Auditoría es un proceso formal y necesario para las
empresas con el fin de asegurar que todos sus activos sean
protegidos en forma adecuada. .
Hernández Hernandez. Enrique, Auditoría en
informática

Definición de Auditoría
La auditoría, es la actividad consistente en la
emisión de una opinión profesional sobre si el
objeto sometido a análisis presenta
adecuadamente la realidad que pretende reflejar
y/o cumple las condiciones que le han sido
preescritas.
Piattini, Mario G, AUDITORIA
INFORMATICA

Objetivos de la Auditoría
 Promover mejoras o reformas constructivas en las
operaciones, en los sistemas administrativos y financieros y
en el control interno gerencial de las entidades públicas.

 Determinar si están llevando a cabo, exclusivamente,
aquellos programas o actividades legalmente autorizados,
conduciéndolos en forma debida y cumpliendo con los
objetivos establecidos.

 Averiguar si los programas y actividades se llevan a cabo de
manera eficiente, efectiva y económica.

Evaluar el cumplimiento de las disposiciones legales y
reglamentarias aplicables a las operaciones
gubernamentales, así como los planes, políticas, normas y
procedimientos establecidos.

 Examinar y evaluar los sistemas de control interno gerencial
de las entidades públicas, determinando, así mismo, el grado
de confiabilidad que merece la administración en el ejercicio
directo del control sobre los recursos humanos, materiales y
financieros.


Objetivos de la Auditoría
 Determinar la suficiencia, oportunidad, utilidad y grado de
confiabilidad de la información financiera y administrativa
elaborada y utilizada para la toma de decisiones gerenciales
internas.

Determinar el grado de confiabilidad de la información
financiera y administrativa elaborada y presentada a otros
niveles de gobierno, evaluando la forma y contenido de dicha
información de acuerdo con su propósito.

 Dar fe a terceros de la presentación razonable de la situación
financiera, los cambios ocurridos en la misma, los resultados
de las operaciones y los cambios en el patrimonio público,
presentados a través de los estados financieros elaborados
por las entidades públicas.

 Averiguar si los recursos humanos, materiales y financieros
son utilizados de manera eficiente, efectiva y económica y si
se encuentran adecuadamente controlados.

 Evaluar el rendimiento y/o productividad de las entidades y
sus servidores.
Tareas Principales de la Auditoría
 Estudiar y actualizar permanentemente las tareas
susceptibles de revisión.
 Apegarse a las tareas que desempeñen las
normas, políticas, procedimientos y técnicas de
auditoría establecidas por los organismos
generalmente aceptados a nivel nacional e
internacional.
 Evaluación y verificación de las áreas requeridas
por la alta dirección o responsables directos del
negocio.
 Elaboración del informe de auditoría (debilidades y
recomendaciones).
Definición de Consultoría
La consultoría consiste en “dar asesoramiento o
consejo sobre lo que se ha de hacer o como
llevar adecuadamente una determinada actividad
para obtener los fines deseados”
Piattini, Mario G, AUDITORIA INFORMATICA
Definición de Perito
 Sabio, experimentando, hábil, práctico en una
ciencia o arte.
 Persona que poseyendo especiales
conocimientos teóricos o prácticos informa, bajo
juramento al juzgador, sobre puntos litigiosos en
cuanto se relacionan a su saber o experiencia.
 Persona que en alguna materia tiene el titulo de
tal, conferido por el estado.
Piattini, Mario G, AUDITORIA INFORMATICA
Comparaciones
ELEMENTOS
CONCEPTUALES
ÁMBI TO DE ACTUACI ÓN PROFESI ONAL
CONSULTORÍA AUDITORÍA PERITACIÓN
CONTENIDO Consejo o asesoría Opinión Objetiva Opinión Subjetiva
CONDICION
(Carácter del “contenido”)
Basada en la Experiencia Contrastada
Profesionalmente
Leal Saber y entender
CARACTERISTICA
(Momento en el tiempo)
A priori A posteriori A posteriori
JUSTIFICACION
(Base que sustenta el
“contenido”)
Análisis de Datos Procedimientos Específicos Examen real y directo de
los hechos especificados
de la prueba solicitada
OBJETO
(Elemento sobre el que se
aplica la “justificación]”)
Actividad o cuestión
Sometida a
Consideración y/o
exámen
Información determinada
obtenida en un cierto
soporte
Elementos específicos
proporcionadaos junto
con la prueba propuesta
FINALIDAD
(“Producto” final deseado)
Directrices
recomendadas de actuación
Adecuación a la realidad o
fiabilidad de las
expectiativas atribuidad
Juicio de valor, aunque
no vinculante para su
receptor
Definición de Informática (Ofimática)
OFIMÁTICA
La definición realizada por Schill, entendiendo
ofimática como el sistema informatizado que genera,
procesa, almacena, recupera, comunica y presenta
datos relacionados con el funcionamiento de la
oficina.
Davies, D.W., Computer Networks
La informática es el campo que se encarga del estudio
y aplicación práctica de la tecnología, métodos,
técnicas y herramientas relacionados con las
computadoras y el manejo de la información por
medios electrónicos.
Hernández Hernandez. Enrique, Auditoría en informática
Definición de Auditoría en Informática
Un proceso formal ejecutado por especialistas
del área de auditoría y de informática; se orienta a la
verificación y aseguramiento de que las políticas y
procedimientos establecidos para el manejo y uso
adecuado de la tecnología de informática en la
organización se lleven a cabo de una manera oportuna
y eficiente.
Hernández Hernandez. Enrique, Auditoría en informática
Proceso metodológico que tiene el propósito principal
de evaluar todos los recursos (humanos, materiales,
financieros, tecnológicos, etc.) relacionados con la
función de informática para garantizar al negocio que
dicho conjunto opera con un criterio de integración y
desempeño de niveles altamente satisfactorios par que
apoyen la productividad y rentabilidad de la organización.

Definición de Auditoría en TI
J.J. Acha que por su parte la define como “Un
conjunto de procedimientos y técnicas para evaluar y
controlar total o parcialmente un Sistema Informático,
con el fin de proteger sus activos y recursos, verificar
si sus actividades se desarrollan eficientemente y de
acuerdo con la normativa informática y general
existente en cada empresa y para conseguir la eficacia
exigida en el marco de la organización
correspondiente”.
Piattini, Mario G, AUDITORIA
INFORMATICA

III. Tipos de
Auditoría
M. A. Camilo Roman Serna

Clases de Auditoría
CLASE CONTENI
DO
OBJETO FINALIDAD
Financiera Opinión Cuentas Anuales Presentan
realidad
Informática Opinión Sistemas de
aplicación,
recursos
informáticos,
planes de
contingencia, etc.
Operatividad
eficiente y según
normas
establecidas.
Gestión Opinión Dirección Eficacia,
eficiencia,
economicidad
Cumplimiento Opinión Normas
Establecidas
Las operaciones
se adecuan a estas
normas.
Clasificación por Tipo de Auditoria

Administrativas
Financieras
Operativas
Informática
Crédito
Fiscales (efectuadas por disposición
gubernamental).
Clasificación por áreas a auditar
Dirección
Explotación
Desarrollo
Mantenimiento
Bases de datos
Técnicas de sistemas
Calidad
Seguridad
Redes
Aplicaciones (Sistemas de
Información)
Estructuras de Organización de Areas de Auditoría

Dirección o gerencia de auditoría
(estructural I)
Dirección o gerencia de informática
(estructura II)
Personal de apoyo de la dirección
general (estructura III)
Función de auditoría en informática
ejercida por externos (estructura IV)
IV. Conceptos
Generales
M. A. Camilo Roman Serna

Sistemas de Información
Sistemas de información: Son el conjunto de
módulos computacionales o manuales
organizados e interrelacionados de una manera
formal para la administración y uso eficiente de
todos los recursos (humanos, materiales,
financieros, tecnológicos, etc.) de un área
específica de la empresa (manufactura,
administración, dirección, etc.) con la finalidad de
representar los procesos reales del negocio, y
orientar los procedimientos, políticas y funciones
inherentes para el logro de las metas y objetivos
del negocio.

Los sistemas de información pueden orientarse al
apoyo de los siguientes aspectos:

 Niveles operativos del negocio.
 Niveles tácticos del negocio
 Niveles estratégicos del negocio.

Modelo conceptual de la organización
Misión, objetivos, estrategia
Actividades, procesos, sistemas de información
y comunicación
Recursos económicos, recursos materiales, recursos
tecnológicos
Clientes
Presiones
del entorno
Presiones
del entorno
Presiones
del entorno
Presiones
del entorno
Productos y servicios
Funciones
Estructura
Recursos humanos
Nivel estratégico
Nivel organizacional
Nivel de recursos
A
n
á
l
i
s
i
s

d
e

l
a

o
r
g
a
n
i
z
a
c
i
ó
n

Jordi Mas/Carles Ramió
Estudio Preliminar.
Cuando se audita un sistema informático se
debe definir:

 Que se va a hacer (tareas)
 Quién debe hacerlo (responsable)
 Participantes (Involucrados)
 Cuando hacerla (Secuencia)
 Como Hacerlo (Procedimientos, métodos)
 Donde Hacerlo (Diagnóstico del negocio e
informática, matriz de riesgos)
Componentes a Evaluar

 Grado de formalización en el Negocio

 Grado de Cumplimiento

 Grado de actualización

 Grado de acercamiento a los estándares
Areas de Revisión
 Administración de Informática
 Dirección y niveles ejecutivos
 Control Interno
 Ciclo de desarrollo e implantación de
sistemas de información
 Sistemas de información
 Mantenimiento
 Redes Locales
 Telecomunicaciones
 Hardware
 Software
 Seguridad
 Planeación Informática
 Otras
Hardware
Administración
 Tipos de equipos y su administración
 Funciones de admon. Documentadas
 Administración del Personal de soporte y
mantenimiento
 Atención a clientes y usuarios.
 Análisis tecnológico y costo-beneficio
Instalación
 Procesos de compra de equipos e instalación de
los mismos
Operación
 Manuales de operación
 Estándares de desempeño y mantenimiento
 Roles y Responsabilidades
 Proteción de informaciòn
 Controles de seguridad física
 Plan de mejora del Hardware
Software (aplicaciones)

Software de Aplicaciones (Sistemas de
Información)
 Administrativos
 Financieros
 De manufactura

Software de paquetes computacionales
(paquetería)
Software de programación
Software de sistemas operativos
Productos CASE (Computer Aided Software
Engineering)
Propósitos Específicos
Elementos de un sistema Informático
Servidores
Estaciones de trabajo, PC´s o
Terminales
Protocolos de comunicación
Equipos para comunicación (tarjetas
de red, Hubs, routers, Conmutadores
de datos (swichts))
Software Operativo
Sistemas de Información
Medios de interconexión

Software (aplicaciones)

Administración
 Inventario y su administración
 Plan tecnológico
 Funciones de admon. documentadas
 Administración del Personal de soporte y mantenimiento
 Atención a clientes y usuarios.
 Análisis tecnológico y costo-beneficio

Legalización e Instalación
 Procesos de compra de equipos e instalación de los mismos
 Licencias y compras legales

Operación
 Manuales de operación
 Estándares de desempeño y mantenimiento
 Roles y Responsabilidades, Capacitación
 Proteción de informaciòn
 Plan de mejora del Software
Planeación
Cuando se audita un sistema informático se
debe considerar:

 Estimación de tiempo
 Costos estimados
 Personal a participar


Incluir:
 El propósito, alcance, producto final
esperado.
 Problema o requerimiento que soluciona
 Grupos de Interes, Lider y Equipo del
Proyecto de auditoría
 Alineación a objetivos de la empresa
 Impacto y esfuerzo requerido en los
procesos, habilidades, organización y
herramientas de TI
 Potencial de Sinergia
Planeación
 ¿Cuánto cuesta y quien hace en México,
una Auditoria en TI?

 Estudio Preliminar de Software y Hardware
de una empresa (la suya)

 ¿Como se puede evaluar cuantitativamente
una auditoría?

 Opinión: ¿Cuál es la importancia de la
Deontológia en la actualidad?

Cada uno tiene 5 minutos.


Investigación
croman@git,pemex.com
Marco Jurídico y
Deontología del Auditor
Informático

M. A. Camilo Roman Serna

Derecho Informático
El derecho informático, a diferencia de la Informática
Jurídica, es aquella parte del Derecho que regula el mundo
informático evitando que se convierta en una jungla donde
siempre sale ganando el más fuerte. Fruto del mismo son:
la protección de datos personales, la protección jurídica
de los programas de computador, los delitos informáticos,
el documento electrónico, el comercio electrónico, y la
contratación electrónica e informática entre otras materias.
Piattini, Mario G, AUDITORIA INFORMATICA
Ciencia o tratado de los deberes y normas éticas, en
especial si conciernen al profesional de una rama
determinada

Piattini, Mario G, AUDITORIA INFORMATICA

Deontología
Marco Juridico (Tipificación)
La Informática Jurídica la podemos contemplar desde tres
categorías diferentes:
 La Informática Jurídica de Gestión que se presenta como un
eficaz instrumento en la tramitación de los procedimientos
judiciales, en la administración de los despachos de
abogados, procuradores, notarios, etc.
 La información Jurídica Documental que es la utilización de
la Informática para facilitar el almacenamiento de enormes
volúmenes de datos relativos a Legislación, Jurisprudencia y
Doctrina, con el fin de permitir periódicamente el acceso a la
misma de una forma fácil, rápida y segura.
 La Informática Jurídica Decisional, por último, es la
utilización de la Informática como instrumento para ayudar a
al toma de decisiones. Tal es el caso de los jueces ante las
sentencias. Está basada, principalmente, en técnicas de la
denominada “inteligencia artificial” con el empleo de
sistemas expertos y herramientas similares.
Principios Deontológicos del Auditor Informático
 Beneficio del Auditado
 Calidad
 Capacidad
 Cautela
 Comportamiento Profesional
 Concentración en el trabajo
 Confianza
 Criterio Propio
 Discreción
 Economía
 Formación continua
 Fortalecimiento y respeto a la profesión
 Independencia
Principios Deontológicos del Auditor Informático
 Información suficiente
 Integridad moral
 Legalidad
 Libre competencia
 De no discriminación
 De no injerencia
 Precisión
 Publicidad adecuada
 Responsabilidad
 Secreto Profesional
 Servicio Público
 Veracidad