Auditoria Informatica

Práctica profesional I
Trabajo práctico No 1
AUDITORIA INFORMÁTICA
ÍNDICE
Capítulo 1 Introducción, conceptos y terminología..........................................................3
1.1 Introducción y antecedentes del tema..................................................................3
1.2 Informática............................................................................................................5
1.3 Auditoría............................................................................................................ 7
1.4 Auditoría en informática..................................................................................... 7
Capítulo 2 Entorno y funciones de la auditoria, estructura organizacional................ 9
2.1 Entorno de la informática
2.2 Estructura organizacional.
2.3 Plan de negocios. Definición.
2.4 Funciones de la auditoría en informática dentro de la estructura.
Capítulo 3 Planificar.........................................................................................................11
3.1 Que es planificar y porque planificar................................................................11
3.2 Planeación en informática................................................................................11
3.3 Planeación de la auditoría................................................................................12
3.4 Planeación de la auditoría en informática........................................................ 12
Capítulo 4 Metodología....................................................................................................16
4.1 Proceso metodológico de la auditoría en informática......................................17
• Métodos...........................................................................................................19
• Técnicas..........................................................................................................21
4.4 Herramientas...................................................................................................21
Capítulo 5 Etapas...................................................................................................................27
5.1 Preliminar o diagnóstico.................................................................................. 27
1
5.2 Justificación..................................................................................................... 31
5.3 Adecuación...................................................................................................... 32
5.4 Formalización.................................................................................................. 34
5.5 Desarrollo e implantación................................................................................ 35
5.6 Presentación del informe final......................................................................... 38
Anexos....................................................................................................................................47
Objetivos....................................................................................................................47
Bibliografía.................................................................................................................47
Conclusiones.............................................................................................................47
Capítulo 1
Introducción, conceptos y terminología
1.1 Introducción y antecedentes del tema
En este capitulo vamos a realizar una breve reseña para explicar las causas por las cuales surgió la actividad
denominada auditoría en informática y también dar una idea del entorno en el cual se desenvuelve la función.
Originalmente la informática se orientó al apoyo de áreas tales como contabilidad, liquidación de sueldos,
etc., a partir de la necesidad de conocer y medir el apoyo que la misma realizaba en las áreas antes
mencionadas, y a la empresa en general, se originó el proceso conocido como auditoría a sistemas de
información o auditoria de sistemas.
Mas adelante la informática pasó a formar parte de toda organización y el uso de computadoras personales,
redes locales de computadoras, etc., se difundió a lo largo de toda la empresa, la informática también da apoyo
a la relación entre empresas a través de redes WAN y también en la actualidad a través de INTERNET (B2B /
B2C, etc.)
De este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vió
desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese
entonces.
Así surgió la necesidad del replanteamiento total de la auditoría en informática, conocida también como
auditoría de sistemas, si bien esta abarca solamente la revisión de los sistemas de información en desarrollo,
operación y mantenimiento.
Entonces la auditoría en informática se encarga de evaluar y verificar políticas, controles, procedimientos y

seguridad en los recursos dedicados al manejo de la información.
El rol del auditor en informática no es el de oficiar como capataz o policía del negocio, como se suele plantear
comúnmente, sino el de funcionar como un punto de control y confianza para la alta dirección o los dueños de
la empresa, además debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de
conducir siempre a la empresa a optimizar el uso de los recursos informáticos.
2
Por otro lado es incorrecto pensar que la auditoría informática producirá un cambio instantáneo en la cultura
organizacional, en los métodos de trabajo, o en la mala calidad o improductividad, se debe pensar que la
auditoría en informática es un elemento estratégico directo que apoya o promueve la eliminación o corrección
de cada una de las debilidades antes mencionadas.
Se espera que un auditor en informática sea un profesional, un experto, pero sobre todo que sea un ser
sensible, humano, que entienda el contexto real del negocio que está auditando. Su principal objetivo es darle
a cada problema la dimensión justa y convertirlo en una solución para el negocio de la empresa.
Un poco de historia:
En los años cuarenta empezaron a presentarse resultados relevantes en el campo de la computación, a raíz de
los sistemas de apoyo para estrategias militares, posteriormente se incrementó el uso de computadoras y sus
aplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación, salud, industria, política,
aeronáutica, comercio, etc.
En aquellos años la seguridad y control se limitaba a proporcionar custodia física a los equipos y a permitir la
utilización de los mismos a personas altamente calificadas, ya que no existía un gran número de usuarios
técnicos ni administrativos.
En las últimas décadas, la informática se ha extendido a todas las ramas de la sociedad, es decir, es posible
desde controlar un vuelo espacial por medio de computadoras hasta armar una receta de cocina en una
computadora o llevar los gastos personales.
De lo anterior se desprende la idea de que se han obtenido importantes beneficios (reducción de costos,
incremento en ventas, etc.), pero, también se debe tener en cuenta que los costos de estos beneficios han sido
altos y en muchas ocasiones han superado los límites esperados, ocasionando grandes pérdidas y decepciones
en los negocios.
Las empresas y organismos interesados en que la informática continúe creciendo para beneficio de la
humanidad (educación, productividad, calidad, ecología, etc.) desean que este incremento se controle y oriente
de manera profesional. Esto significa que se debe obtener el resultado planteado y esperado de cada inversión
realizada.
Es razonable decir que corre por cuenta de quien administra la función de informática la responsabilidad de
que las inversiones y proyectos sean justificados y eficaces.
También es lógico suponer que la dirección no debe aprobar proyectos que no aseguren la rentabilidad de la
inversión a realizar.
El incremento constante de las expectativas y necesidades relacionadas con la informática, al igual que la
actualización continua de los elementos que componen la tecnología de este campo, obligan a las entidades
que la aplican, a disponer de controles, políticas y procedimientos que aseguren a la alta dirección la correcta
utilización de los recursos humanos, materiales, y financieros involucrados, para que se protejan
adecuadamente y se orienten a la rentabilidad y competitividad del negocio.
La improductividad, el mal servicio, el rechazo de los usuarios a los sistemas de información y la carencia de
soluciones totales de la función de informática, fueron, son y pueden continuar siendo mal de muchas
organizaciones.
Paradójicamente los proyectos prioritarios hacen gala del apoyo que obtienen de la informática. Por este
motivo es ilógico descuidar su control y no garantizar su eficacia.
3
Importancia de la auditoria en informática:
La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que
brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado,
pero puede originar costos y desventajas si no es bien administrada por el personal encargado.
La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo
de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por
el mismo personal de informática.
Surge entonces la obvia necesidad de auditar la función informática, ya que resulta innegable que la misma se
ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un
aliado confiable y oportuno. Esto es posible si se implementan los controles y esquemas de seguridad
requeridos para su aprovechamiento óptimo.
Una vez que la alta dirección comprenda la importancia de contar con un área independiente que asegure y
promueva el buen uso y aprovechamiento de la tecnología de informática, ya puede delegar la responsabilidad
en personal altamente capacitado para ejercer la auditoría en informática dentro de la organización de manera
formal y permanente.
Terminología de la auditoría en informática:
1.2 Informática:
La informática es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos,
técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios
electrónicos, el cual comprende las áreas de la tecnología de información orientadas al buen uso y
aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones
fluya (entidades internas y externas de los negocios) de manera oportuna y veraz.
También se puede decir que es el proceso metodológico que se desarrolla de manera permanente en las
organizaciones para el análisis, evaluación, selección, implementación y actualización de los recursos
humanos, conocimientos, habilidades, normas, etc., tecnológicos (hardware, software, etc.), mate-riales
(escritorios, edificios, accesorios, etc.) y financieros (inversiones) encaminados al manejo de la información,
buscando que no se pierdan los propósitos, confiabilidad, oportunidad, integridad y veracidad, entre otros.
1.3 Auditoría
Es un proceso formal y necesario para las empresas que tiene como fin asegurar que sus activos sean
protegidos en forma adecuada.
Asimismo, la alta dirección espera que de los proyectos de auditoría surjan las recomendaciones necesarias
para que se lleven a cabo de manera oportuna y satisfactoria las políticas, controles y procedimientos
definidos formalmente, con objeto de que cada individuo o sector de la organización opere de modo
productivo en sus actividades diarias, respetando las normas generales de honestidad y trabajo aceptadas.
También es un conjunto de tareas realizadas por un especialista para la evaluación o revisión de políticas y
procedimientos relacionados con las diferentes áreas de una empresa
• Administrativas.
• Financieras.
• Operativas.
4
• Informática.
• Crédito.
• Fiscales.
1.4 Auditoría en informática
Es un proceso formal ejecutado por especialistas del área de auditoría y de informática cuyo objetivo es el de
verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la
tecnología de informática en la organización se realicen de manera eficiente y eficaz.
Las actividades ejecutadas por los profesionales del área de informática y de auditoría encaminadas a evaluar
el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de
informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).
Dicha evaluación deberá ser la pauta para la entrega del informe de auditoría en informática, el cual debe
contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización
permanente de la tecnología de informática en el negocio.
También se puede definir como el conjunto de acciones que realiza el personal especializado en las áreas de
auditoría y de informática para asegurar que los recursos de infomática operen en un ambiente de seguridad y
control eficientes, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos la certeza de que la
informa-ción que circula por el área se maneja con los conceptos básicos de integridad, to-talidad, exactitud y
confiabilidad requeridos.
Proceso metodológico que tiene el propósito principal de evaluar los recursos (hu-manos, materiales,
financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que
dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que
a su vez apo-yen la productividad y rentabilidad de la organización.
Capitulo 2:
Entorno y funciones de la auditoría, estructura organizacional.
Ubicación jerárquica de la función
La alta dirección de cualquier organización tiene que esar consciente de que la función de auditoría se debe
ejercer con el criterio básico de independencia funcional jerárquica, es de-cir, el desempeño de las actividades
profesionales en el proceso de evaluación y control no debe verse afectado por aspectos emocionales ni de
autoridad emanados de los respon-sables e involucrados en el momento de la auditoría.
En la medida en que la dirección establezca políticas claras que especifiquen que la función del auditor es
asegurar el control y la seguridad de los elementos relacionados con la informática y que responde a una
necesidad de la alta dirección, el apoyo y participa-ción de las áreas del negocio fluirá de manera natural;
asimismo, se evitará que esta situación se convierta en un proceso tenso y complicado, o en una actividad
burocrática e improductiva.
Es recomendable ubicar la función de auditoría en informática en un nivel organizacio-nal que le asegure la

independencia y soporte requerido de la alta dirección, con la finali-dad de que su desempeño sea confiable y
eficiente.
La falta de una posición organizacional adecuada a las características específicas que la rodean puede
convertirla en foco de frustración e incertidumbre con el paso del tiempo.
5
El control y la seguridad no pueden establecerse ni supervisarse desde los niveles inferiores de una empresa;
su posición debe estar en la parte superiror del organigrama. La taread de auditoria nunca se debería ejercer
desde un nivel operativo. La alternativa es que los rea-lice personal profesional externo.
Si la auditoría en informática es ejercida por personal externo a la empresa, se reco-mienda que el

seguimiento, coordinación, apoyo y aprobación del trabajo efectuado por los asesores externos sea llevado a
cabo por la alta dirección (director o gerentes de au-ditoría y del área de informática).
Tipos de estructuras donde se ubica la auditoría en informática
La auditoría en informática se debe considerar en un alto nivel organizacional, de igual manera que cualquier
otra rama de la auditoría tradicional.
La ubicación deseable es subordinada jerárquicamente a una dirección o subdirección, ya sea administrativa o

de informática.
El objetivo primordial para la alta dirección del negocio es asegurar que el desempe-ño de las actividades de
auditoría en informática se ejecuten oportuna y eficientemente, de forma que se logre que los auditores
cuenten con:
• Independencia funcional.
• Libertad de acción.
• Facultad para la toma de decisiones.
• Negociación con los niveles gerenciales.
• Participación en proyectos de alto impacto en el negocio.
Es importante resaltar que en la actualidad existe muy poca difusión y menor acep-tación por parte de las
empresas sobre la necesidad de contar con una función de audito-ría en informática.
Sin embargo, es factible pronosticar, con un alto grado de certidum-bre, que el crecimiento acelerado de las
inversiones y proyectos de informática, donde se involucran todas las empresas, forzará a que se tome una
decisión al respecto, aunque a la auditoría en informática se le denomine aseguramiento de calidad,
evaluación de in-formática o auditoría de sistemas y sea ejercida por personal externo o interno.
Una cantidad considerable de empresas aún cuestiona la rentabilidad y productividad de la función de

informática, Prueba de ello son las corporaciones e instituciones donde la función de informática depende de
la dirección o las gerencias de recursos humanos, fi-nanzas, manufactura (empresas industriales), etc., y en
algunos casos (que resultan in-creíbles en estos tiempos) de alguna jefatura de contabilidad o de los usuarios.
Capítulo 3:
3.1 Planificar
En términos generales, podemos decir que planificar es establecer, en función del tiempo, a través de un
enfoque metodológico, la distribución de tareas y la asignación de recursos inherentes a un proyecto, de
manera de cumplir con el objetivo del mismo, de la mejor manera posible.
Esto permitirá controlar el estado de avance de las actividades para el posterior ajuste de las tareas que no se
desarrollen de la manera planeada y de ésta forma pongan en peligro el éxito del proyecto.
Es muy importante considerar el proceso de planeación en cualquier organización, como la base de las
actividades que se ejecutan en ella.
6
La informalidad en el desarrollo de los planes de trabajo sorprenden a quienes sostienen que planear es una
pérdida de tiempo. Es lógico pensar que si no se planea el trabajo, tampoco se planean las anomalías y
decepciones que el desarrollo de dicho trabajo derivará.
Existen muchos beneficios asociados a la planificación, pero el mas importante es poder asegurar con alto
grado de credibilidad a ejecutivos y empresarios, cuánto invertirán y cuánto obtendrán de beneficio por un
proyecto.
3.2 Planeación en informática:
La planificación en informática podemos definirla como el proceso de identificar el conjunto de proyectos

relacionados con la función de informática. Cada proyecto debe estar orientado a objetivos y estrategias
específicos de acuerdo al tipo de organización.
El período de elaboración o actualización del plan de informática depende de las estrategias y formalidad que
posea dicho proceso en cada organización.
Se recomienda que al ser aprobado por la alta dirección se ejecute oportuna y formalmente, con su
actualización.
Las tareas básicas del proceso de planeación en informática son:
La determinación de áreas apoyadas por informática, cuyo responsable de ejecución puede ser el coordinador
o supervisor de planeación de informática y su responsable de seguimiento es el director o gerente del área de
informática.
La elaboración del plan de informática, donde el responsable de la ejecución también es el coordinador o

supervisor de planeación en informática y el responsable del seguimiento es el director o gerente de
informática.
La presentación del plan a la alta dirección, donde en este caso el responsable de la ejecución es el director o
gerente de informática y la responsabilidad del seguimiento queda a cargo de la alta dirección de la
organización.
La ejecución del plan de informática queda bajo la responsabilidad del área de desarrollo, investigación,
comunicaciones, soporte a usuarios, entre otros y los responsables del seguimiento son el gerente o los
supervisores.
3.3 Planeación en auditoría:
En toda organización es importante asegurar el buen manejo y administración de los recursos. Pare ello existe
el proceso de planificación de la auditoría, el cual consiste en la definición de un conjunto de proyectos de
evaluación y verificación de políticas, controles y procedimientos inherentes a las áreas administrativas,
financieras, operativas, etc.
Las cuatro tareas básicas del proceso de planeación de auditoría son:
La determinación de las áreas que se va a auditar, lo cual debe ser realizado por el coordinador o supervisor de
auditoría y controlado por el director o el gerente de auditoría.
En este punto, se deben evaluar los sistemas de información financieros y contables. El auditor definirá si
requiere el apoyo del personal de auditoría informática, el cual puede ser interno o externo.
7
La elaboración del plan de auditoría debe ser también efectuada por el coordinador o supervisor de auditoría y
el responsable del seguimiento será el director o gerente de auditoría. Las áreas serán auditadas en las fechas y
períodos en las cuales las estrategias propias de la alta dirección lo dispongan.
La presentación del plan a la alta dirección será ejecutada por el director o gerente de auditoría y controlada
por la alta dirección del negocio. Esta tarea debe ser efectuada de manera oportuna y autorizada formalmente.
La ejecución del plan de auditoría está a cargo del supervisor o auditores (los cuales pueden ser externos o
internos) y el seguimiento será efectuado por el gerente o supervisores. Algunas empresas consideran
recomendable que el personal de auditoría sea externo para dar independencia al informe y/o aligerar las
cargas de trabajo.
La función de auditoría debe ser un área de control y aseguramiento, o sea una entidad independiente y
profesional que evalúe y efectúe un seguimiento sobre las actividades que afecten, ya sea de manera directa o
indirecta, lo estados administrativos, contables y financieros.
El período de elaboración o actualización del plan de auditoría depende de las necesidades externas o de las
prioridades del negocio que tenga dicho proceso dentro de la organización.
3.4 Planeación de la Auditoría en Informática:
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos
que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas,
organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto
de vista de los dos objetivos:
• Evaluación de los sistemas y procedimientos.

• Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la
organización y sobre la función de informática a evaluar.
Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto, planear
el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la misma.
Investigación preliminar:
Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información
solicitada, si es o no necesaria y la fecha de su última actualización.
La investigación preliminar se debe realizar solicitando y revisando la información de cada una de las áreas
basándose en los siguientes puntos:
Administración
Se recopila la información para obtener una visión general del departamento por medio de observaciones,
entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.
Para analizar y dimensionar la estructura a auditar se debe solicitar:
8
Al área de informática:
Objetivos a corto y largo plazo.
Recursos y materiales técnicos:
• Solicitar documentos sobre los equipos, número de ellos, localización y características.

• Estudios de viabilidad.
• Número de equipos, localización y las características (de los equipos instalados y por instalar y
programados)
• Fechas de instalación de los equipos y planes de instalación.
• Contratos vigentes de compra, renta y servicio de mantenimiento.
• Contratos de seguros.
• Convenios que se tienen con otras instalaciones.
• Configuración de los equipos y capacidades actuales y máximas.
• Planes de expansión.
• Ubicación general de los equipos.
• Políticas de operación.
• Políticas de uso de los equipos.
Sistemas
• Descripción general de los sistemas instalados y de los que estén por instalarse que contengan
volúmenes de información.
• Manual de normas
• Manual de procedimientos de los sistemas.
• Descripción genérica.
• Diagramas de entrada, archivos, salida.
• Salidas.
• Fecha de instalación de los sistemas.
• Proyecto de instalación de nuevos sistemas.
En el momento de hacer la planeación de la auditoría o bien su realización, debemos evaluar que pueden
presentarse las siguientes situaciones.
Se solicita la información y se ve que:
• No se tiene y se necesita.
• No se tiene y no se necesita.
• No se tiene pero es necesaria.
• Se tiene la información:
• No se usa
• Es incompleta.
• No esta actualizada.
• No es la adecuada.
• Se usa, está actualizada, es la adecuada y está completa.
En el caso de 1), se debe evaluar la causa por la que no es necesaria. En el caso 3) , se debe recomendar que
se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la
información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se
debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.
9
El éxito del análisis crítico depende de las consideraciones siguientes:
• Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin
fundamento).
• Investigar las causas, no los efectos.
• Atender razones, no excusas.
• No confiar en la memoria, preguntar constantemente.
• Criticar objetivamente y a fondo todos los informes y los datos recabados.
Personal participante
Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que
deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que
intervenga esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de
recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación
que debe tener el personal que intervendrá en la auditoría.
En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para
poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las
reuniones y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo
multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible
obtener información en el momento y con las características deseadas.
También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite
información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que
se está solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de
vista de la dirección de informática, sino también el del usuario del sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener personas
con las siguientes características:
• Técnico en Informática
• Experiencia en el área de informática.
• Experiencia en operación y análisis de sistemas.
• Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas
específicas como base de datos, redes, etc.
Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben
intervenir una o varias personas con las características señaladas.
Capitulo 4:
Metodología
10
La auditoría en informática debe respaldarse en un proceso formal que asegure su previo entendimiento por
cada uno de los responsables de llevar a la práctica dicho proceso en la empresa. Al igual que otras funciones
en el negocio, la auditoría en informática efectúa sus tareas y actividades mediante una metodología.
No es recomendable fomentar la dependencia en el desempeño de esta importante fun-ción sólo con base en la
experiencia, habilidades, criterios y conocimientos sin una refe-rencia metodológica. Contar con un método
garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtención de
resultados de alta calidad y de acuerdo a estándares predeterminados.
La función de auditoría en informática ha de contar también con un desarrollo de ac-tividades basado en un

método de trabajo formal, que sea entendido por los auditores en informática y complementado con técnicas y
herramientas propias de la función.
Lo anterior se facilita si los auditores en informática cuentan con una metodología que oriente en cada
proyecto a una ejecución armoniosa y planeada en cada una de las tareas y actividades involucradas.
Un alto porcentaje de los especialistas en áreas de investigación, planeación financiera, informática, sistemas,
etc., se apoyan en gran medida en tareas, actividades, productos terminados, revisiones, funciones y
responsabili-dades, etc., definidas previamente en un documento formal que contiene la metodología
ne-cesaria.
El objetivo es brindar a los responsables de dichas áreas un camino estructurado por el que arriben a los
resultados esperados por la empresa, siguiendo un plan.
Es importante señalar que el uso de la metodología no garantiza por sí sola el éxito de los proyectos de
auditoria en informática; además, se requiere un buen dominio y uso constante de los siguientes aspectos
complementarios:
• Técnicas
• Herramientas de productividad
• Habilidades personales
• Conocimientos técnicos y administrativos
• Experiencia en los campos de auditoría e informática
• Conocimiento de los factores del negocio y del medio externo al mismo
• Actualización permanente
• Comunicación constante con asociaciones nacionales e interna-cionales relacionadas.
4.1 Proceso metodológico de la auditoría en Informática
El uso de un proceso de trabajo metodológico y estándar en la función de auditoría en in-formática genera las
siguientes ventajas:
• Los recursos orientan sus esfuerzos a la obtención de productos y servicios de ca-lidad, con
características y requisitos comunes para todos los responsables.
• Las tareas y productos terminados de los proyectos se encuentran definidos y for-malizados en un
documento al alcance de los auditores en informática.
• Se facilita en alto grado la administración y seguimiento de los proyectos, pues la metodología obliga
a la planeación detallada de cada proyecto bajo criterios están-dares.
• Facilita la superación profesional y humana de los individuos, ya que orienta los esfuerzos hacia la
especialización, responsabilidad, estructuración y depuración en las funciones del auditor en
informática.
• Es un complemento clave en el desarrollo de cada individuo, pues su formal segui-miento, aunado a
11
las habilidades, normas y criterios personales, colabora con el cum-plimiento exitoso de los proyectos
de auditoría en informática.
• El proceso de capacitación o actualización en el uso de un proceso metodológico es más ágil y
eficiente, dado que se trabaja sobre tareas y pautas per-fectamente definidas.
Requisitos para el éxito del proceso metodológico
Contar con una metodología formalmente documentada no es garantía de que los proyec-tos de auditoría en
informática tendrán éxito; pero, no cumplir con las siguientes con-diciones conducirá a la función de auditoría
en informática a que sus proyectos no cum-plan con los tiempos, costos o resultados esperados:
• Aprobación de la metodología por la alta dirección.

• Adecuación de la metodología a los requerimientos específicos del negocio (cuida-do con reducir
tareas y eliminar productos importantes con el fin de ahorrar tiem-po o por criterios personales; es útil
apoyarse en un asesor experto).
• Documentación o actualización de la metodología.
• Capacitación formal en el uso de la metodología (de acuerdo con el perfil y nivel de participación de
cada individuo involucrado).
• Elaboración de los planes de auditoría en informática según la metodología.
• Verificación del uso formal de la metodología en cada proyecto.
• Capacitación formal para el personal de nuevo ingreso o cuando se lleven a cabo actualizaciones
relevantes a la metodología.
A continuación podemos ver un cuadro que muestra las etapas de un ejemplo de metodología de auditoría en
informática:
Etapas metodología auditoría
Preliminar (Diagnóstico): Se define el negocio y releva la Informática.
Justificación: Se estudian las areas a auditar siguiendo el plan propuesto.
Adecuación: Se buscan y estudian métodos, técnicas y herramientas.
Formalización: Aprobación de plan y del proyecto para determinar el Arranque.
Desarrollo: Se llevan a cabo las Entrevistas, Visitas, Observaciones y Recomendaciones mientras se

desarrola el Informe de auditoría.
Implantación: Se implementan las Acciones Correctivas y preventivas estudiadas anteriormente mientras se

hace un Seguimiento continuo de su transcurso en el tiempo y como afectan al sistema.
Revisión Informal: Se vuelve a revisar y estudiar el sistema para verificar cambios, falencias, mejoras y
cumplimiento del plan acordado.
Revisión Formal: Se vuelve a estudiar el sistema más detalladamente, documentando todas evaluaciones del
mismo.
Aprobación Final: Se realiza la aprobación final por los ejecutivos de la empresa auditada.
El cuadro anterior muestra los caminos a seguir en la aplicación de la metodología, pasando por todas las
etapas hasta llegar a la aprobación final. Esta visión será de gran utilidad tanto para el auditor en informática
12
como para los demás involucrados en el proyecto.
El responsable de la función de auditoría en informática puede valerse de la información consolidada de la

tabla de descripción general de la metodología de auditoría en informática, para realizar un seguimiento
oportuno y estructurado con cada proyecto, debido a que tareas y productos están terminados (salvo algunas
tareas y resultados).
Mas adelante detallaremos cada etapa con el fin de explicarlas detalladamente; por otro lado, el proceso
metodológico no debe tomarse al pie de la letra; al contrario, ha de considerarse como una referencia que trata
de orientar al líder de proyecto e involucrados en un mejor desarrollo de cada tarea requerida en la auditoría
en informática.
Una obligación de cada área dentro de una organización es actualizarse, adecuando procesos y métodos a las
características propias del negocio, sin perder las recomendaciones comúnmente aceptadas por los negocios,
asociaciones profesionales y demás especialistas.
Métodos, técnicas y herramientas por área de revisión
Como hemos comentado en capítulos anteriores, el desarrollo exitoso de la auditoría en informática depende
de un conjunto de factores inter−relacionados. Agrupar y coordinar de manera eficiente los siguientes factores
brindará resultados satisfactorios por parte de los auditores en informática:
• Dominio de los conceptos técnicos y administrativos

• Habilidades inherentes a la auditoria en informática.
• Normas personales.
• Entendimiento de la auditoría en informática y sus tendencias.
• Adaptación o actualización según el medio dominante.
• Administración formal de la auditoría en informática en el negocio.
• Involucramiento formal en los procesos de planeación del negocio, informática y de la auditoría
tradicional.
• Desarrollo de un proceso formal de planeación de auditoria en informática.
• Entendimiento y aplicación de un proceso metodológico formal de la auditoria e informática.
• Vocación profesional por la auditoría en informática (es un requisito moral, no una política
organizacional).
• Participación formal −en la medida de lo posible− en las asociaciones, institutos educativos, etc., con
fines de actualización o de compartir las experiencias profesionales adquiridas en el campo de la
auditoria en informática.
• Entendimiento satisfactorio de los métodos, técnicas y herramientas necesarios para auditar.
• Otros que dependen de las características de la organización en que se desarrolle la función de
auditoría en informática.
• Uno de los factores primordiales para que el auditor en informática obtenga un desempeño eficiente
en su trabajo es el conocimiento y aplicación de los métodos, técnicas y herramientas comúnmente
aceptados para la informática en los negocios o asociaciones.
• En la medida en que el auditor en informática posea experiencia y conocimientos actualizados sobre
los diferentes aspectos que evaluará, obtendrá resultados pobres o exitosos en la organización donde
trabaja.
• El conjunto de elementos metodológicos, técnicos y operativos recomendados para apoyar la función
de auditoría en informática en la revisión y evaluación de áreas específicas de informática y los demás
componentes relacionados con ella, se van a mencionar más adelante en el punto que hace referencia
a elementos que complementan la Auditoría
Porque utilizar una metodología formal y acorde a los objetivos actuales de seguridad y control
13
• Diagnosticar el soporte real de informática en cada proceso del negocio.
• Diagnosticar el estado de informática.
• Asegurar continuidad en operaciones.
• Apoyo en la calidad de informática.
• Establecimiento de políticas, controles y procedimientos de informática.
• Orientar hacia el cumplimiento de estándares definidos a nivel nacional e internacional.
• Asesorar a los administradores de informática para obtener una mejora continua.
• Establecer un esquema de seguridad y control en informática.
Qué es una metodología de auditoría de informática
• Un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoría de

informática.
• Especifica el qué, cómo, cuándo, quién y qué de los siguientes puntos.
• Roles y responsabilidades de auditoría en informática, personal de informática y usuarios de sistemas

de información y herramientas de tecnología.
• Requerimientos para el logro exitoso del proyecto de auditoría en informática.
• Etapas de cada proyecto.
• Requerimientos para el éxito del proyecto.
• Tareas y productos terminados (por etapa y proyecto).
• Técnicas y herramientas.
Elementos y aspectos que complementan la metodología
• Técnicas
• Documentación
• Análisis
• Observación
• Entrevistas
• Costo / beneficio
• Control de proyectos
• Herramientas
• Software de oficina
• Aplicaciones
• Hardware
• Comunicaciones
• Control de proyectos
• CAATs
• COBIT
• Asociaciones Profesionales
• AMAI
• IIA
• IMCP,ICPNL
• ISACA
COBIT Control Objectives for Information and related Technology
14
Introducción: Es muy importante para el suceso y sobre vivencia de una organización que tenga un efectivo
sistema de management y control de las tecnologías de información (IT). Si una empresa quiere crecer formal
y armoniosamentetiene tiene que tener en cuenta los siguientes puntos:
Aumentar la dependencia de la información y de los sistemas que le distribuyen la información, pero esto
traeun aumento de las vulnerabilidades de un gran espectro de tareas, desde espionaje empresarial hasta el
hacking en Internet, es por eso que una buena inversión en el control ayuda a reducir los costos y crear nuevas
oportunidades de negocios para el desarrollo de la empresa.
Para muchas organizaciones, la tecnología y la información que la soporta son su mas valuable capital, y
practimente están contenidas en esta estructura, que cualquier falencia o problema que posea va a determinar
el fracaso del objetivo de la misma.
Para minimizar los problemas relacionados con la tecnología de información, se desarrollo COBIT, Objetivos
de Control para la Información y la Tecnología relacionada, es un marco de trabajo (Framework)
Especialmente desarrollado para la auditoría en Informática. La misión y Objetivos de COBIT son Investigar,
Desarrollar, Publicitar y promocionar Objetivos de Control de IT (Tecnologías de Información)
internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores.
Actualmente se encuentra desarrollada la 3 versión de este producto.
COBIT ha sido desarrollado con estándares generalmente aplicables y aceptados para mejorar las prácticas de
control y seguridad de las Tecnologías de Información (IT) que provean un marco de referencia para la
Administración, Usuarios y Auditores. Básicamente consta de 4 libros, a saber:
1. Resumen Ejecutivo
2. Antecedentes y Marco de Referencia
3. Guías de Auditoría
4. Herramientas de Implementación
1. El Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un

entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con
más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34
en total.
2. El marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los
requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo
de control.
Los objetivos de control contienen declaraciones de los resultados deseados o propósitos a ser alcanzados para
la implementación de 302 objetivos de control específicos a través de los 34 Procesos de TI.
3. Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos correspondientes a cada uno de
los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los
procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o
aconsejar sus mejoras.
4. Una Herramienta de implementación, la cual contiene el Conocimiento de la Administración y Diagnóstico

de Control de TI, una Guía de Implementación, FAQ, casos de estudio de organizaciones actualmente usando
Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva
15
herramienta es diseñada para facilitar la implementación de COBIT, relacionar sesiones aprendidas desde
organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.
COBIT información y recursos requeridos
La orientación de los negocios es el gran tema que abarca Cobit. Fue diseñado no solo para ser implementado
por los usuarios, sino que también y aún más importante, para los dueños de los negocios.
Incluye todo el refuerzo de los procesos de los negocios, por lo que tiene total responsabilidad de todos los
aspectos del proceso del negocio.
En particular incluye todos los controles adecuados. El marco de trabajo Cobit provee una herramienta que
facilita la delegación de responsabilidades, la cual empieza con una premisa pragmática.
Para proveer información que la organización necesita cumplir con sus objetivos, Los recursos IT necesitan
ser manejados por un conjunto de procesos agrupados.
Continua con un conjunto de 34 niveles de control y objetivos, uno para cada proceso IT, agrupado en 4
dominios:
1 Planeamiento
2 Adquisición de la Organización
3 Distribución de la implementación
4 Soporte y Monitoreo
Estas estructuras cubren todos los aspectos de la información y la tecnología. Accediendo a estos 34 niveles
de control, con las políticas de la organización. Los dueños del proceso del negocio pueden adecuar los
controles de los sistemas provistos por el ambiente IT.
A esto se le suma que los 34 niveles tienen una guía de Auditoría, para que la información pueda ser auditada
y revisada contra los objetivos recomendados por Cobit para proveer a la Dirección de la empresa una fuente
16
fiel de los informes de cada proceso.
Los procesos IT definidos en los 4 dominios:
Cobit es una herramienta que permite a los directores comunicarse y hacer de puente entre los controles de
requerimiento, partes técnicas y riesgos de negocios. El desarrollo de Cobit esta determinado en 5 pasos.
Teniendo en cuenta los objetivos del negocio, el primer paso es la recopilación de la información. Luego sigue
el planeamiento y la organización del plan a seguir, basicamente en esta etapa se definen los planes,
arquitecturas, recursos (humanos o tecnológicos), riesgos y calidades.
El segundo paso es la adquisición y la implementación de lo determinado anteriormente, en donde se

adquieren y se mantienen los recursos, planes y soportes. El siguiente paso es el de entrega y de soporte, en
esta etapa se definen los niveles de servicio para el monitoreo y mantención de lo acordado, verificando
posibles problemas o conflictos a surgir. El último paso es el de Monitoreo, que una vez puesto en marcha el
plan se monitorean los procesos intentando obtener una independencia asegurada, especialmente en el control
interno.
Actualizaciones, el futuro y las herramientas de manejo:
Un nuevo agregado para la familia de Cobit (se encuentra en la versión 3) es el desarrollo de productos para
guías de control de management, que incluyen Factores de suceso crítico, Indicadores de rendimiento y
estadísticas.
Todas estas herramientas para asesorar el ambiente de la organización, especialmente para la parte directiva
de la empresa en donde pueda comparar los datos estadísticos y de control contra los 34 niveles de contrl de
objetivos, y los factores de indicadores críticos que identifican los más importantes puntos para tener en
cuenta a la hora de tomar decisiones para direccionar el management, y el control de los procesos IT.
Las Guías para el management que se encuentran dentro del marco de trabajo, se encuentran divididas en tres
partes que son: el Factor de sucesos críticos. Los indicadores de eficacia y las estadísticas. Otra parte
importante del marco de trabajo es el control detallado de los objetivos, junto con el uso de guías para auditar.
Cobit implementado en Argentina.
En la Argentina Cobit fue implementado en los niveles nacionales y provinciales de la siguiente manera:
La organización reguladora de las pensiones y la administración de fondos mutuales de las companías

(Superintendencia Administradoras de Fondos de Jubilaciones y Pensiones) adoptó a Cobit como política del
marco de Trabajo en su plan estratégico para ser usado en sus exámenes de la tecnología de información. El
uso de Cobit en el control de Metodologías IT, es referenciado en la página 24 del Boletín Oficial 29.198.
El gobierno de Mendoza ha seleccionado a Cobit como el control del marco de trabajo para su auditoría
interna de las tecnologías de información. La implementación va a tener lugar en todos los departamentos del
gobierno provincial. El texto de la aprobación del gobierno esta incluido en la Resolución N 54.
Capítulo 5:
Etapas de la auditoria en informática
5.1 Etapa preliminar o diagnóstico
17
El primer paso que tiene el auditor en informática dentro de las empresas o instituciones al efectuar un
proyecto de auditoría en informática es hacer un diagnóstico del negocio, que incluye a la alta dirección y las
áreas usuarias.
Se busca la opinión de la primera para poder saber el grado de satisfacción y confianza que tienen en los
productos, servicios y recursos de informática en el negocio.
También se detectan las fortalezas, aciertos y apoyo que brinda dicha función, por otro lado son muy
importantes las oportunidades que puede ofrece la informática para hacer más competitivo el negocio.
Las actividades del auditor en informática deben quedar bien definidas en los componentes formales que
integran cualquier trabajo dentro de una organización.
En esta fase, se visualizan los primeros síntomas, los cuales posteriormente pueden ser los más relevantes.
Diagnóstico del negocio:
Conocimiento del negocio:
El auditor en informática debe conocer e interiorizarse en el tipo de organización que actúa: la misión,
estrategias, planes y el nivel jerárquico de la función de informática; también es importante saber las entidades
externas a la empresa que se relacionan con cada área de la misma.
Apoyo al negocio:
El auditor en informática debe tener una idea global del grado de apoyo y satisfacción que existe en el
negocio, y saber hacia donde se orienta el soporte de la función de informática. Por ejemplo, se deben conocer
de manera general los siguientes aspectos:
• La participación de la informática en los proyectos clave para el negocio,

• Imagen de informática ante la alta dirección,
• Grado de satisfacción que existe por los servicios prestados por la informática,
• Expectativas que tiene el negocio sobre la función de la informática,
• Debilidades y fortalezas de informática
• Otros de interés específico del auditor
Áreas de oportunidad:
Aquí se detectan las características que van a facilitar la implementación de soluciones brindadas por
informática y que tendrán un gran impacto sobre alguna función o gerencia del negocio;
También se pueden proponer acciones inmediatas o a corto plazo, de las cuales se podrá obtener beneficios
directos.
En esta fase preliminar el estudio es corto en tiempo y general en su investigación. Es muy importante
mencionar que las propuestas de las áreas de oportunidad deben ser analizadas y documentadas antes de
ponerlas en practica.
Diagnostico de informática
Aquí el auditor se coordina directamente con el responsable de la función de informática.
18
Conocimiento de la función de informática:
En esta parte el auditor conocerá la estructura interna de informática, funciones, objetivos, estrategias, planes
y políticas.
La tecnología de software y hardware es en la que se apoya para llevar a cabo su función dentro del negocio.
Las entrevistas deben hacerse con el responsable de informática. El auditor debe ser profesional y ético en su
trabajo para brindarles seguridad de que al final de su tarea beneficiará a los que lo contrataron.
El auditor en informática debe lograr un equipo de trabajo unido, y que el líder de proyectos (es quien se
encarga de coordinar y supervisar los proyectos de la auditoría; puede tener a uno o más auditores) desarrolle
una buena comunicación con el personal de informática en esta etapa.
Es clave remarcar y evaluar los servicios que presta informática a las diferentes áreas del negocio y en los
distintos niveles organizacionales, estos servicios pueden ser ejecutados por personal externo y coordinados
por informática.
Ejemplos de servicios brindados:
• Implantación de soluciones de información:
• Desarrollo de sistemas de información

• Compra y adecuación de aplicaciones
• Bases de datos
• Evaluación, adquisición, instalación y reemplazo de:
• Equipos de computo y telecomunicaciones

• Paquetes de software
• Lenguajes de programación
• Mantenimiento de los sistemas y equipos

• Soporte a usuarios
• Capacitación y asesoría técnica
• Investigaciones sobre tecnologías (equipos) y aplicaciones en el mercado

• Planeación de informática
• Auditoría en informática
• Soporte a la alta dirección
Observación:
Para obtener toda la información posible sobre el diagnóstico del negocio y de informática, el auditor se
apoyara sobre cuestionarios detallados.
El diagnóstico inicial del negocio reflejará algunos puntos como el giro de la empresa, sus áreas
organizacionales, planes y proyectos del negocio, imagen de informática ante la alta dirección, etc.
Los aspectos tecnológicos, administrativos, culturales y financieros, entre otros, brindan al auditor en
informática un panorama real del escenario donde desarrollará su trabajo.
19
Ejemplos de cuestionarios:
1) Cuestionario de diagnóstico actual )aspectos administrativos de informática)
Concepto Descripción Comentarios

Misión de informática (solicitar organigrama)
Funciones
•
Macroproyectos de informática
• de la función de informática
Objetivos
• referentes a cada función de

Políticas
informática
Áreas •de oportunidad que se derivan de

informática
•
2) Cuestionario de capacitación/actualización (diagnóstico de informática)
E = Excelente
B = Buena
R = Regular
D = Deficiente
EBRD
Sistemas estratégicos de información
()()()()
Nombre (s)
Sistemas tácticos de información
()()()()
Nombre (s)
Sistemas operativos de información
dedicados a tareas diarias y repetitivas
()()()()
(operación)
Nombre (s)
3) Cuestionario de capacitación/actualización (diagnóstico de informática)
E = Excelente
B = Buena
R = Regular
D = Deficiente
20
EBRD
Procesador de palabras
()()()()
Nombre (s)
Hojas de cálculo/graficadores
()()()()
Nombre (s)
Lenguajes/manejador de base de datos
()()()()
Nombre (s)
Presentador/textos
()()()()
Nombre (s)
Correo electrónico/control de
proyectos
()()()()
Nombre (s)
Interfase
()()()()
Nombre (s)
5.2 Etapa de justificación
Una vez finalizada la etapa preliminar, el auditor en informática debe enfocar en la siguiente fase donde se va
a dedicar a elaborar un documento fundamental para la aprobación del proyecto.
Tal documento contiene tres productos terminados que contemplan las áreas que se auditarán (matriz de
riesgo), el tiempo sugerido para hacerlo (plan de auditoría en informática) y el visto bueno (compromiso
ejecutivo).
Matriz de riesgo:
El objetivo principal es detectar las áreas de mayor peligro en relación con informática y que requieren una
revisión formal y oportuna. Ejemplos de las áreas susceptibles a auditar:
• Administración de informática (misión, organización, servicios, etc.)

• Usuarios de informática (comunicación e integración, proyectos conjuntos)
• Sistemas de información (planeación, desarrollo, operación)
• Mantenimiento (hardware, software, telecomunicaciones)
• Redes locales (administración, instalación, operación/seguridad)
• Software (administración y legalización de lenguajes de programación, sistemas operativos)
• Seguridad (hardware, software/aplicaciones)
• Investigación tecnológica (metodologías, técnicas, herramientas, capacitación)
Procedimiento de análisis y elaboración de la matriz:
Es importante identificar el nivel de riesgo de cada uno de los elementos en el negocio a través del diagnóstico
de la situación actual de informática. Las áreas que se van a diagnosticar pueden variar según el tamaño y
estructura del negocio.
21
El auditor debe utilizar los elementos de medición y evaluación posibles sin caer en un análisis detallado, ya
que solo se trata de detectar la problemática principal de cada área.
Si se producen dificultades de considerable importancia de algún elemento evaluado, se deben tomar acciones
inmediatas para eliminar o minimizar el problema.
También hay que determinar el nivel de riesgo que existe en cada área de la función de informática, ya que
son susceptibles a una evaluación y control para asegurar que se desarrolle de acuerdo con los estándares,
políticas y procedimientos que se le asignaron según su función.
Plan de auditoría en informática:
Una vez elaboradas, revisadas y documentadas la matriz de riesgos, se procede a la formulación del plan
general de informática, que consiste en plantear las tareas más importantes que se ejecutarán durante cierto
período al efectuar la auditoría.
Este plan se deriva de los siguientes elementos: Áreas de oportunidad, matriz de riesgos y las prioridades de la
alta dirección, de auditoría y de informática.
El líder de proyectos debe:
• Estimar el tiempo necesario para auditar cada área determinada en la matriz de riesgo
• Analizar y definir los aspectos más relevantes que se evaluarán
• Asignar prioridades a cada área por revisar o evaluar
• Establecer fechas estimadas de inicio y terminación por área de revisión
• Establecer fechas de revisión formales e informales
• Definir responsables directos por etapas de proyecto
Luego el plan detallado se lleva a cabo, posteriormente, en la etapa de adecuación.
Compromiso ejecutivo
Es la ultima tarea de esta etapa y su objetivo principal es obtener el visto bueno (aprobación) inicial de la alta
dirección y demás responsables para continuar con el proyecto de auditoría en informática.
5.3 Etapa de adecuación
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoría en informática se adapte a
las necesidades de la empresa estudiada, pero sin olvidar la referencia de los estándares, políticas y
procedimientos de auditoría que siempre son aceptados y recomendados por las asociaciones relacionadas con
el proceso.
A continuación se mencionan los elementos que se deben contemplar antes de iniciar formalmente la revisión
de las áreas aprobadas en la etapa anterior.
Objetivos y requerimientos de éxito por cada área que se auditará:
Luego de terminar las etapas preliminar y de justificación, el auditor en informática podrá definir mejor los
objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de
concluir exitosamente la revisión de las áreas mencionadas en el plan de auditoría en informática.
Ejemplos de los objetivos y requerimientos para los usuarios de informática:
22
Objetivos de auditoría Requerimiento de éxito
Verificar la presencia de un comité de Conocimiento satisfactorio de los usuarios de
informática/usuarios informática y sus funciones
Asegurar que exista una comunicación formal al Conocimiento de los servicios que presta
final de proyecto informática
Apoyo a la alta dirección en el desarrollo de la
Comprobar que haya un seguimiento
auditoría en informática
Actualización del plan general
Sabiendo que en el proyecto, a medida que avanza surgen cancelaciones, prioridades, requerimientos,
expectativas, nuevos involucrados, etc. el auditor se encuentra obligado a actualizar el plan de trabajo y
detallar fechas, tiempos, resultados esperados, funciones y responsabilidades, así como estimar gastos y el
numero de personas de las áreas usuarias y de informática que participarán en el proyecto.
Así, ya es posible estimar, con bastante precisión, los aspectos o componentes que se deben evaluar por cada
área de informática durante el desarrollo de la etapa de adecuación.
Plan detallado del proyecto de auditoría en informática
Es una de las tareas más importantes de la etapa de adecuación, ya que en ella se define cada detalle de los
elementos del proyecto; se especifican las tareas, productos terminados, responsables, fechas, etc., que serán
validados y aprobados en la etapa de formalización para arrancar el proyecto.
Hay dos tipos de planes detallados con orientación diferente y objetivo común:
• Plan interno: Le corresponde al líder de proyecto y su propósito es hacer un seguimiento interno a las
tareas y responsabilidades de los auditores en informática.
• Plan detallado de auditoria en informática: Se especifica el detalle emanado del plan general de
auditoría en informática definido en la fase de justificación. Los datos mencionados en este plan
pretenden ser guía del proyecto de auditoría desde el punto de vista del cliente, ya que describen
tareas, productos terminados, responsables, involucrados, fechas de revisión, etc.
Definición de técnicas y herramientas
Esta es una parte muy importante y estratégica para el buen desempeño de la auditoría en informática que
consiste en definir las técnicas y herramientas necesarias y fundamentales para revisar eficientemente cada
área seleccionada.
Un claro ejemplo son los software que incluyen un conjunto de técnicas como análisis, documentación,
muestreo, etc., resultan elementos indispensables para asegurar la calidad y confiabilidad de la auditoría.
La experiencia profesional que se haya obtenido en cada una de las áreas (desarrollo, telecomunicaciones,
mantenimiento, base de datos, seguridad, etc.) hace más viable la auditoría como la definición de soluciones.
Adecuación a la alta política de empresa
Todas las tareas realizadas por la auditoría en informática deben cumplir con los estándares, políticas y
procedimientos establecidos por las asociaciones profesionales relativas a la misma; también se cumplirán con
los de las empresas donde se preste el servicio durante la gestión de auditoria.
23
Dichas asociaciones integradas por profesionales de gran experiencia y conocimiento en el campo que se
enfocan a establecer, formalizar, difundir y recomendar la aplicación de los estándares, políticas y
procedimientos más convenientes a las necesidades actuales y futuras del área de especialización a la que se
dedican.
Definido y detallado el plan, el auditor procederá con objetividad y disciplina a establecer referencias
cruzadas entre los estándares, políticas y procedimientos generalmente aceptados y cada uno de los
componentes de informática que se auditarán.
Elaboración de cuestionarios
Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante el desarrollo de su

evaluación; de los mismos derivan entrevistas, visitas a los centros de cómputo o departamentos usuarios.
Los cuestionarios representan una herramienta de gran valor para el auditor en informática; se estructuran de
manera que funcionan como guía para verificar la confiabilidad de la información del personal entrevistado;
además, permiten percibir el grado de cumplimiento de estándares, políticas y procedimientos que
generalmente son aceptados.
5.4 Etapa de formalización
Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situación de la empresa y de la

función de informática; en ellas se detectaron las debilidades y fortalezas más relevantes, también se definió la
planeación y proyección de las áreas que requieren ser auditadas, y se documentaron las adecuaciones.
En esta etapa corresponde a la alta dirección dar su aprobación y apoyo formal para el desarrollo del proyecto
de auditoría (presentado por el líder de proyectos y el responsable de auditoría en informática), de manera tal
que, su función es justificar el desarrollo del proyecto basándose en lo que se hizo en las etapas anteriores.
1) Verificación de prioridades, restricciones y alcances del proyecto:
La verificación, validación, clasificación y documentación de las prioridades, restricciones y alcances del

proyecto tienen un alto valor para el auditor en informática, ya que mediante su realización se clarifica el
rumbo, límites y cobertura que tendrá el proyecto.
Es recomendable que el auditor documente lo expuesto en las reuniones o entrevistas, donde se mencionen los
puntos tratados y las conclusiones. Y para que tenga mas validez el documento, se necesita las firmas de
conformidad de cada participante.
Prioridades: Son las acciones que deben llevarse a cabo antes que las demás sugeridas para el proyecto. Por
ejemplo, la urgencia de mejorar algún hecho que perjudica en alto grado al negocio.
Restricciones: Son los hecho o circunstancias que no se identifican con facilidad y que ocurren o pueden
ocurrir durante el transcurso de la auditoría y que afectan directa o indirectamente al proyecto. Generalmente
don limitaciones o carencias que no se podrían resolver de inmediato o a lo largo del proyecto, por ejemplo el
bajo presupuesto para asignar recursos al proyecto.
Alcance: Aquí se aclara que se realizará en el proyecto (tareas, etapas) y los resultados (productos
terminados). Lo que no se mencione aquí no se obtendrá durante el proyecto.
2) Presentación formal del plan de auditoría en informática:
24
Esta tarea es la más importante para el líder del proyecto y el responsable de la auditoría en informática, ya
que se justificara la continuidad del proceso. Las actividades fundamentales del responsable de esta tarea son:
• Asegurarse de contar con toda la información resumida y presentable, ya que su principal audiencia
será la alta dirección.
• Revisarla y verificarla con este último.
• Concertar en una cita en una fecha y lugar apropiados.
• Ser fluido, claro y contundente en la presentación.
• Asegurar el entendimiento de la audiencia de los datos presentados.
3) Aprobación formal del proyecto:
Esta no es una tarea que demande mucho tiempo a pesar de ser una de las más importantes, ya que en ella
surge la aprobación formal del proyecto de auditoría.
Dado el visto bueno de los involucrados, la responsabilidad de la función de auditoría en informática es mas
clara y evidente.
4) Compromiso ejecutivo:
Una vez terminada la tarea anterior, el siguiente paso es lograr que la alta dirección, los usuarios clave, el
responsable de informática y el de la auditoría se comprometan a lo largo del proyecto, desde ese momento
hasta el desarrollo e implantación de las acciones recomendadas por auditoría en informática en su informe
final.
5.5 Etapa de Desarrollo e Implantación
En esta etapa, el auditor en informática va a ejercer su función de manera práctica, es decir, comienza a
ejecutar sus tareas con profesionalismo, ética personal y aplicando sus conocimientos y experiencias, de
acuerdo con el plan aprobado en la etapa anterior; con el fin de obtener un producto final de calidad y
beneficios tangibles para el negocio.
Esta Fase comprende los siguientes puntos explicados paso por paso:
• Concertación de fechas:
Fechas de entrevistas, de visitas y de aplicación de cuestionarios. La acción es inmediata y hay que corroborar
las fechas aprobadas o actualizadas. Las visitas se realizan con el objetivo de validar el uso de políticas y
procedimientos de seguridad y control, como el registro de acceso a centros de cómputo y áreas en donde
existe documentación o tecnología importante para el negocio.
Se solicita al responsable de informática una lista con los nombres, puestos y departamentos del personal de
informática y de las áreas usuarias involucradas en el proyecto.
• Verificación de las tareas y productos involucrados:
El personal involucrado también debe ser revisado al igual que tareas y productos. Se verifica si la tarea
anterior alteró el orden de las acciones mencionadas en el plan detallado, y hay que asegurar que los cambios
sean mínimos y de bajo impacto en el plan. También se tienen que documentar los cambios necesarios y
justificados.
• Clasificar técnicas y herramientas:
25
Verificar la lista de métodos, técnicas y herramientas sugeridas por el área auditada, junto con los
cuestionarios sugeridos con el objetivo de asegurar que sean los requeridos para cada área que se auditará.
Actualizar cuestionarios solo si es necesario, y elaborar la entrevista con base en la experiencia, cuestionarios
y necesidades del proyecto.
• Realización de entrevistas y cuestionarios:
Efectuar cada una de las entrevistas en las fechas y horas planeadas y aplicar cada uno de los cuestionarios en
las fechas planeadas. (siempre hay que documentar todo los hechos). Obtener apoyo requerido (reportes,
copias, documentos fuente, entre otros). Registrar entrevistas y cuestionarios pendientes.
• Efectuar visitas para la verificación:
Hacer visitas a centros de cómputos o a los usuarios de informática. Notificar la visita a los representantes de
dicho departamento. Registrar la información más relevante y obtener el soporte requerido. Registrar visitas
pendientes.
• Elaboración de informes preliminares:
Por lo general son de largo plazo y su información es sacada detalladamente de las vistas realizadas,
comentarios documentados y previamente analizados. Luego se elabora observaciones y conclusiones de cada
uno de los componentes y áreas auditadas y llenar la hoja de resumen de observaciones y recomendaciones de
la auditoría informática.
• Revisión de estos informes:
Se tiene que verificar detalladamente cada área comprendida con la ayuda de borradores revisados.
Asegurarse de registrar por escrito el soporte requerido para validar cada una de las observaciones (copias de
reporte, documentos fuente, etc.). Y por ultimo, concertar citas con el responsable de informática y los
usuarios para sacar conclusiones.
• Clasificación y documentación de los informes, para su correcta lectura:
Registrar de manera formal cada observación, conclusión y recomendación sugerida, revisada y aprobada y
luego clasificar la información por componente de área auditada.
• Finalización de tareas o productos pendientes:
Se analizará la información emanada de cada entrevista, visita o cuestionario, y luego actualizar, documentar
y clasificar el informe de la auditoría.
• Elaboración del informe final de la auditoría en informática:
Elaborar un informe orientado a la alta dirección y otro mas detallado (que contenga antecedentes,
observaciones, recomendaciones, etc.) para el responsable de informática y los usuarios clave.
• Presentación a la alta dirección e involucrados clave:
Se debe verificar que los informes sean claros, completos y congruentes entre sí. Comprobar que se encuentre
con el soporte documentado de lo mencionado en los informes y formalizar la fecha de la presentación de
informes a la alta dirección.
26
• Aprobación del proyecto y compromiso ejecutivo:
Se obtiene la aprobación y el compromiso formal de la alta dirección para luego elaborar un plan de
implantación general de acciones sugeridas y clasificadas por plazos sugeridos. Luego se presenta el costo
beneficio del plan a seguir. Y por ultimo se delega a informática y las áreas usuarias la implantación de las
acciones recomendadas.
En este momento nos encontramos en la etapa media del proceso de la auditoría. La etapa de formalización ya
se encuentra determinada, y la etapa de desarrollo se encuentra en ejecución, para pasar luego a la etapa de
implantación.
Esta es la más importante para los involucrados en el proyecto de auditoría en informática, ya que termina la
tarea de los auditores y comienza para los responsables de las áreas usuarias y de informática. Ellos ejecutaran
las acciones recomendadas en los informes detallados y aprobados por la alta dirección. La función del auditor
se convierte así en una labor de seguimiento y apoyo.
Los elementos clave de la etapa de implantación son:
• Definición de requerimientos para el éxito de la etapa de implantación (la ejecuta el responsable de

informática):
Se analizan algunos aspectos (recursos humano, materiales tecnológicos, inversiones, etc.) que se necesitan
para ejecutar las acciones recomendadas en los plazos acordados anteriormente.
• Desarrollo del plan (también a cargo del responsable de informática):
Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobación de la alta dirección.
• Implantación de las acciones sugeridas por auditoria en informática (responsable de inf.):
• Primero hay que verificar que se cuente con los recursos estimados en la tarea anterior.
• Consultar los informes para verificar acciones y tiempos de terminación
• Elaborar un plan de implantación que tenga:
• Tareas
• Productos terminados
• Responsables e involucrados
• Fechas de inicio y término
• Fechas de revisión
• Verificar tareas, productos terminados, etc. del plan de implantación
• Ejecutar cada una de las tareas
• Seguimiento a la implantación (esta tarea le corresponde al auditor en informática):
Tiene que solicitar el plan de implantación para revisar su congruencia con los informes de la auditoría en
informática. Luego comprobar el cumplimiento formal de las tareas en los tiempos y formas que considere
convenientes para asegurar resultados. Documentar debilidades y anomalías relevantes. Y por ultimo, sugerir
acciones para el cumplimiento oportuno de la implantación al nivel que se considere pertinente.
6.6 Presentación del informe final
La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración del informe
27
final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales
previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que
pueden descubrir fallos de apreciación en el auditor.
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen
los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la
jefatura, responsabilidad y puesto de trabajo que ostente.
El informe tiene especial importancia porque en el ha de resumirse la auditoría realizada. Se destina

exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la
auditoría. Así como pueden existir tantas copias del informe final como solicite el cliente, la auditoría no hará
copias del citado informe.
Preguntas sobre trabajo práctico
Auditoría en informática:
• ¿Tradicionalmente, antes de la difusión masiva de la informática, los sistemas de información daban

soporte a operaciones y administración de que áreas o departamentos y porqué surgió la necesidad
de auditar los sistemas de información ?
Originalmente la informática se orientó al apoyo de áreas tales como contabilidad, liquidación de sueldos,
etc.,
La necesidad de auditar los sistemas de información surgió a partir de la necesidad de conocer y medir el
apoyo que la informática realizaba en las áreas antes mencionadas, y a la empresa en general, así se originó el
proceso conocido como Auditoría a sistemas de información o Auditoria de sistemas.
Página 3 Trabajo práctico
Página 1 Auditoria en infomática Hernandez (ver bibliografía).
• ¿Cuál fué la razón por la cual se vieron desboradas las tareas de los responsables de informática y los
auditores de sistemas?
La razón es que la informática pasó a formar parte de toda organización y el uso de computadoras personales,
redes locales de computadoras, etc., se difundió a lo largo de toda la empresa, la informática también da apoyo
a la relación entre empresas a través de redes WAN y también en la actualidad a través de INTERNET (B2B /
B2C, etc.)
De este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vio
desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese
entonces.
Página 3 del trabajo práctico
Página 2 − 3 (Un poco de historia...) del libro
• Mencione algunas consecuencias negativas que suelen suceder en una organización como
consecuencia de la falta de auditoría informática.
28
La improductividad, el mal servicio, rechazo de usuarios a los sistemas de información y la carencia de
soluciones totales de la función de informática, fueron, son y pueden continuar siendo mal de muchas
organizaciones.
Pagina 3 − 4 del trabajo práctico
Página 6 libro
• ¿Porque es necesario realizar auditorias de la función de informática?
La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que
brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado,
pero puede originar costos y desventajas si no es bien administrada por el personal encargado.
La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo
de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por
el mismo personal de informática.
Surge entonces la obvia necesidad de auditar la función informática, ya que resulta innegable que la misma se
ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un
aliado confiable y oportuno.
Página 4 (Importancia de..) trabajo práctico
Página 6 libro
• ¿Qué es informática?
La informática es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos,
técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios
electrónicos, el cual comprende las áreas de la tecnología de información orientadas al buen uso y
aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones
fluya (entidades internas y externas de los negocios) de manera oportuna y veraz
Página 5 trabajo práctico
Página 9 libro
• ¿Que es la auditoria tradicional y que aspectos evalúa?
Es un proceso formal y necesario para las empresas que tiene como fin asegurar que sus activos sean
protegidos en forma adecuada. Asimismo, la alta dirección espera que de los proyectos de auditoría surjan las
recomendaciones necesarias para que se lleven a cabo de manera oportuna y satisfactoria las políticas,
controles y procedimientos definidos formalmente, con objeto de que cada individuo o sector de la
organización opere de modo productivo en sus actividades diarias, respetando las normas generales de
honestidad y trabajo aceptadas.
Página 13 libro
• ¿Qué es auditoria en informática?
29
Es un proceso formal ejecutado por especialistas del área de auditoría y de informática cuyo objetivo es el de
verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la
tecnología de informática en la organización se realicen de manera eficiente y eficaz.
Página 14 libro
• Defina auditoría informática en función de proceso metodológico y recursos que evalua
Proceso metodológico que tiene el propósito principal de evaluar los recursos (hu-manos, materiales,
financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que
dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que
a su vez apo-yen la productividad y rentabilidad de la organización.
Página 8 trabajo práctico
Página 13 libro
• ¿En que nivel del organigrama de una empresa es recomendable ubicar al sector o función de
auditoria en informática ?
Es recomendable ubicar la función de auditoría en informática en un nivel organizacio-nal que le asegure la

independencia y soporte requerido de la alta dirección, con la finali-dad de que su desempeño sea confiable y
eficiente.
Página 9 párrafo 3 del trabajo práctico
Página 13 libro
• Qué objetivos busca la gerencia al ubicar a la auditoría infomrmática en una alta posición dentro de
la organización?
Que los auditores cuenten con:
• Independencia funcional.
• Libertad de acción.
• Facultad para la toma de decisiones.
• Negociación con los niveles gerenciales.
• Participación en proyectos de alto impacto en el negocio.
Página 30 del libro
• ¿Cuál es la difusión actual de la función de auditoria en informática?
En la actualidad existe muy poca difusión y menor acep-tación por parte de las empresas sobre la necesidad de
contar con una función de audito-ría en informática.
30
• Puede aumentar la necesidad o difusión de la función de auditoria en informática?
Si, es factible pronosticar, con un alto grado de certidum-bre, que el crecimiento acelerado de las inversiones
y proyectos de informática, donde se involucran todas las empresas, forzará a que se tome una decisión al
respecto, aunque a la auditoría en informática se le denomine aseguramiento de calidad, evaluación de
in-formática o auditoría de sistemas y sea ejercida por personal externo o interno.
• ¿Que significa planificar?
Planificar es establecer, en función del tiempo, a través de un enfoque metodológico, la distribución de tareas
y la asignación de recursos inherentes a un proyecto, de manera de cumplir con el objetivo del mismo, de la
mejor manera posible.
Capítulo 3 Tema Planificar (Pág 8 )
• ¿Cuáles son los beneficios de planificar?
La planificación permitirá controlar el estado de avance de las actividades, para el posterior ajuste de las
tareas que no se desarrollen de la manera planeada y de ésta forma pongan en peligro el éxito del proyecto.
El mas importante de los beneficios, es poder asegurar con alto grado de credibilidad a ejecutivos y
empresarios, cuánto invertirán y cuánto obtendrán de beneficio por un proyecto.
Capítulo 3 Tema Planificar (Pág 9 )
• ¿En que consiste la planeación en informática?
Consiste en el proceso de identificar el conjunto de proyectos relacionados con dicha función, y desarrollar el
plan de trabajo para cada uno de ellos. Cada proyecto debe estar orientado a objetivos y estrategias específicos
de acuerdo al tipo de organización.
Capítulo 3 Tema Planeación en Informática (Pág 10 )
• ¿Cuáles son las tareas básicas del proceso de planeación en informática?
Las cuatro tareas básicas son:
• La determinación de áreas apoyadas por informática

• La elaboración del plan de informática
• La presentación del plan a la alta dirección
• La ejecución del plan de informática
Capítulo 3 Tema Planeación en Informática (Pág 11 )
• ¿En que consiste la planeación en auditoría?
31
Consiste en la definición de un conjunto de proyectos de evaluación y verificación de políticas, controles y
procedimientos inherentes a las áreas administrativas, financieras, operativas, etc.
Capítulo 3 Tema Planeación en Auditoría (Pág 12 )
• ¿Cuáles son las ventajas del uso de un proceso metodológico en la auditoría en Informática?
El uso de un proceso de trabajo metodológico y estándar en la función de auditoría en in-formática genera las
siguientes ventajas: Los recursos orientan sus esfuerzos a la obtención de productos y servicios de ca-lidad,
con características y requisitos comunes para todos los responsables.
Las tareas y productos terminados de los proyectos se encuentran definidos y for-malizados en un documento
al alcance de los auditores en informática, también se facilita en alto grado la administración y seguimiento de
los proyectos, pues la metodología obliga a la planeación detallada de cada proyecto bajo criterios están-dares.
Esto facilita la superación profesional y humana de los individuos, ya que orienta los esfuerzos hacia la
especialización, responsabilidad, estructuración y depuración en las funciones del auditor en informática.
Es un complemento clave en el desarrollo de cada individuo, pues su formal segui-miento, aunado a las
habilidades, normas y criterios personales, coadyuva al cum-plimiento exitoso de los proyectos de auditoría en
informática.
El proceso de capacitación o actualización en el uso de un proceso metodológico es más ágil y eficiente, dado
que se trabaja sobre tareas y pautas per-fectamente definidas.
• ¿En qué se basa el éxito del proceso metodológico?
Requisitos para el éxito del proceso metodológico: Aprobación de la metodología por la alta dirección junto a
los requerimientos específicos del negocio como documentación o actualización de la metodología.
La Capacitación formal en el uso de la metodología (de acuerdo con el perfil y nivel de participación de cada
individuo involucrado), es otro factor importante para determinar el éxito. La elaboración de los planes de
auditoría en informática según la metodología verificando el uso formal de la metodología en cada proyecto.
Actualizar el personal nuevo o cuando se lleven a cabo actualizaciones relevantes a la metodología.
• ¿Cuáles son las etapas de la metodología?
Preliminar (Diagnóstico): Se define el Negocio y releva la Informática.
Justificación: Se estudian las Areas a auditar siguiendo el Plan propuesto.
Adecuación: Se buscan y estudian Métodos, Técnicas y Herramientas.
Formalización: Aprobación de plan y del proyecto para determinar el Arranque.
Desarrollo: Se llevan a cabo las Entrevistas, Visitas, Observaciones y Recomendaciones mientras se

desarrola el Informe de Auditoría.
Implantación: Se implementan las Acciones Correctivas y preventivas estudiadas anteriormente mientras se

hace un Seguimiento continuo de su transcurso en el tiempo y como afectan al sistema.
32
Revisión Informal: Se vuelve a revisar y estudiar el sistema para verificar cambios, falencias, mejoras y
cumplimiento del plan acordado.
Revisión Formal: Se vuelve a estudiar el sistema más detalladamente, documentando todas evaluaciones del
mismo.
Aprobación Final : Se realiza la aprobación final por los ejecutivos de la empresa auditada.
• ¿Cuáles son los conceptos, habilidades y actitudes para llevar acabo la Auditoría en Informática?
Dominio de los conceptos técnicos y administrativos
Habilidades inherentes a la auditoria en informática.
Normas personales.
Entendimiento de la auditoría en informática y sus tendencias.
Adaptación o actualización según el medio dominante.
Administración formal de la auditoría en informática en el negocio.
Involucramiento formal en los procesos de planeación del negocio, informática y de la auditoría tradicional.
Desarrollo de un proceso formal de planeación de auditoria en informática.
Entendimiento y aplicación de un proceso metodológico formal de la auditoria e informática.
Vocación profesional por la auditoría en informática (es un requisito moral, no una política organizacional).
Participación formal −en la medida de lo posible− en las asociaciones, institutos educativos, etc., con fines de
actualización o de compartir las experiencias profesionales adquiridas en el campo de la auditoria en
informática.
Entendimiento satisfactorio de los métodos, técnicas y herramientas necesarios para auditar.
Otros que dependen de las características de la organización en que se desarrolle la función de auditoría en
informática.
Uno de los factores primordiales para que el auditor en informática obtenga un desempeño eficiente en su
trabajo es el conocimiento y aplicación de los métodos, técnicas y herramientas comúnmente aceptados para
la informática en los negocios o asociaciones.
En la medida en que el auditor en informática posea experiencia y conocimientos actualizados sobre los
diferentes aspectos que evaluará, obtendrá resultados pobres o exitosos en la organización donde trabaja.
• ¿Qué es una metodología de la auditoría en Informática?
Una metodología es el proceso formal por el cual un auditor en Informática llega a su objetivo siguiendo un
camino estructurado por el que arribe a los resultados esperados por la empresa, siguiendo un plan.
Con lo cual se facilita si los auditores en informática cuentan con una metodología, que esta se oriente en cada
33
proyecto a una ejecución armoniosa y planeada en cada una de las tareas y actividades involucradas.
Especifica el qué, cómo, cuándo, quién y qué de los siguientes puntos:
Roles y responsabilidades de auditoría en informática, personal de informática y usuarios de sistemas de

información y herramientas de tecnología.
Requerimientos para el logro exitoso del proyecto de auditoría en informática.
Etapas de cada proyecto.
Requerimientos para el éxito del proyecto.
Tareas y productos terminados (por etapa y proyecto).
Técnicas y herramientas.
• ¿Qué es Cobit?
COBIT, Objetivos de Control para la Información y la Tecnología relacionada, es un marco de trabajo

(Framework) Especialmente desarrollado para la auditoría en Informática. La misión y Objetivos de COBIT
son: Investigar, Desarrollar, Publicitar y promocionar Objetivos de Control de IT (Tecnologías de
Información) internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y
Auditores.
• ¿Cuáles son los libros que conforman el marco de Cobit?
1. El Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un

entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con
más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34
en total.
2. El marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los
requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo
de control.
Los objetivos de control contienen declaraciones de los resultados deseados o propósitos a ser alcanzados para
la implementación de 302 objetivos de control específicos a través de los 34 Procesos de TI.
3. Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos correspondientes a cada uno de
los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los
procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o
aconsejar sus mejoras.
4. Una Herramienta de implementación, la cual contiene el Conocimiento de la Administración y

Diagnóstico de Control de TI, una Guía de Implementación, FAQ, casos de estudio de organizaciones
actualmente usando Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la
organización. Esta nueva herramienta es diseñada para facilitar la implementación de COBIT, relacionar
sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes
de trabajo.
• ¿Cuáles son los aspectos complementarios de la Metodología?
34
Para el éxito de los proyectos de auditoria en informática; además, se requiere un buen dominio y uso
constante de los siguientes aspectos complementarios:
Técnicas
Herramientas de productividad
Habilidades personales
Conocimientos técnicos y administrativos
Experiencia en los campos de auditoría e informática
Conocimiento de los factores del negocio y del medio externo al mismo
Actualización permanente
Comunicación constante con asociaciones nacionales e interna-cionales relacionadas.
• ¿Por qué se debe utilizar una metodología para realizar una auditoría en informática?
Es imprescindible para seguir una metodología, que se siga un proceso formal para diagnosticar el soporte real
de informática en cada proceso del negocio y el estado de informática. Tambien para Asegurar continuidad en
operaciones y el apoyo en la calidad de informática.
Este entorno ayuda al auditor a establecer las políticas, controles y procedimientos de la informática, para
orientar hacia el cumplimiento de estándares definidos a nivel nacional e internacional. Al seguir una
metodología es posible asesorar a los administradores de informática para obtener una mejora continua
estableciendo un esquema de seguridad y control en informática.
• Enumere las etapas de la metodología de la auditoría en informática.
Etapa preliminar
Etapa de justificación
Etapa de adecuación
Etapa de formalización
Etapa de desarrollo e implantación
Presentación del Informe final
Páginas 27/38 T.P.
Páginas 75/149 libro
• ¿Que es la etapa preliminar o diagnóstico en una auditoría en informática?
Es el primer paso que tiene el auditor en informática dentro de las empresas o instituciones al efectuar un
proyecto de auditoría en informática es hacer un diagnóstico del negocio, que incluye a la alta dirección y las
35
áreas usuarias.
Se busca la opinión de la primera para poder saber el grado de satisfacción y confianza que tienen en los
productos, servicios y recursos de informática en el negocio.
También se detectan las fortalezas, aciertos y apoyo que brinda dicha función, por otro lado son muy
importantes las oportunidades que puede ofrece la informática para hacer más competitivo el negocio.
Página 27 T.P.
Página 75 libro
• ¿Que es el líder de proyectos en una auditoría?
Es quien se encarga de coordinar y supervisar los proyectos de la auditoría; puede tener a cargpo a uno o más
auditores.
Página 28 T.P.
Página 75 libro
• Ubicar en que etapa de una auditoría en informática se disena la matriz de riesgo y explicarla
brevemente.
La matriz de riesgo se encuentra en la etapa de justificación y su objetivo principal de es detectar las áreas de
mayor peligro en relación con informática y que requieren una revisión formal y oportuna.
Página 31 T.P.
Página 92 libro
• Explicar brevemente de que trata la etapa de adecuación de la auditoría en informática
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoría en informática se adapte a
las necesidades de la empresa estudiada, pero sin olvidar la referencia de los estándares, políticas y
procedimientos de auditoría que siempre son aceptados y recomendados por las asociaciones relacionadas con
el proceso.
Página 32 T.P.
Página 105 libro
• ¿Para que le sirven los cuestionarios al auditor en informática?
Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante el desarrollo de su

evaluación; de los mismos derivan entrevistas, visitas a los centros de cómputo o departamentos usuarios.
Los cuestionarios representan una herramienta de gran valor para el auditor en informática; se estructuran de
manera que funcionan como guía para verificar la confiabilidad de la información del personal entrevistado;
además, permiten percibir el grado de cumplimiento de estándares, políticas y procedimientos que
generalmente son aceptados.
36
Página 34 T.P.
Página 116 libro
• Explicar brevemente la etapa de desarrollo e implantación de la auditoría en informática.
En esta etapa, el auditor en informática va a ejercer su función de manera práctica, es decir, comienza a
ejecutar sus tareas con profesionalismo, ética personal y aplicando sus conocimientos y experiencias, de
acuerdo con el plan aprobado en la etapa anterior; con el fin de obtener un producto final de calidad y
beneficios tangibles para el negocio.
Página 35 T.P.
Página 129 libro
• ¿Por que es tan importante el informe final de una auditoría en informática?
El informe final tiene especial importancia porque en el ha de resumirse la auditoría realizada. Se destina
exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargó o contrato la
auditoría. Así como pueden existir tantas copias del informe final como solicite el cliente, la auditoría no hará
copias del citado informe.
Página 39 T.P.
Anexos
A1 Objetivos
Explicar el concepto de Auditoría en informática, cuales son sus objetivos, que actores intervienen en el
proceso de auditoría y de que medios se vale para lograr los objetivos. Explicación de la metodología que se
debe utilizar. Determinar que se debe auditar, como y quienes deben participar.
A2 Alcance
La explicación de los temas con la información mas actualizada y la bibliografía que se adapte a las nuevas
realidades tecnológicas.
A3 Conclusiones
El trabajo realizado nos permitió conocer con bastante profundidad la función denominada Auditoria en
sistemas, su ubicación dentro de la empresa, su estado actual y futuro. Paralelamente nos hizo ver el cuadro
general de las actividades de una empresa, ya que el conocerlo es parte fundamental de la tarea del auditor.
Consideramos que el haber podido conocer las actividades de esta función nos podrá ayudar en nuestro futuro
profesional ya sea para consultar con un auditor o para convertirnos nosotros mismos en uno.
Grupo 3 Auditoría en informática
A4 Bibliografía
AUDITORIA EN INFORMÁTICA.
37
Enrique Hernández Hernández, C.E.C.S.A, Edición 2000. 334 páginas
AUDITORIA EN INFORMÁTICA.
José Antonio Echenique García, McGraw−HILL, Enero 1997, 200 paginas.
ISO 9000 EN EMPRESAS DE SERVICIOS.
Andrés Senlle − Joan Vilar, Ediciones Gestión 2000, S.A. Edición 1996.
Auditoria en informática
47
Preliminar (Diagnóstico)
−Negocio
−Informática
Desarrollo
−Entrevistas
−Visitas
−Observaciones
−Recomendaciones
−Informe Auditoría
Implantación
−Acciones Correctivas y preventivas
−Seguimiento
Justificación
−Areas a auditar
−Plan propuesto
Adecuación
−Método
−Técnicas
−Herramientas
38
Revisión Informal
Formalización
−Aprobación
−Arranque
Revisión formal
Aprobación Final
COBIT
Definir los niveles de servicio
Manejar los servicios de terceros
Manejar la capacidad y eficacia
Asegurar los servicios continuos
Asegurar la seguridad del sistema
Indentificar y atribuir Costos
Educar y entrenar a usuarios
Asistir y advertir a los consumidores de IT
Manejar las configuraciones
Manejar los problemas e incidentes
Manejar los datos
Manejar las facilidades
manejar las Operaciones
Identificar soluciones
Adquirir y mantener aplicaciones de software
Adquirir y mantener la arquitectura de la tecnología
Desarrollar y mantener los procedimientos de IT
Instalar y acreditar Systemas
Manejar cambios
39
Definir un plan estratégico
Definir la arquitectura de la Información
Determinar la dirección tecnológica
Definir la Organización y las relaciones
Manejar la inversión
Comunicar a los directivos a donde se apunta y se dirige
Manejar los recursos humanos
Asegurar los requeriminentos externos
Posibles riesgos
Manejar los proyectos
Manejar la calidad
Objetivos del Negocio
Monitorear los procesos
Obtener independencia asegurada
Proveer Independencia a la auditoría
Asegurar el control interno
Información
Monitoreo
Adquisición y Implemetación
Planeamiento y Organización
Recursos de IT
Entrega y Soporte
40
41

Auditoria Informatica

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoria Informatica

Transféré par

Droits d'auteur :

Formats disponibles

Práctica profesional I

Capítulo 1 Introducción, conceptos y terminología..........................................................3

1.1 Introducción y antecedentes del tema..................................................................3

1.4 Auditoría en informática..................................................................................... 7

Capítulo 2 Entorno y funciones de la auditoria, estructura organizacional................ 9

2.1 Entorno de la informática

2.2 Estructura organizacional.

2.3 Plan de negocios. Definición.

2.4 Funciones de la auditoría en informática dentro de la estructura.

3.1 Que es planificar y porque planificar................................................................11

3.2 Planeación en informática................................................................................11

3.3 Planeación de la auditoría................................................................................12

3.4 Planeación de la auditoría en informática........................................................ 12

4.1 Proceso metodológico de la auditoría en informática......................................17

5.1 Preliminar o diagnóstico.................................................................................. 27

5.5 Desarrollo e implantación................................................................................ 35

5.6 Presentación del informe final......................................................................... 38

Introducción, conceptos y terminología

1.1 Introducción y antecedentes del tema

Entonces la auditoría en informática se encarga de evaluar y verificar políticas, controles, procedimientos y

Terminología de la auditoría en informática:

1.4 Auditoría en informática

Entorno y funciones de la auditoría, estructura organizacional.

Ubicación jerárquica de la función

Es recomendable ubicar la función de auditoría en informática en un nivel organizacio-nal que le asegure la

Si la auditoría en informática es ejercida por personal externo a la empresa, se reco-mienda que el

Tipos de estructuras donde se ubica la auditoría en informática

La ubicación deseable es subordinada jerárquicamente a una dirección o subdirección, ya sea administrativa o

Una cantidad considerable de empresas aún cuestiona la rentabilidad y productividad de la función de

3.2 Planeación en informática:

La planificación en informática podemos definirla como el proceso de identificar el conjunto de proyectos

Las tareas básicas del proceso de planeación en informática son:

La elaboración del plan de informática, donde el responsable de la ejecución también es el coordinador o

3.3 Planeación en auditoría:

Las cuatro tareas básicas del proceso de planeación de auditoría son:

3.4 Planeación de la Auditoría en Informática:

• Evaluación de los sistemas y procedimientos.

Para analizar y dimensionar la estructura a auditar se debe solicitar:

Objetivos a corto y largo plazo.

Recursos y materiales técnicos:

• Solicitar documentos sobre los equipos, número de ellos, localización y características.

Se solicita la información y se ve que:

La función de auditoría en informática ha de contar también con un desarrollo de ac-tividades basado en un

4.1 Proceso metodológico de la auditoría en Informática

Requisitos para el éxito del proceso metodológico

• Aprobación de la metodología por la alta dirección.

Etapas metodología auditoría

Preliminar (Diagnóstico): Se define el negocio y releva la Informática.

Justificación: Se estudian las areas a auditar siguiendo el plan propuesto.

Adecuación: Se buscan y estudian métodos, técnicas y herramientas.

Formalización: Aprobación de plan y del proyecto para determinar el Arranque.

Desarrollo: Se llevan a cabo las Entrevistas, Visitas, Observaciones y Recomendaciones mientras se

Implantación: Se implementan las Acciones Correctivas y preventivas estudiadas anteriormente mientras se

El responsable de la función de auditoría en informática puede valerse de la información consolidada de la

Métodos, técnicas y herramientas por área de revisión

• Dominio de los conceptos técnicos y administrativos

Qué es una metodología de auditoría de informática

• Un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoría de

• Roles y responsabilidades de auditoría en informática, personal de informática y usuarios de sistemas

Elementos y aspectos que complementan la metodología

COBIT Control Objectives for Information and related Technology

2. Antecedentes y Marco de Referencia

1. El Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un