Auditoria en Tecnologas de

la Informacin
Universidad La Salle
Maestra en Administracin
M. A. Camilo Roman Serna

Datos
M.A. Camilo Roman Serna
Tel 01 55 55352380 (tardes)
01 55 19442500 ext-54055 (ofna)
Nextel 31868041
email: croman@git.pemex.com
camilomarco@gmail.com

Manejo de expectativas
Indicar los intereses particulares o
expectativas relacionados con la
materia


Con la maestra

Reglas de aprendizaje
1. Exigir compromiso a largo plazo
2. No separar alumnos de maestros
3. Vincular los esfuerzos a necesidades del
mundo real
4. Nadie esta exento de aprender
5. La escuela tiene que demostrar sus
principios
6. Solo deben asistir los que lo desean
ardientemente

Como maestro, no puedo desconocer las
realidades, pero si proveo un lugar
seguro para hablar y pensar sobre ellas.
L No egos
* Los miembros del grupo tienen
la autoridad de tomar decisiones
* Comentarios
constructivos
solamente

Una persona
habla a la vez
) No conversaciones aisladas
* Seguir la agenda
J Todos participan
% Todos comprometidos
al xito del grupo
J Todos somos iguales
Estndares
Estndares de Equipo
Evitar discutir
Ir por ganar-ganar
Ser cautelosos por
una decisin rpida
y fcil
Luchar por el consenso,
pero saber cuando usar
la regla de la mayora
gana
Aprovechar la
diversidad del equipo;
hacer uso de los
expertos
Guas
Guas para Obtener el Consenso
Evitar discutir
Que propongo
Que no entiendo
Paciencia
Que me gusta
Gua
Guas para Dar Observaciones
Calificacin
I. Tareas y trabajos
II. Presentacin de Tema
asociado
III. Examen
IV. Proyecto final
%
20
10

20
50
Objetivo
Explicar las caractersticas de las
auditorias de Tecnologas de Informacin,
sus tipos y procedimientos de aplicacin.

Mtodo
Mtodo Dialctico
Mtodo de razonamiento que enfrenta
posiciones diferentes para confrontarlas y
extraer de ellas la verdad.



Arte del dilogo y el convencimiento a
travs de la palabra
Organizaciones


Instituto Mexicano de Contadores Pblicos
http://www.imcp.org.mx/

Asociacin Mexicana de Profesionales en informtica
http://www.ampi.org.mx/

Auditores en Sistemas de Informacin SC
http://www.auditoria.com.mx

I.Antecedentes y
Conceptos
II. Organizaciones de TI
III. Metodologa
IV. Controles Generales
V. Herramientas
Auditoria de Calidad y
de Procesos


Resumen de Temas
05/01/2006
M. A. Camilo Roman Serna

Enero 2006
Auditora de Tecnologas
de Informacin
Antecedentes y Conceptos
Contenido
I. Antecedentes Histricos
II. Conceptos de Auditora
III. Tipos de Auditora
Marco Jurdico y
Deontologa del Auditor

Fechas: 31 agosto- 7 de
septiembre

Organizacin de TI
M. A. Camilo Roman Serna
Contenido
I. Estructura Organizacional
de TI

II. reas de Aplicacin


Fechas: 14 y 21 de septiembre
Presentacin tema
Asociado
Presentacin trabajo final y
examen
Fechas: 30 de noviembre y
7 y 14 de diciembre
Temas adicionales
05/01/2006
M. A. Camilo Roman Serna

Enero 2006
I. Antecedentes
Histricos
M. A. Camilo Roman Serna

Antecedentes Histricos
En los aos cuarenta empezaron a darse resultados
relevantes en el campo de la computacin, con sistemas de
apoyo para estrategias militares; posteriormente se
increment el uso de las computadoras y sus aplicaciones y
se diversific el apoyo a otros sectores de la sociedad:
educacin, salud, industria, poltica, banca, aeronutica,
comercio
En el presente la informtica se ha extendido a todas las
ramas de la sociedad; es decir, resulta factible controlar un
vuelo espacial por medio de una computadora as como
seleccionar las compras del hogar en una
microcomputadora.
Antecedentes
La tecnologa de informtica, traducida en
hardware, software, sistemas de informacin,
investigacin tecnolgica, redes locales, bases de
datos, ingeniera de software, telecomunicaciones,
servicios y organizacin de informtica es una
herramienta estratgica que brinda rentabilidad y
ventaja competitiva a los negocios frente a sus
similares en el mercado; pero puede originar
costos y desventajas competitivas si no es bien
administrada y dirigida por el personal encargado.
Porque la Auditora?
Todas las actividades de la sociedad buscan apoyarse de alguna
forma en la tecnologa de informtica.
Tanto los equipos de cmputo de diferentes marcas y capacidades
como las bases de datos y los sistemas de informacin deben ser
una solucin integrada.
La capacitacin tiene que ser permanente en el uso de la tecnologa
de informtica debido a su constante crecimiento y actualizacin.
Hardware, software, telecomunicaciones y otros medios electrnicos
han de estar interrelacionados para explotar al mximo sus
capacidades y dar soluciones a todos los sectores de la sociedad.
Integrar a la comunidad de manera permanente al campo de la
informtica.
La gran penetracin de la informtica en todos los niveles del sector
educativo, as como en los sectores social y cultural.
El control y seguridad sobre todos los recursos de informtica es una
necesidad.
Se debe evaluar de manera formal y peridica la funcin de
informtica.
El proceso de planeacin de los negocios ha de integrar de manera
permanente la funcin de informtica.
Algunos otros
porques?
M. A. Camilo Roman Serna

II. Concepto de
Auditora
M. A. Camilo Roman Serna

Definicin de Auditora
La auditora, es una actividad planeada y documentada
realizada de acuerdo con procedimientos y listas de
verificacin por escrito, para comprobar mediante la
investigacin, el examen y la evaluacin de evidencia
objetiva, que se han elaborado, documentado y puesto en
prctica los elementos aplicables, de acuerdo con los
requisitos especificados.
Lionel Stebling, Aseguramiento de
Calidad

Auditora es un proceso formal y necesario para las
empresas con el fin de asegurar que todos sus activos sean
protegidos en forma adecuada. .
Hernndez Hernandez. Enrique, Auditora en
informtica

Definicin de Auditora
La auditora, es la actividad consistente en la
emisin de una opinin profesional sobre si el
objeto sometido a anlisis presenta
adecuadamente la realidad que pretende reflejar
y/o cumple las condiciones que le han sido
preescritas.
Piattini, Mario G, AUDITORIA
INFORMATICA

Objetivos de la Auditora
Promover mejoras o reformas constructivas en las
operaciones, en los sistemas administrativos y financieros y
en el control interno gerencial de las entidades pblicas.

Determinar si estn llevando a cabo, exclusivamente,
aquellos programas o actividades legalmente autorizados,
conducindolos en forma debida y cumpliendo con los
objetivos establecidos.

Averiguar si los programas y actividades se llevan a cabo de
manera eficiente, efectiva y econmica.

Evaluar el cumplimiento de las disposiciones legales y
reglamentarias aplicables a las operaciones
gubernamentales, as como los planes, polticas, normas y
procedimientos establecidos.

Examinar y evaluar los sistemas de control interno gerencial
de las entidades pblicas, determinando, as mismo, el grado
de confiabilidad que merece la administracin en el ejercicio
directo del control sobre los recursos humanos, materiales y
financieros.


Objetivos de la Auditora
Determinar la suficiencia, oportunidad, utilidad y grado de
confiabilidad de la informacin financiera y administrativa
elaborada y utilizada para la toma de decisiones gerenciales
internas.

Determinar el grado de confiabilidad de la informacin
financiera y administrativa elaborada y presentada a otros
niveles de gobierno, evaluando la forma y contenido de dicha
informacin de acuerdo con su propsito.

Dar fe a terceros de la presentacin razonable de la situacin
financiera, los cambios ocurridos en la misma, los resultados
de las operaciones y los cambios en el patrimonio pblico,
presentados a travs de los estados financieros elaborados
por las entidades pblicas.

Averiguar si los recursos humanos, materiales y financieros
son utilizados de manera eficiente, efectiva y econmica y si
se encuentran adecuadamente controlados.

Evaluar el rendimiento y/o productividad de las entidades y
sus servidores.
Tareas Principales de la Auditora
Estudiar y actualizar permanentemente las tareas
susceptibles de revisin.
Apegarse a las tareas que desempeen las
normas, polticas, procedimientos y tcnicas de
auditora establecidas por los organismos
generalmente aceptados a nivel nacional e
internacional.
Evaluacin y verificacin de las reas requeridas
por la alta direccin o responsables directos del
negocio.
Elaboracin del informe de auditora (debilidades y
recomendaciones).
Definicin de Consultora
La consultora consiste en dar asesoramiento o
consejo sobre lo que se ha de hacer o como
llevar adecuadamente una determinada actividad
para obtener los fines deseados
Piattini, Mario G, AUDITORIA INFORMATICA
Definicin de Perito
Sabio, experimentando, hbil, prctico en una
ciencia o arte.
Persona que poseyendo especiales
conocimientos tericos o prcticos informa, bajo
juramento al juzgador, sobre puntos litigiosos en
cuanto se relacionan a su saber o experiencia.
Persona que en alguna materia tiene el titulo de
tal, conferido por el estado.
Piattini, Mario G, AUDITORIA INFORMATICA
Comparaciones
ELEMENTOS
CONCEPTUALES
MBI TO DE ACTUACI N PROFESI ONAL
CONSULTORA AUDITORA PERITACIN
CONTENIDO Consejo o asesora Opinin Objetiva Opinin Subjetiva
CONDICION
(Carcter del contenido)
Basada en la Experiencia Contrastada
Profesionalmente
Leal Saber y entender
CARACTERISTICA
(Momento en el tiempo)
A priori A posteriori A posteriori
JUSTIFICACION
(Base que sustenta el
contenido)
Anlisis de Datos Procedimientos Especficos Examen real y directo de
los hechos especificados
de la prueba solicitada
OBJETO
(Elemento sobre el que se
aplica la justificacin])
Actividad o cuestin
Sometida a
Consideracin y/o
exmen
Informacin determinada
obtenida en un cierto
soporte
Elementos especficos
proporcionadaos junto
con la prueba propuesta
FINALIDAD
(Producto final deseado)
Directrices
recomendadas de actuacin
Adecuacin a la realidad o
fiabilidad de las
expectiativas atribuidad
Juicio de valor, aunque
no vinculante para su
receptor
Definicin de Informtica (Ofimtica)
OFIMTICA
La definicin realizada por Schill, entendiendo
ofimtica como el sistema informatizado que genera,
procesa, almacena, recupera, comunica y presenta
datos relacionados con el funcionamiento de la
oficina.
Davies, D.W., Computer Networks
La informtica es el campo que se encarga del estudio
y aplicacin prctica de la tecnologa, mtodos,
tcnicas y herramientas relacionados con las
computadoras y el manejo de la informacin por
medios electrnicos.
Hernndez Hernandez. Enrique, Auditora en informtica
Definicin de Auditora en Informtica
Un proceso formal ejecutado por especialistas
del rea de auditora y de informtica; se orienta a la
verificacin y aseguramiento de que las polticas y
procedimientos establecidos para el manejo y uso
adecuado de la tecnologa de informtica en la
organizacin se lleven a cabo de una manera oportuna
y eficiente.
Hernndez Hernandez. Enrique, Auditora en informtica
Proceso metodolgico que tiene el propsito principal
de evaluar todos los recursos (humanos, materiales,
financieros, tecnolgicos, etc.) relacionados con la
funcin de informtica para garantizar al negocio que
dicho conjunto opera con un criterio de integracin y
desempeo de niveles altamente satisfactorios par que
apoyen la productividad y rentabilidad de la organizacin.

Definicin de Auditora en TI
J.J. Acha que por su parte la define como Un
conjunto de procedimientos y tcnicas para evaluar y
controlar total o parcialmente un Sistema Informtico,
con el fin de proteger sus activos y recursos, verificar
si sus actividades se desarrollan eficientemente y de
acuerdo con la normativa informtica y general
existente en cada empresa y para conseguir la eficacia
exigida en el marco de la organizacin
correspondiente.
Piattini, Mario G, AUDITORIA
INFORMATICA

III. Tipos de
Auditora
M. A. Camilo Roman Serna

Clases de Auditora
CLASE CONTENI
DO
OBJETO FINALIDAD
Financiera Opinin Cuentas Anuales Presentan
realidad
Informtica Opinin Sistemas de
aplicacin,
recursos
informticos,
planes de
contingencia, etc.
Operatividad
eficiente y segn
normas
establecidas.
Gestin Opinin Direccin Eficacia,
eficiencia,
economicidad
Cumplimiento Opinin Normas
Establecidas
Las operaciones
se adecuan a estas
normas.
Clasificacin por Tipo de Auditoria

Administrativas
Financieras
Operativas
Informtica
Crdito
Fiscales (efectuadas por disposicin
gubernamental).
Clasificacin por reas a auditar
Direccin
Explotacin
Desarrollo
Mantenimiento
Bases de datos
Tcnicas de sistemas
Calidad
Seguridad
Redes
Aplicaciones (Sistemas de
Informacin)
Estructuras de Organizacin de Areas de Auditora

Direccin o gerencia de auditora
(estructural I)
Direccin o gerencia de informtica
(estructura II)
Personal de apoyo de la direccin
general (estructura III)
Funcin de auditora en informtica
ejercida por externos (estructura IV)
IV. Conceptos
Generales
M. A. Camilo Roman Serna

Sistemas de Informacin
Sistemas de informacin: Son el conjunto de
mdulos computacionales o manuales
organizados e interrelacionados de una manera
formal para la administracin y uso eficiente de
todos los recursos (humanos, materiales,
financieros, tecnolgicos, etc.) de un rea
especfica de la empresa (manufactura,
administracin, direccin, etc.) con la finalidad de
representar los procesos reales del negocio, y
orientar los procedimientos, polticas y funciones
inherentes para el logro de las metas y objetivos
del negocio.

Los sistemas de informacin pueden orientarse al
apoyo de los siguientes aspectos:

Niveles operativos del negocio.
Niveles tcticos del negocio
Niveles estratgicos del negocio.

Modelo conceptual de la organizacin
Misin, objetivos, estrategia
Actividades, procesos, sistemas de informacin
y comunicacin
Recursos econmicos, recursos materiales, recursos
tecnolgicos
Clientes
Presiones
del entorno
Presiones
del entorno
Presiones
del entorno
Presiones
del entorno
Productos y servicios
Funciones
Estructura
Recursos humanos
Nivel estratgico
Nivel organizacional
Nivel de recursos
A
n

l
i
s
i
s

d
e

l
a

o
r
g
a
n
i
z
a
c
i

n

Jordi Mas/Carles Rami
Estudio Preliminar.
Cuando se audita un sistema informtico se
debe definir:

Que se va a hacer (tareas)
Quin debe hacerlo (responsable)
Participantes (Involucrados)
Cuando hacerla (Secuencia)
Como Hacerlo (Procedimientos, mtodos)
Donde Hacerlo (Diagnstico del negocio e
informtica, matriz de riesgos)
Componentes a Evaluar

Grado de formalizacin en el Negocio

Grado de Cumplimiento

Grado de actualizacin

Grado de acercamiento a los estndares
Areas de Revisin
Administracin de Informtica
Direccin y niveles ejecutivos
Control Interno
Ciclo de desarrollo e implantacin de
sistemas de informacin
Sistemas de informacin
Mantenimiento
Redes Locales
Telecomunicaciones
Hardware
Software
Seguridad
Planeacin Informtica
Otras
Hardware
Administracin
Tipos de equipos y su administracin
Funciones de admon. Documentadas
Administracin del Personal de soporte y
mantenimiento
Atencin a clientes y usuarios.
Anlisis tecnolgico y costo-beneficio
Instalacin
Procesos de compra de equipos e instalacin de
los mismos
Operacin
Manuales de operacin
Estndares de desempeo y mantenimiento
Roles y Responsabilidades
Protecin de informacin
Controles de seguridad fsica
Plan de mejora del Hardware
Software (aplicaciones)

Software de Aplicaciones (Sistemas de
Informacin)
Administrativos
Financieros
De manufactura

Software de paquetes computacionales
(paquetera)
Software de programacin
Software de sistemas operativos
Productos CASE (Computer Aided Software
Engineering)
Propsitos Especficos
Elementos de un sistema Informtico
Servidores
Estaciones de trabajo, PCs o
Terminales
Protocolos de comunicacin
Equipos para comunicacin (tarjetas
de red, Hubs, routers, Conmutadores
de datos (swichts))
Software Operativo
Sistemas de Informacin
Medios de interconexin

Software (aplicaciones)

Administracin
Inventario y su administracin
Plan tecnolgico
Funciones de admon. documentadas
Administracin del Personal de soporte y mantenimiento
Atencin a clientes y usuarios.
Anlisis tecnolgico y costo-beneficio

Legalizacin e Instalacin
Procesos de compra de equipos e instalacin de los mismos
Licencias y compras legales

Operacin
Manuales de operacin
Estndares de desempeo y mantenimiento
Roles y Responsabilidades, Capacitacin
Protecin de informacin
Plan de mejora del Software
Planeacin
Cuando se audita un sistema informtico se
debe considerar:

Estimacin de tiempo
Costos estimados
Personal a participar


Incluir:
El propsito, alcance, producto final
esperado.
Problema o requerimiento que soluciona
Grupos de Interes, Lider y Equipo del
Proyecto de auditora
Alineacin a objetivos de la empresa
Impacto y esfuerzo requerido en los
procesos, habilidades, organizacin y
herramientas de TI
Potencial de Sinergia
Planeacin
Cunto cuesta y quien hace en Mxico,
una Auditoria en TI?

Estudio Preliminar de Software y Hardware
de una empresa (la suya)

Como se puede evaluar cuantitativamente
una auditora?

Opinin: Cul es la importancia de la
Deontolgia en la actualidad?

Cada uno tiene 5 minutos.


Investigacin
croman@git,pemex.com
Marco Jurdico y
Deontologa del Auditor
Informtico

M. A. Camilo Roman Serna

Derecho Informtico
El derecho informtico, a diferencia de la Informtica
Jurdica, es aquella parte del Derecho que regula el mundo
informtico evitando que se convierta en una jungla donde
siempre sale ganando el ms fuerte. Fruto del mismo son:
la proteccin de datos personales, la proteccin jurdica
de los programas de computador, los delitos informticos,
el documento electrnico, el comercio electrnico, y la
contratacin electrnica e informtica entre otras materias.
Piattini, Mario G, AUDITORIA INFORMATICA
Ciencia o tratado de los deberes y normas ticas, en
especial si conciernen al profesional de una rama
determinada

Piattini, Mario G, AUDITORIA INFORMATICA

Deontologa
Marco Juridico (Tipificacin)
La Informtica Jurdica la podemos contemplar desde tres
categoras diferentes:
La Informtica Jurdica de Gestin que se presenta como un
eficaz instrumento en la tramitacin de los procedimientos
judiciales, en la administracin de los despachos de
abogados, procuradores, notarios, etc.
La informacin Jurdica Documental que es la utilizacin de
la Informtica para facilitar el almacenamiento de enormes
volmenes de datos relativos a Legislacin, Jurisprudencia y
Doctrina, con el fin de permitir peridicamente el acceso a la
misma de una forma fcil, rpida y segura.
La Informtica Jurdica Decisional, por ltimo, es la
utilizacin de la Informtica como instrumento para ayudar a
al toma de decisiones. Tal es el caso de los jueces ante las
sentencias. Est basada, principalmente, en tcnicas de la
denominada inteligencia artificial con el empleo de
sistemas expertos y herramientas similares.
Principios Deontolgicos del Auditor Informtico
Beneficio del Auditado
Calidad
Capacidad
Cautela
Comportamiento Profesional
Concentracin en el trabajo
Confianza
Criterio Propio
Discrecin
Economa
Formacin continua
Fortalecimiento y respeto a la profesin
Independencia
Principios Deontolgicos del Auditor Informtico
Informacin suficiente
Integridad moral
Legalidad
Libre competencia
De no discriminacin
De no injerencia
Precisin
Publicidad adecuada
Responsabilidad
Secreto Profesional
Servicio Pblico
Veracidad