AUDITORIA

1) Concepto de auditoria en informática y tipos de auditoria.

2) Planeación de la auditoria
3) Auditoria de la función informática.

EVALUACIÓN

1) Guía por tema 10% c/u

2) Planeación de auditoria de la función informática 10%
3) Exposición 10%
4) Examen 50%

CONCEPTO DE AUDITORIA EN INFORMATICA Y TIPOS DE AUDITORIA

Auditoria: (viene de una palabra latina auditorios (el que escucha)). Revisión sistemática de una
actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a
aquellas que deben someterse. Normas ISO, normas de la propia empresa. Estas normas

Objetivo final o finalidad: es emitir una opinión profesional independiente a la empresa que se está
auditando.

Informática: palabra compuesta de Información Automática, es la ciencia del tratamiento

sistemático y eficaz de la información, realizado especialmente mediante máquinas automáticas.

Auditoria según la informática: Se refiere a la revisión práctica que se realiza sobre los recursos
informáticos con que cuenta una entidad, con el fin de emitir un informe y un dictamen profesional
sobre la situación en que se desarrolla y se utilizan esos recursos.

Recursos:

1) Hardware
2) Software (aplicaciones)
3) Información (trabajamos mediante ello)
4) Humana

Informe de auditoría: documento donde se registra el estado en el que se encuentra la empresa,

dentro de ello se encuentra el dictamen.

 Dictamen Limpio (las cosas se están haciendo bien)

 Dictamen con salvedad (que se están haciendo bien pero se pueden mejorar)
 Dictamen negativo( las cosas no se están haciendo bien)

Auditoria administrativa: controla las relaciones entre los integrantes y el cumplimiento de las
funciones (organización)

Auditoría Contable: audita los estados financieros (agarra el pasado para auditar).
Áreas que se pueden auditar (con respecto a informática):

 Toda la entidad. (podemos auditar cuando no sabemos dónde está el error, cuando es una
entidad que se encarga solo de informática)
 Un Departamento. (cuando hay una falla especifica que no se sabe dónde está el problema)
 Un área de la empresa.
 Una función.

Objetivos de auditoria interna: detectar dónde están las fallas, si se están cumpliendo los procesos,
prepararnos para una auditoria externa.

Tipos de auditorías en informática

1) Sistemas: procedimientos, metodologías, ciclo de vida y los controles utilizados en el

desarrollo del sistema.
2) Administración de la función informática: verificar desde la planeación hasta el control de
actividades (proceso para compras).
3) Redes: protocolos, topologías, host de datos.
4) Centros de cómputo: las políticas de mantenimiento, de seguridad y acceso al centro de
cómputo.
5) Seguridad informática: evaluación de la protección a la información, aplicaciones e
infraestructura así como las actividades preventivas o correctivas que se pueden llevar a
cabo de forma física y lógica).

Beneficios de las auditorias informáticas:

 Mejora continua.
 Obtener información integra.
 Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos.
 Identificar problemas.
 Proveer retroalimentación para acciones correcticas y preventivas.
 Dictaminar sobre los resultados obtenidos en la empresa.
 Generar confianza a nivel interno (Porque se sabe que el trabajo se está haciendo bien).
 Generar confianza a nivel externo (Porque hay un proceso de mejora continua y se corrigen
errores).

Limitaciones de las auditorias

 Falta de tiempo.
 Falta de presupuesto.
 No contar con el personal adecuado para realizar la auditoria.
 Las dimensiones del área puede sobrepasar nuestras capacidades.
 Metodología para planear, diseñar y aplicar una auditoria en informática

Metodología: Pasos lógicos y adecuados para llegar a un resultado.

Tres pasos:

 Investigación preliminar (primeros encuentros con el cliente, definir áreas auditar, tiempo,
características es decir tener claro el escenario en donde se va a trabajar).
- Estudio general: Cuentas.. Estado financiero, operaciones, determinar el número de
empleados, antigüedad de las personas, cantidad de máquinas, dimensiones, áreas a
trabajar, tiempo.
-
 La planeación de la auditoria: Elaborar programa de trabajo.

Tiene varias etapas:

-Diagnostico informático: Nos dice como se practica la informática dentro de una empresa
(admón.: Contable, diseño: Licencias), aquí se entrevista usuarios primarios y secundarios.

-Investigación previa: se conoce la infraestructura y la capacidad instalada en la empresa, mejor

estimación del trabajo a realizar.

-Elaboración del programa de la AI: Plantear las actividades que se van a hacer, fecha, tiempo y
responsable.

No Actividad Fecha Fecha Fin Duración Responsable Supervisor

inicio

 La documentación para la auditoria en informática: Respaldo que avala el dictamen del

auditor, depende de la planeación. Para solicitar la información puede ser entrevista,
cuestionario y observación, por lo general uno se avoca a los jefes de deptos..
Se deben hacer estos pasos:
-Análisis: que información necesito que me den por ejemplo si audito infraestructura no
pido licencias es erróneo.
-clasificación: Cual información me sirve y cual no.
-Evaluación: Poner a prueba el talento del auditor.
 En el caso de auditar aplicaciones desarrolladas en la empresa se deben de pedir:

- Manuales:

Usuario: Que hace cada ventana, botón, requisitos de instalación, módulos,

introducción, objetivos, características del sistema, procesos para el uso adecuado del
mismo.

Técnico: recursos técnicos utilizados y que son útiles para el mantenimiento y soporte.

Sistema: Características del sistema, módulos que contiene, bitácora, lenguaje

utilizado, pruebas, comentarios y versiones del sistema, pruebas realizadas,
mantenimiento.

En cuanto al hardware necesitamos conocer

-área solicitante.

-características de este.

-solicitud de compra.

-cotizaciones.

-cuadros comparativos.

-justificaciones (técnica, económica, operativa y legal).

-Valores agregados.

En el informe de auditoría se debe incluir el dictamen del auditor.

Estructura del informe de auditoría (Esto fue realizado en un mapa conceptual)

 Principio
-Lugar y fecha de emisión.
-Destinatario.
-Antecedentes.
-Alcance de la auditoria.
-limitaciones de trabajo.
-personal asignado.

 Cuerpo
-Hallazgos y observaciones.
 -secciones o apartados especiales (se encontraron situaciones y no son parte de la
auditoria).
-Resumen evaluativo de correcciones operadas durante la auditoria.

 Final
-opinión y conclusiones del auditor.
-Comentarios y puntos de vista.
-Sugerencias y recomendaciones.
-párrafo de cierre(agradecimientos).
-Firma.

ESTANDARIZACION

¿Qué es estandarización?

Un proceso mediante el cual se realiza una actividad de manera previamente establecida.

Proviene de la palabra inglesa stand que se refiere termino establecido, aceptado o seguido para
realizar actividades o funciones.

Para considerarse estándar debe cumplir 2 características:

-Especificaciones públicas:

-Accesibles a un precio simbólico.

Especificación de un estándar: Toda la documentación donde se define como llevarla a cabo.

Ventajas de usar estándares:

Orden

Estabilidad

Mejores Resultados

Eficiencia

Economía
No hay problemas de interacción o compatibilidad en el equipo.

Que haya conectividad.

Proporciona experiencia satisfactoria a los usuarios.

Clasificación de los estándares dependiendo de características

 Abiertos/cerrados(apertura)

Nos permite llevar acabo la implementación técnica, comercialización y distribución del

estándar sin restricciones (legales y técnicas), entre más restricciones menos apertura.

 Permisivos/exclusivos (comercialización) es la característica que indica si un estándar

puede ser usado libremente por los que no son sus propietarios y bajo qué condiciones.
Característica legal la exclusividad.(licencias, contrato de uso)

Licencias: publica, libre, secreta.

Restricciones legales son dadas por las licencias o contrato de uso.

Escala de apertura y exclusividad

No Inclusivo
Estandar Estandar Estandar Estandar y abierto
estandar
Exclusivo Cerrado RAND abierto libre
y cerrado
Estándar cerrado: especificaciones públicas y restricciones legales, no implementa libremente, no
son públicas, usadas por grupos pequeños.

Estándar Rand: el más común, lo exigen las organizaciones, mínimo de apertura e exclusividad
exigido por los organismos. (Reasonable and non discriminatory) es publica, licenciada por
organismos, es lo mínimo permitido en el mercado.

Estándar abierto: puede ser gratis solo piden colaboraciones, no tiene restricciones, gratuita y sin
condición alguna, Requisitos, adoptado y mantenido por una organización, accesibles a costo
simbólico, propiedad intelectual, no se pueden hacer modificaciones.

Estándar libre: El más abierto que existe, tipo de licencia GNU/GPL, licencia publica general,
gratuito, es autosuficiente, es la más utilizada garantiza libertad de usar, compartir, modificar y
estudiar el software

Cuando un estándar ha sido muy difundido se entiende como estándar “De facto”

Categorización de estándares según el carácter legal

 Legalmente vinculante No vinculante

Legal Nacional Privado

Internacional Industrial

Estándar Legal: El valor de la moneda, sistema métrico decimal CEN/CENELEC

Estándares internacionales: por ejemplo ISO IEC.

Nacional: autorizados por organismos de un país, impuesto sobre ventas.

Industrial: Tomados y promovidos por la industria, ejemplo estándar de los ladrillos.
Privado: Son parecidos a los industriales pero van dentro de un mismo rubro, proceso de
matrícula en la u.