Unidad 1. Introducción a la auditoría informática

Auditoría informática

Unidad 1. Introducción a la auditoría informática

Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática

Ingeniería en Telemática

Programa de la asignatura:



Clave:

210941038

Universidad Abierta y a Distancia de México



Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 1

índice

Unidad 1. Introducción a la auditoría ....................................................................................................................2

Presentación de la unidad ..................................................................................................................................2

Propósitos .............................................................................................................................................................4

Competencia específica .....................................................................................................................................4

1.1. Introducción a la auditoría ..........................................................................................................................5

1.1.1. Definición y clasificación de la auditoría ...........................................................................................7

Actividad 1. Auditoría ....................................................................................................................................... 13

1.1.2. Características ................................................................................................................................... 14

Actividad 2. Características de las auditorías .............................................................................................. 15

1.1.3. Uso de técnicas asistidas por computadora .................................................................................. 15

1.1.4. Responsabilidad del auditor en el descubrimiento de errores y desviaciones ........................ 19

1.2. Normas internacionales y nacionales ................................................................................................ 22

1.2.1. Tipos de normas ........................................................................................................................... 27

1.2.2. Normas actuales ........................................................................................................................... 28

1.2.3. Normas emergentes ..................................................................................................................... 28

Actividad 3. Reporte de normas ..................................................................................................................... 29

1.2.4. Organismos reguladores ............................................................................................................. 29

Actividad 4. Tipos de auditoría y distinción de normas ............................................................................... 30

Autoevaluación .................................................................................................................................................. 31

Evidencia de aprendizaje. Clasificación de casos ....................................................................................... 31

Autorreflexión .................................................................................................................................................... 32

Cierre de la unidad ........................................................................................................................................... 32

Para saber más ................................................................................................................................................. 32

Fuentes de consulta ......................................................................................................................................... 33




Unidad 1. Introducción a la auditoría

Presentación de la unidad

Hoy en día, la mayoría de las organizaciones cuentan con recursos informáticos, de redes y servicios

de comunicaciones para el almacenamiento, procesamiento y transmisión de la información (datos,

voz, video, etc.). Y dada la apresurada velocidad con que estas tecnologías van surgiendo, nos

comprometen a las áreas de TIC (Tecnologías de la información y comunicación) a realizar análisis y

diseños cada vez más improvisados que, sin un adecuado plan para que su funcionamiento sea el

mejor, se genera así, un factor crítico para el completo desempeño de todas las áreas que involucran

las TIC.

Esta asignatura de Auditoría informática te ayudará a entender mejor, la necesidad de llevar un control

adecuado de la gestión y uso de los recursos por medio de la adecuada revisión y evaluación de:

Usuarios: quienes distribuyen, procesan la información y hacen uso de los servicios de

explotación final

Señalización y control: cuyo enfoque es el procesamiento y la distribución de la información.

Redes y sistemas: administración de todos los sistemas, infraestructura, servicios y la

interacción con operadores de las redes de telecomunicaciones de la organización

Comisión digital de señales de España. Consultado en: http://www.onthespot.com/file/Infografia__Digital_Signage.pdf




El alcance de esta asignatura en el contexto de la Ingeniería en Telemática conlleva un matiz que

pretende visualizar más allá de aspectos relacionados a la Informática ya que pretende conjuntar

también aspectos relacionados a las telecomunicaciones. Para su estudio se iniciará conociendo

aspectos generales de la auditoría.

Por lo cual, en esta primera unidad, estudiarás la introducción a la auditoría informática, con subtemas

como: definición, clasificación, características, técnicas asistidas por computadora, responsabilidad del

auditor en el descubrimiento de errores y desviaciones. También aprenderás sobre normas:

internacionales, nacionales, tipos, emergentes y lo referente a organismos reguladores.

Para completar satisfactoriamente la unidad, se recomienda realizar las actividades planteadas, la

evidencia de aprendizaje y autoevaluación.




Propósitos

En esta Unidad:

Distinguirás la clasificación de la auditoría

Identificarás las características de las

auditorías

Analizarás los tipos de normas y normas

emergentes

Competencia específica

Distinguir normas y tipos de auditoría para identificar su aplicación en las diferentes áreas de la auditoría informática señalando las características y usos de cada una.




1.1. Introducción a la auditoría

En toda organización es de gran importancia la administración de los recursos de todo tipo, por lo que,

en el departamento de informática y telemática ésta debe ser una de las prioridades, darle el uso

adecuado a dichos recursos disponibles como lo son: la transmisión de datos, redes, redes de voz, de

video, personas, hardware en general, software, el tiempo y el presupuesto, entre otros. Con la

finalidad de producir una adecuada toma de decisiones para favorecer el logro de los objetivos de la

organización.

La información desde el punto de vista de la informática se refiere al conjunto de datos ordenados,

relacionados entre sí de acuerdo a cierta lógica, que aporta a la organización elementos necesarios

para el cumplimiento de sus metas. Hoy en día, es necesario el uso de un sistema de información

para procesar esos datos en información relevante en un tiempo apropiado para la toma de decisiones.

A esto se le denomina Procesamiento de datos, que adicionalmente tiene la función de distribuir la

información generada, asegurándose de que ésta llegue a los usuarios apropiados.

Para lograr distribuir la información, se requieren redes, los cuáles se conforman de nodos (de acceso,

de núcleo, de servicios, de almacenamiento masivo y de base de datos), sistemas operativos,

software, etc. Por lo que, resulta necesario dirimir los riesgos intrínsecos de actividades informáticas y

telemáticas con la finalidad de cuidar en mayor medida toda la inversión realizada en la organización

con respecto a las TIC (Tecnologías de información y comunicación).

Otro de los principales recursos son las personas, que apoyados por las TIC pueden atender servicios

que podrían ser los siguientes:

Operativos: desarrollo o mantenimiento de sistemas, soporte técnico, etc.

Tácticos: trabajos particulares para las decisiones de un jefe, entre otros

Funcionales: no están directamente relacionados con las funciones del área, sin embargo

aseguran que el personal trabaje adecuadamente, por ejemplo Recursos humanos o

Contabilidad

Atención a proveedores: aseguran el apoyo al trabajo especializado

Estudio de necesidades y análisis: es una actividad que puede realizar la dirección de

informática

Los servicios anteriores pueden a su vez distribuirse de acuerdo a diversas condicionantes que cada

organización necesita, tomando en cuenta su tamaño y su estructura. Por ejemplo observa las

siguientes estructuras:




Empresa pequeña

Empresa mediana

En cualquier tipo de organización, se debe dejar bien establecido cómo debe fluir la comunicación, las

funciones de cada rol, niveles de autoridad, acceso a la información, responsabilidades e

instrucciones.

El tiempo en toda organización es un recurso que debe monitorearse y gestionar las desviaciones

cuando estas ocurren, identificar las causas con la finalidad de atender de manera oportuna todos los

compromisos del área de sistemas y de la organización en general.

Por último, otro de los recursos que se debe gestionar es el presupuesto, ya que será el motor que

dará vida a las actividades planeadas en el departamento de sistemas así como de la organización. Si

no se cuenta con un presupuesto realista, se estarán construyendo castillos sobre el hielo, es decir,

ninguna tarea podrá ejecutarse como lo esperado, es por ello que se deben realizar planes adecuados,

para poder estimar un presupuesto acorde a las necesidades para el logro de las metas del

departamento y por lo tanto, de la organización.

Jefe de informática

Analistas / programadores

Operadores

Director de informática

Jefe de Infraestructura

Redes Soporte

Jefe de Sistemas

Base de datos Operadores

Jefe de Desarrollo

Analistas Programadores




Dado lo anterior, es obligatorio tener un adecuado control, para que de manera constante se esté

revisando el modo en que se operan los procesos y tener la seguridad de que estos son adecuados o

que se pueden mejorar. Las auditorias forman parte de estos controles que permiten hacer un sondeo

de la realidad así como la medición de indicadores para monitorear la gestión informática y sus

procesos.

Hoy en día no es posible una efectiva gestión organizacional sin el beneficio de las herramientas y

procedimientos de control adecuados. Las auditorías convencionales aplicadas a lo contable y

financiero, ahora también se tienen que completar con las auditorías informáticas y de infraestructura,

con el fin de evitar errores inadvertidos que afecten la inversión de la organización.

Por otra parte, debido a que las organizaciones cada vez más, buscan mantenerse en un nivel de

competitividad y posicionamiento internacional, es necesario demostrar que sus procesos pueden

soportar los rigurosos estándares internacionales, tales como normas de calidad por ejemplo la ISO

(International Organization for Standardization) metodologías orientadas a la búsqueda del cero error

como lo es: 6 - Sigma y específicamente para el área de desarrollo los modelos de CMMI (Capability

Maturity Model Integration) o PSP (Personal Software Process). Para el área de soporte e

infraestructura ITIL (Information Technology Infrastructure Library) o bien para el área de redes el

modelo de Cisco Systems. En estos casos no basta con realizar auditorías internas, por el contrario,

será necesario que reguladores externos deban validar cómo se desarrolla el trabajo en la

organización para poder dar crédito de que se sigue algún modelo o estándar internacional y que

además se realiza correctamente. Para conocer más sobre una de las maneras de monitorear

nuestros procesos, en el siguiente subtema verás en qué consiste la auditoría así como los tipos que

existen.

1.1.1. Definición y clasificación de la auditoría

Para toda organización es importante llevar un control interno de cómo se están realizando las cosas,

que le permita tomar medidas correctivas de los procesos que no funcionan adecuadamente, por lo

que es necesario analizar lo que se debe revisar, asesorar a todos los involucrados e informar

oportuna y objetivamente los resultados. A todas estas actividades las llamamos auditoría. Una

definición más formal podría ser como la siguiente

Según Muñoz (2002), expresa que:

La auditoría es la revisión independiente que realiza un auditor

profesional, aplicando técnicas, métodos y procedimientos

especializados, a fin de evaluar el cumplimiento de las funciones,

actividades, tareas y procedimientos de una entidad administrativa,

así como dictaminar sobre el resultado de dicha evaluación. (p. 34)




Como puedes observar, en la definición se dice que es una revisión independiente, significa que el

auditor debe poseer independencia mental, profesional y laboral del área que evaluará, lo que le

permitirá tener un desempeño competente y confiable. La auditoría es una actividad especializada que

solo podrá ser ejecutada por auditores capacitados que además cuenten con la experiencia necesaria

para realizar este tipo de trabajo de manera profesional. Otros puntos importantes de la definición son

que las auditorías son procesos bien definidos y especializados, se aplican técnicas y se basan en

algún método de evaluación.

El fin de aplicar una auditoría es para evaluar el cumplimiento en funciones, actividades tareas y

procedimientos, para lo cual el auditor utiliza sus conocimientos y herramientas especializadas, para

llegar a producir un informe de resultados, en el que plasmará su opinión sobre las desviaciones y

observaciones detectadas para que los involucrados conozcan el estado del área auditada.

Hoy en día existen muchas empresas que se dedican a dar servicios de auditoría, quienes cuentan

con personal calificado para cada tipo de auditoría y de esta manera garantizar que tienen la facultad

de poder emitir recomendaciones que realmente aporten mejoras sustantivas a la organización.

Otra definición de auditoría informática es la siguiente:

Según Piattini y Del peso (2001). dicen que:

Toda y cualquier auditoría, es la actividad consistente en la

emisión de una opinión profesional sobre si el objeto sometido a

análisis presenta adecuadamente la realidad que pretende

reflejar y/o cumple las condiciones que le han sido prescritas.

(p.4)

Observa que este concepto se destacan los siguientes elementos principales:

1. La opinión de un profesional

2. El objeto de análisis

3. Finalidad

De la misma manera Piattini resalta la importancia de que el auditor sea un especialista en el tema,

para que pueda tener la capacidad de juicio y de recomendar las soluciones necesarias. El objeto de

análisis que tiene que ver con el contenido a evaluar, el soporte y la evidencia que serán el caso de

evaluación. Y por último la finalidad de lo que se analiza que se está realizando contra lo que se

pretende reflejar. Por ejemplo al evaluar un proceso, el auditor lo cotejará con los procesos

previamente escritos por la organización, para evaluar si en realidad se llevan a cabo tal y como se

redactó y más aún, si es una manera óptima de realizarlo.




Tomando en consideración el objeto de análisis, se desprenden muchos tipos de auditorías por

ejemplo:

Financiera: evalúa la veracidad de los estados financieros

Operacional: examina la eficiencia, eficacia y economía de los métodos y procedimientos de la

organización

Fiscal: orientada a monitorear el cumplimiento de leyes y normas fiscales

Medio ambiental: orientada a la conservación y preservación de la calidad medioambiental

Calidad: evalúa métodos, mediciones y controles de los bienes y servicios

Informática, en redes y telecomunicaciones: conjunto de herramientas y procedimientos de

gestión, para el análisis y control de los sistemas de información, de redes y de

telecomunicaciones.

Siendo el último punto, el objeto de análisis en que se centra nuestra asignatura, poco a poco

conocerás más del enfoque de auditoría informática, de redes y telecomunicaciones, conforme vayas

avanzando el contenido y realizando las actividades, preparadas para tal fin.

Hay otras consideraciones que pueden categorizar a las auditorías por ejemplo, considerando el

origen del auditor se pueden organizar como:

Internas: se refiere a las que el auditor pertenece a la misma organización, son útiles para

garantizar que las operaciones se desarrollan de acuerdo a la política general de la entidad,

evaluando la eficacia y proponiendo soluciones a problemas detectados. Cuando se termina la

auditoría se emite un informe para la dirección de los resultados obtenidos.

Externas: cuando se contrata a una empresa para aplicar la auditoría y por lo tanto el auditor es

ajeno a la organización, aportando mayor objetividad a los resultados. En algunas ocasiones la

auditoría externa obedece a la parte de legal del proceso, ya sea porque se va a obtener alguna

certificación o por algún trámite con el gobierno.

Auditoria informática

Particularmente dentro del área de Informática se puede organizar los tipos de auditoría considerando

también el objeto de análisis que hacen referencia a las actividades específicas de la propia actividad

informática. Observa la siguiente clasificación que propone (Piattini et al.,2008, pp. 243-671).




Explotación

Clasificación

Sistemas de tipos de auditorías

Comunicaciones y redes

de las TIC

Desarrollo y mantenimiento

de sistemas

Seguridad

Outsourcing

Dirección informática

Video vigilancia

Datos personales




- Auditoría de explotación: se enfoca a la generación de: listados, archivos electrónicos,

ejecución de procedimientos automatizados. Estos se evalúan por controles de calidad antes

de ser liberados al cliente o usuario. Auditar la explotación consiste en auditar secciones que la

componen y sus interrelaciones, por ejemplo los siguientes:

o Entrada de datos

o Planificación y recepción de aplicaciones

o Control y seguimiento de trabajos

o Operaciones de centros de cómputos

o Control de la red

o Centros de diagnosis (Help-desk)

- Auditoría de sistemas: analiza la técnica de sistemas en todas sus facetas

o Sistemas operativos

o Software de aplicaciones

o Software de teleproceso

o Tunning o técnicas de observación para evaluar subsistemas que tienen un deterioro en

su comportamiento y se realizan de manera periódica

o Técnicas de sistemas

o Administración de base de datos

o Investigación y desarrollo

- Auditoría de comunicaciones y redes: se refiere al soporte físico-lógico de la informática en

tiempo real. Principios y derechos de protección de datos en Internet

- Auditoría de desarrollo y mantenimiento de sistemas: engloba varias fases para elaborar

cada proyecto. como las siguientes:

o Prerrequisitos

o Análisis y diseño

o Programación

o Pruebas

o Entrega

- Auditoría de seguridad: abarca los conceptos de seguridad física y lógica

o Seguridad física: se refiere a la protección de Hardware, edificios, instalaciones, que

son el soporte de los datos albergándolos

o Seguridad lógica: se refiere a la seguridad de uso del software, protección de datos,

programas, modelos, así como los niveles de acceso de los usuarios a la información.

Para ambas auditorías se deben utilizar herramientas para el monitoreo de IP, filtro de

paquetes, firewall, test de penetración, entre otras. Apoyándose de alguna normatividad como

OSSTMM (Open Source Security Testing Methodolgy Manual), ISSAF (Information System

Security Assessment Frameworks) o ISO 27001 (Estándar para la seguridad de información),

etc.




OSSTMM: Consultado en:

http://www.automatedtestinginstitute.com/home/index.php?option=com_content&view=article&catid=52:testcat&id=1077:osstmm-open-source-security-testing-methodology-manual

ISO 27001. Consultado en:

http://www.actualizegroup.com/calidad/

Por ejemplo, una prueba de penetración consistiría en lo siguiente:

1. Etapa de reconocimiento: recopilar información sobre el sistema objetivo

2. Exploits: la selección del área objetivo

3. Ya que se realizó el ataque, se analiza el impacto y la generación de nuevas acciones

4. Documentación: para reflejar el trabajo completo por parte del pentester (persona de pruebas

de penetración)

Existen algunos métodos para aplicar este tipo de pruebas, por ejemplo:

Blackbox: en este no se conoce ningún tipo de información del sistema objetivo.

Whitebox: se cuenta con información sobre el sistema objetivo (código fuente,

configuraciones, etc.)

Para realizar los exploits, existen múltiples herramientas, incluso las gratuitas como lo es el Metasploit, entre otros. (Catoira, 2013, pp.19-27)

- Auditoría de Outsoursing: por medio de un contrato se fija la prestación de un conjunto de

servicios tecnológicos y se constata la existencia de un cliente que requiere de los servicios

que serán otorgados a través de un proveedor

- Auditoría de la dirección de informática: como máxima autoridad en el plano de tecnologías

de la información, debe auditarse, ya que de él depende que los procesos se autoricen y se

lleven a cabo

- Auditoría de videovigilancia: Existen normas que regulan el uso de la imagen y sonido que

se captan por la videovigilancia y que deben ser auditadas para evitar invadir el derecho de los

individuos del adecuado manejo de sus datos personales

- Auditoría de los datos de carácter personal: de acuerdo a la normatividad de Protección de

Datos de Carácter Personal, es una exigencia planear una auditoría para verificar el

cumplimiento de este reglamento e instrucciones vigentes en materia de seguridad de datos, al

menos cada dos años




En este tema se te presentó un tipo de clasificación de auditoría informática, sin embargo ésta puede

tener variaciones pues la categorización de las auditorías depende su especialización según el objeto,

origen, técnicas, métodos, etc., que se realicen.

Actividad 1. Auditoría

¡Bienvenido(a) a la primer actividad de la Unidad!

El propósito de esta actividad es que identifiques la clasificación de auditoría.

1. En un documento de texto elabora un reporte en el cual investigues al menos 5 casos en

los que clasifiques las diferentes auditorías justificando el porqué de tu respuesta. Todos los

casos deben estar sintetizados y referenciados.

2. Para cada caso, registra el tipo de auditoría, empresa auditada, los puntos de la auditoría,

fortalezas, debilidades, resultado (calificación y/o dictamen), es importante hagas uso de

referencias bibliográficas o electrónicas con el modelo APA.

3. Guarda tu actividad en un archivo con el nombre KAIF_U1_A1_XXYZ y envíalo para su

revisión.

*Revisa los criterios de evaluación para esta actividad




1.1.2. Características

El proceso de la auditoría informática se caracteriza por ser:

1. Objetiva

•Porque los auditores internos no se deben involucrar con el área auditada. Deben ser imparciales y neutrales.

2. Sistemática

•La auditoría debe ser un proceso bien organizado, el trabajo deberá planificarse apropiadamente, será supervisado, se estudiará y evaluará el sistema obteniendo la evidencia necesaria.

3.Profesional

•Porque se espera que el auditor sea un experto en el objeto de análisis y con un amplio criterio para evaluar y emitir resultados

4. Selectiva

•Toma una muestra representativa del total de la población auditable.

5. Imparcial

•Los juicios y recomendaciones del auditor estén basadas de manera objetiva en hechos y cuente con la evidencia suficiente para demostrar su imparcialidad

6. Integral

•La auditoría debe contar con un esquema detallado del trabajo a realizar y los procedimientos a emplearse durante la fase de ejecución, para identificar su extensión, así como el trabajo que ha de ser elaborado.

7. Recurrente

•Se aplican en auditorías anteriores, donde se obtuvo un resultado de deficiente o malo, para evaluar los planes de mejora si funcionaron bien o no. (Muñoz, 2002, p. 34-35)




Otras características agrupadas por el tipo de auditoría son:

Auditoría interna Auditoría externa

El auditor es parte de la organización. El auditor no tiene relación con la organización.

La relación con la organización podría influir en el

juicio y por lo tanto en los resultados de la

evaluación.

Su revisión y resultados de la evaluación, esta

libre de influencias.

El informe de resultados tiene impacto solo de

manera interna.

Se realizan por empresas de auditores.

Las recomendaciones son para establecer

mejoras.

Es más objetiva la auditoría.

Se puede calendarizar dentro del plan anual. Los resultados arrojarán un dictamen para

aprobar una certificación o proceso legal.

Los auditados adoptan a la auditoría como parte

de sus funciones.

Características de Auditorías internas y externas. (Piattini y Del peso, 2001, pp. 416 y 569)

Actividad 2. Características de las auditorías

Mediante esta actividad podrás identificar las características de los diferentes tipos de

auditorías.

1. Crea un archivo y elabora un organizador gráfico, indicado por tu Facilitador(a) en

el que destaques las características de las auditorías en general y las

características de auditorías internas y externas.

2. Guarda tu archivo con el nombre KAIF_U1_A2_XXYZ y súbelo a la plataforma.

*Revisa los criterios de evaluación.

1.1.3. Uso de técnicas asistidas por computadora

En la auditoría informática se utilizan múltiples herramientas y técnicas para hacer una adecuada

revisión y recopilación de evidencias sobre el funcionamiento de los sistemas de información y de

cómputo. El auditor debe ser un especialista en el área de sistemas y más aún, saber utilizar las

tecnologías de la información (TI) a su favor, para examinar con mayor eficiencia todos los aspectos de

la actividad computacional.




El uso de las Técnicas de Auditoría Asistidas por Computadora por sus siglas en inglés Computer

Audit Assisted Techniques (CAATs) provee al auditor una gran variedad de herramientas para facilitar

sus procedimientos, mejorándolos y ampliando las opciones de aplicación.

A continuación se analizarán algunos mecanismos que se utilizan más comúnmente, según Muñoz

(2002).

Guías de evaluación: son herramientas formales, en la que se anotan todos los asuntos que serán

evaluados durante la auditoría. En este instrumento se indican todos los puntos, aspectos concretos y

áreas que serán evaluadas, así como técnicas, herramientas y procedimientos necesarios para la

auditoría. También se registran la técnica o método que se empleará para la evaluación; la

ponderación o peso por cada elemento revisado. Por medio de este documento el auditor puede

revisar paso a paso todos los procedimientos para evaluar y calificar cada elemento planeado. Por

ejemplo observa la Tabla 2. Guía de auditoría.

Guía de auditoría




A continuación se explica su contenido:

Encabezado: contiene logotipo y nombre de la empresa que realiza la auditoría. Nombre de la

empresa y área que se auditará. Fecha de inicio. Hoja de inicio y de fin del documento de Guía

Columnas

Referencia (Ref.): Alguna clave o consecutivo que nos indique lo que se revisa y su secuencia

Actividad que será evaluada: especificar los puntos que se evaluarán, estos pueden ser

actividades, funciones, procesos, etc.

Procedimientos de auditoría: describir las instrucciones para evaluar cada actividad de la

columna anterior

Herramientas que serán utilizadas: explicar que herramientas, técnicas o recursos se

necesitarán para aplicar la evaluación

Observaciones: sección para clarificar o completar cada punto evaluado

Ponderación: ayuda al auditor a darle un peso a cada elemento que se evaluará para darle relevancia

a los elementos que así lo requieran o restar importancia a elementos menos significativos.

Factores Peso por factor

%

Calificación Puntos obtenidos

1. Políticas del centro de cómputo 10 1 10

2. Proceso de préstamo de equipo 20 .6 12

3. Funciones y actividades de laboratoristas 20 .85 17

4. Bitácoras de uso de centros de cómputo 25 .80 20

5. Buzón de sugerencias 10 1 10

6. Mantenimiento 15 1 15

100% 84

Tabla de ponderaciones de auditoría

Para llenar la tabla de ponderación primeramente se eligen los factores o elementos que se quieren

evaluar y se asigna un peso por factor. Ambos elementos son distintos en cada auditoría, ya que cada

empresa tiene su “entorno propio” y por lo tanto indicadores particulares. La suma de los pesos debe

dar 100%. En la columna de puntos obtenidos se multiplica la columna (peso por factor) por la

columna (calificación). La calificación se basa en los siguientes criterios:

Excelente 1.00

Bueno 0.80

Regular 0.60

Deficiente 0.40

Pésimo 0.20

* Los criterios solo se brindan como ejemplo, se pueden definir de manera diferente de acuerdo a las

necesidades o estrategias de la auditoría.




En general esta técnica puede hacerse con todo el detalle que se requiera por ejemplo incluir sub

factores y obtener calificaciones por sub factor, por factor o el total. En este caso las herramientas

automatizadas facilitarán el proceso de cálculos dando mayor exactitud y evitando errores.

Modelos de simulación: estas herramientas son parte del desarrollo de sistemas, muchos analistas

las utilizan para simular sistemas y comprobar o descartar su utilidad. Les permite crear un ambiente

análogo al de un nuevo sistema y con base a modelos conceptuales determinar su alcance y

condiciones y comportamiento del futuro sistema. Estos modelos ayudan a los integrantes del equipo

a entender mejor las características del nuevo sistema antes de su construcción.

Para el caso del auditor, estos modelos le servirán para evaluar la estructura del sistema, por ejemplo,

se le permite el acceso al diseño de una base de datos o inclusive un respaldo de la base de datos

real, para que pueda realizar las pruebas necesarias para comprobar su funcionamiento y condiciones.

Lo mismo pasaría con el sistema completo o el de una red, desde un modelo conceptual basado en

diagramas, un prototipo o cuenta ficticia para que el auditor pueda recrear el comportamiento, proceso,

técnica, factor o elemento que está auditando. Algunos ejemplos que pueden utilizar para simular

diferentes aspectos de un sistema:

Modelos de planeación y control de proyectos: Gantt, Project, gráficos de líneas de tiempo, etc.

Modelos de flujos de datos: diagramas de flujos, entidad – relación, HIPO, UML

Modelos administrativos: organigramas, métodos y procedimientos, planos

Modelos estadísticos: gráficas de Pie, horizontales, verticales, circulares, etc.

Otros: gráficas de pantalla, planes, imágenes, procesamiento de datos ficticios

Modelos de desarrollo: ciclos de vida

Para cualquier tipo de evaluación el auditor debe contar con las herramientas en las que pueda

reproducir el objeto de análisis.

Lista de verificación: esta herramienta es una de las más sencillas de utilizar, consiste en realizar un

listado ordenado de los aspectos que se tienen que revisar y su objetivo es únicamente evaluar su

cumplimiento con una “palomita” ( ) o su no cumplimiento con una “equis” ( ). Observa el

siguiente ejemplo.

Lista de verificación del funcionamiento y recursos de la red

Criterios para evaluar Cumple

La instalación es flexible y adaptable.

El inventario de componentes de la red esta actualizado.

En las bitácoras de software está registrado todo el

software con sus respectivos números de licencia.

Los recursos de la red se comparten apropiadamente

dado el rol de cada usuario

Están registrados los niveles de acceso y seguridad a la

red.

Lista de verificación




Programas para revisión por computadora: estas herramientas le permiten al auditor revisar, desde

la misma computadora y con un software específico, el funcionamiento de un sistema, de una base de

datos, alguna aplicación o sitio web.

Con esta herramienta analizará el comportamiento de los elementos que evalúa, así como el

desempeño, errores, requerimientos de hardware, software y otros aspectos técnicos.

Elemento de diagnóstico Herramientas

PC PC 2010¸ HWMonitor,

WinSAT, SpeedFan, Abra

HW Monitor, HWiNFO32,

Hmonitor, 3DMark,

MonitorTest

Red Netstat, nmap, Sniffers,

NetWatch, WinTools,

NetStat, Local info, Network

scanner, Service & port

scanner, TCP/IP workshop,

SNMP Browser

Aplicaciones HP APM, appDynamics,

ManageEngine

Herramientas de diagnóstico

En la tabla anterior se muestra solo algunos de los ejemplos de programas ya desarrollados que están

disponibles para el auditor. (Muñoz, 2002, pp. 478-555).

1.1.4. Responsabilidad del auditor en el descubrimiento de errores y

desviaciones

La principal responsabilidad del auditor es, entregar un informe de resultados, en el que se

encontrarán los hallazgos de las desviaciones más importantes, debe reportar sus causas y posibles

soluciones. Y en base a estas desviaciones redactará su informe final con base al análisis de estas

desviaciones junto con el dictamen de la auditoría. Observa el siguiente registro de desviaciones:

http://www.cpuid.com/softwares/hwmonitor.html

http://msdn.microsoft.com/en-us/library/cc948912(v=VS.85).aspx

http://www.almico.com/speedfan.php

http://openhardwaremonitor.org/

http://openhardwaremonitor.org/

http://www.hwinfo.com/

http://www.hmonitor.com/

http://www.futuremark.com/

http://www.passmark.com/products/monitortest.htm




Empresa Área auditada Día Mes Año

Desviaciones Causas Solución

Elaboró (Nombre y firma) Aprobó (Nombre y firma)

Registro de hallazgos. (Muñoz, 2002, p.252)

Los siguientes son principios que los auditores deben mantener en todo el proceso de auditoría desde

su inicio hasta la entrega de resultados.

El principio de beneficio del auditado. Se refiera a que el auditor debe adquirir una

apropiación del sistema que auditará, esta adaptación le implica un compromiso por probar en

su máxima eficacia los medios informáticos evaluables. Con la finalidad de poder recomendar,

proponer o incitar actuaciones para evitar gastos innecesarios o desproporcionados.

El principio de calidad. El auditor deberá prestar servicios con los medios a su alcance, tener

la

libertad de utilización de los mismos y condiciones técnicas adecuadas.

El principio de capacidad. El auditor debe ser un especialista en auditorías, el grado de

especialización de sus clientes le exige estar al nivel para mantener el grado de confianza y

evitar de esta forma su obsolescencia y pérdida de competitividad.

El principio de cautela. Todas las afirmaciones del auditor deben estar debidamente

fundamentadas y basadas en la experiencia adquirida, evitando que el auditado se embarque

en proyectos con argumentos débiles.

El principio de comportamiento profesional. En todo momento el auditor deberá evitar

juicios exagerados o que atemoricen innecesariamente, por el contrario, debe transmitir ideas

precisas, exactas y objetivas que lo respalden e infundan confianza en sus clientes.




El principio de concentración en el trabajo. La carga de trabajo del auditor deberá planearse

adecuadamente, evitando que haya una sobresaturación provocando una baja concentración y

precisión en las tareas asignadas, ya que esto podrá provocar conclusiones imprecisas.

El principio de confianza. Por medio de un comportamiento profesional y evitando

presunciones, el auditor debe fomentar la confianza en su cliente para evitar restar credibilidad

a los resultados obtenidos.

El principio de criterio propio. La autoridad del auditor le permitirá actuar bajo un criterio

propio sin la influencia de colegas que puedan desvirtuar la resolución.

El principio de discreción. Forma parte de la responsabilidad del auditor identificar el nivel de

restricción de los datos que le han sido proporcionados para la auditoría. Aquellos datos con

una amplia restricción deberá proteger su divulgación. Así mismo liberar los resultados

únicamente con el personal involucrado en la auditoría.

El principio de economía. Se refiere a que las acciones del auditor deberán proteger la

economía de su cliente, evitando generar gastos innecesarios en el ejercicio de su actividad.

El principio de independencia. El auditor debe exigir una total autónoma e independencia en

su trabajo respecto a la empresa en la que deba realizar la auditoria informática.

El principio de información suficiente. Obliga al auditor a registrar en forma clara, precisa e

inteligible la información para el auditado.

El principio de integridad moral. El auditor debe ser honesto, leal y diligente en el

desempeño de su misión, a ajustarse a las normas morales y a evitar participar en actos de

corrupción personal o con terceras personas.

El principio de legibilidad. El auditor deberá facilitar la legibilidad de sus informes evitando

utilizar sus conocimientos demasiado especializados y poco claros.

El principio de libre competencia. Se exige que el ejercicio de la profesión se realice dentro

de un marco de libre competencia.

El principio de no discriminación. Es responsabilidad del auditor evitar situaciones

discriminatorias de cualquier tipo.

El principio de no injerencia. Evitar la influencia de otros profesionistas, respetar su trabajo y

evitar hacer comentarios despreciativos de la misma.

El principio de precisión. Hacer las revisiones necesarias antes de entregar un informe al

cliente para verificar que los valores son precisos y si es necesario volver a auditar o probar

algún elemento, deberá hacerse.




El principio de publicidad adecuada. Supervisar la oferta y promoción de los servicios de

auditoría a las características y finalidad perseguidas, evitando falsas difusiones de promoción

con el objeto de engañar a los usuarios.

El principio de secreto profesional. El auditor deberá evitar difundir datos propiedad del

auditado, que pudieran perjudicarlo.

El principio de veracidad. Fundamentar la veracidad del trabajo realizado y en general, de sus

manifestaciones dentro de los límites de respeto y secreto profesional (Piattini y Del peso,

2001, pp. 151 y 177).

1.2. Normas internacionales y nacionales

A nivel Internacional, existen organismos que regulan la Auditoría de Sistemas de información por

ejemplo para el área contable con enfoque a sistemas de información son los siguientes:

• ISACA (COBIT)

• COSO

• AICPA (SAS)

• IFAC (NIA)

• SAC

• MAGERIT

• EDP

• SAP




ISACA: Tomado de: http://www.isaca.org/SiteCollectionImages/Isaca-Security-infographic.jpg

ISACA-COBIT. Es la asociación líder en Auditorías de sistemas. Su sitio oficial (Information Systems

Audit and Control Association, 2014). Este organismo propone el método COBIT (Control Objetives for

Information and related Technology) para auditores, administradores y usuarios de sistemas de

información para el control de sus operaciones cumpliendo con las leyes y regulaciones.

Sitio de ISACA:

http://www.isaca.org/

COSO: Committee of Sponsoring Organizations of the Treadway Commission Internal Control –

Integrated Framework (COSO). Ofrece una guía para contadores sobre la gestión de evaluar, informar

e implementar sistemas de control.




Sitio de COSO:

http://www.coso.org/

AICPA-SAS: The American Institute of Certified Public Accountants' Consideration of the Internal

Control Structure in a Financial Statement Audit. Es una guía de auditoría externa sobre el control

interno, planeación y ejecución de una auditoría de estados financieros.

Sitio AICPA: http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarity-GroupAudits.aspx

IFAC-NIA: Federación Internacional de Contables IFAC (International Federation of Accountants,

2014). La sección NIA 15 tiene su enfoque a la auditoría de entornos informatizados, la NIA 16 son

Técnicas de Auditoría asistida por computador. NIA 20 presenta los efectos de un entorno

informatizado en la evaluación de sistemas de información contable.

Sitio IFAC: http://www.ifac.org/es

SAC: The Institute of Internal Auditors Research Foundation´s Systems Auditability and Control. Ofrece

un estándar y controles para auditorías internas de sistemas de información y tecnología.

El modelo SAC fue creado como un control interno de COSO. Está disponible en diferentes lenguajes

para administradores y auditores. Permite la discusión de objetivos, riesgos, mitigación en el contexto

de e-bussines. Tiene el propósito de enfocarse en cómo los riesgos del negocio pueden ser cubiertos




en la discusión y la implementación.

SAC MODEL. Tomado de http://www.netcentrum.nl/auditweb/13.pdf

MAGERIT: Metodología de Análisis y GEstión de Riesgos de los sistemas de Información. Es el

consejo superior del ministerio de administraciones públicas de España. Tiene una orientación hacia el

control de riesgo que afectan los sistemas de información y su entorno.

MAGERIT es la metodología de análisis y gestión de riesgos, está directamente relacionada con la

generalización del uso de las tecnologías de la información, ya que esto presupone beneficios

evidentes para los ciudadanos y a la vez da lugar a riesgos que deben controlarse con las medidas de

seguridad apropiadas.




MAGERIT: ISO 31000 - Marco de trabajo para la gestión de riesgos. Tomado de

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.Uu_xLv30sZI

Sitios MAGERIT Unión europea de agencias para redes y seguridad de la información: http://rm-inv.enisa.europa.eu/methods/m_magerit.html ccn-cert: https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-version-de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es

EDP: Fundación de auditores EDP. Tiene un enfoque educativo y de investigación sobre los

estándares para la auditoría de los sistemas de información y códigos de ética. Los orígenes de la

Asociación de auditoría y control de sistemas de información (ISACA®) comenzó en 1967 con un

pequeño grupo de personas con trabajos de auditoría en sistemas computacionales. En 1969. Se

formalizó trabajando con el nombre de EDP (Asociación de auditores de procesamiento electrónico de

datos) En 1976, formaron una fundación para llevar a cabo proyectos de investigación a gran escala y

a expandir los conocimientos en el campo de gobernabilidad y control de TI.

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit

Techniques (CAATs) o Técnicas de Auditoría Asistidas por Computador, propone la importancia del

uso de CAAT en auditorías para un ambiente de sistemas de información por computadora. Además

tiene una guía de procedimientos de auditoría para procesar datos significativos del sistema de

información. Por ejemplo los siguientes:

http://rm-inv.enisa.europa.eu/methods/m_magerit.html

https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-version-de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es







1. Pruebas de transacciones y balances

2. Procedimientos de análisis de inconsistencias o fluctuaciones significativas

3. Pruebas de controles, como: configuraciones de sistemas operativos, procedimientos de

acceso al sistema, comparación de códigos y generación de versiones.

4. Programas de muestreo para extraer datos

5. Pruebas de control para aplicaciones

6. Realización de cálculos especiales para comparación de datos

El software de auditoría consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoría del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema. Independientemente de la fuente de los programas, el auditor deberá verificar su validez para fines de auditoría antes de su uso.

Flujo de un CAAT. Tomado de http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-

legislativo/ch03s04.html

1.2.1. Tipos de normas

Normas de tipo profesional: se refiere a que el auditor debe mantener un apego a las normas de

evaluación, emitir una opinión bien respaldada, ser disciplinado, guardar el secreto profesional,

responsable, independiente, capacitado y emitir dictámenes de las auditorías.

Normas de tipo social: el auditor, al igual que cada ciudadano, convive en una sociedad a la que

también proporciona sus servicios. En la sociedad existen derechos y obligaciones, escritas y no

escritas y de alguna manera respetadas por los integrantes de la sociedad. Comenzando por respetar

las leyes y reglamentos de las autoridades. Deberá evitar los anti patrones de comportamiento como

son los sobornos o recompensas ilegales y en general comportarse de manera leal con sus clientes, lo

cual, le ayudará a fundamenta adecuadamente sus relación entre colegas y empresas de la sociedad.




Normas de tipo ético-moral: se refieren a su conducta como profesional como las siguientes:

- Ser incorruptible

- Ser imparcial

- Juicio ético y moral

- Aceptar y hacer cumplir las normas morales y éticas (Muñoz, 2002, pp. 88 - 94)

1.2.2. Normas actuales

Normas Técnicas de Auditoría (NTA): están orientadas a los auditores de cuentas, con la finalidad que

se pueda expresar una opinión técnica responsable. Se clasifican en generales, sobre ejecución y

sobre informes.

COBIT (Objetivos de control para tecnologías de información y tecnologías relacionadas)

Es una herramienta de gobierno de Tecnologías de la información (TI) que produce un cambio en la

forma en que trabajan los profesionales de TI. Se aplica a los sistemas de información de la empresa,

computadoras personales, servidores y la red. Su filosofía consiste en la gestión de los recursos de TI

por medio de un conjunto de procesos que al ejecutarse producen información pertinente y confiable.

Su objetivo es que estos procesos formen parte de la actividad diaria de la empresa en el uso de las

tecnologías de información. Sus principales características son:

• Está orientado a la lógica del negocio

• Tiene estándares y regulaciones prácticas

• Basado en una revisión crítica y analítica de las tareas y actividades en TI

• Soporta otros estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

COBIT tiene tres niveles:

I. Dominios. Áreas agrupadas por alguna responsabilidad organizacional

II. Procesos. Conjunto de pasos gestionadas con indicadores de control

III. Actividades: Las acciones para el logro de metas que arrojan un resultado medible

1.2.3. Normas emergentes

Como Normas emergentes NE, se denomina a las que por alguna situación de emergencia deben ser

expedidas. El problema que se ha enfrentado en este tipo de normas es que no está claramente

definido el término emergencia, pues existen casos en los que se les ponga este título a situaciones

que no son una norma, con el pretexto de emergencia sin estar debidamente justificado. Las NE tienen

una vigencia de 6 meses podrán ser expedidas 2 veces consecutivas, pero antes de la segunda

expedición deberá presentarse una Manifestación de impacto regulatorio (MIR). Transcurrido estos

plazos la norma pierde vigencia y deja de ser obligatoria. Por ejemplo los siguientes casos:




IEEE

Instituto de Ingenieros Eléctricos y Electrónicos su enfoque principalmente es para evaluar las

tecnologías emergentes en las áreas de ingeniería; Por ejemplo para los fabricantes de redes

se formó un comité IEEE 802 el cual se relaciona con el ISO (Organización Internacional de

Estándares).

ISO/IEC 17799 o 27002 Son estándares para implantar seguridad. Uno de sus enfoques es el

de la revisión independiente de la seguridad de la información.

Actividad 3. Reporte de normas

Mediante esta actividad podrás analizar las normas actuales y las emergentes por medio de

ejemplos.

1. Crea un documento de texto y elabora un reporte en el que presentes por lo

menos dos casos diferentes; uno en el que muestres el uso de las normas

actuales y otro de las normas emergentes.

2. Para cada una de ellas registra y completa de acuerdo a las indicaciones de tu

Facilitador(a).

3. Guarda tu archivo con el nombre KAIF_U1_A3_XXYZ.

*Revisa los criterios de evaluación.

1.2.4. Organismos reguladores

IMCP

Es el Instituto mexicano de contadores públicos. Genera periódicamente actualizaciones en materia de

auditoría para todos sus socios registrados. Se busca que cumplan con las siguientes normas:

- Entrenamiento técnico

- Diligencia profesional

- Independencia

Aplicables en el ejercicio de su profesión con las empresas auditables, con colegas y en general con

autoridades tributarias de la nación. (Muñoz, 2002, p.75)




Sitio de IMCP:

http://imcp.org.mx

CONPA

Es la Comisión de Normas y Procedimientos de Auditoría. Emite publicaciones de actualización apara

auditores administrativos en el que se tratan criterios, normas, reglas, condiciones, obligaciones, etc.

Para regular el comportamiento de auditores en administración.

Uno de los ejemplos de sus publicaciones es el código de ética profesional del licenciado en

administración, el cual ayuda a estandarizar conductas de carácter moral y de su actuar profesional.

(Muñoz, 2002, p.76)

Artículo sobre la función sustantiva de la CONPA:

http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-no-

se-va-a-hablar-de-la-funcion-sustantiva-de-la-conpa-relacionada-con-la-

regulacion-en-el-campo-de-la-auditoria-sino-que-se-va-a-referir-a-un-

trabajo-desconocido-para-muchos#.UvAQp_30sZI

Actividad 4. Tipos de auditoría y distinción de normas

¡Ahora, realiza la cuarta actividad de la primera Unidad!

En esta ocasión tendrás la oportunidad de comentar con tus compañeros sobre las

actividades 1 y 3, para fortalecer más la comprensión de la clasificación de auditoría, sus

características, del mismo modo analizar en combinación con los tipos de normas actuales

y emergentes.

De acuerdo a los puntos que te indicará tu Facilitador(a), también:

1. Determina qué diferencias o semejanzas encontraste en los casos presentados

dentro de las actividades 1 y 3.

2. Investiga y escribe la intervención o injerencia de los organismos reguladores,




pero dirigidos hacia la Telemática.

3. Realiza un aporte sobre las diferencias y otro sobre las semejanzas.

4. Comenta sobre los aportes de al menos 2 compañeros, comienza desde la más

antigua y procura que ningún compañero(a), se quede sin retroalimentaciones.

*Revisa los criterios de evaluación de esta actividad.

Autoevaluación

En lo que respecta a esta actividad, su propósito es que al término del estudio de la unidad, evalúes

de manera independiente y autónoma los aprendizajes adquiridos. Para ello contesta las preguntas

plateadas y de tener dudas en algún tema, repásalo las veces que sea necesario, pregunta a tu

Facilitador(a) e investiga un poco más por tu cuenta.

Evidencia de aprendizaje. Clasificación de casos

El propósito de esta evidencia de aprendizaje es que identifiques y evalúes el tipo y características

de auditoría, así como de las responsabilidades del auditor.

1. Analiza caso de estudio que te presentará tu Facilitador(a) y contesta las preguntas que se

localizan al final. Justifica la respuesta tomando como base la definición y características de la

auditoría, así como las responsabilidades del auditor.

2. En un archivo realiza un reporte con las respuestas debidamente contestadas y justificadas,

agrega esquemas, diagramas y/o comparaciones.

3. Guarda tu archivo con el nombre KAIF_U1_EA_XXYZ y envíalo para su revisión.

4. Espera la retroalimentación de tu Facilitador(a), atiende sus comentarios y de ser necesario

envía una segunda versión de tu evidencia

*Recuerda consultar el instrumento de evaluación correspondiente a la evidencia de aprendizaje para conocer su método de evaluación.




Autorreflexión

Al terminar la Evidencia de aprendizaje es muy importante que realices tu Autorreflexión. Para ello,

Ingresa al foro de Preguntas de Autorreflexión y a partir de las preguntas presentadas por tu

Facilitador(a), realiza lo que se te pide y súbelo en la sección Autorreflexiones.

Cierre de la unidad

Has concluido la primer unidad de la materia, como pudiste darte cuenta, la auditoria informática tiene

una gran relevancia a nivel dirección, ya que es un proceso útil para medir procesos, tecnologías,

desempeño y demás elementos de la informática, así como de la Telemática.

También, habrás notado que el rol del auditor requiere de un nivel de experiencia y especialización

para poder fungir como un evaluador, emitir un dictamen y más aún sugerir soluciones. Por lo tanto,

para difundir y mejorar la función del auditor, existen estándares internacionales y nacionales que

regulan los procesos de auditoría y el actuar ético – moral de un auditor interno o externo.

Ahora que has concluido la unidad 1, estás listo para comenzar la unidad 2, en la que verás más

ampliamente el tema de estándares, código de ética, políticas, procedimientos y seguridad. Si te

interesó ampliar tu conocimiento sobre algún tema, revisa la siguiente sección Para saber más,

encontrarás vínculos a sitios del ámbito de la Auditoría informática.

Para saber más

Para obtener información oficial sobre COBIT, puedes entrar al sitio oficial de ISACA (Information

Systems Audit and Control Association, 2014). En donde hay manuales totalmente en español

para. Consulta: http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

Recuerdas que el auditor informático utiliza herramientas para evaluar aplicaciones, revisa estos

enlaces de algunos ejemplos de este tipo de producto, ya que se explica más ampliamente como

se utilizan:

HP APM (Hewlett-Packard Development Company, L.P., 2014). Consulta:

http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730

appDynamics (Impulse IT Ltda., 2012). Consulta:

http://www.impulseit.com/wp/?page_id=373

ManageEngine (Ingeniería Dric, 2013). Consulta:

http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCF

UZqfgodUGcATA

http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730


http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCFUZqfgodUGcATA





Fuentes de consulta

Fuentes básicas

Muñoz R., C. (2002). Auditoría en sistemas computacionales. Primera edición. México: Pearson

educación/ Prentice Hall.

Piattini, M. & Del peso, E. (2001). Auditoría informática, un enfoque práctico. Segunda edición.

México: Alfaomega.

Piattini, M. Del peso, E., & Del peso M. (2008). Auditoría de tecnologías y sistemas de

información. Primera edición. México: Alfaomega.

Fuentes complementarias

Derrién, Y. (1995). Técnicas de la auditoría informática. Primera edición. México: Alfaomega.

Garzás, J. (2011). Guía práctica de supervivencia en una auditoría CMMI. España: Universidad

Rey Juan Carlos.

Fuentes electrónicas

American Institute of CPAs. (2014). Statement on Auditing Standards (SASs). Consultado en:

http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarity-GroupAudits.aspx

Catoira, F. (2013). Pruebas de penetración para principiantes: explotando una vulnerabilidad

con Metasploit Framework, Seguridad: cultura de prevención para TI. Vol. 19. 19-27.

Recuperado de:

http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num19_Seg

uridad.PDF

Centro Criptológico Nacional. (CNN) (2014). MAGERIT. España. Consultado en:

https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-

version-de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es

Comisión de Normas y Procedimientos de Auditoría y la EUC (Examen Uniforme de Certificación). (2014). Instituto Mexicano de Contadores Públicos. Consultada en: http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-no-se-va-a-hablar-de-la-funcion-sustantiva-de-la-conpa-relacionada-con-la-regulacion-en-el-campo-de-la-auditoria-sino-que-se-va-a-referir-a-un-trabajo-desconocido-para-muchos#.UvF_NvmSwpl

Comisión digital de señales de España (s/f). Digital Signage. Interactive Adversiting Bureau. Recuperado de http://www.onthespot.com/file/Infografia__Digital_Signage.pdf

Committee of Sponsoring Organizations of the Treadway Commission (COSO).(2014).

Consultado en: http://www.coso.org/

European Union Agency for Network and Information Security (ENISA) (2014). Agencia de la

Unión Europea. Consultado en: http://rm-inv.enisa.europa.eu/methods/m_magerit.html

http://blogs.eset-la.com/laboratorio/2013/10/07/pruebas-penetracion-principiantes-explotando-vulnerabilidad-metasploit-framework/

http://blogs.eset-la.com/laboratorio/2013/10/07/pruebas-penetracion-principiantes-explotando-vulnerabilidad-metasploit-framework/




Hewlett-Packard Development Company, L.P. (2014). Software de diagnóstico HP. Recuperado

de http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730

Impulse IT Ltda. (2012). AppDynamics. Recuperado de:


Information Systems Audit and Control Association (2014). Trust in, and value from, information

systems. Recuperado de: http://www.isaca.org

Ingeniería Dric (2013). Monitoreo del desempeño de aplicaciones en ambientes físicos,

virtuales y en la nube. Recuperado de:

http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCFUZ

qfgodUGcATA

Instituto Mexicano de Contadores Públicos (2014). Consultado en: http://imcp.org.mx/

International Federation of Accountants (IFAC) (2014). Supporting the sustainability of

organizations, markets, and economies via the development of the accountancy profession.

Recuperado de http://www.ifac.org




http://www.ifac.org/

Unidad 1. Introducción a la auditoría informática

Documents

Transcript of Unidad 1. Introducción a la auditoría informática