Unidad 1. Introducción a la auditoría informática
-
Upload
shaft-fierroni-brione -
Category
Documents
-
view
32 -
download
0
Transcript of Unidad 1. Introducción a la auditoría informática
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática
Ingeniería en Telemática
Programa de la asignatura:
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Clave:
210941038
Universidad Abierta y a Distancia de México
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 1
índice
Unidad 1. Introducción a la auditoría ....................................................................................................................2
Presentación de la unidad ..................................................................................................................................2
Propósitos .............................................................................................................................................................4
Competencia específica .....................................................................................................................................4
1.1. Introducción a la auditoría ..........................................................................................................................5
1.1.1. Definición y clasificación de la auditoría ...........................................................................................7
Actividad 1. Auditoría ....................................................................................................................................... 13
1.1.2. Características ................................................................................................................................... 14
Actividad 2. Características de las auditorías .............................................................................................. 15
1.1.3. Uso de técnicas asistidas por computadora .................................................................................. 15
1.1.4. Responsabilidad del auditor en el descubrimiento de errores y desviaciones ........................ 19
1.2. Normas internacionales y nacionales ................................................................................................ 22
1.2.1. Tipos de normas ........................................................................................................................... 27
1.2.2. Normas actuales ........................................................................................................................... 28
1.2.3. Normas emergentes ..................................................................................................................... 28
Actividad 3. Reporte de normas ..................................................................................................................... 29
1.2.4. Organismos reguladores ............................................................................................................. 29
Actividad 4. Tipos de auditoría y distinción de normas ............................................................................... 30
Autoevaluación .................................................................................................................................................. 31
Evidencia de aprendizaje. Clasificación de casos ....................................................................................... 31
Autorreflexión .................................................................................................................................................... 32
Cierre de la unidad ........................................................................................................................................... 32
Para saber más ................................................................................................................................................. 32
Fuentes de consulta ......................................................................................................................................... 33
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 2
Unidad 1. Introducción a la auditoría
Presentación de la unidad
Hoy en día, la mayoría de las organizaciones cuentan con recursos informáticos, de redes y servicios
de comunicaciones para el almacenamiento, procesamiento y transmisión de la información (datos,
voz, video, etc.). Y dada la apresurada velocidad con que estas tecnologías van surgiendo, nos
comprometen a las áreas de TIC (Tecnologías de la información y comunicación) a realizar análisis y
diseños cada vez más improvisados que, sin un adecuado plan para que su funcionamiento sea el
mejor, se genera así, un factor crítico para el completo desempeño de todas las áreas que involucran
las TIC.
Esta asignatura de Auditoría informática te ayudará a entender mejor, la necesidad de llevar un control
adecuado de la gestión y uso de los recursos por medio de la adecuada revisión y evaluación de:
Usuarios: quienes distribuyen, procesan la información y hacen uso de los servicios de
explotación final
Señalización y control: cuyo enfoque es el procesamiento y la distribución de la información.
Redes y sistemas: administración de todos los sistemas, infraestructura, servicios y la
interacción con operadores de las redes de telecomunicaciones de la organización
Comisión digital de señales de España. Consultado en: http://www.onthespot.com/file/Infografia__Digital_Signage.pdf
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 3
El alcance de esta asignatura en el contexto de la Ingeniería en Telemática conlleva un matiz que
pretende visualizar más allá de aspectos relacionados a la Informática ya que pretende conjuntar
también aspectos relacionados a las telecomunicaciones. Para su estudio se iniciará conociendo
aspectos generales de la auditoría.
Por lo cual, en esta primera unidad, estudiarás la introducción a la auditoría informática, con subtemas
como: definición, clasificación, características, técnicas asistidas por computadora, responsabilidad del
auditor en el descubrimiento de errores y desviaciones. También aprenderás sobre normas:
internacionales, nacionales, tipos, emergentes y lo referente a organismos reguladores.
Para completar satisfactoriamente la unidad, se recomienda realizar las actividades planteadas, la
evidencia de aprendizaje y autoevaluación.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 4
Propósitos
En esta Unidad:
Distinguirás la clasificación de la auditoría
Identificarás las características de las
auditorías
Analizarás los tipos de normas y normas
emergentes
Competencia específica
Distinguir normas y tipos de auditoría para identificar su aplicación en las diferentes áreas de la auditoría informática señalando las características y usos de cada una.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 5
1.1. Introducción a la auditoría
En toda organización es de gran importancia la administración de los recursos de todo tipo, por lo que,
en el departamento de informática y telemática ésta debe ser una de las prioridades, darle el uso
adecuado a dichos recursos disponibles como lo son: la transmisión de datos, redes, redes de voz, de
video, personas, hardware en general, software, el tiempo y el presupuesto, entre otros. Con la
finalidad de producir una adecuada toma de decisiones para favorecer el logro de los objetivos de la
organización.
La información desde el punto de vista de la informática se refiere al conjunto de datos ordenados,
relacionados entre sí de acuerdo a cierta lógica, que aporta a la organización elementos necesarios
para el cumplimiento de sus metas. Hoy en día, es necesario el uso de un sistema de información
para procesar esos datos en información relevante en un tiempo apropiado para la toma de decisiones.
A esto se le denomina Procesamiento de datos, que adicionalmente tiene la función de distribuir la
información generada, asegurándose de que ésta llegue a los usuarios apropiados.
Para lograr distribuir la información, se requieren redes, los cuáles se conforman de nodos (de acceso,
de núcleo, de servicios, de almacenamiento masivo y de base de datos), sistemas operativos,
software, etc. Por lo que, resulta necesario dirimir los riesgos intrínsecos de actividades informáticas y
telemáticas con la finalidad de cuidar en mayor medida toda la inversión realizada en la organización
con respecto a las TIC (Tecnologías de información y comunicación).
Otro de los principales recursos son las personas, que apoyados por las TIC pueden atender servicios
que podrían ser los siguientes:
Operativos: desarrollo o mantenimiento de sistemas, soporte técnico, etc.
Tácticos: trabajos particulares para las decisiones de un jefe, entre otros
Funcionales: no están directamente relacionados con las funciones del área, sin embargo
aseguran que el personal trabaje adecuadamente, por ejemplo Recursos humanos o
Contabilidad
Atención a proveedores: aseguran el apoyo al trabajo especializado
Estudio de necesidades y análisis: es una actividad que puede realizar la dirección de
informática
Los servicios anteriores pueden a su vez distribuirse de acuerdo a diversas condicionantes que cada
organización necesita, tomando en cuenta su tamaño y su estructura. Por ejemplo observa las
siguientes estructuras:
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 6
Empresa pequeña
Empresa mediana
En cualquier tipo de organización, se debe dejar bien establecido cómo debe fluir la comunicación, las
funciones de cada rol, niveles de autoridad, acceso a la información, responsabilidades e
instrucciones.
El tiempo en toda organización es un recurso que debe monitorearse y gestionar las desviaciones
cuando estas ocurren, identificar las causas con la finalidad de atender de manera oportuna todos los
compromisos del área de sistemas y de la organización en general.
Por último, otro de los recursos que se debe gestionar es el presupuesto, ya que será el motor que
dará vida a las actividades planeadas en el departamento de sistemas así como de la organización. Si
no se cuenta con un presupuesto realista, se estarán construyendo castillos sobre el hielo, es decir,
ninguna tarea podrá ejecutarse como lo esperado, es por ello que se deben realizar planes adecuados,
para poder estimar un presupuesto acorde a las necesidades para el logro de las metas del
departamento y por lo tanto, de la organización.
Jefe de informática
Analistas / programadores
Operadores
Director de informática
Jefe de Infraestructura
Redes Soporte
Jefe de Sistemas
Base de datos Operadores
Jefe de Desarrollo
Analistas Programadores
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 7
Dado lo anterior, es obligatorio tener un adecuado control, para que de manera constante se esté
revisando el modo en que se operan los procesos y tener la seguridad de que estos son adecuados o
que se pueden mejorar. Las auditorias forman parte de estos controles que permiten hacer un sondeo
de la realidad así como la medición de indicadores para monitorear la gestión informática y sus
procesos.
Hoy en día no es posible una efectiva gestión organizacional sin el beneficio de las herramientas y
procedimientos de control adecuados. Las auditorías convencionales aplicadas a lo contable y
financiero, ahora también se tienen que completar con las auditorías informáticas y de infraestructura,
con el fin de evitar errores inadvertidos que afecten la inversión de la organización.
Por otra parte, debido a que las organizaciones cada vez más, buscan mantenerse en un nivel de
competitividad y posicionamiento internacional, es necesario demostrar que sus procesos pueden
soportar los rigurosos estándares internacionales, tales como normas de calidad por ejemplo la ISO
(International Organization for Standardization) metodologías orientadas a la búsqueda del cero error
como lo es: 6 - Sigma y específicamente para el área de desarrollo los modelos de CMMI (Capability
Maturity Model Integration) o PSP (Personal Software Process). Para el área de soporte e
infraestructura ITIL (Information Technology Infrastructure Library) o bien para el área de redes el
modelo de Cisco Systems. En estos casos no basta con realizar auditorías internas, por el contrario,
será necesario que reguladores externos deban validar cómo se desarrolla el trabajo en la
organización para poder dar crédito de que se sigue algún modelo o estándar internacional y que
además se realiza correctamente. Para conocer más sobre una de las maneras de monitorear
nuestros procesos, en el siguiente subtema verás en qué consiste la auditoría así como los tipos que
existen.
1.1.1. Definición y clasificación de la auditoría
Para toda organización es importante llevar un control interno de cómo se están realizando las cosas,
que le permita tomar medidas correctivas de los procesos que no funcionan adecuadamente, por lo
que es necesario analizar lo que se debe revisar, asesorar a todos los involucrados e informar
oportuna y objetivamente los resultados. A todas estas actividades las llamamos auditoría. Una
definición más formal podría ser como la siguiente
Según Muñoz (2002), expresa que:
La auditoría es la revisión independiente que realiza un auditor
profesional, aplicando técnicas, métodos y procedimientos
especializados, a fin de evaluar el cumplimiento de las funciones,
actividades, tareas y procedimientos de una entidad administrativa,
así como dictaminar sobre el resultado de dicha evaluación. (p. 34)
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 8
Como puedes observar, en la definición se dice que es una revisión independiente, significa que el
auditor debe poseer independencia mental, profesional y laboral del área que evaluará, lo que le
permitirá tener un desempeño competente y confiable. La auditoría es una actividad especializada que
solo podrá ser ejecutada por auditores capacitados que además cuenten con la experiencia necesaria
para realizar este tipo de trabajo de manera profesional. Otros puntos importantes de la definición son
que las auditorías son procesos bien definidos y especializados, se aplican técnicas y se basan en
algún método de evaluación.
El fin de aplicar una auditoría es para evaluar el cumplimiento en funciones, actividades tareas y
procedimientos, para lo cual el auditor utiliza sus conocimientos y herramientas especializadas, para
llegar a producir un informe de resultados, en el que plasmará su opinión sobre las desviaciones y
observaciones detectadas para que los involucrados conozcan el estado del área auditada.
Hoy en día existen muchas empresas que se dedican a dar servicios de auditoría, quienes cuentan
con personal calificado para cada tipo de auditoría y de esta manera garantizar que tienen la facultad
de poder emitir recomendaciones que realmente aporten mejoras sustantivas a la organización.
Otra definición de auditoría informática es la siguiente:
Según Piattini y Del peso (2001). dicen que:
Toda y cualquier auditoría, es la actividad consistente en la
emisión de una opinión profesional sobre si el objeto sometido a
análisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido prescritas.
(p.4)
Observa que este concepto se destacan los siguientes elementos principales:
1. La opinión de un profesional
2. El objeto de análisis
3. Finalidad
De la misma manera Piattini resalta la importancia de que el auditor sea un especialista en el tema,
para que pueda tener la capacidad de juicio y de recomendar las soluciones necesarias. El objeto de
análisis que tiene que ver con el contenido a evaluar, el soporte y la evidencia que serán el caso de
evaluación. Y por último la finalidad de lo que se analiza que se está realizando contra lo que se
pretende reflejar. Por ejemplo al evaluar un proceso, el auditor lo cotejará con los procesos
previamente escritos por la organización, para evaluar si en realidad se llevan a cabo tal y como se
redactó y más aún, si es una manera óptima de realizarlo.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 9
Tomando en consideración el objeto de análisis, se desprenden muchos tipos de auditorías por
ejemplo:
Financiera: evalúa la veracidad de los estados financieros
Operacional: examina la eficiencia, eficacia y economía de los métodos y procedimientos de la
organización
Fiscal: orientada a monitorear el cumplimiento de leyes y normas fiscales
Medio ambiental: orientada a la conservación y preservación de la calidad medioambiental
Calidad: evalúa métodos, mediciones y controles de los bienes y servicios
Informática, en redes y telecomunicaciones: conjunto de herramientas y procedimientos de
gestión, para el análisis y control de los sistemas de información, de redes y de
telecomunicaciones.
Siendo el último punto, el objeto de análisis en que se centra nuestra asignatura, poco a poco
conocerás más del enfoque de auditoría informática, de redes y telecomunicaciones, conforme vayas
avanzando el contenido y realizando las actividades, preparadas para tal fin.
Hay otras consideraciones que pueden categorizar a las auditorías por ejemplo, considerando el
origen del auditor se pueden organizar como:
Internas: se refiere a las que el auditor pertenece a la misma organización, son útiles para
garantizar que las operaciones se desarrollan de acuerdo a la política general de la entidad,
evaluando la eficacia y proponiendo soluciones a problemas detectados. Cuando se termina la
auditoría se emite un informe para la dirección de los resultados obtenidos.
Externas: cuando se contrata a una empresa para aplicar la auditoría y por lo tanto el auditor es
ajeno a la organización, aportando mayor objetividad a los resultados. En algunas ocasiones la
auditoría externa obedece a la parte de legal del proceso, ya sea porque se va a obtener alguna
certificación o por algún trámite con el gobierno.
Auditoria informática
Particularmente dentro del área de Informática se puede organizar los tipos de auditoría considerando
también el objeto de análisis que hacen referencia a las actividades específicas de la propia actividad
informática. Observa la siguiente clasificación que propone (Piattini et al.,2008, pp. 243-671).
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 10
Explotación
Clasificación
Sistemas de tipos de auditorías
Comunicaciones y redes
de las TIC
Desarrollo y mantenimiento
de sistemas
Seguridad
Outsourcing
Dirección informática
Video vigilancia
Datos personales
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 11
- Auditoría de explotación: se enfoca a la generación de: listados, archivos electrónicos,
ejecución de procedimientos automatizados. Estos se evalúan por controles de calidad antes
de ser liberados al cliente o usuario. Auditar la explotación consiste en auditar secciones que la
componen y sus interrelaciones, por ejemplo los siguientes:
o Entrada de datos
o Planificación y recepción de aplicaciones
o Control y seguimiento de trabajos
o Operaciones de centros de cómputos
o Control de la red
o Centros de diagnosis (Help-desk)
- Auditoría de sistemas: analiza la técnica de sistemas en todas sus facetas
o Sistemas operativos
o Software de aplicaciones
o Software de teleproceso
o Tunning o técnicas de observación para evaluar subsistemas que tienen un deterioro en
su comportamiento y se realizan de manera periódica
o Técnicas de sistemas
o Administración de base de datos
o Investigación y desarrollo
- Auditoría de comunicaciones y redes: se refiere al soporte físico-lógico de la informática en
tiempo real. Principios y derechos de protección de datos en Internet
- Auditoría de desarrollo y mantenimiento de sistemas: engloba varias fases para elaborar
cada proyecto. como las siguientes:
o Prerrequisitos
o Análisis y diseño
o Programación
o Pruebas
o Entrega
- Auditoría de seguridad: abarca los conceptos de seguridad física y lógica
o Seguridad física: se refiere a la protección de Hardware, edificios, instalaciones, que
son el soporte de los datos albergándolos
o Seguridad lógica: se refiere a la seguridad de uso del software, protección de datos,
programas, modelos, así como los niveles de acceso de los usuarios a la información.
Para ambas auditorías se deben utilizar herramientas para el monitoreo de IP, filtro de
paquetes, firewall, test de penetración, entre otras. Apoyándose de alguna normatividad como
OSSTMM (Open Source Security Testing Methodolgy Manual), ISSAF (Information System
Security Assessment Frameworks) o ISO 27001 (Estándar para la seguridad de información),
etc.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 12
OSSTMM: Consultado en:
http://www.automatedtestinginstitute.com/home/index.php?option=com_content&view=article&catid=52:testcat&id=1077:osstmm-open-source-security-testing-methodology-manual
ISO 27001. Consultado en:
http://www.actualizegroup.com/calidad/
Por ejemplo, una prueba de penetración consistiría en lo siguiente:
1. Etapa de reconocimiento: recopilar información sobre el sistema objetivo
2. Exploits: la selección del área objetivo
3. Ya que se realizó el ataque, se analiza el impacto y la generación de nuevas acciones
4. Documentación: para reflejar el trabajo completo por parte del pentester (persona de pruebas
de penetración)
Existen algunos métodos para aplicar este tipo de pruebas, por ejemplo:
Blackbox: en este no se conoce ningún tipo de información del sistema objetivo.
Whitebox: se cuenta con información sobre el sistema objetivo (código fuente,
configuraciones, etc.)
Para realizar los exploits, existen múltiples herramientas, incluso las gratuitas como lo es el Metasploit, entre otros. (Catoira, 2013, pp.19-27)
- Auditoría de Outsoursing: por medio de un contrato se fija la prestación de un conjunto de
servicios tecnológicos y se constata la existencia de un cliente que requiere de los servicios
que serán otorgados a través de un proveedor
- Auditoría de la dirección de informática: como máxima autoridad en el plano de tecnologías
de la información, debe auditarse, ya que de él depende que los procesos se autoricen y se
lleven a cabo
- Auditoría de videovigilancia: Existen normas que regulan el uso de la imagen y sonido que
se captan por la videovigilancia y que deben ser auditadas para evitar invadir el derecho de los
individuos del adecuado manejo de sus datos personales
- Auditoría de los datos de carácter personal: de acuerdo a la normatividad de Protección de
Datos de Carácter Personal, es una exigencia planear una auditoría para verificar el
cumplimiento de este reglamento e instrucciones vigentes en materia de seguridad de datos, al
menos cada dos años
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 13
En este tema se te presentó un tipo de clasificación de auditoría informática, sin embargo ésta puede
tener variaciones pues la categorización de las auditorías depende su especialización según el objeto,
origen, técnicas, métodos, etc., que se realicen.
Actividad 1. Auditoría
¡Bienvenido(a) a la primer actividad de la Unidad!
El propósito de esta actividad es que identifiques la clasificación de auditoría.
1. En un documento de texto elabora un reporte en el cual investigues al menos 5 casos en
los que clasifiques las diferentes auditorías justificando el porqué de tu respuesta. Todos los
casos deben estar sintetizados y referenciados.
2. Para cada caso, registra el tipo de auditoría, empresa auditada, los puntos de la auditoría,
fortalezas, debilidades, resultado (calificación y/o dictamen), es importante hagas uso de
referencias bibliográficas o electrónicas con el modelo APA.
3. Guarda tu actividad en un archivo con el nombre KAIF_U1_A1_XXYZ y envíalo para su
revisión.
*Revisa los criterios de evaluación para esta actividad
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 14
1.1.2. Características
El proceso de la auditoría informática se caracteriza por ser:
1. Objetiva
•Porque los auditores internos no se deben involucrar con el área auditada. Deben ser imparciales y neutrales.
2. Sistemática
•La auditoría debe ser un proceso bien organizado, el trabajo deberá planificarse apropiadamente, será supervisado, se estudiará y evaluará el sistema obteniendo la evidencia necesaria.
3.Profesional
•Porque se espera que el auditor sea un experto en el objeto de análisis y con un amplio criterio para evaluar y emitir resultados
4. Selectiva
•Toma una muestra representativa del total de la población auditable.
5. Imparcial
•Los juicios y recomendaciones del auditor estén basadas de manera objetiva en hechos y cuente con la evidencia suficiente para demostrar su imparcialidad
6. Integral
•La auditoría debe contar con un esquema detallado del trabajo a realizar y los procedimientos a emplearse durante la fase de ejecución, para identificar su extensión, así como el trabajo que ha de ser elaborado.
7. Recurrente
•Se aplican en auditorías anteriores, donde se obtuvo un resultado de deficiente o malo, para evaluar los planes de mejora si funcionaron bien o no. (Muñoz, 2002, p. 34-35)
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 15
Otras características agrupadas por el tipo de auditoría son:
Auditoría interna Auditoría externa
El auditor es parte de la organización. El auditor no tiene relación con la organización.
La relación con la organización podría influir en el
juicio y por lo tanto en los resultados de la
evaluación.
Su revisión y resultados de la evaluación, esta
libre de influencias.
El informe de resultados tiene impacto solo de
manera interna.
Se realizan por empresas de auditores.
Las recomendaciones son para establecer
mejoras.
Es más objetiva la auditoría.
Se puede calendarizar dentro del plan anual. Los resultados arrojarán un dictamen para
aprobar una certificación o proceso legal.
Los auditados adoptan a la auditoría como parte
de sus funciones.
Características de Auditorías internas y externas. (Piattini y Del peso, 2001, pp. 416 y 569)
Actividad 2. Características de las auditorías
Mediante esta actividad podrás identificar las características de los diferentes tipos de
auditorías.
1. Crea un archivo y elabora un organizador gráfico, indicado por tu Facilitador(a) en
el que destaques las características de las auditorías en general y las
características de auditorías internas y externas.
2. Guarda tu archivo con el nombre KAIF_U1_A2_XXYZ y súbelo a la plataforma.
*Revisa los criterios de evaluación.
1.1.3. Uso de técnicas asistidas por computadora
En la auditoría informática se utilizan múltiples herramientas y técnicas para hacer una adecuada
revisión y recopilación de evidencias sobre el funcionamiento de los sistemas de información y de
cómputo. El auditor debe ser un especialista en el área de sistemas y más aún, saber utilizar las
tecnologías de la información (TI) a su favor, para examinar con mayor eficiencia todos los aspectos de
la actividad computacional.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 16
El uso de las Técnicas de Auditoría Asistidas por Computadora por sus siglas en inglés Computer
Audit Assisted Techniques (CAATs) provee al auditor una gran variedad de herramientas para facilitar
sus procedimientos, mejorándolos y ampliando las opciones de aplicación.
A continuación se analizarán algunos mecanismos que se utilizan más comúnmente, según Muñoz
(2002).
Guías de evaluación: son herramientas formales, en la que se anotan todos los asuntos que serán
evaluados durante la auditoría. En este instrumento se indican todos los puntos, aspectos concretos y
áreas que serán evaluadas, así como técnicas, herramientas y procedimientos necesarios para la
auditoría. También se registran la técnica o método que se empleará para la evaluación; la
ponderación o peso por cada elemento revisado. Por medio de este documento el auditor puede
revisar paso a paso todos los procedimientos para evaluar y calificar cada elemento planeado. Por
ejemplo observa la Tabla 2. Guía de auditoría.
Guía de auditoría
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 17
A continuación se explica su contenido:
Encabezado: contiene logotipo y nombre de la empresa que realiza la auditoría. Nombre de la
empresa y área que se auditará. Fecha de inicio. Hoja de inicio y de fin del documento de Guía
Columnas
Referencia (Ref.): Alguna clave o consecutivo que nos indique lo que se revisa y su secuencia
Actividad que será evaluada: especificar los puntos que se evaluarán, estos pueden ser
actividades, funciones, procesos, etc.
Procedimientos de auditoría: describir las instrucciones para evaluar cada actividad de la
columna anterior
Herramientas que serán utilizadas: explicar que herramientas, técnicas o recursos se
necesitarán para aplicar la evaluación
Observaciones: sección para clarificar o completar cada punto evaluado
Ponderación: ayuda al auditor a darle un peso a cada elemento que se evaluará para darle relevancia
a los elementos que así lo requieran o restar importancia a elementos menos significativos.
Factores Peso por factor
%
Calificación Puntos obtenidos
1. Políticas del centro de cómputo 10 1 10
2. Proceso de préstamo de equipo 20 .6 12
3. Funciones y actividades de laboratoristas 20 .85 17
4. Bitácoras de uso de centros de cómputo 25 .80 20
5. Buzón de sugerencias 10 1 10
6. Mantenimiento 15 1 15
100% 84
Tabla de ponderaciones de auditoría
Para llenar la tabla de ponderación primeramente se eligen los factores o elementos que se quieren
evaluar y se asigna un peso por factor. Ambos elementos son distintos en cada auditoría, ya que cada
empresa tiene su “entorno propio” y por lo tanto indicadores particulares. La suma de los pesos debe
dar 100%. En la columna de puntos obtenidos se multiplica la columna (peso por factor) por la
columna (calificación). La calificación se basa en los siguientes criterios:
Excelente 1.00
Bueno 0.80
Regular 0.60
Deficiente 0.40
Pésimo 0.20
* Los criterios solo se brindan como ejemplo, se pueden definir de manera diferente de acuerdo a las
necesidades o estrategias de la auditoría.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 18
En general esta técnica puede hacerse con todo el detalle que se requiera por ejemplo incluir sub
factores y obtener calificaciones por sub factor, por factor o el total. En este caso las herramientas
automatizadas facilitarán el proceso de cálculos dando mayor exactitud y evitando errores.
Modelos de simulación: estas herramientas son parte del desarrollo de sistemas, muchos analistas
las utilizan para simular sistemas y comprobar o descartar su utilidad. Les permite crear un ambiente
análogo al de un nuevo sistema y con base a modelos conceptuales determinar su alcance y
condiciones y comportamiento del futuro sistema. Estos modelos ayudan a los integrantes del equipo
a entender mejor las características del nuevo sistema antes de su construcción.
Para el caso del auditor, estos modelos le servirán para evaluar la estructura del sistema, por ejemplo,
se le permite el acceso al diseño de una base de datos o inclusive un respaldo de la base de datos
real, para que pueda realizar las pruebas necesarias para comprobar su funcionamiento y condiciones.
Lo mismo pasaría con el sistema completo o el de una red, desde un modelo conceptual basado en
diagramas, un prototipo o cuenta ficticia para que el auditor pueda recrear el comportamiento, proceso,
técnica, factor o elemento que está auditando. Algunos ejemplos que pueden utilizar para simular
diferentes aspectos de un sistema:
Modelos de planeación y control de proyectos: Gantt, Project, gráficos de líneas de tiempo, etc.
Modelos de flujos de datos: diagramas de flujos, entidad – relación, HIPO, UML
Modelos administrativos: organigramas, métodos y procedimientos, planos
Modelos estadísticos: gráficas de Pie, horizontales, verticales, circulares, etc.
Otros: gráficas de pantalla, planes, imágenes, procesamiento de datos ficticios
Modelos de desarrollo: ciclos de vida
Para cualquier tipo de evaluación el auditor debe contar con las herramientas en las que pueda
reproducir el objeto de análisis.
Lista de verificación: esta herramienta es una de las más sencillas de utilizar, consiste en realizar un
listado ordenado de los aspectos que se tienen que revisar y su objetivo es únicamente evaluar su
cumplimiento con una “palomita” ( ) o su no cumplimiento con una “equis” ( ). Observa el
siguiente ejemplo.
Lista de verificación del funcionamiento y recursos de la red
Criterios para evaluar Cumple
La instalación es flexible y adaptable.
El inventario de componentes de la red esta actualizado.
En las bitácoras de software está registrado todo el
software con sus respectivos números de licencia.
Los recursos de la red se comparten apropiadamente
dado el rol de cada usuario
Están registrados los niveles de acceso y seguridad a la
red.
Lista de verificación
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 19
Programas para revisión por computadora: estas herramientas le permiten al auditor revisar, desde
la misma computadora y con un software específico, el funcionamiento de un sistema, de una base de
datos, alguna aplicación o sitio web.
Con esta herramienta analizará el comportamiento de los elementos que evalúa, así como el
desempeño, errores, requerimientos de hardware, software y otros aspectos técnicos.
Elemento de diagnóstico Herramientas
PC PC 2010¸ HWMonitor,
WinSAT, SpeedFan, Abra
HW Monitor, HWiNFO32,
Hmonitor, 3DMark,
MonitorTest
Red Netstat, nmap, Sniffers,
NetWatch, WinTools,
NetStat, Local info, Network
scanner, Service & port
scanner, TCP/IP workshop,
SNMP Browser
Aplicaciones HP APM, appDynamics,
ManageEngine
Herramientas de diagnóstico
En la tabla anterior se muestra solo algunos de los ejemplos de programas ya desarrollados que están
disponibles para el auditor. (Muñoz, 2002, pp. 478-555).
1.1.4. Responsabilidad del auditor en el descubrimiento de errores y
desviaciones
La principal responsabilidad del auditor es, entregar un informe de resultados, en el que se
encontrarán los hallazgos de las desviaciones más importantes, debe reportar sus causas y posibles
soluciones. Y en base a estas desviaciones redactará su informe final con base al análisis de estas
desviaciones junto con el dictamen de la auditoría. Observa el siguiente registro de desviaciones:
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 20
Empresa Área auditada Día Mes Año
Desviaciones Causas Solución
Elaboró (Nombre y firma) Aprobó (Nombre y firma)
Registro de hallazgos. (Muñoz, 2002, p.252)
Los siguientes son principios que los auditores deben mantener en todo el proceso de auditoría desde
su inicio hasta la entrega de resultados.
El principio de beneficio del auditado. Se refiera a que el auditor debe adquirir una
apropiación del sistema que auditará, esta adaptación le implica un compromiso por probar en
su máxima eficacia los medios informáticos evaluables. Con la finalidad de poder recomendar,
proponer o incitar actuaciones para evitar gastos innecesarios o desproporcionados.
El principio de calidad. El auditor deberá prestar servicios con los medios a su alcance, tener
la
libertad de utilización de los mismos y condiciones técnicas adecuadas.
El principio de capacidad. El auditor debe ser un especialista en auditorías, el grado de
especialización de sus clientes le exige estar al nivel para mantener el grado de confianza y
evitar de esta forma su obsolescencia y pérdida de competitividad.
El principio de cautela. Todas las afirmaciones del auditor deben estar debidamente
fundamentadas y basadas en la experiencia adquirida, evitando que el auditado se embarque
en proyectos con argumentos débiles.
El principio de comportamiento profesional. En todo momento el auditor deberá evitar
juicios exagerados o que atemoricen innecesariamente, por el contrario, debe transmitir ideas
precisas, exactas y objetivas que lo respalden e infundan confianza en sus clientes.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 21
El principio de concentración en el trabajo. La carga de trabajo del auditor deberá planearse
adecuadamente, evitando que haya una sobresaturación provocando una baja concentración y
precisión en las tareas asignadas, ya que esto podrá provocar conclusiones imprecisas.
El principio de confianza. Por medio de un comportamiento profesional y evitando
presunciones, el auditor debe fomentar la confianza en su cliente para evitar restar credibilidad
a los resultados obtenidos.
El principio de criterio propio. La autoridad del auditor le permitirá actuar bajo un criterio
propio sin la influencia de colegas que puedan desvirtuar la resolución.
El principio de discreción. Forma parte de la responsabilidad del auditor identificar el nivel de
restricción de los datos que le han sido proporcionados para la auditoría. Aquellos datos con
una amplia restricción deberá proteger su divulgación. Así mismo liberar los resultados
únicamente con el personal involucrado en la auditoría.
El principio de economía. Se refiere a que las acciones del auditor deberán proteger la
economía de su cliente, evitando generar gastos innecesarios en el ejercicio de su actividad.
El principio de independencia. El auditor debe exigir una total autónoma e independencia en
su trabajo respecto a la empresa en la que deba realizar la auditoria informática.
El principio de información suficiente. Obliga al auditor a registrar en forma clara, precisa e
inteligible la información para el auditado.
El principio de integridad moral. El auditor debe ser honesto, leal y diligente en el
desempeño de su misión, a ajustarse a las normas morales y a evitar participar en actos de
corrupción personal o con terceras personas.
El principio de legibilidad. El auditor deberá facilitar la legibilidad de sus informes evitando
utilizar sus conocimientos demasiado especializados y poco claros.
El principio de libre competencia. Se exige que el ejercicio de la profesión se realice dentro
de un marco de libre competencia.
El principio de no discriminación. Es responsabilidad del auditor evitar situaciones
discriminatorias de cualquier tipo.
El principio de no injerencia. Evitar la influencia de otros profesionistas, respetar su trabajo y
evitar hacer comentarios despreciativos de la misma.
El principio de precisión. Hacer las revisiones necesarias antes de entregar un informe al
cliente para verificar que los valores son precisos y si es necesario volver a auditar o probar
algún elemento, deberá hacerse.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 22
El principio de publicidad adecuada. Supervisar la oferta y promoción de los servicios de
auditoría a las características y finalidad perseguidas, evitando falsas difusiones de promoción
con el objeto de engañar a los usuarios.
El principio de secreto profesional. El auditor deberá evitar difundir datos propiedad del
auditado, que pudieran perjudicarlo.
El principio de veracidad. Fundamentar la veracidad del trabajo realizado y en general, de sus
manifestaciones dentro de los límites de respeto y secreto profesional (Piattini y Del peso,
2001, pp. 151 y 177).
1.2. Normas internacionales y nacionales
A nivel Internacional, existen organismos que regulan la Auditoría de Sistemas de información por
ejemplo para el área contable con enfoque a sistemas de información son los siguientes:
• ISACA (COBIT)
• COSO
• AICPA (SAS)
• IFAC (NIA)
• SAC
• MAGERIT
• EDP
• SAP
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 23
ISACA: Tomado de: http://www.isaca.org/SiteCollectionImages/Isaca-Security-infographic.jpg
ISACA-COBIT. Es la asociación líder en Auditorías de sistemas. Su sitio oficial (Information Systems
Audit and Control Association, 2014). Este organismo propone el método COBIT (Control Objetives for
Information and related Technology) para auditores, administradores y usuarios de sistemas de
información para el control de sus operaciones cumpliendo con las leyes y regulaciones.
Sitio de ISACA:
http://www.isaca.org/
COSO: Committee of Sponsoring Organizations of the Treadway Commission Internal Control –
Integrated Framework (COSO). Ofrece una guía para contadores sobre la gestión de evaluar, informar
e implementar sistemas de control.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 24
Sitio de COSO:
http://www.coso.org/
AICPA-SAS: The American Institute of Certified Public Accountants' Consideration of the Internal
Control Structure in a Financial Statement Audit. Es una guía de auditoría externa sobre el control
interno, planeación y ejecución de una auditoría de estados financieros.
Sitio AICPA: http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarity-GroupAudits.aspx
IFAC-NIA: Federación Internacional de Contables IFAC (International Federation of Accountants,
2014). La sección NIA 15 tiene su enfoque a la auditoría de entornos informatizados, la NIA 16 son
Técnicas de Auditoría asistida por computador. NIA 20 presenta los efectos de un entorno
informatizado en la evaluación de sistemas de información contable.
Sitio IFAC: http://www.ifac.org/es
SAC: The Institute of Internal Auditors Research Foundation´s Systems Auditability and Control. Ofrece
un estándar y controles para auditorías internas de sistemas de información y tecnología.
El modelo SAC fue creado como un control interno de COSO. Está disponible en diferentes lenguajes
para administradores y auditores. Permite la discusión de objetivos, riesgos, mitigación en el contexto
de e-bussines. Tiene el propósito de enfocarse en cómo los riesgos del negocio pueden ser cubiertos
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 25
en la discusión y la implementación.
SAC MODEL. Tomado de http://www.netcentrum.nl/auditweb/13.pdf
MAGERIT: Metodología de Análisis y GEstión de Riesgos de los sistemas de Información. Es el
consejo superior del ministerio de administraciones públicas de España. Tiene una orientación hacia el
control de riesgo que afectan los sistemas de información y su entorno.
MAGERIT es la metodología de análisis y gestión de riesgos, está directamente relacionada con la
generalización del uso de las tecnologías de la información, ya que esto presupone beneficios
evidentes para los ciudadanos y a la vez da lugar a riesgos que deben controlarse con las medidas de
seguridad apropiadas.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 26
MAGERIT: ISO 31000 - Marco de trabajo para la gestión de riesgos. Tomado de
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.Uu_xLv30sZI
Sitios MAGERIT Unión europea de agencias para redes y seguridad de la información: http://rm-inv.enisa.europa.eu/methods/m_magerit.html ccn-cert: https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-version-de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es
EDP: Fundación de auditores EDP. Tiene un enfoque educativo y de investigación sobre los
estándares para la auditoría de los sistemas de información y códigos de ética. Los orígenes de la
Asociación de auditoría y control de sistemas de información (ISACA®) comenzó en 1967 con un
pequeño grupo de personas con trabajos de auditoría en sistemas computacionales. En 1969. Se
formalizó trabajando con el nombre de EDP (Asociación de auditores de procesamiento electrónico de
datos) En 1976, formaron una fundación para llevar a cabo proyectos de investigación a gran escala y
a expandir los conocimientos en el campo de gobernabilidad y control de TI.
La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit
Techniques (CAATs) o Técnicas de Auditoría Asistidas por Computador, propone la importancia del
uso de CAAT en auditorías para un ambiente de sistemas de información por computadora. Además
tiene una guía de procedimientos de auditoría para procesar datos significativos del sistema de
información. Por ejemplo los siguientes:
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 27
1. Pruebas de transacciones y balances
2. Procedimientos de análisis de inconsistencias o fluctuaciones significativas
3. Pruebas de controles, como: configuraciones de sistemas operativos, procedimientos de
acceso al sistema, comparación de códigos y generación de versiones.
4. Programas de muestreo para extraer datos
5. Pruebas de control para aplicaciones
6. Realización de cálculos especiales para comparación de datos
El software de auditoría consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoría del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema. Independientemente de la fuente de los programas, el auditor deberá verificar su validez para fines de auditoría antes de su uso.
Flujo de un CAAT. Tomado de http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-
legislativo/ch03s04.html
1.2.1. Tipos de normas
Normas de tipo profesional: se refiere a que el auditor debe mantener un apego a las normas de
evaluación, emitir una opinión bien respaldada, ser disciplinado, guardar el secreto profesional,
responsable, independiente, capacitado y emitir dictámenes de las auditorías.
Normas de tipo social: el auditor, al igual que cada ciudadano, convive en una sociedad a la que
también proporciona sus servicios. En la sociedad existen derechos y obligaciones, escritas y no
escritas y de alguna manera respetadas por los integrantes de la sociedad. Comenzando por respetar
las leyes y reglamentos de las autoridades. Deberá evitar los anti patrones de comportamiento como
son los sobornos o recompensas ilegales y en general comportarse de manera leal con sus clientes, lo
cual, le ayudará a fundamenta adecuadamente sus relación entre colegas y empresas de la sociedad.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 28
Normas de tipo ético-moral: se refieren a su conducta como profesional como las siguientes:
- Ser incorruptible
- Ser imparcial
- Juicio ético y moral
- Aceptar y hacer cumplir las normas morales y éticas (Muñoz, 2002, pp. 88 - 94)
1.2.2. Normas actuales
Normas Técnicas de Auditoría (NTA): están orientadas a los auditores de cuentas, con la finalidad que
se pueda expresar una opinión técnica responsable. Se clasifican en generales, sobre ejecución y
sobre informes.
COBIT (Objetivos de control para tecnologías de información y tecnologías relacionadas)
Es una herramienta de gobierno de Tecnologías de la información (TI) que produce un cambio en la
forma en que trabajan los profesionales de TI. Se aplica a los sistemas de información de la empresa,
computadoras personales, servidores y la red. Su filosofía consiste en la gestión de los recursos de TI
por medio de un conjunto de procesos que al ejecutarse producen información pertinente y confiable.
Su objetivo es que estos procesos formen parte de la actividad diaria de la empresa en el uso de las
tecnologías de información. Sus principales características son:
• Está orientado a la lógica del negocio
• Tiene estándares y regulaciones prácticas
• Basado en una revisión crítica y analítica de las tareas y actividades en TI
• Soporta otros estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
COBIT tiene tres niveles:
I. Dominios. Áreas agrupadas por alguna responsabilidad organizacional
II. Procesos. Conjunto de pasos gestionadas con indicadores de control
III. Actividades: Las acciones para el logro de metas que arrojan un resultado medible
1.2.3. Normas emergentes
Como Normas emergentes NE, se denomina a las que por alguna situación de emergencia deben ser
expedidas. El problema que se ha enfrentado en este tipo de normas es que no está claramente
definido el término emergencia, pues existen casos en los que se les ponga este título a situaciones
que no son una norma, con el pretexto de emergencia sin estar debidamente justificado. Las NE tienen
una vigencia de 6 meses podrán ser expedidas 2 veces consecutivas, pero antes de la segunda
expedición deberá presentarse una Manifestación de impacto regulatorio (MIR). Transcurrido estos
plazos la norma pierde vigencia y deja de ser obligatoria. Por ejemplo los siguientes casos:
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 29
IEEE
Instituto de Ingenieros Eléctricos y Electrónicos su enfoque principalmente es para evaluar las
tecnologías emergentes en las áreas de ingeniería; Por ejemplo para los fabricantes de redes
se formó un comité IEEE 802 el cual se relaciona con el ISO (Organización Internacional de
Estándares).
ISO/IEC 17799 o 27002 Son estándares para implantar seguridad. Uno de sus enfoques es el
de la revisión independiente de la seguridad de la información.
Actividad 3. Reporte de normas
Mediante esta actividad podrás analizar las normas actuales y las emergentes por medio de
ejemplos.
1. Crea un documento de texto y elabora un reporte en el que presentes por lo
menos dos casos diferentes; uno en el que muestres el uso de las normas
actuales y otro de las normas emergentes.
2. Para cada una de ellas registra y completa de acuerdo a las indicaciones de tu
Facilitador(a).
3. Guarda tu archivo con el nombre KAIF_U1_A3_XXYZ.
*Revisa los criterios de evaluación.
1.2.4. Organismos reguladores
IMCP
Es el Instituto mexicano de contadores públicos. Genera periódicamente actualizaciones en materia de
auditoría para todos sus socios registrados. Se busca que cumplan con las siguientes normas:
- Entrenamiento técnico
- Diligencia profesional
- Independencia
Aplicables en el ejercicio de su profesión con las empresas auditables, con colegas y en general con
autoridades tributarias de la nación. (Muñoz, 2002, p.75)
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 30
Sitio de IMCP:
http://imcp.org.mx
CONPA
Es la Comisión de Normas y Procedimientos de Auditoría. Emite publicaciones de actualización apara
auditores administrativos en el que se tratan criterios, normas, reglas, condiciones, obligaciones, etc.
Para regular el comportamiento de auditores en administración.
Uno de los ejemplos de sus publicaciones es el código de ética profesional del licenciado en
administración, el cual ayuda a estandarizar conductas de carácter moral y de su actuar profesional.
(Muñoz, 2002, p.76)
Artículo sobre la función sustantiva de la CONPA:
http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-no-
se-va-a-hablar-de-la-funcion-sustantiva-de-la-conpa-relacionada-con-la-
regulacion-en-el-campo-de-la-auditoria-sino-que-se-va-a-referir-a-un-
trabajo-desconocido-para-muchos#.UvAQp_30sZI
Actividad 4. Tipos de auditoría y distinción de normas
¡Ahora, realiza la cuarta actividad de la primera Unidad!
En esta ocasión tendrás la oportunidad de comentar con tus compañeros sobre las
actividades 1 y 3, para fortalecer más la comprensión de la clasificación de auditoría, sus
características, del mismo modo analizar en combinación con los tipos de normas actuales
y emergentes.
De acuerdo a los puntos que te indicará tu Facilitador(a), también:
1. Determina qué diferencias o semejanzas encontraste en los casos presentados
dentro de las actividades 1 y 3.
2. Investiga y escribe la intervención o injerencia de los organismos reguladores,
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 31
pero dirigidos hacia la Telemática.
3. Realiza un aporte sobre las diferencias y otro sobre las semejanzas.
4. Comenta sobre los aportes de al menos 2 compañeros, comienza desde la más
antigua y procura que ningún compañero(a), se quede sin retroalimentaciones.
*Revisa los criterios de evaluación de esta actividad.
Autoevaluación
En lo que respecta a esta actividad, su propósito es que al término del estudio de la unidad, evalúes
de manera independiente y autónoma los aprendizajes adquiridos. Para ello contesta las preguntas
plateadas y de tener dudas en algún tema, repásalo las veces que sea necesario, pregunta a tu
Facilitador(a) e investiga un poco más por tu cuenta.
Evidencia de aprendizaje. Clasificación de casos
El propósito de esta evidencia de aprendizaje es que identifiques y evalúes el tipo y características
de auditoría, así como de las responsabilidades del auditor.
1. Analiza caso de estudio que te presentará tu Facilitador(a) y contesta las preguntas que se
localizan al final. Justifica la respuesta tomando como base la definición y características de la
auditoría, así como las responsabilidades del auditor.
2. En un archivo realiza un reporte con las respuestas debidamente contestadas y justificadas,
agrega esquemas, diagramas y/o comparaciones.
3. Guarda tu archivo con el nombre KAIF_U1_EA_XXYZ y envíalo para su revisión.
4. Espera la retroalimentación de tu Facilitador(a), atiende sus comentarios y de ser necesario
envía una segunda versión de tu evidencia
*Recuerda consultar el instrumento de evaluación correspondiente a la evidencia de aprendizaje para conocer su método de evaluación.
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 32
Autorreflexión
Al terminar la Evidencia de aprendizaje es muy importante que realices tu Autorreflexión. Para ello,
Ingresa al foro de Preguntas de Autorreflexión y a partir de las preguntas presentadas por tu
Facilitador(a), realiza lo que se te pide y súbelo en la sección Autorreflexiones.
Cierre de la unidad
Has concluido la primer unidad de la materia, como pudiste darte cuenta, la auditoria informática tiene
una gran relevancia a nivel dirección, ya que es un proceso útil para medir procesos, tecnologías,
desempeño y demás elementos de la informática, así como de la Telemática.
También, habrás notado que el rol del auditor requiere de un nivel de experiencia y especialización
para poder fungir como un evaluador, emitir un dictamen y más aún sugerir soluciones. Por lo tanto,
para difundir y mejorar la función del auditor, existen estándares internacionales y nacionales que
regulan los procesos de auditoría y el actuar ético – moral de un auditor interno o externo.
Ahora que has concluido la unidad 1, estás listo para comenzar la unidad 2, en la que verás más
ampliamente el tema de estándares, código de ética, políticas, procedimientos y seguridad. Si te
interesó ampliar tu conocimiento sobre algún tema, revisa la siguiente sección Para saber más,
encontrarás vínculos a sitios del ámbito de la Auditoría informática.
Para saber más
Para obtener información oficial sobre COBIT, puedes entrar al sitio oficial de ISACA (Information
Systems Audit and Control Association, 2014). En donde hay manuales totalmente en español
para. Consulta: http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
Recuerdas que el auditor informático utiliza herramientas para evaluar aplicaciones, revisa estos
enlaces de algunos ejemplos de este tipo de producto, ya que se explica más ampliamente como
se utilizan:
HP APM (Hewlett-Packard Development Company, L.P., 2014). Consulta:
http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730
appDynamics (Impulse IT Ltda., 2012). Consulta:
http://www.impulseit.com/wp/?page_id=373
ManageEngine (Ingeniería Dric, 2013). Consulta:
http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCF
UZqfgodUGcATA
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 33
Fuentes de consulta
Fuentes básicas
Muñoz R., C. (2002). Auditoría en sistemas computacionales. Primera edición. México: Pearson
educación/ Prentice Hall.
Piattini, M. & Del peso, E. (2001). Auditoría informática, un enfoque práctico. Segunda edición.
México: Alfaomega.
Piattini, M. Del peso, E., & Del peso M. (2008). Auditoría de tecnologías y sistemas de
información. Primera edición. México: Alfaomega.
Fuentes complementarias
Derrién, Y. (1995). Técnicas de la auditoría informática. Primera edición. México: Alfaomega.
Garzás, J. (2011). Guía práctica de supervivencia en una auditoría CMMI. España: Universidad
Rey Juan Carlos.
Fuentes electrónicas
American Institute of CPAs. (2014). Statement on Auditing Standards (SASs). Consultado en:
http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarity-GroupAudits.aspx
Catoira, F. (2013). Pruebas de penetración para principiantes: explotando una vulnerabilidad
con Metasploit Framework, Seguridad: cultura de prevención para TI. Vol. 19. 19-27.
Recuperado de:
http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num19_Seg
uridad.PDF
Centro Criptológico Nacional. (CNN) (2014). MAGERIT. España. Consultado en:
https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-
version-de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es
Comisión de Normas y Procedimientos de Auditoría y la EUC (Examen Uniforme de Certificación). (2014). Instituto Mexicano de Contadores Públicos. Consultada en: http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-no-se-va-a-hablar-de-la-funcion-sustantiva-de-la-conpa-relacionada-con-la-regulacion-en-el-campo-de-la-auditoria-sino-que-se-va-a-referir-a-un-trabajo-desconocido-para-muchos#.UvF_NvmSwpl
Comisión digital de señales de España (s/f). Digital Signage. Interactive Adversiting Bureau. Recuperado de http://www.onthespot.com/file/Infografia__Digital_Signage.pdf
Committee of Sponsoring Organizations of the Treadway Commission (COSO).(2014).
Consultado en: http://www.coso.org/
European Union Agency for Network and Information Security (ENISA) (2014). Agencia de la
Unión Europea. Consultado en: http://rm-inv.enisa.europa.eu/methods/m_magerit.html
Auditoría informática
Unidad 1. Introducción a la auditoría informática
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática 34
Hewlett-Packard Development Company, L.P. (2014). Software de diagnóstico HP. Recuperado
de http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730
Impulse IT Ltda. (2012). AppDynamics. Recuperado de:
http://www.impulseit.com/wp/?page_id=373
Information Systems Audit and Control Association (2014). Trust in, and value from, information
systems. Recuperado de: http://www.isaca.org
Ingeniería Dric (2013). Monitoreo del desempeño de aplicaciones en ambientes físicos,
virtuales y en la nube. Recuperado de:
http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCFUZ
qfgodUGcATA
Instituto Mexicano de Contadores Públicos (2014). Consultado en: http://imcp.org.mx/
International Federation of Accountants (IFAC) (2014). Supporting the sustainability of
organizations, markets, and economies via the development of the accountancy profession.
Recuperado de http://www.ifac.org