Guia Auditoria de TI-1

Auditoria de Tecnología de Información

Guía de Estudio

AUTORES:

PATRICIA ARACELY ARAIZA ZAPATACARMEN GUTIÉRREZ DIEZ

ALMA LILIA SAPIÉN AGUILARLAURA CRISTINA PIÑÓN HOWLET

VICTOR GALLEGOS CERECERESALMA ARAIZA ZAPATA

COORDINACIÓN ACADÉMICA:

EDMUNDO GONZÁLEZ NÚÑEZKARINNA IDALIA HOLGUÍN MAGALLANES

http://www.uach.mx/metauach/acerca.htm

UNIVERSIDAD AUTÓNOMA DE CHIHUAHUADIRECCIÓN ACADÉMICA

Chihuahua, México, 2006


CONTENIDO

Presentación ............................................................................................................. ii

El modelo educativo de la UACH ........................................................................... iii

Las áreas de formación en la UACH ...................................................................... iv

El área de formación Profesional y el curso de Auditoria de TI ......................... v

Lineamientos básicos ............................................................................................... ix

Objeto de Estudio 1: Introducción a la Auditoria de TI ..................................... 1

Objeto de Estudio 2: Análisis del Riesgo ............................................................... 3

Objeto de Estudio 3: Control Interno y Auditoria de TI ..................................... 7

Objeto de Estudio 4: Principios y Códigos de Auditoria de TI ........................... 10

Objeto de Estudio 5: Areas de TI a auditar y Modelos de Referencia ............... 13

Objeto de Estudio 6: Metodología de Auditoria de TI ........................................ 16

Objeto de Estudio 7: Informe de la Auditoria de TI ............................................ 23

i


Presentación

Esta Guía de Estudio se presenta dentro del marco del Concurso para Profesor de Tiempo Completo que la Facultad de Contaduría y Administración lleva a cabo.

Está diseñada conforme a los linemientos de enseñanza por competencias y considerando los formatos estandarizados para su estructuración y contenidos establecidos en el modelo educativo adoptado por la UACH..

En cuanto a la materia de estudio, Auditoria de Tecnología de Información, ésta corresponde al penúltimo semestre de la carrera de Licenciados en Computación Administrativa, y como tal, requiere además de los conocimientos teóricos, un alto grado de práctica para lograr que los alumnos, próximos a ingresar en el mundo laboral real, cuenten con la experiencia mínima que el mercado de trabajo demanda.

He conjuntado material, por una parte de fuentes bibliográficas como textos de la materias relacionadas, que son tecnología de información, administración, control interno y auditoria, por otra parte fuentes de Internet que contienen las mejores prácticas y estándares en la materia, y por último, herramientas de software, como lo es el software Delos, que implementan la teoría, las mejores prácticas y estándares y metodologías

ii


probadas de auditoria que constituyen una guía profesional a la hora de realizar los trabajos relacionados.

En mi experiencia profesional, he tenido la suerte de aplicar estas prácticas y utilizar herramientas de software en la aplicación de auditorias de TI, con resultados ampliamente satisfactorios. También he tenido la satisfacción de compartir los conocimientos y experiencias en la impartición de materias tales como Administración de la Función Informática, Control Interno, Calidad de los Sistemas de Información y la propia Auditoria de Tecnología de Información, por lo que he comprobado que esta combinación de teoría, estándares de referencia y su aplicación en la práctica dan como resultado un proceso sólido de aprendizaje que viene a reforzarse aún más con el modelo educativo adoptado por la UACH y sobre el cual está elaborada la presente guía.

iii


El modelo educativo de la UACH

El modelo educativo de la UACH se sustenta en tres ejes: la educación basada en competencias, la flexibilidad curricular y los procesos educativos centrados en el aprendizaje.

Lo anterior en su conjunto plantea el desarrollo de prácticas educativas orientadas, básicamente hacia:

1. La interdisciplina.2. El trabajo grupal.3. El conocimiento aplicado a realidades concretas.4. El papel del docente como coordinador y facilitador del aprendizaje.5. La participación activa del estudiante en su proceso de formación.

Este modelo plantea la necesidad de transformar el trabajo académico mediante su participación e interacción con base en la reflexión cotidiana en el terreno científico, social, humanístico y cultural. En ese sentido, para la UACH esta reflexión permanente significa el repensarse como Universidad, orientar sus tareas y relaciones institucionales desde perspectivas innovadoras.

En el modelo educativo se considera la idea de que la realidad es un tejido de relaciones complejas, la cual no es posible hacer acercamientos precisos a partir de materias o asignaturas aisladas, sino mediante objetos de estudio, concebidos como parte de un espacio problematizado y socialmente definido. Estos objetos de estudio, por el carácter de su relación con la sociedad los entendemos como competencias a desarrollar mediante la adquisición de conocimientos, habilidades y actitudes estrechamente ligadas.

El concepto de competencias no se limita a un nivel únicamente cognitivo, pues esto nos conduciría a aislarlo del medio, sino que es necesario incorporarlo en este proceso formando aspectos procedimentales y actitudinales también la universidad, al buscar su vinculación con la sociedad mediante el trabajo por competencias, proporcionando al conocimiento una dimensión histórica y social mas relevante, con la idea de que toda acción de transformación necesariamente atraviesa por el proceso de producción en su totalidad.

Entender así el proceso de conocimiento obliga a la universidad a estructurar sus actividades en torno a las competencias que habrán de desarrollar los estudiantes, partiendo del trabajo con objetos de estudio. Para ello considera importante problematizar los objetos de estudio para abordarlos en forma consistente. Así el modelo educativo, al operar por competencias crea las condiciones para que el proceso de aprendizaje sea fundamentalmente activo, interdisciplinado y

iv


crítico. Con esto se busca construir un nuevo concepto de prácticas educativas, al redefinir el papel del mundo y del maestro.

Es necesario apreciar al modelo educativo en un constante proceso de cambio y retroalimentación de aportaciones entre estudiantes y docentes. Este modelo tiene la virtud de crear nuevos acercamientos metodológicos para su mejor funcionamiento.

La idea central del modelo educativo en cuanto al aprendizaje, se ubica en el tratamiento de situaciones problemáticas abiertas y de interés para el alumno, mediante las cuales estos puedan participar en la construcción de los conocimientos.

La importancia de situar al aprendizaje a partir del tratamiento de situaciones problemáticas es congruente con el enfoque de la educación basada en competencias y aparece como una de las implicaciones mas trascendentales de las concepciones actuales sobre la construcción del conocimiento.

v


Las áreas de formación en la UACH

La UACH, como diversas instituciones educativas superiores, ha incorporado la idea de áreas de formación que incluyen los principios básicos y profesionales de las carreras que el estudiante cursa, este enfoque no significa enciclopedisimo, sino principios científicos universales, formas generales de razonamiento y de trabajo grupal, así como de conocimiento de diversos lenguajes a través de los cuales se puede comunicar un estudiante.

Uno de los problemas a los que se enfrenta la enseñanza universitaria es la rápida obsolescencia de la formación especializada, debida entre otras cosas a los continuos avances tecnológicos y a la gran cantidad de producción científica. Resulta prácticamente imposible formar profesionales con técnicas o paquetes de computo que en pocos años son superados por nuevas mas eficientes tecnologías, y el terreno laboral a una virtual discapacitación por el efecto de una formación profesional caduca de principio. Una formación generalista permitiría una adaptación permanente a las nuevas formas de trabajo y de nuevas tecnologías.

La áreas de formación básica y profesional son un respuesta curricular para la formación de profesionales bajo una nueva forma de construir conocimientos, en los nuevos patrones de indagación social y de investigación científica. La idea básica de las áreas de formación es la de construir situaciones de aprendizaje, en las cuales los estudiantes logren estructurar sus conocimientos de manera integrada y no acumulativa.

Por otro lado, estudios sobre el desempeño profesional por competencias muestran que este enfoque resulta novedoso para la formación profesional. En el terreno laboral los empleados señalan continuamente que sólo se aprende en la práctica, sólo sé conocen las posibilidades y los limites reales de la formación profesional en el trabajo mismo. Los individuos definen o fortalecen su vocación la mayoría de las veces, mediante la experiencia laboral, por un lado, y las oportunidades reales de empleo por otro; incluso entre más se escala en los estratos laborales, las tareas tienden hacerse más administrativas y relacionadas con el manejo de personal, lo cual exige habilidades diferentes a las que fueron enseñadas en la universidad como: el liderazgo, la expresión de las ideas, el equilibrio de conflictos, la recopilación de la información para comunicarse verbalmente y actitudes como el buen trato personal, autoestima, versatilidad, entre otras.

vi


Además, los retos a los que se enfrentarán los profesionales en el presente Siglo se dan en el contexto de una serie de exigencias de la sociedad nacional e internacional. Los problemas de los países latinoamericanos y otras regiones del mundo, como: pobreza, epidemias, descomposición social, contaminación regional, y global, deterioro del medio ambiente, disminución de los recursos no renovables requieren soluciones creativas, incluso superiores a las planteadas hasta ahora como alternativas. Estos retos desafían a los profesionales de las distintas áreas del conocimiento.

Ante esta perspectiva las áreas de formación básica y profesional se abocan en mayor medida al desarrollo de competencias (conocimientos, habilidades, actitudes y valores), más que dar a conocer los contenidos de las diferentes disciplinas.

vii


El área de formación Profesional y el curso de Auditoria de Tecnología de Información

Este Curso de Auditoria de Tecnología de Información está diseñado para ser impartido a los alumnos en el penúltimo semestre de la carrera de Licenciados en Sistemas de Computación Administrativa, en conjunto con materias como Política Informática y previa a Dirección Estratégica de TI, y su objetivo es profundizar en un área de la administración de las Tecnologías de Información que es indispensable en los niveles de importancia que tanto la información como su manejo automatizado a través de la Informática y la Telecomunicaciones han adquirido para las empresa, organizaciones y la sociedad en general.

La materia aborda la problemática de evitar los riesgos inherentes al manejo de la información a través de los Sistemas de Información y los equipos de computo y comunicaciones que los soportan, todo a través de la identificación, análisis y comprensión de los elementos de control que permiten minimizar los riesgos, los modelos de referencia que tipifican los controles y la metodología adecuada a cada caso en el que se desea asegurar la operación de las organizaciones en cuanto a las Tecnologías de Información.

El curso busca que el alumno ubique la Auditoria de Tecnologías de Información:

a) Como un área de desarrollo profesional individualb) Como una herramienta coadyuvante en el logro de los objetivos y

en la administración de las Tecnologías de Información en las organizaciones.

Los propósitos del curso son:

Entender la necesidad de la Auditoria de Tecnologías de Información como medio de aseguramiento del control en la administración de las organizaciones.

Ubicar la Auditoria de TI dentro de los objetivos y metas de la organización desde un punto de vista estratégico.

Identificar los elementos teóricos que intervienen en la disciplina de auditoria y su relación con la Auditoria de Tecnologías de Información.

viii


Identificar los Modelos de Referencia, las Metodologías y las Herramientas que apoyan la actividad de Auditoria de TI.

Aplicar en la práctica la teoría, los Modelos de Referencia y las Herramientas a través de la selección y aplicación de una Metodología de Auditoria de TI en una organización de la vida real.

Para cubrir estos propósitos, el curso de ha organizado en 8 objetos de estudio:

Objeto de Estudio 1: Introducción a la Auditoria de TI Empresas y Organizaciones y el Proceso Administrativo Planeación Estratégica en Empresa y Organizaciones Tecnología de Información en Empresas y Organizaciones Auditoria y Auditoria de Tecnologías de Información

Objeto de Estudio 2: Análisis del Riesgo Riesgo de Negocios Impacto del Riesgo de Negocios

Objeto de Estudio 3: Control Interno y Auditoria de TI Control Interno en el logro de los objetivos de la organización Control Interno y Control Interno de TI Clasificaciones del Control Interno Control Interno y Auditoria de TI Areas Funcionales de TI y Controles Internos por área

Objeto de Estudio 4: Principios y Códigos de Auditoria de TI Código de Etica y Auditoría de TI Principios de aceptación general en Auditoria de TI

Objeto de Estudio 5: Areas de TI a auditar y Modelos de Referencia

Areas Funcionales de TI Modelos de Referencia aplicables a la Auditoria de TI

Objeto de Estudio 6: Metodología de Auditoria de TI Metodologías de Auditoria de TI Técnicas y Herramientas del Auditor de TI Fases de la Metodología de Auditoria de TI

ix


Objeto de Estudio 7: Informe de la Auditoria de TI Importancia del Informe de la Auditoria de TI Contenidos del Informe de Auditoria de TI

De acuerdo con la necesidad de aplicar en la práctica la teoría y las metodologías y herramientas de Auditoria de TI, en cada objeto de estudio, dentro de las Actividades de Aplicación se programan acciones en las que el alumno pone en práctica la teoría y utiliza las herramientas de que dispone, de manera que al final del curso, además de los conocimientos de la materia habrá experimentado su aplicación en la vida real formalizando una auditoria de TI desde su solicitud en la organización, hasta el informe final de la misma.

x


Lineamientos básicos

Las actividades que aquí se sugieren realizar tienen un carácter eminentemente propositivo, en cuanto a que están orientados a delinear una estrategia de trabajo sistemático, sobre todo por la posible complejidad que pudieran presentar algunas de las lecturas incluidas.

Se procede primero a una exposición general de las actividades que ese espera desarrollar y enseguida las instrucciones específicas sobre los productos que se esperan alcanzar.

Secuencia General de Trabajo.

Desde el inicio del curso debe tener presente que trabajará con dos sentidos, por un lado, el trabajo sobre las actividades previas y sobre los contenidos; a partir de un conjuntos sistemático de lecturas clasificadas por objeto de estudio y por otro sobre las actividades de aplicación y de integración (Evidencias de Desempeño) que permitirán su producción y la exhibición de las evidencias de aprendizaje de la competencia adquirida.

En consecuencia, la demanda será realizar un trabajo en dos sentidos: el análisis sistemático de los textos y, la producción paralela, de su propia interpretación a partir de procesos constructivos, individual y de grupo.

Esto significa que las actividades de aplicación e integradoras y sus productos para cada objeto de este estudio tendrán que estar orientadas siempre a la continua producción.

Las Actividades Integradoras y el Caso Integrador serán el motivo principal de evaluación que le permitirá acreditar el módulo, de igual manera se evaluarán los procesos de desarrollo de las actividades propuestas en cada objeto de estudio.

Instrucciones especificas.

Con el propósito de avanzar sistemáticamente y de acuerdo a las instrucciones señaladas arriba, se proporcionarán las siguientes instrucciones, las cuales no representan el seguir un proceso rígido de estudio, sino una guía que ha

xi


mostrado su eficacia para enfrentare con problemas complejos y discursos difíciles; además de que están en relación directa con la finalidad del módulo, el logro de los objetivos y la realización de actividades y sus productos.

Actividades para desarrollar los objetos de estudio general.

En algunos objetos de estudio se encontrará ante la necesidad de realizar alguna(s) actividad(es) previa especifica. Si embargo, al trabajo de análisis que deberá construir a lo largo del curso, se le sugiere para cada objeto de estudio: iniciar con una actividad básica que es una reflexión descriptiva y ordenada de su propio proceso de conocimiento y, por el trabajo de análisis sistemático de los textos. Con esto queremos decir, que las lecturas no son el fin en si mismas y contenidos centrales de los objetos de Estudio. Partimos de que los textos son pre-textos para proceder a cualquier análisis y reflexión.

Entendemos que cada uno de nosotros tiene una manera particular de estudiar y aprender. De todas formas se recomienda revisar lecturas donde pueda encontrarse diferentes opciones para el análisis de un texto (mapas o esquemas conceptuales, cuadros sinópticos, etc., así como recursos técnicos para elaborar notas bibliográficas y de producción de escritos).

Para realizar dichas actividades:

1.1. Lea con cuidado los resultados de aprendizaje, actividades y contenidos que se proponen para cada objeto de estudio en este modulo, analícelos y cotéjelos y compleméntelos. Revise también sin detenerse, las actividades para construir las evidencias integradoras de desempeño del objeto de estudio que aparecen en esta guía. Todo lo anterior permitirá ubicarse ante la información y tener la claridad sobre lo que se esta buscando.

1.2. En la antología se sigue un orden de lecturas de acuerdo a una clasificación que obedece a la estructura lógica del módulo. Si usted pretendiera proceder de otra manera, le recomendamos respetar dicho ordenamiento y secuencia. Se le sugiere también no dejar de analizar párrafos, ideas, preguntas, etc., que están contenidas en las lecturas.

Con ellas pueden ir elaborando notas de trabajo y bibliográficas que puedan ser de utilidad para la fundamentación de sus propios argumentos. El secreto esta en identificar que aspectos de estos pueden servirle. De otra manera acumulará información sin sentido.

xii


Si algún autor, lectura o problema le motiva ampliamente, no dude en investigar la obra completa, el libro u otras referencias bibliográficas. Realice sus propias búsquedas y/o busque asesoría.

1.3. Para lograr mayor claridad en las lecturas e ir estableciendo conexiones para la elaboración de la actividad integradora o evidencia integradora del desempeño puede recurrir a la estrategia metodológica, que puede darle buenos resultados. En este caso particular lo que se propone es que, después de haber analizado una lectura o grupo de ellas, intente formular o identificar el aprendizaje principal que usted reconoce para si mismo y su estudio.

Tal aprendizaje generalmente es de carácter analítico y puede contener múltiples aspectos relacionados. Lo importante es que visualice la enseñanza adecuada que le permita fundamentar sus ideas e identificar los espacios vacíos y las dificultades no resueltas o bien, para contar con los elementos que permitan ir configurando sus estrategias de trabajo.

xiii


Objeto de estudio 1

Resultados de aprendizaje

Recordar Información general de una Empresa. Conocer conceptos generales de Planeación Estratégica. Identificar y conocer los conceptos generales de Auditoria de Tecnología

de Información (TI)

PREGUNTAS GUÍA

¿Por qué es importante realizar Auditorias de Tecnología de Información? ¿Qué relación tiene la Planeación Estratégica y la Auditoria de TI?

Sesión presencial 1LA EMPRESA Y LA TECNOLOGÍA DE INFORMACION

A.ACTIVIDADES PREVIAS

Da respuesta a las siguientes preguntas.

¿Qué es una Empresa?¿Cuáles son las etapas del Proceso Administrativo?¿Qué es la Tecnología de Información?

B.ACTIVIDADES SOBRE LOS CONTENIDOS

1


Busca en páginas de Internet y en la bibliografía recomendada en el programa lo siguiente:

o Definición de Empresa.o Actividades de las fases del Proceso Administrativoo Definición de Tecnología de Información.o Rol de la Tecnología de Información dentro de la Empresa.

C.ACTIVIDADES DE APLICACIÓN.

Elabora en un procesador de palabras un documento que contenga una lista con por lo menos 10 servicios de TI.

Sesión presencial 2PLANEACIÓN ESTRATÉGICA Y LA AUDITORIA



¿Qué entiende por Planeación Estratégica?¿Cuáles son las elementos principales de la Planeación Estratégica? ¿Cómo se relacionan la Planeación Estratégica y la Auditoria?



o Definición de Planeación Estratégica.o Definición de Misión.o Elementos que debe contener una Misióno Definición de Visión.o ¿Qué es un Objetivo de Negocio?o Tipos de Objetivos de Negocio

2


o ¿Que es una Meta de Negocio?o ¿Qué son los factores Críticos de Éxito?


Elabora en un procesador de palabras un documento que contenga :

o Tres ejemplos de Misión empresariales.o Tres ejemplos de Visión empresariales.o Una lista de 10 ejemplos de Objetivos de Negocio.o Una lista de 10 ejemplos de Metas de Negocio.o Una lista de 10 ejemplos de Factores Críticos de Éxito.o Un Diagrama de cómo se relacionan los conceptos anteriores.

Identifica y selecciona una empresa de la localidad, en la cual puedas efectuar en equipo una auditoria de TI. La empresa seleccionada deberá contar por lo menos con una organización de sistemas con 5 personas especialistas en TI.

Sesión presencial 3AUDITORIA DE TECNOLOGÍA DE INFORMACION


Reúnete en equipo, analiza y responde las siguientes preguntas, participa en la discusión a fin de concretar una respuesta de equipo:

¿Cual es la función principal de una Auditoria?¿Cuál es la diferencia entre Auditoria y Consultoría?¿Por qué razón llevarías a cabo una auditoria?


De la bibliografía especificada en el Programa realiza un resumen de los siguientes temas:

3


o Qué es auditoria?o Qué es consultoría?o Qué es auditoria de TI?o Objetivos generales de la auditoriao Justificación para llevar a cabo una auditoriao Qué tipos de auditoria existen?

C.ACTIVIDADES DE APLICACIÓN

Elabora en equipo una carta de solicitud a la empresa seleccionada para realizar la auditoria, dirigida al titular del área de sistemas. El documento deberá tener la siguiente información:

o Fecha.o Solicitud.o Objetivo de la Auditoria.o Tipo de Auditoriao Período de duración de la Auditoria.o Compromisos por parte de los auditoreso Firma de los integrantes del equipo.

D. EVIDENCIA INTEGRADORA DEL DESEMPEÑO

Elabora un ensayo, el cual será trabajado de manera personal, de una cuartilla, donde expongas la importancia de la Auditoria de Tecnología de Información, sobre todo identificando los beneficios de la misma con respecto a la Planeación Estratégica.

Entrega la carta de Solicitud de Auditoria a la empresa, con un contrarrecibo, el cual deberá ser firmado de recepción y aceptación por parte de la empresa.

4


Objeto de estudio 2


Evaluación de los Procesos de Administración del Riesgo de Negocios Análisis de los diferentes impactos del Riesgo

Preguntas guía

¿Qué es el Riesgo de Negocios?¿Cuáles son los diferentes impactos de Riesgo en los Negocios?

Sesión presencial 4PROCESO DE ADMINISTRACIÓN DEL RIESGO



¿Qué es un Riesgo?Evalúa los diferentes Impactos del Riesgo


De la bibliografía especificada en el Programa identifica diferentes conceptos de Riesgo y elabora una Mapa mental del mismo.

Así mismo de la bibliografía referida realiza un resumen de los siguientes temas:

o Evaluación de los Procesos de Administración de Riesgos del Negocio

o Relación de los diferentes elementos del Riesgo

5


o ¿Qué es un Activo?o ¿Qué es una Amenaza?o ¿Qué es Vulnerabilidad?o ¿Qué es Impacto?o Clasificación de Riesgos


Elabora en un procesador de palabras un documento que contenga :

o Cinco ejemplos de Activos típicos asociados con TI.o Cinco ejemplos de Amenazas que pueden afectar los Activos de TI.o Cinco ejemplos de Vulnerabilidades de TI.o Diez ejemplos de impactos de Riesgo.o Tres ejemplos por cada tipo de Riesgo.


De la empresa seleccionada para realizar la Auditoria de TI, elabora un documento que contenga los principales activos de TI, identificados en la organización de sistemas de la misma.

6


Objeto de estudio 3


Describir los términos fundamentales de Control Interno, así como su orientación a TI.

Identificar los objetivos y clasificación del Control Interno aplicados a la empresa y a la TI.

Describir el papel de Control Interno así como el de Auditoria de TI. Identificar los procedimientos de Control de TI. Evaluar la importancia del Control Interno en el logro de las estrategias

de la empresa.

Sesión presencial 5CONTROL INTERNO

PREGUNTAS GUÍA

¿Qué se entiende por Control Interno?¿Por qué es importante la aplicación de controles internos en las empresas y en la TI?

D.ACTIVIDADES PREVIAS

De respuesta a los siguientes preguntas:

o ¿Que es Control Interno?o ¿Quienes son los encargados de llevar el Control Interno y que

tipos de controles existen?o ¿Cuál es la diferencia entre Control Interno y Auditoria de TI?

E. ACTIVIDADES SOBRE LOS CONTENIDOS

7



o ¿Quiénes son los interesados en el Control? o ¿Qué es control interno? – Varias definicioneso ¿Cuáles son los objetivos de Control Interno?o Clasificación del Control Interno.

Controles Preventivos. Controles Detectivos. Controles Correctivos. Controles Proactivos.

o El Control Interno Vs Auditoria.

F. ACTIVIDADES DE APLICACIÓN.

Enlista 10 ejemplos de cada uno de los Controles: Preventivos, Detectivos, Correctivos y Proactivos.


Elabora un cuadro sinóptico relacionando a los interesados de los controles con cada tipo de control que aplica según la clasificación de controles.

Sesión presencial 6CONTROL INTERNO DE TI


De respuesta a los siguientes preguntas:

¿Por qué es importante el control interno informático?¿Que objetivos tiene el Control de TI?¿Qué es un procedimiento de Control?

8


¿De que forma se relaciona el Control Interno con las Estrategias de la empresa?


Elabora un resumen de los siguientes temas:

o ¿Qué es el Control Interno Informático? o ¿Cuáles son los objetivos del Control de TI?o Definición de procedimientos de Control.o Definición de procedimientos de Control de TI. o Alineación del Control Interno a la Estrategia de la empresa.


Enlista las funciones del Control Interno Informático.


Evaluación parcial. Elabora un documento de los procedimientos de Control de TI que

pueden existir en la empresa seleccionada para realizar la auditoria. Realiza un ejercicio en el cual expliques como los procedimientos de

Control Interno se alinean a las estrategias de la empresa.

9


Objeto de estudio 4


Relacionar el Código de Etica de TI con la Auditoria de TI Identificar y analizar los Principios aplicables a la Auditoria de TI

Preguntas guía

¿Cuál es la importancia de los Códigos de Etica en la Auditoria?¿Cuales son los Principios que rigen en la Auditoria de TI?

Sesión presencial 7RESPONSABILIDADES DEL AUDITOR



¿Qué es un Código de Etica?¿Por qué es importante?


Define los siguientes conceptos:

10


o Código de Eticao Auditoro Responsabilidado Compromiso

Del libro Auditoría Informática – Un Enfoque Práctico y de la página de Internet www.ethics.com, elabora un resumen de los siguientes temas:

o Responsabilidades del Auditor o Importancia de Códigos de Etica en la Auditoria.o Principales aspectos éticos relacionados con la Auditoria de TI.


Elabora un documento en un procesador de palabras en el que señales los diez aspectos que te parecieron mas importantes del Código de Etica del Auditor.

Sesión presencial 8PRINCIPIOS DE AUDITORIA DE TI



¿Qué es un Principio?¿Qué Principios consideras sean incluidos en la Auditoria de TI?


Define que es un Principio

Del libro Auditoria Informática – Un Enfoque Práctico, elabora un resumen de cada uno de los siguientes Principios de Auditoria de TI:

o Beneficio del auditadoo Capacidad

11

http://www.ethics.com/


o Cautelao Comportamiento Profesionalo Concentración en el trabajoo Confianzao Criterio Propioo Discrecióno Economíao Formación continuadao Respeto de la Profesióno Independenciao Información suficienteo Integridad Moralo Legalidado Libre Competenciao No discriminacióno No injerenciao Precisióno Publicidad Adecuadao Responsabilidado Secreto Profesionalo Servicio Públicoo Veracidad


Elabora un documento en un procesador de palabras, donde señales lo siguiente:

o Los cinco Principios, que en tu opinión, el es mas fácil el auditor llega a cometer errores.

o Tus conclusiones respecto al tema.


Aplica el conocimiento adquirido en este Objeto de Estudio, redactando por equipo un documento en un procesador de palabras, donde describas las responsabilidades que tendrás como auditor durante la auditoria que llevaran a cabo en la empresa seleccionada.

12


13


Objeto de estudio 5


Identificar los diferentes procedimientos de control a evaluar, por Area funcional de TI, las cuales son susceptibles de auditar.

Identificar y analizar los diferentes Modelos de Referencia aplicables a ciertas áreas funcionales de TI.

Preguntas guía

¿Qué procedimientos de control son prioritarios a evaluar, por área funcional de TI,

susceptible de ser auditada?

¿Qué Modelos de Referencia existen para ser aplicados a ciertas áreas funcionales

de TI y en que consisten?

Sesión presencial 9AREAS DE TI A AUDITAR

A. ACTIVIDADES PREVIAS


¿Qué áreas funcionales de TI conoces?¿En tu opinión cuales son prioritarias para ser auditadas?

14


¿Qué es un Procedimiento de Control?

B. ACTIVIDADES SOBRE LOS CONTENIDOS

Investiga en el libro de Auditoria Informática – Un enfoque práctico, las siguientes áreas funcionales de TI:

o Administración de la Función Informáticao Dirección Estratégica de TIo Desarrollo de Sistemaso Mantenimiento o Redeso Aplicacioneso Base de Datoso Operacioneso Centros de Computoo Calidad

Elabora en un procesador de palabra un documento que contenga lo siguiente:

o En que consiste cada área funcional de TI.o Un resumen de los aspectos que deben ser revisados por cada una

de las áreas funcionales de TI

C. ACTIVIDADES DE APLICACIÓN

De la Guía de Procedimientos de Control del Software Delos, elabora en un procesador de textos un documento donde identifiques, agrupes y analices, cada uno de los procedimientos de Control por área funcional de TI.

Sesión presencial 10MODELOS DE REFERENCIA

15



Da respuesta a las siguientes preguntas:

¿Qué entiendes por un Modelo de Referencia?¿Qué Modelos de Referencia conoces para TI y como crees apliquen a la Auditoria de TI?¿Cómo considerarías el ISO 9000 como Modelo de Referencia para Auditoria de TI?


Realiza un investigación en las siguientes direcciones de Internet: www.isaca.org, www.itil.co.uk y elabora en una presentación por equipo y presenta en clase cada uno de los Modelos de Referencia COBIT e ITIL incluyendo un cuadro de análisis de su aplicación a la auditoria de las áreas funcionales de TI.

Investiga en Internet los estándares ISO/IEC 17799 e ISO/IEC 27001 y elabora una presentación por equipo y presenta en clase cada uno de los estándares incluyendo una conclusión de su aplicación a la auditoria de las áreas funcionales de TI.

Investiga en Internet los modelos CMM y MOPROSOFT y elabora una presentación por equipo y presenta en clase cada uno de los modelos incluyendo una conclusión de su aplicación a la auditoria de las áreas funcionales de TI.


De la documentación del Software Delos identifica el o los Modelos de Referencia que este software utiliza en su diseño e implementación y elabora en un procesador de textos un documento donde relaciones los elementos del software con el o los Modelos de Referencia y Estándares aplicados así como un estimado porcentual de la cobertura en el software de los modelos y estándares analizados.

16

http://www.itil.com.uk/

http://www.isaca.org/



Elabora un ensayo sobre Modelos de Referencia para la Auditoria de TI y publícalo en Internet.

Selecciona de la Guía de Procedimientos de Control del Software Delos, los que aplican a la Auditoria de TI que vas a realizar en la empresa seleccionada.

Evaluación parcial.

17


Objeto de estudio 6


Identificar y conocer las diferentes Metodologías de Auditoria de TI.

Conocer y analizar las diferentes Técnicas y Herramientas del Auditor.

Conocer y analizar los diferentes conceptos utilizados en la Metodología de TI.

Selección de una Metodología de Auditoria de TI, conocer y comprender a detalle cada una de sus fases.

Preguntas guía

¿Qué Metodologías de Auditoria de TI existen?

¿Qué diferencias existen entre ellas?

¿En que consisten cada una de las fases de la Metodología de Auditoria tales

como: Definición, Análisis, Evaluación y Conclusión?

Sesión presencial 11 METODOLOGÍA DE AUDITORIA DE TI



¿Qué es una Metodología?

¿Qué es una Metodología de Auditoria de TI?

18


¿Porqué son importantes?

¿Conoces alguna Metodología de TI?


De la bibliografía seleccionada en el Programa del Temario, investiga los diferentes temas que se mencionan a continuación y elabora un documento que incluya lo siguiente

o ¿Qué es una Metodología?o ¿Porqué son necesarias las Metodologías?o Elabora una recopilación de diferentes Metodologías que existen

para llevar a cabo una Auditoria de TI, y elabora un resumen de cada una de ellas.


Reúnete en equipo y comenta y analiza las diferentes Metodologías de Auditoria de TI encontradas y elabora en equipo en un procesador de palabras un documento que contenga:

o Las principales semejanzas y diferencias que encontraron entre las diferentes Metodologías.

o Selecciona y justifica cual de las Metodologías analizadas te parece más completa y práctica para llevar a cabo un auditoria.

Sesión presencial 12TÉCNICAS Y HERRAMIENTAS DEL AUDITOR



¿Qué Técnicas de Auditoria conoces?¿Qué Herramientas de Auditoria identificas?

19



De la bibliografía especificada en el Programa de la materia, y diferentes sitios de internet investiga y realiza un resumen de los siguientes temas:

o ¿Qué es una Técnica?o ¿Cuáles son y en que consisten las Técnicas de Auditoria?o ¿Qué es una Herramienta?o ¿Cuáles son y en que consisten las Herramientas de Auditoria?o ¿Cómo puede funcionar una herramienta de software para realizar

auditorias de TI?o ¿Qué es una Evidencia?o ¿Qué es un Hallazgo?o ¿Qué es una Fortaleza?o ¿Qué es una Area de Oportunidad o Propuestas de Valor?o ¿Qué son Fuentes de Auditoria?o ¿Qué es un Objeto de Auditoria?


En un procesador de palabra elabora un documento que contenga lo siguiente:

o Diez ejemplos de evidencias de Auditoria de TI.o Diez ejemplos de Hallazgos.o Cinco Areas de Oportunidad o Propuestas de Valor.o Cinco ejemplos de fortalezaso Cinco ejemplos de documentos fuente de Auditoria de TI.o Cinco ejemplos de fuentes de Auditoriao Cinco ejemplos de objetos de Auditoria.o Beneficios de usar un software como herramienta para llevar a

cabo auditorias.

Sesión presencial 13FASES DE AUDITORIA - DEFINICION

20




¿Cuáles son las fases de Auditoria?¿Cuál es el propósito de la fase de Definición?¿Qué actividades se llevan a cabo en esta fase?


De la bibliografía especificada en el Programa de la materia, investiga y realiza un resumen de los siguientes temas:

o Propósito de la Definición de la Auditoria de TI.o En que consiste y que información se recaba a detalle en cada una

de las actividades de la Etapa de Definición: Definición de Alcance Recabar Información General de la Empresa Recabar Información del área de sistemas Definición del enfoque de la auditoria Definición del objetivo de la auditoria Planeación de la auditoria

C. ACTIVIDADES DE APLICACIÓN.

En un procesador de palabra elabora en equipo un documento que contenga lo siguiente:

o Describe a detalle los documentos que recabarás en esta etapa de la auditoria.

o Analiza los documentos y escribe que aspectos revisaras en cada uno.

o Realiza un ejercicio de cómo planearías una Auditoria, con cada una de los pasos necesarios a calendarizar y con la relación de tiempos estimados.

21


Sesión presencial 14FASES DE AUDITORIA - ANALISIS



¿Cuál es el propósito de la fase de Análisis?¿Qué actividades se llevan a cabo en esta fase?


De la bibliografía especificada en el Programa de la materia, investiga y realiza un resumen de los siguientes temas:

o Propósito del Análisis de la Auditoria de TI.o En que consiste a detalle cada una de las actividades que se

realizan en la Etapa de Análisis: Identificar procedimientos de control. Obtener información detallada. Valoración.



o Los procedimientos de control que aplicarían con base el enfoque de la auditoria.

o Los procedimientos de control que aplicarían con base al objeto de la auditoria.

o Elabora los cuestionamientos que harás por procedimiento de control, lo anterior para recabar la información detallada.

22


Sesión presencial 15FASES DE AUDITORIA - EVALUACION



¿Cuál es el propósito de la fase de Evaluación?¿Qué actividades se llevan a cabo en esta fase?


De la bibliografía especificada en el Programa de la materia, investigue y realiza un resumen de los siguientes temas:

o Propósito de la fase de Evaluación de la Auditoria de TI.o En que consiste a detalle cada una de las actividades que se

realizan en la Etapa de Evaluación: Elección y Aplicación de Pruebas de Auditoria Calificación de pruebas Evaluación de Objetivos de Control


Reúnete en equipo, y aplica como un ensayo entre los integrantes del equipo los cuestionamientos elaborados en la fase anterior, de la información recabada del ensayo, identifica las respuestas no adecuadas a los procedimientos de control evaluados y aplica las pruebas respectivas con el objeto de confirmar la información obtenida con respecto a al objetivo de control.

23


Sesión presencial 16FASES DE AUDITORIA - CONCLUSION



¿Cuál es el propósito de la fase de Conclusión?¿Qué actividades se llevan a cabo en esta fase?


De la bibliografía especificada en el Programa de la materia, investigue y realiza un resumen de los siguientes temas:

o Propósito de la fase de Conclusión la Auditoria de TI.o En que consiste a detalle cada una de las actividades que se

realizan en la Etapa de Conclusión: Determinar el impacto en Objetivos de Negocio Elaborar Propuestas de Valor Elaborar Informe de auditoria Dar Seguimiento a Propuestas de Valor



o Reúnete en equipo, y analiza el impacto de los resultados del ensayo aplicado en la fase anterior y propón ejemplos de lo que serían propuestas de valor o áreas de oportunidad con respecto al logro del objetivo de control.

24



Elabora en un procesador de palabra un documento que contenga la siguiente información con respecto a la Auditoria que realizaran en equipo en la empresa seleccionada:

o Definición del Alcance de la Auditoria.o Definición el Enfoque.o Definición del objeto de Auditoria. o Lista de los procedimientos de control que revisarás de acuerdo al

enfoque y objeto de la auditoria.o Aplica los cuestionamientos planteados en la etapa de Análisis,

valora la información obtenida y escribe las respuestas por procedimientos de control.

o De la información recabada en el punto anterior, identifica las respuestas no adecuadas a los procedimientos de control evaluados y aplica las pruebas respectivas con el objeto de confirmar la información obtenida con respecto al logro de los objetivo de control especificados al inicios de la Auditoria.

o Escribe los hallazgos encontrados una vez aplicados las pruebas de Auditoria.

o Analiza los resultados obtenidos en el punto anterior y escribe lo que serían propuestas de valor con respecto al logro del objetivo de control, establecido al inicio de la auditoria.

o Evaluación Final.

25


Objeto de estudio 7


Identificar y conocer la información que contiene el Informe de Auditoria de TI

Preguntas guía

¿Qué es un Informe de Auditoria?

¿Qué información contiene el Informe final de Auditoria de Tecnología de

Información?

Sesión presencial 17 INFORME DE AUDITORIA


Da respuesta a las siguiente pregunta:

¿Qué es un Informe de Auditoria?


De la bibliografía seleccionada en el Programa del Temario, y en diferentes sitios de Internet investiga los diferentes contenidos que puede tener un Informe de Auditoria de TI. Elabora un documento que incluya un resumen de los siguientes temas:

o ¿Qué es un Informe?o ¿Qué es un Informe de Auditoria de TI?

26


o ¿Qué información debe contener una Introducción?o ¿Qué información debe contener un propósito?o Elabora un resumen de la siguiente información que debe de

contener el Informe: Resumen Ejecutivo:

Fecha del Informe Introducción. Propósito Definición de la Auditoria

o Perfil de la Empresao Confirmación Estratégicao Perfil del área de TI de la empresao Confirmación estratégica de TI

Alcance y Enfoque del Auditoria Metodología Resultados de la Evaluación

o Fortalezaso Areas de Riesgoso Hallazgoso Areas de Oportunidad

Conclusiones Documentación de Trabajo (Evidencias)


Elabora en un procesador de palabra los siguientes documentos:

o La carta donde el auditor, en este caso cada equipo que realizara una Auditoria en una empresa, donde entrega formalmente el Informe de Auditoria.

o Elabora la Introducción del Informe de Auditoria.o Elabora el Propósito del Informe de Auditoria.


Con la información obtenida , analizada y evaluada en el objeto anterior de la empresa seleccionada, elabora por escrito lo siguiente:

o Fortalezas.o Areas de Riesgoo Hallazgos.

27


o Areas de Oportunidado Conclusiones.

Elabora y complementa la documentación que falte para integrar el Informe de Auditoria de TI.

Elabora Informes previos al Informe final, con el objeto d depurar la mayor cantidad de errores.

Entrega el Informe Final de Auditoria de TI, a la empresa. No olvides obtener el contra recibo de la entrega del mismo.

28

UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

CLAVE: 08MSU0017H

FACULTAD DE CONTADURÍA Y ADMINISTARCIÓN

CLAVE: 08USU4054V

PROGRAMA DEL CURSO


DES: Económico-Administrativa

Programa(S) educativos: L.S.C.A.

Tipo de materia: Específica obligatoria

Clave de la materia: N823

Semestre: 8º.

Área en plan de estudios: Formación específica

Créditos: 5

Total de horas por semana: 5

Teoría: Taller: Laboratorio: Prácticas complementarias: Trabajo extra-clase:

Total de horas en el semestre: 80

Fecha de última actualización: Enero 2006

Clave y materia requisito: Ninguna

PROPÓSITO DEL CURSO:Proporcionar al alumno las habilidades necesarias para llevar a cabo una auditoria integral al área de Tecnología de Información en una empresa, detectando las fortalezas y las áreas de oportunidad de mejora de la administración de la función Informática con respecto a los objetivos de la Empresa.

COMPETENCIAS CONTENIDOS RESULTADOS DE APRENDIZAJE

Solución de problemas

Uso de la información

Uso de tecnología

Habilidad de pensamiento

Visión sistémica Trabajo en

equipo Uso de

herramientas matemáticas

Objeto de Estudio 1Introducción a la Auditoria de Tecnologías de Información:

Definición del entorno. o Qué es una

organización?o Qué es administración?o Que es planeación

Estratégica? ¿Cuáles son sus elementos?

¿Qué son las Tecnologías de Información? Y su rol dentro de la empresa.

Qué es auditoria?,¿Qué es consultoría?

Qué es auditoria de TI? Objetivos generales de la

auditoria Justificación para llevar a cabo

una auditoria

Recordar y relacionar la terminología Información general de una Empresa con la Estrategia y la Auditoria.

Conocer conceptos generales de Planeación Estratégica.

Identificar y conocer los conceptos generales de Auditoria de Tecnología de Información (TI).

Qué tipos de auditoria existen?

Objeto de Estudio 2Análisis del Riesgo

¿Qué es un Riesgo? Evaluación de los Procesos de

Administración de Riesgos del Negocio

Elementos del Riesgo ; Activo, Amenaza, Vulnerabilidad, Impacto.

Clasificación de Riesgos Objeto de Estudio 3Control Interno y Auditoria de TI

¿Qué es Control Interno? ¿Cuáles son los objetivos del

Control Interno? Clasificación del Control Interno:

o Controles Preventivoso Controles Detectivoso Controles Correctivoso Controles Proactivos

El Control Interno Vs. Auditoria- libro y curso

¿Qué es Control Interno Informático?

¿Cuáles son los objetivos del Control de TI?

Definición de procedimiento de control

Alineación del Control Interno a la Estrategia de la empresa.

Objeto de Estudio 4Principios y Códigos de la Auditoria de Tecnologías de Información

Responsabilidades del Auditor Importancia de Códigos de Etica

de Auditoria. Identificación y análisis de

Principios aplicables a la Auditoria de TI

Conclusiones

Objeto de Estudio 5Areas de TI a auditar y Modelos de ReferenciaAreas:

Administración de la Función Informática

Dirección Estratégica de TI Desarrollo de Sistemas Mantenimiento

Evaluación de los Procesos de Administración del Riesgo de Negocios.

Análisis de los diferentes impactos de Riesgo

Describir los términos fundamentales de control interno y su orientación a TI.

Identificar los objetivos y clasificación del control interno aplicados a la empresa y a TI.

Describir el papel del control interno, así como el de la Auditoria de TI.

Identificar los procedimientos de control interno de TI.

Evaluar la importancia del control interno en el logro de los objetivos de la empresa.

Relacionar el Código de Ética de TI con la Auditoria de TI.

Identificar y analizar los principios aplicables a la Auditoria de TI

Redes Aplicaciones Base de Datos Operaciones Centros de Computo Calidad

Modelo de Referencia: COBIT ITIL ISO/IEC 17799 e ISO/IEC 27001 CMM MOPROSOFT

Objeto de Estudio 6Metodología de Auditoria de TI

Qué es una Metodología? Por que son necesarias las

metodologías? Análisis de diferentes

Metodologías. Técnicas y Herramientas del

Auditor. Definiciones requeridas en este

objeto: Evidencia, Hallazgo, Área de Oportunidad, Fortaleza.

Análisis de Metodología seleccionada:

o Definición.o Análisis.o Evaluación.o Conclusión.

Objeto de Estudio 7El Informe de Auditoria

Qué es un Informe? ¿Qué es un Informe de Auditoria

de TI? Definición de conceptos del

contenido. Documentación del Informe:

o Resumen Ejecutivoo Documentación de

Trabajo (Evidencias)

Identificar los diferentes procedimientos de control a evaluar, por área funcional de TI, los cuales son susceptibles de auditar.

Identificar y analizar los diferentes Modelos de Referencia aplicables a ciertas áreas funcionales de TI.

Identificar y conocer las diferentes Metodologías de Auditoria de TI.

Conocer y analizar las diferentes Técnicas y Herramientas del auditor.

Conocer y analizar los diferentes conceptos utilizados en la Metodología de TI.

Selección de una metodología de Auditoria de TI,

conocer y comprender a detalle cada una de sus fases.

Identificar y conocer la información que contiene el Informe de Auditoria.

FUENTES DE INFORMACIÓN EVALUACIÓN DE LOS APRENDIZAJES

Auditoria Informática, Un Enfoque práctico, Mario G. Piattini y Emilio del Peso, Alfaomega Ra-Ma, segunda edición, ampliada y revisada.

Auditoria en Sistemas de Computacionales, Carlos Muñoz Razo, Presentice Hall, primero edición 2002.

Administración de la Función Informática, José A. Echenique.

Administración de los Sistemas de Información, Keneth C. Laudon, Jane P. Laudon, Tercera edición.

Administración, Stephen P. Robbins, Mary Coulter

http://www.monografias.com www.ethics.com www.ieee.org www.isaca.org www.itil.co.uk www.sei.cmu.edu/cmmi

Continua: 30%ContinuaCriterios:1. Reportes de trabajo2. Participación en clase3. Micro investigación4. Mapas conceptuales5. Portafolios6. Anecdotarios

Reconocimientos Parciales: 30%Evidencias (Actividades integradoras):

1. Producción de escritos2. Presentaciones3. Avances del Trabajo Integrador final

(Auditoria)

Reconocimiento integrador final: 40%Evidencias: Reportes Trabajo Integrador final Presentaciones diversas (Trabajo integrador

final)

Criterios:Uso y manejo de programas computacionales para la presentación de los trabajos escritos así como de apoyo audiovisual en la exposición de temas.Presentación de sus trabajos apoyándose en

http://www.sei.cmu.edu/cmmi

http://www.itil.co.uk/

http://www.isaca.org/

http://www.ethics.com/

http://www.monografias.com/

materiales audiovisuales incluyendo conclusiones estadísticas cuando

Elaboración: Patricia A. Araiza Zapata, Carmen Gutiérrez Diez, Alma Lilia Sapién Aguilar, Laura Cristina Piñón Howlet, Victor Gallegos Cereceres, Alma Araiza Zapata.

Fecha: Enero 2006

Documents

Guia Auditoria de TI-1