Auditoría Informática

Auditora informtica
Unidad 1. Introduccin a la auditora informtica

Ciencias Exactas, Ingeniera y Tecnologa Ingeniera en Telemtica

Ingeniera en Telemtica

Programa de la asignatura:
Auditora informtica


Clave:

210941038

Universidad Abierta y a Distancia de Mxico

Auditora informtica
1
ndice

Unidad 1. Introduccin a la auditora ....................................................................................................................2
Presentacin de la unidad ..................................................................................................................................2
Propsitos .............................................................................................................................................................4
Competencia especfica .....................................................................................................................................4
1.1. Introduccin a la auditora ..........................................................................................................................5
1.1.1. Definicin y clasificacin de la auditora ...........................................................................................7
Actividad 1. Auditora ....................................................................................................................................... 13
1.1.2. Caractersticas ................................................................................................................................... 14
Actividad 2. Caractersticas de las auditoras .............................................................................................. 15
1.1.3. Uso de tcnicas asistidas por computadora .................................................................................. 15
1.1.4. Responsabilidad del auditor en el descubrimiento de errores y desviaciones ........................ 19
1.2. Normas internacionales y nacionales ................................................................................................ 22
1.2.1. Tipos de normas ........................................................................................................................... 27
1.2.2. Normas actuales ........................................................................................................................... 28
1.2.3. Normas emergentes ..................................................................................................................... 28
Actividad 3. Reporte de normas ..................................................................................................................... 29
1.2.4. Organismos reguladores ............................................................................................................. 29
Actividad 4. Tipos de auditora y distincin de normas ............................................................................... 30
Autoevaluacin .................................................................................................................................................. 31
Evidencia de aprendizaje. Clasificacin de casos ....................................................................................... 31
Autorreflexin .................................................................................................................................................... 32
Cierre de la unidad ........................................................................................................................................... 32
Para saber ms ................................................................................................................................................. 32
Fuentes de consulta ......................................................................................................................................... 33

Auditora informtica
2
Unidad 1. Introduccin a la auditora

Presentacin de la unidad

Hoy en da, la mayora de las organizaciones cuentan con recursos informticos, de redes y servicios
de comunicaciones para el almacenamiento, procesamiento y transmisin de la informacin (datos,
voz, video, etc.). Y dada la apresurada velocidad con que estas tecnologas van surgiendo, nos
comprometen a las reas de TIC (Tecnologas de la informacin y comunicacin) a realizar anlisis y
diseos cada vez ms improvisados que, sin un adecuado plan para que su funcionamiento sea el
mejor, se genera as, un factor crtico para el completo desempeo de todas las reas que involucran
las TIC.

Esta asignatura de Auditora informtica te ayudar a entender mejor, la necesidad de llevar un control
adecuado de la gestin y uso de los recursos por medio de la adecuada revisin y evaluacin de:
Usuarios: quienes distribuyen, procesan la informacin y hacen uso de los servicios de
explotacin final
Sealizacin y control: cuyo enfoque es el procesamiento y la distribucin de la informacin.
Redes y sistemas: administracin de todos los sistemas, infraestructura, servicios y la
interaccin con operadores de las redes de telecomunicaciones de la organizacin

Comisin digital de seales de Espaa. Consultado en: http://www.onthespot.com/file/Infografia__Digital_Signage.pdf

Auditora informtica
3

El alcance de esta asignatura en el contexto de la Ingeniera en Telemtica conlleva un matiz que
pretende visualizar ms all de aspectos relacionados a la Informtica ya que pretende conjuntar
tambin aspectos relacionados a las telecomunicaciones. Para su estudio se iniciar conociendo
aspectos generales de la auditora.

Por lo cual, en esta primera unidad, estudiars la introduccin a la auditora informtica, con subtemas
como: definicin, clasificacin, caractersticas, tcnicas asistidas por computadora, responsabilidad del
auditor en el descubrimiento de errores y desviaciones. Tambin aprenders sobre normas:
internacionales, nacionales, tipos, emergentes y lo referente a organismos reguladores.

Para completar satisfactoriamente la unidad, se recomienda realizar las actividades planteadas, la
evidencia de aprendizaje y autoevaluacin.

Auditora informtica
4

Propsitos

En esta Unidad:

Distinguirs la clasificacin de la auditora
Identificars las caractersticas de las
auditoras
Analizars los tipos de normas y normas
emergentes

Competencia especfica

Distinguir normas y tipos de auditora para identificar su
aplicacin en las diferentes reas de la auditora informtica
sealando las caractersticas y usos de cada una.

Auditora informtica
5
1.1. Introduccin a la auditora

En toda organizacin es de gran importancia la administracin de los recursos de todo tipo, por lo que,
en el departamento de informtica y telemtica sta debe ser una de las prioridades, darle el uso
adecuado a dichos recursos disponibles como lo son: la transmisin de datos, redes, redes de voz, de
video, personas, hardware en general, software, el tiempo y el presupuesto, entre otros. Con la
finalidad de producir una adecuada toma de decisiones para favorecer el logro de los objetivos de la
organizacin.

La informacin desde el punto de vista de la informtica se refiere al conjunto de datos ordenados,
relacionados entre s de acuerdo a cierta lgica, que aporta a la organizacin elementos necesarios
para el cumplimiento de sus metas. Hoy en da, es necesario el uso de un sistema de informacin
para procesar esos datos en informacin relevante en un tiempo apropiado para la toma de decisiones.
A esto se le denomina Procesamiento de datos, que adicionalmente tiene la funcin de distribuir la
informacin generada, asegurndose de que sta llegue a los usuarios apropiados.

Para lograr distribuir la informacin, se requieren redes, los cules se conforman de nodos (de acceso,
de ncleo, de servicios, de almacenamiento masivo y de base de datos), sistemas operativos,
software, etc. Por lo que, resulta necesario dirimir los riesgos intrnsecos de actividades informticas y
telemticas con la finalidad de cuidar en mayor medida toda la inversin realizada en la organizacin
con respecto a las TIC (Tecnologas de informacin y comunicacin).

Otro de los principales recursos son las personas, que apoyados por las TIC pueden atender servicios
que podran ser los siguientes:
Operativos: desarrollo o mantenimiento de sistemas, soporte tcnico, etc.
Tcticos: trabajos particulares para las decisiones de un jefe, entre otros
Funcionales: no estn directamente relacionados con las funciones del rea, sin embargo
aseguran que el personal trabaje adecuadamente, por ejemplo Recursos humanos o
Contabilidad
Atencin a proveedores: aseguran el apoyo al trabajo especializado
Estudio de necesidades y anlisis: es una actividad que puede realizar la direccin de
informtica

Los servicios anteriores pueden a su vez distribuirse de acuerdo a diversas condicionantes que cada
organizacin necesita, tomando en cuenta su tamao y su estructura. Por ejemplo observa las
siguientes estructuras:

Auditora informtica
6

Empresa pequea

Empresa mediana

En cualquier tipo de organizacin, se debe dejar bien establecido cmo debe fluir la comunicacin, las
funciones de cada rol, niveles de autoridad, acceso a la informacin, responsabilidades e
instrucciones.

El tiempo en toda organizacin es un recurso que debe monitorearse y gestionar las desviaciones
cuando estas ocurren, identificar las causas con la finalidad de atender de manera oportuna todos los
compromisos del rea de sistemas y de la organizacin en general.

Por ltimo, otro de los recursos que se debe gestionar es el presupuesto, ya que ser el motor que
dar vida a las actividades planeadas en el departamento de sistemas as como de la organizacin. Si
no se cuenta con un presupuesto realista, se estarn construyendo castillos sobre el hielo, es decir,
ninguna tarea podr ejecutarse como lo esperado, es por ello que se deben realizar planes adecuados,
para poder estimar un presupuesto acorde a las necesidades para el logro de las metas del
departamento y por lo tanto, de la organizacin.

Jefe de informtica
Analistas /
programadores
Operadores
Director de
informtica
Jefe de
Infraestructura
Redes Soporte
Jefe de
Sistemas
Base de datos Operadores
Jefe de
Desarrollo
Analistas Programadores

Auditora informtica
7
Dado lo anterior, es obligatorio tener un adecuado control, para que de manera constante se est
revisando el modo en que se operan los procesos y tener la seguridad de que estos son adecuados o
que se pueden mejorar. Las auditorias forman parte de estos controles que permiten hacer un sondeo
de la realidad as como la medicin de indicadores para monitorear la gestin informtica y sus
procesos.

Hoy en da no es posible una efectiva gestin organizacional sin el beneficio de las herramientas y
procedimientos de control adecuados. Las auditoras convencionales aplicadas a lo contable y
financiero, ahora tambin se tienen que completar con las auditoras informticas y de infraestructura,
con el fin de evitar errores inadvertidos que afecten la inversin de la organizacin.

Por otra parte, debido a que las organizaciones cada vez ms, buscan mantenerse en un nivel de
competitividad y posicionamiento internacional, es necesario demostrar que sus procesos pueden
soportar los rigurosos estndares internacionales, tales como normas de calidad por ejemplo la ISO
(International Organization for Standardization) metodologas orientadas a la bsqueda del cero error
como lo es: 6 - Sigma y especficamente para el rea de desarrollo los modelos de CMMI (Capability
Maturity Model Integration) o PSP (Personal Software Process). Para el rea de soporte e
infraestructura ITIL (Information Technology Infrastructure Library) o bien para el rea de redes el
modelo de Cisco Systems. En estos casos no basta con realizar auditoras internas, por el contrario,
ser necesario que reguladores externos deban validar cmo se desarrolla el trabajo en la
organizacin para poder dar crdito de que se sigue algn modelo o estndar internacional y que
adems se realiza correctamente. Para conocer ms sobre una de las maneras de monitorear
nuestros procesos, en el siguiente subtema vers en qu consiste la auditora as como los tipos que
existen.

1.1.1. Definicin y clasificacin de la auditora

Para toda organizacin es importante llevar un control interno de cmo se estn realizando las cosas,
que le permita tomar medidas correctivas de los procesos que no funcionan adecuadamente, por lo
que es necesario analizar lo que se debe revisar, asesorar a todos los involucrados e informar
oportuna y objetivamente los resultados. A todas estas actividades las llamamos auditora. Una
definicin ms formal podra ser como la siguiente

Segn Muoz (2002), expresa que:

La auditora es la revisin independiente que realiza un auditor
profesional, aplicando tcnicas, mtodos y procedimientos
especializados, a fin de evaluar el cumplimiento de las funciones,
actividades, tareas y procedimientos de una entidad administrativa,
as como dictaminar sobre el resultado de dicha evaluacin. (p. 34)

Auditora informtica
8

Como puedes observar, en la definicin se dice que es una revisin independiente, significa que el
auditor debe poseer independencia mental, profesional y laboral del rea que evaluar, lo que le
permitir tener un desempeo competente y confiable. La auditora es una actividad especializada que
solo podr ser ejecutada por auditores capacitados que adems cuenten con la experiencia necesaria
para realizar este tipo de trabajo de manera profesional. Otros puntos importantes de la definicin son
que las auditoras son procesos bien definidos y especializados, se aplican tcnicas y se basan en
algn mtodo de evaluacin.

El fin de aplicar una auditora es para evaluar el cumplimiento en funciones, actividades tareas y
procedimientos, para lo cual el auditor utiliza sus conocimientos y herramientas especializadas, para
llegar a producir un informe de resultados, en el que plasmar su opinin sobre las desviaciones y
observaciones detectadas para que los involucrados conozcan el estado del rea auditada.

Hoy en da existen muchas empresas que se dedican a dar servicios de auditora, quienes cuentan
con personal calificado para cada tipo de auditora y de esta manera garantizar que tienen la facultad
de poder emitir recomendaciones que realmente aporten mejoras sustantivas a la organizacin.

Otra definicin de auditora informtica es la siguiente:

Segn Piattini y Del peso (2001). dicen que:

Toda y cualquier auditora, es la actividad consistente en la
emisin de una opinin profesional sobre si el objeto sometido a
anlisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido prescritas.
(p.4)

Observa que este concepto se destacan los siguientes elementos principales:
1. La opinin de un profesional
2. El objeto de anlisis
3. Finalidad

De la misma manera Piattini resalta la importancia de que el auditor sea un especialista en el tema,
para que pueda tener la capacidad de juicio y de recomendar las soluciones necesarias. El objeto de
anlisis que tiene que ver con el contenido a evaluar, el soporte y la evidencia que sern el caso de
evaluacin. Y por ltimo la finalidad de lo que se analiza que se est realizando contra lo que se
pretende reflejar. Por ejemplo al evaluar un proceso, el auditor lo cotejar con los procesos
previamente escritos por la organizacin, para evaluar si en realidad se llevan a cabo tal y como se
redact y ms an, si es una manera ptima de realizarlo.

Auditora informtica
9
Tomando en consideracin el objeto de anlisis, se desprenden muchos tipos de auditoras por
ejemplo:
Financiera: evala la veracidad de los estados financieros
Operacional: examina la eficiencia, eficacia y economa de los mtodos y procedimientos de la
organizacin
Fiscal: orientada a monitorear el cumplimiento de leyes y normas fiscales
Medio ambiental: orientada a la conservacin y preservacin de la calidad medioambiental
Calidad: evala mtodos, mediciones y controles de los bienes y servicios
Informtica, en redes y telecomunicaciones: conjunto de herramientas y procedimientos de
gestin, para el anlisis y control de los sistemas de informacin, de redes y de
telecomunicaciones.

Siendo el ltimo punto, el objeto de anlisis en que se centra nuestra asignatura, poco a poco
conocers ms del enfoque de auditora informtica, de redes y telecomunicaciones, conforme vayas
avanzando el contenido y realizando las actividades, preparadas para tal fin.

Hay otras consideraciones que pueden categorizar a las auditoras por ejemplo, considerando el
origen del auditor se pueden organizar como:
Internas: se refiere a las que el auditor pertenece a la misma organizacin, son tiles para
garantizar que las operaciones se desarrollan de acuerdo a la poltica general de la entidad,
evaluando la eficacia y proponiendo soluciones a problemas detectados. Cuando se termina la
auditora se emite un informe para la direccin de los resultados obtenidos.
Externas: cuando se contrata a una empresa para aplicar la auditora y por lo tanto el auditor es
ajeno a la organizacin, aportando mayor objetividad a los resultados. En algunas ocasiones la
auditora externa obedece a la parte de legal del proceso, ya sea porque se va a obtener alguna
certificacin o por algn trmite con el gobierno.

Auditoria informtica

Particularmente dentro del rea de Informtica se puede organizar los tipos de auditora considerando
tambin el objeto de anlisis que hacen referencia a las actividades especficas de la propia actividad
informtica. Observa la siguiente clasificacin que propone (Piattini et al.,2008, pp. 243-671).

Auditora informtica
10

Explotacin
Clasificacin
Sistemas
de tipos de
auditoras
Comunicaciones
y redes
de las
TIC
Desarrollo y
mantenimiento
de sistemas
Seguridad
Outsourcing
Direccin
informtica
Video
vigilancia
Datos
personales

Auditora informtica
11
- Auditora de explotacin: se enfoca a la generacin de: listados, archivos electrnicos,
ejecucin de procedimientos automatizados. Estos se evalan por controles de calidad antes
de ser liberados al cliente o usuario. Auditar la explotacin consiste en auditar secciones que la
componen y sus interrelaciones, por ejemplo los siguientes:
o Entrada de datos
o Planificacin y recepcin de aplicaciones
o Control y seguimiento de trabajos
o Operaciones de centros de cmputos
o Control de la red
o Centros de diagnosis (Help-desk)
- Auditora de sistemas: analiza la tcnica de sistemas en todas sus facetas
o Sistemas operativos
o Software de aplicaciones
o Software de teleproceso
o Tunning o tcnicas de observacin para evaluar subsistemas que tienen un deterioro en
su comportamiento y se realizan de manera peridica
o Tcnicas de sistemas
o Administracin de base de datos
o Investigacin y desarrollo
- Auditora de comunicaciones y redes: se refiere al soporte fsico-lgico de la informtica en
tiempo real. Principios y derechos de proteccin de datos en Internet
- Auditora de desarrollo y mantenimiento de sistemas: engloba varias fases para elaborar
cada proyecto. como las siguientes:
o Prerrequisitos
o Anlisis y diseo
o Programacin
o Pruebas
o Entrega
- Auditora de seguridad: abarca los conceptos de seguridad fsica y lgica
o Seguridad fsica: se refiere a la proteccin de Hardware, edificios, instalaciones, que
son el soporte de los datos albergndolos
o Seguridad lgica: se refiere a la seguridad de uso del software, proteccin de datos,
programas, modelos, as como los niveles de acceso de los usuarios a la informacin.

Para ambas auditoras se deben utilizar herramientas para el monitoreo de IP, filtro de
paquetes, firewall, test de penetracin, entre otras. Apoyndose de alguna normatividad como
OSSTMM (Open Source Security Testing Methodolgy Manual), ISSAF (Information System
Security Assessment Frameworks) o ISO 27001 (Estndar para la seguridad de informacin),
etc.

Auditora informtica
12

OSSTMM: Consultado en:
http://www.automatedtestinginstitute.com/home/ind
ex.php?option=com_content&view=article&catid=52
:testcat&id=1077:osstmm-open-source-security-
testing-methodology-manual

ISO 27001. Consultado en:
http://www.actualizegroup.com/calidad/
Por ejemplo, una prueba de penetracin consistira en lo siguiente:
1. Etapa de reconocimiento: recopilar informacin sobre el sistema objetivo
2. Exploits: la seleccin del rea objetivo
3. Ya que se realiz el ataque, se analiza el impacto y la generacin de nuevas acciones
4. Documentacin: para reflejar el trabajo completo por parte del pentester (persona de pruebas
de penetracin)
Existen algunos mtodos para aplicar este tipo de pruebas, por ejemplo:
Blackbox: en este no se conoce ningn tipo de informacin del sistema objetivo.
Whitebox: se cuenta con informacin sobre el sistema objetivo (cdigo fuente,
configuraciones, etc.)
Para realizar los exploits, existen mltiples herramientas, incluso las gratuitas como lo es el
Metasploit, entre otros. (Catoira, 2013, pp.19-27)

- Auditora de Outsoursing: por medio de un contrato se fija la prestacin de un conjunto de
servicios tecnolgicos y se constata la existencia de un cliente que requiere de los servicios
que sern otorgados a travs de un proveedor
- Auditora de la direccin de informtica: como mxima autoridad en el plano de tecnologas
de la informacin, debe auditarse, ya que de l depende que los procesos se autoricen y se
lleven a cabo
- Auditora de videovigilancia: Existen normas que regulan el uso de la imagen y sonido que
se captan por la videovigilancia y que deben ser auditadas para evitar invadir el derecho de los
individuos del adecuado manejo de sus datos personales
- Auditora de los datos de carcter personal: de acuerdo a la normatividad de Proteccin de
Datos de Carcter Personal, es una exigencia planear una auditora para verificar el
cumplimiento de este reglamento e instrucciones vigentes en materia de seguridad de datos, al
menos cada dos aos

Auditora informtica
13
En este tema se te present un tipo de clasificacin de auditora informtica, sin embargo sta puede
tener variaciones pues la categorizacin de las auditoras depende su especializacin segn el objeto,
origen, tcnicas, mtodos, etc., que se realicen.

Actividad 1. Auditora

Bienvenido(a) a la primer actividad de la Unidad!

El propsito de esta actividad es que identifiques la clasificacin de auditora.

1. En un documento de texto elabora un reporte en el cual investigues al menos 5 casos en
los que clasifiques las diferentes auditoras justificando el porqu de tu respuesta. Todos los
casos deben estar sintetizados y referenciados.
2. Para cada caso, registra el tipo de auditora, empresa auditada, los puntos de la auditora,
fortalezas, debilidades, resultado (calificacin y/o dictamen), es importante hagas uso de
referencias bibliogrficas o electrnicas con el modelo APA.
3. Guarda tu actividad en un archivo con el nombre KAIF_U1_A1_XXYZ y envalo para su
revisin.

*Revisa los criterios de evaluacin para esta actividad

Auditora informtica
14
1.1.2. Caractersticas

El proceso de la auditora informtica se caracteriza por ser:

1. Objetiva
Porque los auditores internos no se deben involucrar con el rea auditada. Deben
ser imparciales y neutrales.
2.
Sistemtica

La auditora debe ser un proceso bien organizado, el trabajo deber planificarse
apropiadamente, ser supervisado, se estudiar y evaluar el sistema obteniendo
la evidencia necesaria.
3.Profesional
Porque se espera que el auditor sea un experto en el objeto de anlisis y con un
amplio criterio para evaluar y emitir resultados
4.
Selectiva

Toma una muestra representativa del total de la poblacin auditable.

5.
Imparcial
Los juicios y recomendaciones del auditor estn basadas de manera objetiva en
hechos y cuente con la evidencia suficiente para demostrar su imparcialidad
6. Integral
La auditora debe contar con un esquema detallado del trabajo a realizar y los
procedimientos a emplearse durante la fase de ejecucin, para identificar su
extensin, as como el trabajo que ha de ser elaborado.
7.
Recurrente
Se aplican en auditoras anteriores, donde se obtuvo un resultado de deficiente o
malo, para evaluar los planes de mejora si funcionaron bien o no. (Muoz, 2002, p.
34-35)

Auditora informtica
15
Otras caractersticas agrupadas por el tipo de auditora son:

Auditora interna Auditora externa
El auditor es parte de la organizacin. El auditor no tiene relacin con la organizacin.
La relacin con la organizacin podra influir en el
juicio y por lo tanto en los resultados de la
evaluacin.
Su revisin y resultados de la evaluacin, esta
libre de influencias.
El informe de resultados tiene impacto solo de
manera interna.
Se realizan por empresas de auditores.
Las recomendaciones son para establecer
mejoras.
Es ms objetiva la auditora.
Se puede calendarizar dentro del plan anual. Los resultados arrojarn un dictamen para
aprobar una certificacin o proceso legal.
Los auditados adoptan a la auditora como parte
de sus funciones.

Caractersticas de Auditoras internas y externas. (Piattini y Del peso, 2001, pp. 416 y 569)

Actividad 2. Caractersticas de las auditoras

Mediante esta actividad podrs identificar las caractersticas de los diferentes tipos de
auditoras.

1. Crea un archivo y elabora un organizador grfico, indicado por tu Facilitador(a) en
el que destaques las caractersticas de las auditoras en general y las
caractersticas de auditoras internas y externas.
2. Guarda tu archivo con el nombre KAIF_U1_A2_XXYZ y sbelo a la plataforma.

*Revisa los criterios de evaluacin.

1.1.3. Uso de tcnicas asistidas por computadora

En la auditora informtica se utilizan mltiples herramientas y tcnicas para hacer una adecuada
revisin y recopilacin de evidencias sobre el funcionamiento de los sistemas de informacin y de
cmputo. El auditor debe ser un especialista en el rea de sistemas y ms an, saber utilizar las
tecnologas de la informacin (TI) a su favor, para examinar con mayor eficiencia todos los aspectos de
la actividad computacional.

Auditora informtica
16
El uso de las Tcnicas de Auditora Asistidas por Computadora por sus siglas en ingls Computer
Audit Assisted Techniques (CAATs) provee al auditor una gran variedad de herramientas para facilitar
sus procedimientos, mejorndolos y ampliando las opciones de aplicacin.

A continuacin se analizarn algunos mecanismos que se utilizan ms comnmente, segn Muoz
(2002).

Guas de evaluacin: son herramientas formales, en la que se anotan todos los asuntos que sern
evaluados durante la auditora. En este instrumento se indican todos los puntos, aspectos concretos y
reas que sern evaluadas, as como tcnicas, herramientas y procedimientos necesarios para la
auditora. Tambin se registran la tcnica o mtodo que se emplear para la evaluacin; la
ponderacin o peso por cada elemento revisado. Por medio de este documento el auditor puede
revisar paso a paso todos los procedimientos para evaluar y calificar cada elemento planeado. Por
ejemplo observa la Tabla 2. Gua de auditora.

Gua de auditora

Auditora informtica
17
A continuacin se explica su contenido:
Encabezado: contiene logotipo y nombre de la empresa que realiza la auditora. Nombre de la
empresa y rea que se auditar. Fecha de inicio. Hoja de inicio y de fin del documento de Gua
Columnas
Referencia (Ref.): Alguna clave o consecutivo que nos indique lo que se revisa y su secuencia
Actividad que ser evaluada: especificar los puntos que se evaluarn, estos pueden ser
actividades, funciones, procesos, etc.
Procedimientos de auditora: describir las instrucciones para evaluar cada actividad de la
columna anterior
Herramientas que sern utilizadas: explicar que herramientas, tcnicas o recursos se
necesitarn para aplicar la evaluacin
Observaciones: seccin para clarificar o completar cada punto evaluado

Ponderacin: ayuda al auditor a darle un peso a cada elemento que se evaluar para darle relevancia
a los elementos que as lo requieran o restar importancia a elementos menos significativos.

Factores Peso por factor
%
Calificacin Puntos obtenidos
1. Polticas del centro de cmputo 10 1 10
2. Proceso de prstamo de equipo 20 .6 12
3. Funciones y actividades de laboratoristas 20 .85 17
4. Bitcoras de uso de centros de cmputo 25 .80 20
5. Buzn de sugerencias 10 1 10
6. Mantenimiento 15 1 15
100% 84
Tabla de ponderaciones de auditora

Para llenar la tabla de ponderacin primeramente se eligen los factores o elementos que se quieren
evaluar y se asigna un peso por factor. Ambos elementos son distintos en cada auditora, ya que cada
empresa tiene su entorno propio y por lo tanto indicadores particulares. La suma de los pesos debe
dar 100%. En la columna de puntos obtenidos se multiplica la columna (peso por factor) por la
columna (calificacin). La calificacin se basa en los siguientes criterios:
Excelente 1.00
Bueno 0.80
Regular 0.60
Deficiente 0.40
Psimo 0.20

* Los criterios solo se brindan como ejemplo, se pueden definir de manera diferente de acuerdo a las
necesidades o estrategias de la auditora.

Auditora informtica
18
En general esta tcnica puede hacerse con todo el detalle que se requiera por ejemplo incluir sub
factores y obtener calificaciones por sub factor, por factor o el total. En este caso las herramientas
automatizadas facilitarn el proceso de clculos dando mayor exactitud y evitando errores.

Modelos de simulacin: estas herramientas son parte del desarrollo de sistemas, muchos analistas
las utilizan para simular sistemas y comprobar o descartar su utilidad. Les permite crear un ambiente
anlogo al de un nuevo sistema y con base a modelos conceptuales determinar su alcance y
condiciones y comportamiento del futuro sistema. Estos modelos ayudan a los integrantes del equipo
a entender mejor las caractersticas del nuevo sistema antes de su construccin.

Para el caso del auditor, estos modelos le servirn para evaluar la estructura del sistema, por ejemplo,
se le permite el acceso al diseo de una base de datos o inclusive un respaldo de la base de datos
real, para que pueda realizar las pruebas necesarias para comprobar su funcionamiento y condiciones.
Lo mismo pasara con el sistema completo o el de una red, desde un modelo conceptual basado en
diagramas, un prototipo o cuenta ficticia para que el auditor pueda recrear el comportamiento, proceso,
tcnica, factor o elemento que est auditando. Algunos ejemplos que pueden utilizar para simular
diferentes aspectos de un sistema:
Modelos de planeacin y control de proyectos: Gantt, Project, grficos de lneas de tiempo, etc.
Modelos de flujos de datos: diagramas de flujos, entidad relacin, HIPO, UML
Modelos administrativos: organigramas, mtodos y procedimientos, planos
Modelos estadsticos: grficas de Pie, horizontales, verticales, circulares, etc.
Otros: grficas de pantalla, planes, imgenes, procesamiento de datos ficticios
Modelos de desarrollo: ciclos de vida

Para cualquier tipo de evaluacin el auditor debe contar con las herramientas en las que pueda
reproducir el objeto de anlisis.

Lista de verificacin: esta herramienta es una de las ms sencillas de utilizar, consiste en realizar un
listado ordenado de los aspectos que se tienen que revisar y su objetivo es nicamente evaluar su
cumplimiento con una palomita ( ) o su no cumplimiento con una equis ( ). Observa el
siguiente ejemplo.

Lista de verificacin del funcionamiento y recursos de la red
Criterios para evaluar Cumple
La instalacin es flexible y adaptable.
El inventario de componentes de la red esta actualizado.
En las bitcoras de software est registrado todo el
software con sus respectivos nmeros de licencia.

Los recursos de la red se comparten apropiadamente
dado el rol de cada usuario

Estn registrados los niveles de acceso y seguridad a la
red.

Lista de verificacin

Auditora informtica
19
Programas para revisin por computadora: estas herramientas le permiten al auditor revisar, desde
la misma computadora y con un software especfico, el funcionamiento de un sistema, de una base de
datos, alguna aplicacin o sitio web.

Con esta herramienta analizar el comportamiento de los elementos que evala, as como el
desempeo, errores, requerimientos de hardware, software y otros aspectos tcnicos.

Elemento de diagnstico Herramientas
PC PC 2010 HWMonitor,
WinSAT, SpeedFan, Abra
HW Monitor, HWiNFO32,
Hmonitor, 3DMark,
MonitorTest
Red Netstat, nmap, Sniffers,
NetWatch, WinTools,
NetStat, Local info, Network
scanner, Service & port
scanner, TCP/IP workshop,
SNMP Browser
Aplicaciones HP APM, appDynamics,
ManageEngine
Herramientas de diagnstico

En la tabla anterior se muestra solo algunos de los ejemplos de programas ya desarrollados que estn
disponibles para el auditor. (Muoz, 2002, pp. 478-555).

1.1.4. Responsabilidad del auditor en el descubrimiento de errores y
desviaciones

La principal responsabilidad del auditor es, entregar un informe de resultados, en el que se
encontrarn los hallazgos de las desviaciones ms importantes, debe reportar sus causas y posibles
soluciones. Y en base a estas desviaciones redactar su informe final con base al anlisis de estas
desviaciones junto con el dictamen de la auditora. Observa el siguiente registro de desviaciones:

Auditora informtica
20

Empresa rea auditada Da Mes Ao

Desviaciones Causas Solucin

Elabor (Nombre y firma) Aprob (Nombre y firma)

Registro de hallazgos. (Muoz, 2002, p.252)

Los siguientes son principios que los auditores deben mantener en todo el proceso de auditora desde
su inicio hasta la entrega de resultados.

El principio de beneficio del auditado. Se refiera a que el auditor debe adquirir una
apropiacin del sistema que auditar, esta adaptacin le implica un compromiso por probar en
su mxima eficacia los medios informticos evaluables. Con la finalidad de poder recomendar,
proponer o incitar actuaciones para evitar gastos innecesarios o desproporcionados.

El principio de calidad. El auditor deber prestar servicios con los medios a su alcance, tener
la
libertad de utilizacin de los mismos y condiciones tcnicas adecuadas.

El principio de capacidad. El auditor debe ser un especialista en auditoras, el grado de
especializacin de sus clientes le exige estar al nivel para mantener el grado de confianza y
evitar de esta forma su obsolescencia y prdida de competitividad.

El principio de cautela. Todas las afirmaciones del auditor deben estar debidamente
fundamentadas y basadas en la experiencia adquirida, evitando que el auditado se embarque
en proyectos con argumentos dbiles.

El principio de comportamiento profesional. En todo momento el auditor deber evitar
juicios exagerados o que atemoricen innecesariamente, por el contrario, debe transmitir ideas
precisas, exactas y objetivas que lo respalden e infundan confianza en sus clientes.

Auditora informtica
21
El principio de concentracin en el trabajo. La carga de trabajo del auditor deber planearse
adecuadamente, evitando que haya una sobresaturacin provocando una baja concentracin y
precisin en las tareas asignadas, ya que esto podr provocar conclusiones imprecisas.

El principio de confianza. Por medio de un comportamiento profesional y evitando
presunciones, el auditor debe fomentar la confianza en su cliente para evitar restar credibilidad
a los resultados obtenidos.
El principio de criterio propio. La autoridad del auditor le permitir actuar bajo un criterio
propio sin la influencia de colegas que puedan desvirtuar la resolucin.

El principio de discrecin. Forma parte de la responsabilidad del auditor identificar el nivel de
restriccin de los datos que le han sido proporcionados para la auditora. Aquellos datos con
una amplia restriccin deber proteger su divulgacin. As mismo liberar los resultados
nicamente con el personal involucrado en la auditora.

El principio de economa. Se refiere a que las acciones del auditor debern proteger la
economa de su cliente, evitando generar gastos innecesarios en el ejercicio de su actividad.

El principio de independencia. El auditor debe exigir una total autnoma e independencia en
su trabajo respecto a la empresa en la que deba realizar la auditoria informtica.

El principio de informacin suficiente. Obliga al auditor a registrar en forma clara, precisa e
inteligible la informacin para el auditado.

El principio de integridad moral. El auditor debe ser honesto, leal y diligente en el
desempeo de su misin, a ajustarse a las normas morales y a evitar participar en actos de
corrupcin personal o con terceras personas.

El principio de legibilidad. El auditor deber facilitar la legibilidad de sus informes evitando
utilizar sus conocimientos demasiado especializados y poco claros.

El principio de libre competencia. Se exige que el ejercicio de la profesin se realice dentro
de un marco de libre competencia.

El principio de no discriminacin. Es responsabilidad del auditor evitar situaciones
discriminatorias de cualquier tipo.

El principio de no injerencia. Evitar la influencia de otros profesionistas, respetar su trabajo y
evitar hacer comentarios despreciativos de la misma.

El principio de precisin. Hacer las revisiones necesarias antes de entregar un informe al
cliente para verificar que los valores son precisos y si es necesario volver a auditar o probar
algn elemento, deber hacerse.

Auditora informtica
22

El principio de publicidad adecuada. Supervisar la oferta y promocin de los servicios de
auditora a las caractersticas y finalidad perseguidas, evitando falsas difusiones de promocin
con el objeto de engaar a los usuarios.

El principio de secreto profesional. El auditor deber evitar difundir datos propiedad del
auditado, que pudieran perjudicarlo.
El principio de veracidad. Fundamentar la veracidad del trabajo realizado y en general, de sus
manifestaciones dentro de los lmites de respeto y secreto profesional (Piattini y Del peso,
2001, pp. 151 y 177).

1.2. Normas internacionales y nacionales

A nivel Internacional, existen organismos que regulan la Auditora de Sistemas de informacin por
ejemplo para el rea contable con enfoque a sistemas de informacin son los siguientes:
ISACA (COBIT)
COSO
AICPA (SAS)
IFAC (NIA)
SAC
MAGERIT
EDP
SAP

Auditora informtica
23

ISACA: Tomado de: http://www.isaca.org/SiteCollectionImages/Isaca-Security-infographic.jpg

ISACA-COBIT. Es la asociacin lder en Auditoras de sistemas. Su sitio oficial (Information Systems
Audit and Control Association, 2014). Este organismo propone el mtodo COBIT (Control Objetives for
Information and related Technology) para auditores, administradores y usuarios de sistemas de
informacin para el control de sus operaciones cumpliendo con las leyes y regulaciones.

Sitio de ISACA:

http://www.isaca.org/

COSO: Committee of Sponsoring Organizations of the Treadway Commission Internal Control
Integrated Framework (COSO). Ofrece una gua para contadores sobre la gestin de evaluar, informar
e implementar sistemas de control.

Auditora informtica
24

Sitio de COSO:

http://www.coso.org/

AICPA-SAS: The American Institute of Certified Public Accountants' Consideration of the Internal
Control Structure in a Financial Statement Audit. Es una gua de auditora externa sobre el control
interno, planeacin y ejecucin de una auditora de estados financieros.

Sitio AICPA:

http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarity-
GroupAudits.aspx

IFAC-NIA: Federacin Internacional de Contables IFAC (International Federation of Accountants,
2014). La seccin NIA 15 tiene su enfoque a la auditora de entornos informatizados, la NIA 16 son
Tcnicas de Auditora asistida por computador. NIA 20 presenta los efectos de un entorno
informatizado en la evaluacin de sistemas de informacin contable.

Sitio IFAC:

http://www.ifac.org/es

SAC: The Institute of Internal Auditors Research Foundations Systems Auditability and Control. Ofrece
un estndar y controles para auditoras internas de sistemas de informacin y tecnologa.

El modelo SAC fue creado como un control interno de COSO. Est disponible en diferentes lenguajes
para administradores y auditores. Permite la discusin de objetivos, riesgos, mitigacin en el contexto
de e-bussines. Tiene el propsito de enfocarse en cmo los riesgos del negocio pueden ser cubiertos

Auditora informtica
25
en la discusin y la implementacin.

SAC MODEL. Tomado de http://www.netcentrum.nl/auditweb/13.pdf

MAGERIT: Metodologa de Anlisis y GEstin de Riesgos de los sistemas de Informacin. Es el
consejo superior del ministerio de administraciones pblicas de Espaa. Tiene una orientacin hacia el
control de riesgo que afectan los sistemas de informacin y su entorno.

MAGERIT es la metodologa de anlisis y gestin de riesgos, est directamente relacionada con la
generalizacin del uso de las tecnologas de la informacin, ya que esto presupone beneficios
evidentes para los ciudadanos y a la vez da lugar a riesgos que deben controlarse con las medidas de
seguridad apropiadas.

Auditora informtica
26

MAGERIT: ISO 31000 - Marco de trabajo para la gestin de riesgos. Tomado de
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.Uu_xLv30sZI

Sitios MAGERIT
Unin europea de agencias para redes y seguridad de la informacin:
http://rm-inv.enisa.europa.eu/methods/m_magerit.html

ccn-cert:
https://www.ccn-
cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-
version-de-magerit&catid=79%3Anormativa-y-
legislacion&Itemid=197&lang=es

EDP: Fundacin de auditores EDP. Tiene un enfoque educativo y de investigacin sobre los
estndares para la auditora de los sistemas de informacin y cdigos de tica. Los orgenes de la
Asociacin de auditora y control de sistemas de informacin (ISACA) comenz en 1967 con un
pequeo grupo de personas con trabajos de auditora en sistemas computacionales. En 1969. Se
formaliz trabajando con el nombre de EDP (Asociacin de auditores de procesamiento electrnico de
datos) En 1976, formaron una fundacin para llevar a cabo proyectos de investigacin a gran escala y
a expandir los conocimientos en el campo de gobernabilidad y control de TI.

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit
Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, propone la importancia del
uso de CAAT en auditoras para un ambiente de sistemas de informacin por computadora. Adems
tiene una gua de procedimientos de auditora para procesar datos significativos del sistema de
informacin. Por ejemplo los siguientes:

Auditora informtica
27
1. Pruebas de transacciones y balances
2. Procedimientos de anlisis de inconsistencias o fluctuaciones significativas
3. Pruebas de controles, como: configuraciones de sistemas operativos, procedimientos de
acceso al sistema, comparacin de cdigos y generacin de versiones.
4. Programas de muestreo para extraer datos
5. Pruebas de control para aplicaciones
6. Realizacin de clculos especiales para comparacin de datos

El software de auditora consiste en programas de computadora usados por el auditor, como parte
de sus procedimientos de auditora, para procesar datos de importancia de auditora del sistema de
contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un
propsito, programas de utilera o programas de administracin del sistema. Independientemente
de la fuente de los programas, el auditor deber verificar su validez para fines de auditora antes de
su uso.

Flujo de un CAAT. Tomado de http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-
legislativo/ch03s04.html

1.2.1. Tipos de normas

Normas de tipo profesional: se refiere a que el auditor debe mantener un apego a las normas de
evaluacin, emitir una opinin bien respaldada, ser disciplinado, guardar el secreto profesional,
responsable, independiente, capacitado y emitir dictmenes de las auditoras.

Normas de tipo social: el auditor, al igual que cada ciudadano, convive en una sociedad a la que
tambin proporciona sus servicios. En la sociedad existen derechos y obligaciones, escritas y no
escritas y de alguna manera respetadas por los integrantes de la sociedad. Comenzando por respetar
las leyes y reglamentos de las autoridades. Deber evitar los anti patrones de comportamiento como
son los sobornos o recompensas ilegales y en general comportarse de manera leal con sus clientes, lo
cual, le ayudar a fundamenta adecuadamente sus relacin entre colegas y empresas de la sociedad.

Auditora informtica
28

Normas de tipo tico-moral: se refieren a su conducta como profesional como las siguientes:
- Ser incorruptible
- Ser imparcial
- Juicio tico y moral
- Aceptar y hacer cumplir las normas morales y ticas (Muoz, 2002, pp. 88 - 94)

1.2.2. Normas actuales

Normas Tcnicas de Auditora (NTA): estn orientadas a los auditores de cuentas, con la finalidad que
se pueda expresar una opinin tcnica responsable. Se clasifican en generales, sobre ejecucin y
sobre informes.

COBIT (Objetivos de control para tecnologas de informacin y tecnologas relacionadas)

Es una herramienta de gobierno de Tecnologas de la informacin (TI) que produce un cambio en la
forma en que trabajan los profesionales de TI. Se aplica a los sistemas de informacin de la empresa,
computadoras personales, servidores y la red. Su filosofa consiste en la gestin de los recursos de TI
por medio de un conjunto de procesos que al ejecutarse producen informacin pertinente y confiable.
Su objetivo es que estos procesos formen parte de la actividad diaria de la empresa en el uso de las
tecnologas de informacin. Sus principales caractersticas son:
Est orientado a la lgica del negocio
Tiene estndares y regulaciones prcticas
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Soporta otros estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

COBIT tiene tres niveles:
I. Dominios. reas agrupadas por alguna responsabilidad organizacional
II. Procesos. Conjunto de pasos gestionadas con indicadores de control
III. Actividades: Las acciones para el logro de metas que arrojan un resultado medible

1.2.3. Normas emergentes

Como Normas emergentes NE, se denomina a las que por alguna situacin de emergencia deben ser
expedidas. El problema que se ha enfrentado en este tipo de normas es que no est claramente
definido el trmino emergencia, pues existen casos en los que se les ponga este ttulo a situaciones
que no son una norma, con el pretexto de emergencia sin estar debidamente justificado. Las NE tienen
una vigencia de 6 meses podrn ser expedidas 2 veces consecutivas, pero antes de la segunda
expedicin deber presentarse una Manifestacin de impacto regulatorio (MIR). Transcurrido estos
plazos la norma pierde vigencia y deja de ser obligatoria. Por ejemplo los siguientes casos:

Auditora informtica
29

IEEE
Instituto de Ingenieros Elctricos y Electrnicos su enfoque principalmente es para evaluar las
tecnologas emergentes en las reas de ingeniera; Por ejemplo para los fabricantes de redes
se form un comit IEEE 802 el cual se relaciona con el ISO (Organizacin Internacional de
Estndares).

ISO/IEC 17799 o 27002 Son estndares para implantar seguridad. Uno de sus enfoques es el
de la revisin independiente de la seguridad de la informacin.

Actividad 3. Reporte de normas

Mediante esta actividad podrs analizar las normas actuales y las emergentes por medio de
ejemplos.

1. Crea un documento de texto y elabora un reporte en el que presentes por lo
menos dos casos diferentes; uno en el que muestres el uso de las normas
actuales y otro de las normas emergentes.
2. Para cada una de ellas registra y completa de acuerdo a las indicaciones de tu
Facilitador(a).
3. Guarda tu archivo con el nombre KAIF_U1_A3_XXYZ.

*Revisa los criterios de evaluacin.

1.2.4. Organismos reguladores

IMCP

Es el Instituto mexicano de contadores pblicos. Genera peridicamente actualizaciones en materia de
auditora para todos sus socios registrados. Se busca que cumplan con las siguientes normas:
- Entrenamiento tcnico
- Diligencia profesional
- Independencia

Aplicables en el ejercicio de su profesin con las empresas auditables, con colegas y en general con
autoridades tributarias de la nacin. (Muoz, 2002, p.75)

Auditora informtica
30

Sitio de IMCP:

http://imcp.org.mx

CONPA

Es la Comisin de Normas y Procedimientos de Auditora. Emite publicaciones de actualizacin apara
auditores administrativos en el que se tratan criterios, normas, reglas, condiciones, obligaciones, etc.
Para regular el comportamiento de auditores en administracin.

Uno de los ejemplos de sus publicaciones es el cdigo de tica profesional del licenciado en
administracin, el cual ayuda a estandarizar conductas de carcter moral y de su actuar profesional.
(Muoz, 2002, p.76)

Artculo sobre la funcin sustantiva de la CONPA:
http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-no-
se-va-a-hablar-de-la-funcion-sustantiva-de-la-conpa-relacionada-con-la-
regulacion-en-el-campo-de-la-auditoria-sino-que-se-va-a-referir-a-un-
trabajo-desconocido-para-muchos#.UvAQp_30sZI

Actividad 4. Tipos de auditora y distincin de normas

Ahora, realiza la cuarta actividad de la primera Unidad!

En esta ocasin tendrs la oportunidad de comentar con tus compaeros sobre las
actividades 1 y 3, para fortalecer ms la comprensin de la clasificacin de auditora, sus
caractersticas, del mismo modo analizar en combinacin con los tipos de normas actuales
y emergentes.

De acuerdo a los puntos que te indicar tu Facilitador(a), tambin:
1. Determina qu diferencias o semejanzas encontraste en los casos presentados
dentro de las actividades 1 y 3.
2. Investiga y escribe la intervencin o injerencia de los organismos reguladores,

Auditora informtica
31
pero dirigidos hacia la Telemtica.
3. Realiza un aporte sobre las diferencias y otro sobre las semejanzas.
4. Comenta sobre los aportes de al menos 2 compaeros, comienza desde la ms
antigua y procura que ningn compaero(a), se quede sin retroalimentaciones.

*Revisa los criterios de evaluacin de esta actividad.

Autoevaluacin

En lo que respecta a esta actividad, su propsito es que al trmino del estudio de la unidad, evales
de manera independiente y autnoma los aprendizajes adquiridos. Para ello contesta las preguntas
plateadas y de tener dudas en algn tema, repsalo las veces que sea necesario, pregunta a tu
Facilitador(a) e investiga un poco ms por tu cuenta.

Evidencia de aprendizaje. Clasificacin de casos

El propsito de esta evidencia de aprendizaje es que identifiques y evales el tipo y caractersticas
de auditora, as como de las responsabilidades del auditor.

1. Analiza caso de estudio que te presentar tu Facilitador(a) y contesta las preguntas que se
localizan al final. Justifica la respuesta tomando como base la definicin y caractersticas de la
auditora, as como las responsabilidades del auditor.

2. En un archivo realiza un reporte con las respuestas debidamente contestadas y justificadas,
agrega esquemas, diagramas y/o comparaciones.

3. Guarda tu archivo con el nombre KAIF_U1_EA_XXYZ y envalo para su revisin.

4. Espera la retroalimentacin de tu Facilitador(a), atiende sus comentarios y de ser necesario
enva una segunda versin de tu evidencia

*Recuerda consultar el instrumento de evaluacin correspondiente a la evidencia de aprendizaje
para conocer su mtodo de evaluacin.

Auditora informtica
32
Autorreflexin

Al terminar la Evidencia de aprendizaje es muy importante que realices tu Autorreflexin. Para ello,
Ingresa al foro de Preguntas de Autorreflexin y a partir de las preguntas presentadas por tu
Facilitador(a), realiza lo que se te pide y sbelo en la seccin Autorreflexiones.

Cierre de la unidad

Has concluido la primer unidad de la materia, como pudiste darte cuenta, la auditoria informtica tiene
una gran relevancia a nivel direccin, ya que es un proceso til para medir procesos, tecnologas,
desempeo y dems elementos de la informtica, as como de la Telemtica.

Tambin, habrs notado que el rol del auditor requiere de un nivel de experiencia y especializacin
para poder fungir como un evaluador, emitir un dictamen y ms an sugerir soluciones. Por lo tanto,
para difundir y mejorar la funcin del auditor, existen estndares internacionales y nacionales que
regulan los procesos de auditora y el actuar tico moral de un auditor interno o externo.

Ahora que has concluido la unidad 1, ests listo para comenzar la unidad 2, en la que vers ms
ampliamente el tema de estndares, cdigo de tica, polticas, procedimientos y seguridad. Si te
interes ampliar tu conocimiento sobre algn tema, revisa la siguiente seccin Para saber ms,
encontrars vnculos a sitios del mbito de la Auditora informtica.

Para saber ms

Para obtener informacin oficial sobre COBIT, puedes entrar al sitio oficial de ISACA (Information
Systems Audit and Control Association, 2014). En donde hay manuales totalmente en espaol
para. Consulta: http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

Recuerdas que el auditor informtico utiliza herramientas para evaluar aplicaciones, revisa estos
enlaces de algunos ejemplos de este tipo de producto, ya que se explica ms ampliamente como
se utilizan:
HP APM (Hewlett-Packard Development Company, L.P., 2014). Consulta:
http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730
appDynamics (Impulse IT Ltda., 2012). Consulta:
http://www.impulseit.com/wp/?page_id=373
ManageEngine (Ingeniera Dric, 2013). Consulta:
http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCF
UZqfgodUGcATA

Auditora informtica
33

Fuentes de consulta

Fuentes bsicas

Muoz R., C. (2002). Auditora en sistemas computacionales. Primera edicin. Mxico: Pearson
educacin/ Prentice Hall.
Piattini, M. & Del peso, E. (2001). Auditora informtica, un enfoque prctico. Segunda edicin.
Mxico: Alfaomega.
Piattini, M. Del peso, E., & Del peso M. (2008). Auditora de tecnologas y sistemas de
informacin. Primera edicin. Mxico: Alfaomega.

Fuentes complementarias

Derrin, Y. (1995). Tcnicas de la auditora informtica. Primera edicin. Mxico: Alfaomega.
Garzs, J. (2011). Gua prctica de supervivencia en una auditora CMMI. Espaa: Universidad
Rey Juan Carlos.

Fuentes electrnicas

American Institute of CPAs. (2014). Statement on Auditing Standards (SASs). Consultado en:
http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarity-GroupAudits.aspx
Catoira, F. (2013). Pruebas de penetracin para principiantes: explotando una vulnerabilidad
con Metasploit Framework, Seguridad: cultura de prevencin para TI. Vol. 19. 19-27.
Recuperado de:
http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num19_Seg
uridad.PDF
Centro Criptolgico Nacional. (CNN) (2014). MAGERIT. Espaa. Consultado en:
https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-
version-de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es
Comisin de Normas y Procedimientos de Auditora y la EUC (Examen Uniforme de
Certificacin). (2014). Instituto Mexicano de Contadores Pblicos. Consultada en:
http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-no-se-va-a-hablar-de-la-
funcion-sustantiva-de-la-conpa-relacionada-con-la-regulacion-en-el-campo-de-la-auditoria-sino-
que-se-va-a-referir-a-un-trabajo-desconocido-para-muchos#.UvF_NvmSwpl
Comisin digital de seales de Espaa (s/f). Digital Signage. Interactive Adversiting Bureau.
Recuperado de http://www.onthespot.com/file/Infografia__Digital_Signage.pdf
Committee of Sponsoring Organizations of the Treadway Commission (COSO).(2014).
Consultado en: http://www.coso.org/
European Union Agency for Network and Information Security (ENISA) (2014). Agencia de la
Unin Europea. Consultado en: http://rm-inv.enisa.europa.eu/methods/m_magerit.html

Auditora informtica
34
Hewlett-Packard Development Company, L.P. (2014). Software de diagnstico HP. Recuperado
de http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730
Impulse IT Ltda. (2012). AppDynamics. Recuperado de:
http://www.impulseit.com/wp/?page_id=373
Information Systems Audit and Control Association (2014). Trust in, and value from, information
systems. Recuperado de: http://www.isaca.org
Ingeniera Dric (2013). Monitoreo del desempeo de aplicaciones en ambientes fsicos,
virtuales y en la nube. Recuperado de:
http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCFUZ
qfgodUGcATA
Instituto Mexicano de Contadores Pblicos (2014). Consultado en: http://imcp.org.mx/
International Federation of Accountants (IFAC) (2014). Supporting the sustainability of
organizations, markets, and economies via the development of the accountancy profession.
Recuperado de http://www.ifac.org

Auditoría Informática

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoría Informática

Caricato da

Copyright:

Formati disponibili

Auditora informtica

Unidad 1. Introduccin a la auditora informtica

Potrebbero piacerti anche