UNIVERSIDAD TÉCNICA ESTATAL DE QUEVEDO

INGENIERÍA EN SISTEMAS
AUDITORÍA INFORMÁTICA

Alumna: Deyalit Plaza Zambrano Fecha: 18/12/2021

Realizar un trabajo escrito sobre metodologías de la Auditoria Informática en

relación con Buenas Prácticas y Estándares

Las Auditorías Informáticas que se realizan en las organizaciones empresariales deben

utilizar metodologías de apoyo cuyo uso depende de la experiencia del auditor y del
conocimiento de esta. Existen varias metodologías de Auditoría Informática con
similitudes las cuales requieren ser complementadas con buenas prácticas y estándares
que apoyen su uso en este escrito se realiza una revisión de las buenas prácticas para la
gestión de las Tecnologías de Información para conocer las metodologías de las
Auditorias Informáticas.

Metodologías

Existen diversas metodologías de Auditorias Informáticas y todas dependen de lo que se

pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de
un proceso de revisión [1]:

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoría, efectuar

visitas a la unidad informática para conocer detalles de esta, elaborar un cuestionario para
la obtención de información para evaluar preliminarmente el control interno, solicitud de
plan de actividades, Manuales de política, reglamentos, Entrevistas con los principales
funcionarios de la Organización y de la Departamento de Informática.

Revisión y evaluación de controles y seguridades: Consiste en la revisión de los

diagramas de flujo de procesos, realización de pruebas de cumplimiento de las
seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos históricos
(backups), revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las áreas
críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente
su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos,
objetivos, alcance y recursos que usará, definirá la metodología de trabajo, la duración de
la auditoria presentará el plan de trabajo y analizará detalladamente cada problema
encontrado con todo lo anteriormente analizado.

Comunicación de resultados: Se elaborará el borrador del informe a ser discutido con

los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará
esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque
los problemas encontrados, los efectos y las recomendaciones de la Auditoria. Las buenas
prácticas son una serie de pasos para hacer las cosas, son aceptadas por medio del ámbito
profesional y ayudarán a darle más valor al negocio, empresa, organización [2]

Como auditor se debe recolectar toda la información general, que permita así mismo
definir un juicio global objetivo siempre amparadas en pruebas o hechos demostrables.
Dar como resultado un informe claro, conciso y a la vez preciso depende del análisis y
experiencia del auditor, frente a diferentes entornos a evaluar, dependiendo de las
debilidades y fortalezas encontradas en dicha empresa auditada. La recolección de
información, el análisis, la aplicación de diferentes normas de acuerdo con el tipo de
auditoría, los hallazgos encontrados y pruebas que avalen estos resultados son
indispensables en la realización de una auditoria. Para llegar al resultado hay que seguir
una serie de pasos que permiten tener claridad y orden de la auditoria a aplicar.

Normas, Estándares y Metodologías para la auditoría

ITIL
Es la biblioteca de infraestructura de TI, el cual brinda un Marco de referencia que
describe un conjunto de mejores prácticas y recomendaciones para la administración de
servicios de TI, con un enfoque de administración de procesos. La primera versión de
ITIL se publicó a principios de la década de los 80, la constituían 31 libros y estaba muy
orientada a la tecnología. El año 2007 se publicó la tercera versión de ITIL, ITIL V3. Esta
versión está formada por 5 libros cada uno de ellos referido a una de las fases de dicho
Ciclo de Vida. Como marco de referencia, ITIL se creó como un modelo para la
administración de servicios de TI e incluye información sobre las metas, las actividades
generales, las entradas y las salidas de los procesos que se pueden incorporar a las áreas
de TI [3].
COBIT
Es una metodología publicada en 1996 por el Instituto de control de TI y la ISACA
(Asociación de Auditoría y Control de Sistemas de Información) Orienta a las
organizaciones en la implementación, operación y mejora de los procesos de
gobernanza y gestión de TI COBIT fue creado para ayudar a las organizaciones a obtener
el valor óptimo de TI manteniendo un balance entre la realización de beneficios, la
utilización de recursos y los niveles de riesgo asumidos. COBIT 5 posibilita que TI sea
gobernada y gestionada en forma holística para toda la organización, tomando en
consideración el negocio y áreas funcionales de punta a punta, así como los interesados
internos y externos. COBIT 5 se puede aplicar a organizaciones de todos los tamaños,
tanto en el sector privado, público o entidades sin fines de lucro [3].

ISO/IEC 27002

Fue desarrollada por la Organización Internacional de Normas Técnicas, la cual se

conforma como un código internacional de buenas prácticas de seguridad de la
información, este puede constituirse como una directriz de auditoría apoyándose de otros
estándares de seguridad de la información que definen los requisitos de auditoría y
sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
Está conformada por un total de 39 objetivos de control y 133 controles que se encuentran
agrupados en 11 dominios que cubren aspectos específicos de la seguridad de la
información. La norma está estructurada en 16 capítulos de los cuales los cuatro primeros
hacen referencia a los aspectos generales de la norma, mientras que los capítulos
siguientes describen cada uno de los dominios que son parte de esta norma [3].

Juntamente con los avances de las tecnologías de información y las comunicaciones, se

han implementado una serie de normas, estándares y marcos de trabajo que tienen como
objetivos apoyar eficazmente a las organizaciones en el gobierno de TI. Para las
organizaciones, además de contar con la infraestructura tecnológica necesaria y el
recurso humano requerido, es indispensable disponer de un proceso de gobierno de TI
que permita alinear estratégicamente los objetivos del área de Tecnologías de la
Información con los objetivos corporativos, para generar el valor agregado que se
espera obtener con las inversiones en este campo. Las metodologías existentes
actualmente para lo que es auditoría informática, son de gran ayuda para las
aplicaciones de esta, ya que existen diversos métodos a utilizar para su correcta
aplicación.

Referencias

[1] S. E. Albarrán Trujillo, J. C. Pérez Merlos, M. Salgado Gallegos, and L. L. Valero

Conzuelo, “Las Metodologías de la Auditoría Informática y su relación con Buenas
Prácticas y Estándares,” Ideas en ciencias de la ingeniería, vol. 1, p. 52, 2017,
[Online]. Available:
https://ideasencienciasingenieria.uaemex.mx/article/download/14591/10992/

[2] I. Muñoz Franco, “La Auditoría Informática Y Sus Diversas Metodologías,” La

Auditoría Informática Y Sus Diversas Metodologías, p. 3, 2017.

[3] J. F. Gómez-estupiñán, “El rol de la auditoría de sistemas de información en la

eva- luación del gobierno de tecnologías de información en las organizaciones,”
no. 2, 2014.
 Alumna: Deyalit Plaza Zambrano Fecha: 18/12/2021

1 2 3
Durante la planeación se Durante esta fase, se prepara la En esta última fase, se realiza el
lleva a cabo el ciclo (planear) auditoria. Inicia con la reunión de monitoreo al cumplimiento de las
apertura, presentando la
determinando los recursos, los metas de las acciones: acciones
metodología, los tiempos y
procesos y el tiempo para llevar a correctivas, acciones preventivas o
recursos que se utilizarán. Se
cabo las auditorias. Es importante recolecta y analiza la información de mejora. La efectividad de las
que las auditorias se realicen con evidenciando los hallazgos, las acciones permitirá la mejora de la
anterioridad a las auditorias de oportunidades de mejora y las implementación del modelo de
organismos de certificación y de fortalezas encontradas durante la seguridad y privacidad de la
control, con el fin de mejorar las auditoria. Una vez se culmine, se información. Es pertinente que el
deficiencias que pueda llegar a presenta durante la reunión de monitoreo se haga de forma
cierre las conclusiones de la
tener la implementación del modelo. permanente para hacer seguimiento.
auditoría.

Planeación de la Implementación de la Monitoreo de la

auditoría auditoría auditoría

Fases de un plan
de auditoria informática

La función de la auditoria es preventiva, realiza revisiones utilizando recursos de

hardware y software desarrollando procedimientos similares a los que emplea la
entidad, con el fin de mejorar los procesos de la entidad

La metodología inicia con un proceso de planeación, en esta se fijan los objetivos

y las herramientas a usar, esto implica que hacer, como hacerlo y cuando hacerlo.
Esta etapa incluye una investigación previa con el fin de conocer la operación de
lo que se va a evaluar.

Evaluación
Conocimiento
Planeación teórica del
del Sistema
Control

Puntos Fuertes Puntos Débiles

La finalidad de las fases es probar los puntos fuertes para obtener un control interno
satisfactorio, esto se realiza a partir del uso de las métricas, estas nos permiten entender
un proceso técnico que se está aplicando en la entidad, a través de ellas podemos medir
dicho proceso y su producto para saber cómo mejorar su calidad.

Fases de un plan de auditoría Informática

 Alumna: Deyalit Plaza Zambrano Fecha: 18/12/2021

AUDITORIA INFORMATICA BASADO EN EL ANALISIS DE

RIESGOS DE LA EMPRESA TECNISEGUROS S.A.

Tecniseguros S.A. es una empresa del Grupo Futuro, los sistemas de Tecniseguros S.A. responden a los procesos
organizacionales, por mencionar los principales tenemos: la parte financiera, registro de operaciones y la emisión de
estados financieros. Debido a que la empresa cuenta con un desarrollo interno de software orientado a los procesos del
negocio, se ha generado un desorden en los aplicativos resultantes, desarrollados en diferentes lenguajes de
programación, bases de datos y dependencia hacia el personal de desarrollo.

El equipo trabaja con

La empresa tiene alta dependencia a
aproximadamente 200 No existe una normativa o estándar de
los desarrolladores, lo que trae
aplicaciones, entre las que desarrollo, formal o informal, dificultando
complicaciones cuando
podemos citar, al el desarrollo de nuevas aplicaciones o el
estas personas se encuentran ausentes
mantenimiento de las existentes. Al existir
sistema principal, mantenimiento o se separan de la empresa, elevando
una única base de datos, sobre la que
de productos, reportería, gestión los tiempos de
todas las aplicaciones tienen acceso,
de renovaciones, respuesta o causando paralización del
existe el riesgo de afectar dicha base al
servicio de desarrollo y mantenimiento
cotizadores, entre otros. modificar un programa.
de aplicaciones.

Metodologías usadas

MAGERIT COSO ERM COBIT

Es utilizada para determinar el

Está orientada al manejo de nivel de madurez de los procesos Identifica el nivel de madurez y
riesgos de toda la organización evaluados, las auditorías cumplimiento de los procesos de TI,
en sus diferentes Unidades de informáticas tradicionales no los cuales han
contemplan la actividad de sido evaluados durante la ejecución
Negocio.
obtener el nivel de madurez de los de la auditoría informática.
procesos,

Informe de Auditoría

El resultado final muestra 28 riesgos identificados,

No todos los riesgos generaron una observación, en algunos casos fue posible agruparlos, es
por eso que, los 28 riesgos generaron 13 observaciones de auditoría, la descripción de las 13

La metodología COSO ERM está

orientada a la administración de riesgos de
toda la organización, se puede analizar
unidades de negocio, sucursales, divisiones,
etc. de manera independiente, y permite
tener control total sobre los riesgos de
una organización. En el caso de
Probabilidad Tecniseguros S.A. COSO permitió
identificar y darle tratamiento a los
riesgos, aunque los valores de ponderación
son elegidos por los auditores.
AUDITORIA INFORMATICA BASADO EN EL ANALISIS DE
RIESGOS DE LA EMPRESA TECNISEGUROS S.A.