TRABAJO COLABORATIVO No.

1
AUDITORIA DE SISTEMAS
CODIGO: 90168A

JOANN FERNANDO QUINTERO QUINTERO, cc: 1.065.591.203

JUAN CARLOS ORTIZ, cc:
LEYDI KAROL PEALOZA, cc: 1.121.329.070
MAIRA ALEJANDRA CASTRO, cc: 1.007.316.924

Tutora:
CARMEN EMILIA RUBIO
GRUPO: 90168_42

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

FACULTAD DE CIENCIAS BASICAS, TECNOLOGIE E INGENIERIA
SEPTIEMBRE 20 DE 2015
UNAD

INTRODUCCION

La auditora de sistemas es la encargada de llevar a cabo la evaluacin de normas, controles,

tcnicas y procedimientos que se tienen establecidos en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a
travs de los sistemas de informacin.
En el presente trabajo estaremos exponiendo un plan de auditoria para la empresa
SALUDCOOP EPS, seccional Agustn Codazzi, Cesar; en el cual daremos a conocer nuestros
puntos de vista en cuanto a las falencias que est manejando esta empresa en su rea de
sistemas, delimitando las amenazas y riesgos que realizan ataques a su rea tecnolgica y la
mantienen vulnerable a cualquier dao.
Lo que queremos brindar a travs de este plan de auditoria son recomendaciones a los
directivos de la seccional para mejorar o lograr un adecuado control interno de los ambientes
de tecnologa informtica con el fin de alcanzar mayor eficiencia operacional y
administrativa que conllevara al talento humano a poder brindar un mejor servicio a sus
usuarios que son la razn de ser de esta EPS.

OBJETIVOS

OBJETIVO GENERAL
Realizar plan de auditoria a la EPS SALUDCOOP, seccional Codazzi, diseando estrategias
de solucin para las falencias presentadas en el rea de sistemas. Delimitando las amenazas y
riesgos que realizan ataques a su rea tecnolgica y la mantienen vulnerable a cualquier dao.

OBJETIVOS ESPECIFICOS

Identificar las vulnerabilidades, riesgos y amenazas a los que est expuesta sta

organizacin
Disear un plan de Auditoria, donde se expongan todas las falencias encontradas.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de los ordenadores.
Evaluar la forma como se administran los dispositivos de almacenamiento bsico del

rea de Informtica.
Determinar la veracidad de la informacin del rea de informtica.
Minimizar existencias de riesgos en el uso de las Tecnologas de la Informacin.

IMPORTANCIA DE REALIZAR EL PROCESO DE AUDITORIA EN UNA

EMPRESA U ORGANIZACIN

Su importancia radica en que una empresa bien auditada mantiene al da sus

actividades, es ms competitiva con respecto a otras empresas del sector, proporciona
organizacin en los procesos y sus empleados, se generan mayores niveles de
rentabilidad, se optimizan la velocidad de acceso a los recursos tecnolgicos, se
reducen gasto en compra de hardware averiados por falta de mantenimiento, el
personal se encuentra mejor capacitado, y las decisiones del rea administrativa de la

empresa son ms objetivas y asertivas para la toma de decisiones.

Podemos concluir que el proceso para cumplir con los objetivos de una empresa tiene
varias etapas, las cuales son: planeacin, organizacin, direccin, ejecucin y
evaluacin las cuales para asegurar un resultado satisfactorio al momento de
ejecutarse se hace necesario contar con un proceso de auditora eficiente para poder
respaldar un sistema de control interno que junto con la administracin superior
respalde todos los pasos de cada una de las etapas velando por un cumplimiento

oportuno y con el mximo rendimiento en la utilizacin de los recursos.

Gracias a las auditoras se pueden identificar los errores cometidos en la organizacin
y se puede enmendar a tiempo cualquier falla en la ejecucin de la estrategia, para
tomar medidas que permitan retomar el rumbo correcto en la empresa; Se recomienda
hacer una auditora al menos una vez al ao, de esa forma se lograr un mejor control
sobre los procesos de gestin en la empresa, permitiendo un crecimiento ordenado
que garantice la sostenibilidad de la organizacin a largo plazo.

El proceso de auditoria en una empresa es primordial para controlar los lineamientos

de una organizacin creando propuestas que darn solucin a muchas de las
vulnerabilidades a las cuales se encuentran expuestos muchos de los activos de la
empresa, y por medio de las propuestas expuestas en el proceso de auditoria
podremos asegurar un adecuado funcionamiento de las reas de la organizacin.

La auditora en una empresa es importante, ya que con esta actividad le permite a las
organizaciones mejorar sus funciones continuas, proporcionando valiosa informacin
a la direccin o agentes de la empresa para la toma de decisiones en cuanto al
mejoramiento de la misma. Es recomendable realizar las auditoras a fin de mantener
un control regular de la empresa, adems que nos ayuda a detectar riesgos y
vulnerabilidades, identificar errores etc.; para as lograr su mejoramiento y
crecimiento.

PLAN DE AUDITORIA

ANTECEDENTES

SaludCoop IPS, seccional Codazzi, presta sus servicios en salud a todos sus afiliados del
rgimen contributivo y subsidiado, tiene a disposicin de sus clientes un departamento de

sistemas a nivel nacional llamado OPERADOR DE TECNOLOGIA HEON, por medio del
cual ofrecen un amplio sistema de informacin donde se manejan afiliaciones, admisiones,
lnea de frente, farmacia ambulatoria, promocin y prevencin, citas mdicas, odontologa,
vacunacin cada seccin tiene implementado un software para la prestacin de servicios
segn la necesidad del usuario.
Cuenta con todos aquellos componentes de Hardware y programas (Software) que son
necesarios para el buen funcionamiento y la Optimizacin del trabajo con Ordenadores y
Perifricos, tanto a nivel Individual, como Colectivo u Organizativo, sin dejar de lado el buen
funcionamiento de los mismos.
A nivel nacional se encuentra muy bien estructurado su departamento de sistemas, pero a
nivel seccional podemos observar que tienen bastantes falencias en cuanto al buen manejo de
su rea de sistemas a nivel estructural, organizativo, de personal etc., motivo por el cual
hemos tomado la dependencia de sistemas de la seccional Codazzi para centrar nuestro
proceso de auditora.

OBJETIVOS

Objetivo General

Realizar auditoria a las instalaciones fsicas de la seccional SaludCoop Ips Codazzi en

la dependencia de sistemas, para verificar el cumplimiento de la normatividad vigente

relacionada con el rea tecnolgica de la sede, tomando como base: hardware,

software, red y el personal involucrado en el rea de sistemas.

Objetivos especficos

Verificar el rea de sistemas de la Ips Codazzi, ratificando las falencias presentadas al

momento de generar la prestacin del servicio en el rea de sistemas tomando como

base el hardware, el software y el talento humano.

Realizar una evaluacin de la seguridad presentada en el rea de informtica.
Realizar un control de modificacin a las aplicaciones existentes.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de los

ordenadores.
Evaluar la forma como se administran los dispositivos de almacenamiento bsico del

rea de Informtica.
Determinar la veracidad de la informacin del rea de informtica.

ALCANCE Y DELIMITACION
La presente auditoria la estaremos realizando en las instalaciones de la ips SaludCoop
Codazzi, enfocando nuestro estudio en el rea de sistemas, en todo lo referente a Hardware,
Software, talento humano, redes y comunicaciones, seguridad fsica.

Verificando de esta

manera el cumplimiento de la normatividad vigente y sugiriendo cambios que van a dar una
mejor estructura a esta seccin lo que les permitir brindar un mejor servicio a los clientes
externos y a los usuarios que estn ligados diariamente con los sistemas de informacin.

El proceso de auditoria lo realizaremos de la siguiente manera:

AUDITORIA FISICA

Organizacin y cualificacin del personal de seguridad

Remodelacin del ambiente de trabajo
Planes y procedimientos
Sistemas tcnicos de seguridad y proteccin.

AUDITORIA DEL HARDWARE

Planes y procedimientos
Polticas de Mantenimiento
Inventarios del hardware
Capacitacin del Personal

AUDITORIA DEL TALENTO HUMANO

Evaluacin del personal y coherencia de cargos de la propia institucin.

Normas y Procedimientos del rea de informtica.

AUDITORIA DEL DESARROLLO

Conexiones
Cifrado
Salidas Gateway y Routers
Correo Electrnico
Pginas WEB
Firewalls.

AUDITORIA DEL MANTENIMIENTO

Planes y procedimientos de Mantenimiento

AUDITORIA DE LA SEGURIDAD

Organizacin y calificacin del personal

Planes y procedimientos
Sistemas tcnicos de deteccin y comunicacin
Anlisis de puestos
Mantenimiento

JUSTIFICACION
La auditora de sistemas que realizaremos en la ips Codazzi es de vital importancia para el
buen desempeo del rea de sistemas de esta organizacin, aunque es una empresa privada
de alto reconocimiento a nivel nacional pudimos observar, que seccionalmente tienen muchas
falencias en cuanto a la organizacin del rea tecnolgica lo que los mantiene vulnerables a
amenazas y riesgos que los conllevan a prdidas econmicas, ocasionando desgaste en sus
activos y en el personal que tiene contacto directo con el hardware, el software, las redes etc.
Por medio de esta auditoria queremos implementar estrategias de solucin que minimicen las
fallas que actualmente estn cometiendo, generando as resultados eficientes que se
manifestaran en una mejor prestacin de servicio a sus usuarios que son la razn de ser de
esta eps.
METODOLOGA.

Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes actividades:

Solicitud de los estndares utilizados y programa de trabajo

Aplicacin del cuestionario al personal
Anlisis y evaluacin del a informacin
Elaboracin del informe

Para la evaluacin de los sistemas tanto en operacin como en desarrollo se llevarn a

cabo las siguientes actividades:

Solicitud del anlisis y diseo del os sistemas en desarrollo y en operacin

Solicitud de la documentacin de los sistemas en operacin (manuales tcnicos,

de operacin del usuario, diseo de archivos y programas).

Entrevista con los usuarios de los sistemas.
Anlisis y evaluacin de la informacin recopilada
Elaboracin del informe.

Para la evaluacin de los equipos se llevarn a cabo las siguientes actividades:

Elaboracin de un cuestionario sobre la utilizacin de equipos, memoria,

archivos, unidades de entrada/salida, equipos perifricos y su seguridad.

Evaluacin de la informacin recopilada, obtencin de grficas, porcentaje de

utilizacin de los equipos.

Solicitud de los estudios de viabilidad y caractersticas de los equipos actuales,
proyectos sobre ampliacin de equipo, su actualizacin.

Elaboracin y presentacin del informe final ( conclusiones y recomendaciones)

RECURSOS

HUMANOS

Joann Fernando Quintero

Leidy Carol Pealoza
Juan Carlos Ortiz
Maira Alejandra Castro
Maryeri Gutirrez Clavijo

TECNICOS

Computador.

Impresora.

Cmara Digital.

Internet

Software especializado de auditora

CRONOGRAMA DE ACTIVIDADES

PROGRAMA DE AUDITORIA
EMPRESA: SaludCoop IPS, seccional Codazzi
FASE
ACTIVIDAD
HORAS

RESPONSABLE

FECHA

Maryeri Gutirrez

24 / 08 / 2015

ESTIMADAS
VISITA PRELIMINAR.
Solicitud
I

de

documentacin.
Elaboracin

la
8 horas
de

Clavijo

aproximadamente

AL

cuestionarios.
Recopilacin de toda la
20 / 09 / 2015

informacin recolectada.
DESARROLLO
DE
LA
AUDITORIA.
Aplicar el cuestionario al
personal de la empresa.
Realizar entrevistas a los
II

lderes del programa y a

los usuarios.
Anlisis de las claves de
acceso,

seguridad

del

sistema y los respaldos

que son utilizados.

20 horas

Maryeri Gutirrez

aproximadamente

Clavijo

21 / 09 / 2015

Leidy Pealoza
Almanza

AL

 Evaluacin

de

sistemas

hardware

software.
Evaluacin

del

los

20 / 10 / 2015

diseo

lgico del sistema.

Evaluacin
de

la

seguridad fsica y los

procedimientos

de

respaldos utilizados.
REVISIN Y PRE-INFORME.
Revisin

de

la

documentacin de trabajo
III

utilizada.
Diagnstico

Maryeri Gutirrez
15 horas

Clavijo

aproximadamente

Leidy Pealoza

no

Almanza

conformidades.
Elaboracin de la carta a
la

alta

personal

gerencia

Maira Alejandra
Castro

oh

Joan Fernando

presentacin del informe

15 / 11 / 2015

Quintero

este recurso.
Elaboracin del borrador.
INFORME.
Elaboracin

AL

Juan Carlos Ortiz

directo

responsable de garantizar

IV

21 / 10 / 2015

Maryeri Gutirrez
5 horas

Clavijo

aproximadamente

Leidy Pealoza
Almanza

16 / 11 / 2015

AL

Maira Alejandra
Castro
Juan Carlos Ortiz

29 / 11 / 2015

Joann Fernando
Quintero

PROGRAMA DE AUDITORIA
COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnologa de
Informacin (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de
control, aspectos tcnicos y riesgos de negocios. COBIT habilita el desarrollo de polticas
claras y buenas prcticas para el control de TI a lo largo de las organizaciones.
COBIT define las actividades de TI en un modelo de 34 procesos genricos agrupados en 4
dominios:
PLANEAR Y ORGANIZAR (PO)
Estrategias y tcticas. Identificar la manera en que TI pueda contribuir de la mejor
manera al logro de los objetivos del negocio. Proporciona direccin para la entrega de
soluciones (AI) y la entrega de servicio (DS).

 ADQUIRIR E IMPLEMENTAR (AI)

Identificacin de soluciones, desarrollo o adquisicin, cambios y/o mantenimiento de
sistemas existentes. Proporciona las soluciones y las pasa para convertirlas en servicios.
ENTREGAR Y DAR SOPORTE (DS)
Cubre la entrega de los servicios requeridos. Incluye la prestacin del servicio, la
administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios,
la administracin de los datos y de las instalaciones operacionales. Recibe las soluciones
y las hace utilizables por los usuarios finales.
MONITOREAR Y EVALUAR (ME)
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los requerimientos de control. Este dominio abarca la
administracin del desempeo, el monitoreo del control interno, el cumplimiento
regulatorio y la aplicacin del gobierno. Monitorear todos los procesos para asegurar que
se sigue la direccin provista.
A continuacin, se detallan estos dominios:
PLANEAR Y ORGANIZAR (PO).
Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en
que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la
realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una
estructura tecnolgica apropiada.
ADQUIRIR E IMPLEMENTAR (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas en los procesos del negocio.
Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este
dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

ENTREGAR Y DAR SOPORTE (DS)

Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin
del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a
los usuarios, la administracin de los datos y de las instalaciones operativos.
MONITOREAR Y EVALUAR (ME)
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los requerimientos de control. Este dominio abarca la
administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio
y la aplicacin del gobierno.
Entre los procesos del COBIT encontramos:
PROCESOS: PLANEAR Y ORGANIZAR (PO)
PO1 Definir el plan estratgico de TI.
PO2 Definir la arquitectura de la informacin
PO3 Determinar la direccin tecnolgica.
PO4 Definir procesos, organizacin y relaciones de TI.
PO5 Administrar la inversin en TI.
PO6 Comunicar las aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI.

PROCESOS: ADQUIRIR E IMPLEMENTAR (AI)

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.

PROCESOS: ENTREGAR Y DAR SOPORTE (DS)

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.

DS6 Identificar y asignar costos.

DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuracin.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones

PROCESOS: MONITOREAR Y EVALUAR (ME)

ME1 Monitorear y evaluar el desempeo de TI.

ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.

PROCESOS: ENTREGAR Y DAR SOPORTE (DS)

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuracin.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones.

PROCESOS: MONITOREAR Y EVALUAR (ME)

ME1 Monitorear y evaluar el desempeo de TI.

ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
OBJETIVOS DE CONTROL.

Por otra parte, se define que los procesos requieren de controles. Se entiende por control
aquellas polticas, procedimientos, prcticas y estructuras organizacionales diseadas para

brindar una seguridad razonable que los objetivos de negocio se alcanzarn, y los eventos no
deseados sern prevenidos o detectados y corregidos.
Ahora, los objetivos de control son los requerimientos mnimos para un control efectivo de
cada proceso de IT. La Gerencia usa los procesos para organizar y administrar las actividades
de TI en curso.
Cada proceso de TI de COBIT tiene un objetivo de control de alto nivel y un nmero de
objetivos de control detallados.

Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto

nivel a considerar por la gerencia para un control efectivo de cada proceso de TI. Ellos:
Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo
Consisten en polticas, procedimientos, prcticas y estructuras organizacionales.
Estn diseadas para proporcionar un aseguramiento razonable de que los objetivos de
negocio se conseguirn y que los eventos no deseables se prevendrn, detectarn y
corregirn.
La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control:
Seleccionando aquellos aplicables.
Decidir aquellos que deben implementarse.
Elegir como implementarlos (frecuencia, extensin, automatizacin, etc.)
Aceptar el riesgo de no implementar aquellos que podran aplicar.
RELACIONES DE OBJETIVO DE CONTROL, DOMINIOS, PROCESOS Y
OBJETIVOS DE CONTROL
PLANEACIN Y ORGANIZACIN
1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin
1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo
1.2 Plan a largo plazo de Tecnologa de Informacin
1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura

1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin

1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin
1.6 Evaluacin de sistemas existentes
2.0 Definicin de la Arquitectura de Informacin
2.1 Modelo de la Arquitectura de Informacin
2.2 Diccionario de Datos y Reglas de cinta de datos de la corporacin
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad
3.0 Determinacin de la direccin tecnolgica
3.1 Planeacin de la Infraestructura Tecnolgica
3.2 Monitoreo de Tendencias y Regulaciones Futuras
3.3 Contingencias en la Infraestructura Tecnolgica
3.4 Planes de Adquisicin de Hardware y Software
3.5 Estndares de Tecnologa
4.0 Definicin de la Organizacin y de las Relaciones de TI
4.1 Comit de planeacin o direccin de la funcin de servicios de informacin
4.2 Ubicacin de los servicios de informacin en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad del aseguramiento de calidad
4.6 Responsabilidad de la seguridad lgica y fsica
4.7 Propiedad y Custodia
4.8 Propiedad de Datos y Sistemas
4.9 Supervisin
4.10 Segregacin de Funciones

4.11 Asignacin de Personal para Tecnologa de Informacin

4.12 Descripcin de Puestos para el Personal de la Funcin de TI
4.13 Personal clave de TI
4.14 Procedimientos para personal por contrato
4.15 Relaciones
5.0 Manejo de la Inversin en Tecnologa de Informacin
5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo - Beneficio
6.0 Comunicacin de la direccin y aspiraciones de la gerencia
6.1 Ambiente positivo de control de la informacin
6.2 Responsabilidad de la Gerencia en cuanto a Polticas
6.3 Comunicacin de las Polticas de la Organizacin
6.4 Recursos para la implementacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de Polticas, Procedimientos y Estndares
6.7 Compromiso con la Calidad
6.8 Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno
6.9 Derechos de propiedad intelectual
6.10 Polticas Especficas
6.11 Comunicacin de Conciencia de Seguridad en TI
7.0 Administracin de Recursos Humanos
7.1 Reclutamiento y Promocin de Personal
7.2 Personal Calificado
7.3 Entrenamiento de Personal

7.4 Entrenamiento Cruzado o Respaldo de Personal

7.5 Procedimientos de Acreditacin de Personal
7.6 Evaluacin de Desempeo de los Empleados
7.7 Cambios de Puesto y Despidos
8.0 Aseguramiento del Cumplimiento de Requerimientos Externos
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos
8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento con Contratos de Seguros
9.0 Evaluacin de Riesgos
9.1 Evaluacin de Riesgos del Negocio
9.2 Enfoque de Evaluacin de Riesgos
9.3 Identificacin de Riesgos
9.4 Medicin de Riesgos
9.5 Plan de Accin contra Riesgos
9.6 Aceptacin de Riesgos
10.0 Administracin de proyectos
10.1 Marco de Referencia para la Administracin de Proyectos
10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equipo del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Aprobacin de las Fases del Proyecto

10.7 Plan Maestro del Proyecto

10.8 Plan de Aseguramiento de la Calidad de Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y
Procedimientos de la Funcin de Servicios de Informacin
11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la
Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de
Tecnologa
11.10 Relaciones con Terceras Partes como Implementadores
11.11 Estndares para la Documentacin de
Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas

11.14 Pruebas Piloto/En Paralelo

11.15 Documentacin de las Pruebas del Sistema
11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndar de
Desarrollo
11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin
de Servicios de Informacin
11.18 Mtricas de Calidad
11.19 Reportes de Revisiones de Aseguramiento de la Calidad

ADQUISICIN E IMPLEMENTACIN
1.0 Identificacin de Soluciones
1.1 Definicin de Requerimientos de Informacin
1.2 Formulacin de Acciones Alternativas
1.3 Formulacin de Estrategias de Adquisicin.
1.4 Requerimientos de Servicios de Terceros
1.5 Estudio de Factibilidad Tecnolgica
1.6 Estudio de Factibilidad Econmica
1.7 Arquitectura de Informacin
1.8 Reporte de Anlisis de Riesgos
1.9 Controles de Seguridad Econmicos
1.10 Diseo de Pistas de Auditora
1.11 Ergonoma
1.12 Seleccin de Software de Sistema
1.13 Control de Abastecimiento
1.14 Adquisicin de Productos de Software

1.15 Mantenimiento de Software de Terceras Partes

1.16 Contratos de Programacin de Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de Software de Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas Actuales
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de Requerimientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseo para la Recopilacin de Datos Fuente
2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos
2.8 Definicin de Interfaces
2.9 Interfaces Usuario-Mquina
2.10 Definicin y Documentacin de Requerimientos de Procesamiento
2.11 Definicin y Documentacin de Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de Diseo
2.14 Estipulacin de Integridad de TI en programas de software de aplicaciones
2.15 Pruebas de Software de Aplicacin
2.16 Materiales de Consulta y Soporte para Usuario
2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de Arquitectura de Tecnologa
3.1 Evaluacin de Nuevo Hardware y Software
3.2 Mantenimiento Preventivo para Hardware

3.3 Seguridad del Software del Sistema

3.4 Instalacin del Software del Sistema
3.5 Mantenimiento del Software del Sistema
3.6 Controles para Cambios del Software del Sistema
4.0 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de
Informacin
4.1 Futuros Requerimientos y Niveles de Servicios Operacionales
4.2 Manual de Procedimientos para Usuario
4.3 Manual de Operacin
4.4 Material de Entrenamiento
5.0 Instalacin y Acreditacin de Sistemas
5.1 Entrenamiento
5.2 Adecuacin del Desempeo del Software de Aplicacin
5.3 Conversin
5.4 Pruebas de Cambios
5.5 Criterios y Desempeo de Pruebas en Paralelo/Piloto
5.6 Prueba de Aceptacin Final
5.7 Pruebas y Acreditacin de Seguridad
5.8 Prueba Operacional
5.9 Promocin a Produccin 5.10 Evaluacin de la Satisfaccin de los Requerimientos del
Usuario
5.11Revisin Gerencial Post - Implementacin
6.0 Administracin de Cambios
6.1 Inicio y Control de Requisiciones de Cambio
6.2 Evaluacin del Impacto

6.3 Control de Cambios

6.4 Documentacin y Procedimientos
6.5 Mantenimiento Autorizado
6.6 Poltica de Liberacin de Software
6.7 Distribucin de Software

ENTREGA DE SERVICIOS Y SOPORTE

1.0 Definicin de Niveles de Servicio
1.1 Marco de Referencia para el Convenio de Nivel de Servicio
1.2 Aspectos sobre los Acuerdos de Nivel de Servicio
1.3 Procedimientos de Ejecucin
1.4 Monitoreo y Reporte
1.5 Revisin de Convenios y Contratos de Nivel de Servicio
1.6 Elementos sujetos a Cargo
1.7 Programa de Mejoramiento del Servicio
2.0 Administracin de Servicios prestados por
Terceros
2.1 Interfaces con Proveedores
2.2 Relaciones de Dueos
2.3 Contratos con Terceros
2.4 Calificaciones de terceros
2.5 Contratos con Outsourcing
2.6 Continuidad de Servicios
2.7 Relaciones de Seguridad
2.8 Monitoreo

3.0 Administracin de Desempeo y Capacidad

3.1 Requerimientos de Disponibilidad y Desempeo
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de Modelado
3.5 Manejo de Desempeo Proactivo
3.6 Pronstico de Carga de Trabajo
3.7 Administracin de Capacidad de Recursos
3.8 Disponibilidad de Recursos
3.9 Calendarizacin de recursos
4.0 Aseguramiento de Servicio Continuo
4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin
4.2 Estrategia y Filosofa de Continuidad de Tecnologa de Informacin
4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin
4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin
4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin
4.7 Capacitacin sobre el Plan de Continuidad de Tecnologa de Informacin
4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin
4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de Informacin
4.11 Centro de Cmputo y Hardware de respaldo
4.12 Procedimientos de Refinamiento del Plan de Continuidad de TI
5.0 Garantizar la Seguridad de Sistemas
5.1 Administrar Medidas de Seguridad

5.2 Identificacin, Autenticacin y Acceso

5.3 Seguridad de Acceso a Datos en Lnea
5.4 Administracin de Cuentas de Usuario
5.5 Revisin Gerencial de Cuentas de Usuario
5.6 Control de Usuarios sobre Cuentas de Usuario
5.7 Vigilancia de Seguridad
5.8 Clasificacin de Datos
5.9 Administracin Centralizada de Identificacin y Derechos de Acceso
5.10 Reportes de Violacin y de Actividades de Seguridad
5.11 Manejo de Incidentes
5.12 Re-acreditacin
5.13 Confianza en Contrapartes
5.14 Autorizacin de Transacciones
5.15 No Rechazo
5.16 Sendero Seguro
5.17 Proteccin de funciones de seguridad
5.18 Administracin de Llave Criptogrfica
5.19 Prevencin, Deteccin y Correccin de Software "Malicioso"
5.20 Arquitecturas de Firewall y conexin a redes pblicas
5.21 Proteccin de Valores Electrnicos
6.0 Identificacin y Asignacin de Costos
6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y Facturacin a Usuarios
7.0 Educacin y Entrenamiento de Usuarios

7.1 Identificacin de Necesidades de Entrenamiento

7.2 Organizacin de Entrenamiento
7.3 Entrenamiento sobre Principios y Conciencia de Seguridad
8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin
8.1 Bur de Ayuda
8.2 Registro de Preguntas del Usuario
8.3 Escalamiento de Preguntas del Cliente
8.4 Monitoreo de Atencin a Clientes
8.5 Anlisis y Reporte de Tendencias
9.0 Administracin de la Configuracin
9.1 Registro de la Configuracin
9.2 Base de la Configuracin
9.3 Registro de Estatus
9.4 Control de la Configuracin
9.5 Software no Autorizado
9.6 Almacenamiento de Software
10.0 Administracin de Problemas e Incidentes
10.1 Sistema de Administracin de Problemas
10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de Auditora
11.0 Administracin de Datos
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recopilacin de Datos de Documentos Fuente
11.4 Manejo de Errores de Documentos Fuente

11.5 Retencin de Documentos Fuente

11.6 Procedimientos de Autorizacin de Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
11.8 Manejo de Errores en la Entrada de Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento de Datos
11.11 Manejo de Error en el Procesamiento de Datos
11.12 Manejo y Retencin de Salida de Datos
11.13 Distribucin de Salida de Datos
11.14 Balanceo y Conciliacin de Datos de Salida
11.15 Revisin de Salida de Datos y Manejo de Errores
11.16 Provisiones de Seguridad para Reportes de Salida
11.17 Proteccin de Informacin Sensible durante transmisin y transporte
11.18 Proteccin de Informacin Crtica a
de los Servicios de TI
3.4 Evaluacin Independiente de la Efectividad de proveedores externos de servicios
3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y
compromisos contractuales
3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y
compromisos contractuales
3.7 Competencia de la Funcin de Aseguramiento Independiente
3.8 Participacin Proactiva de Auditora
4.0 Proveer Auditora Independiente
4.1 Estatutos de Auditora
4.2 Independencia

4.3 tica y Estndares Profesionales

4.4 Competencia
4.5 Planeacin
4.6 Desempeo del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento ser Desechada.
11.19 Administracin de Almacenamiento
11.20 Perodos de Retencin y Trminos de Almacenamiento
11.21 Sistema de Administracin de la Librera de Medios
11.22 Responsabilidades de la Administracin de la Librera de Medios
de proveedores externos de servicios
11.23 Respaldo y Restauracin
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Sensitivos
11.28 Autenticacin e Integridad
11.29 Integridad de Transacciones Electrnicas
11.30 Integridad Continua de Datos Almacenados
12.0 Administracin de Instalaciones
12.1 Seguridad Fsica
12.2 Discrecin de las Instalaciones de Tecnologa de Informacin
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin contra Factores Ambientales

12.6 Suministro Ininterrumpido de Energa

13.0 Administracin de Operaciones
13.1 Manual de procedimientos de Operacin e Instrucciones
13.2 Documentacin del Proceso de Inicio y de Otras Operaciones
13.3 Calendarizacin de Trabajos
13.4 Salidas de la Calendarizacin de Trabajos Estndar
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Operaciones Remotas

MONITOREO
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos de Monitoreo
1.2 Evaluacin de Desempeo
1.3 Evaluacin de la Satisfaccin de Clientes
1.4 Reportes Gerenciales
2.0 Evaluar lo adecuado del Control Interno
2.1 Monitoreo de Control Interno
2.2 Operacin oportuna del Control Interno
2.3 Reporte sobre el Nivel de Control Interno
2.4 Seguridad de operacin y aseguramiento de Control Interno
3.0 Obtencin de Aseguramiento Independiente
3.1 Certificacin / Acreditacin Independiente de Control y Seguridad de los servicios de TI
3.2 Certificacin / Acreditacin Independiente de Control y Seguridad de proveedores
externos de servicios

3.3 Evaluacin Independiente de la Efectividad

CONCLUSIONES

La auditora de sistemas es de suma importancia para el buen desenvolvimiento diario de una

organizacin o empresa puesto que por medio de esta se proveen los mecanismos de control,
seguridad y respaldo de la informacin dentro de la institucin, ya que si no tomamos
medidas la organizacin se ver sumida a riesgos lgicos, fsicos y humanos, que conllevan a
fraudes no solamente econmicos, sino de informacin, generando de este modo perdidas a
la empresa.

La auditora en informtica deber comprender no slo la evaluacin de los equipos de

cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar
los sistemas de informacin en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin. Por lo que concluimos que esta, es de vital
importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

WEBGRAFIA

Breve

http://coyunturaeconomica.com/empresas/resumen-de-la-auditoria.
Curso elemental de auditoria, Importancia de la Auditoria. (en lnea). Disponible en:

http://www.mailxmail.com/curso-elemental-auditoria/importancia-auditoria
Auditoria
de
sistemas
de
informacin.(en
lnea).
Disponible

en:

http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
La
importancia
de
la
auditoria.
(En
lnea).
Disponible

en.:

resumen

sobre

la

auditoria.

(en

lnea).

Disponible

en:

http://blogs.funiber.org/direccion-empresarial/2014/03/24/la-importancia-de-la

auditoria. (2015, 07 de septiembre).

Cobit 4.1 version en espaol

http://es.slideshare.net/Ald1rA/cobit-r-41-resumen (2015, (15 de Septiembre).

Modulo
Auditoria
de
sistemas

resumen.

(en

lnea).

Disponible

en:

http://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_AUD

ITORIA_GGGG.pdf Falcon, . (2006).

Auditora y las Normas de Auditora Generalmente Aceptadas. (Spanish).

Contabilidad Y Negocios, 1(2), 16-20.

http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf
Del Carmen Martnez Daz, M., & Armenteros Vera, I. (2006). Orgenes y
clasificacin de la auditora de la informacin. (Spanish). Acimed, 14(5), 1.
http://datateca.unad.edu.co/contenidos/90168/U1_Origen_de_la_auditoria.pdf