1. UNIVERSIDAD TECNOLÓGICA DE DURANGO
TECNOLOGÍAS DE LA INFORMACIÓN
AUDITORÍA INFORMÁTICA
BASADA EN ISO 90011:2011(E)
ASESOR: RAÚL IVÁN HERRERA GONZÁLEZ
GRUPO 10 A
CUATRIMESTRE: ENERO – ABRIL 2014 11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
1
3. REFERENCIAS NORMATIVAS
ISO 19011-2011 (E) Segunda Edición
Directrices para la auditoría de Sistemas de Gestión de Calidad
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
3
4. ALCANCES DE LA AUDITORÍA
Realizar el mapeo de procesos en su totalidad de la áreas
auditadas
Documentar toda información recabada en el proceso de
auditoria
Realizar la evaluación de los procesos
Revisar mayoría de procedimientos de la organización
Finalizar con éxito la auditoria
Realizar propuesta de mejora paralela al cierre de la auditoría
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
4
5. OBJETIVO
Evaluar y revisar los procesos, políticas, y procedimientos
de la organización en los departamentos de Sistemas
informáticos, Administración, Redes y Mantenimiento
con fin de presentar una propuesta de mejora basada
en normas de calidad, en caso de encontrar hallazgos
en los procesos de la organización.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
5
6. ORGANIGRAMA EQUIPO AUDITOR
LÍDER DE PROYECTO
TSU ARTURO RAMOS GONZÁLEZ
LÍDER ADMINISTRACIÓN
TSU Rene De la Peña
Gallegos
LÍDER MANTENIMIENTO
TSU Manuel Alfredo
Alanís Esparza
LÍDER REDES
TSU Davis Efrén escamilla
Haros
LÍDER SISTEMAS
TSU Saray Martínez
LIDERES DE EQUIPO AUDITOR POR DEPARTAMENTO
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
6
7. MIEMBROS DEL EQUIPO AUDITOR
PLAN DE AUDITORÍA
LÍDER DE PROYECTO ARTURO RAMOS GONZÁLEZ
Departamento de
Administración
Rene De la Peña Gallegos (Líder)
Ortega Nevárez Martín Alberto
Martínez Ruiz Edgar
Departamento de
Mantenimiento
Manuel Alfredo Alanís Esparza (Líder)
Fernández Morales Carlos Alberto
Martínez Soto Rafael
Reyes Rendón Rubén Edgar
Departamento de Redes Davis Efrén escamilla Haros (Líder)
Aguilar Guerrero Jaime
Bueno Pérez Luis Enrique
Hernández Rodríguez Manuel Iván
Departamento de Sistemas
Informáticos
Saray Martínez (Líder)
Quezada Varela Juan de Dios
Ramos González Arturo 11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
7
10. 6.4.1 Generalidades
Las actividades de auditoría normalmente son llevadas
a cabo en una secuencia definida, Esta secuencia
puede ser modificada para ajustarse a las
circunstancias de auditorías específicas.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
10
11. 6.4.2 Realización de la reunión de
apertura
La reunión de apertura se realizo la cuarta semana de enero, en la
cual estuvieron presentes el líder de auditoría Arturo Ramos y los
lideres de cada uno de los equipos auditores, así como los
responsables de cada departamento a auditar de la Dirección
General de Tecnologías.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
11
12. El objetivo fue realizar la presentación de los auditores con
los encargados de los distintos departamentos a auditar y
familiarizarse con los procesos de la Dirección General de
Tecnología, esto se realizo gracias a una serie de
preguntas en forma de platica informal pero siempre
llevando un registro de cada reunión y sus puntos
importantes.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
12
13. 6.4.3 Revisión documental durante la
realización de la auditoria
En este punto, se solicita al personal auditado los documentos
disponibles; políticas, manual de procesos, objetivos, misión, visión,
etc.
Con el fin de conocer el funcionamiento a fondo de cada uno de los
departamentos y sus procesos.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
13
14. 6.4.4 Comunicación durante la auditoría
Cada equipo auditor se puso de acuerdo con los
encargados de los distintos departamentos con el fin de
establecer vías de comunicación para asegurar la
resolución de cualquier duda que pueda presentarse.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
14
15. Se realizan reuniones periódicas para intercambiar la información y así
poder evaluar el progreso de la auditoria y determinar si es necesario
reasignar tareas para cumplir con el objetivo de la auditoría.
El líder auditor muestra los avances generales y en caso de riesgo
significativo inminente para el auditado, se es reportado sin demora al
auditado.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
15
16. 6.4.5 Asignación de roles y
responsabilidades de guías y observadores
Sus responsabilidades deberían incluir las siguientes:
a) ayudar a los auditores a identificar a los individuos que van a participar en
las entrevistas y confirmar los tiempos;
b) organizar la logística de acceso a locaciones específicas del auditado;
c) asegurar que el equipo auditor y los observadores conocen y respetan las
reglas relacionadas con la seguridad de la ubicación y los procedimientos de
emergencia.
El rol del guía también puede incluir lo siguiente:
ser testigo de la auditoría en nombre del auditado;
proveer aclaraciones o ayudar a recolectar información.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
16
17. ORGANIGRAMA EQUIPO AUDITOR
LÍDER DE AUDITORÍA
TSU ARTURO RAMOS GONZÁLEZ
Líder Área
Administración
TSU Rene De la Peña
Gallegos
Líder Área
Mantenimiento: TSU
Manuel Alfredo Alanís
Esparza
Líder Área de Redes
TSU Davis Efrén
escamilla Haros
Líder Área de Sistemas
TSU Saray Martínez
LIDERES DE EQUIPO AUDITOR POR DEPARTAMENTO
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
17
18. 6.4.6 Recolección y Verificación de la
información
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
18
19. Los métodos para recolectar información incluyen los siguientes:
entrevistas;
observaciones;
revisión de documentos, incluidos registros.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
19
20. 6.4.8 Preparación de conclusiones de
auditoría
El equipo auditor debería reunirse antes de la reunión de cierre con el fin
de:
a) revisar los hallazgos de la auditoría y cualquier otra información
apropiada recopilada durante la auditoría frente a los objetivos de la
misma;
b) llegar a un acuerdo respecto a las conclusiones, teniendo en cuenta la
incertidumbre inherente en el proceso de auditoría;
c) preparar recomendaciones, si esto está especificado en el plan de
auditoría;
d) discutir el seguimiento a la auditoría, según sea aplicable.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
20
21. 6.4.9 Realización de la reunión de
cierre
Se debería llevar a cabo una reunión de cierre, facilitada por el líder del
equipo auditor, para presentar los hallazgos y conclusiones de la auditoría.
Los participantes de la reunión de cierre deberían incluir la gerencia del
auditado y, cuando sea apropiado, aquellos responsables por las
funciones o procesos que han sido auditados, y también pueden incluir al
cliente de auditoría u otras partes. Si es necesario, el líder del equipo
auditor debería prevenir al auditado de las situaciones encontradas
durante la auditoría que pudieran disminuir la confianza en las
conclusiones de la auditoría.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
21
23. 7.1 Generalidades
Para cumplir con los objetivos debemos de tener en cuenta la
competencia de los auditores y líderes de equipo.
La evaluación debe incluir cuatro pasos:
a) determinar la competencia del personal de auditoría para suplir las necesidades
del programa de auditoría;
b) establecer los criterios de evaluación;
c) seleccionar el método de evaluación apropiado;
d) llevar a cabo la evaluación.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
23
24. 7.2 Determinación de competencias de auditor
para suplir las necesidades del programa de
auditoría
Para poder determinar las competencias del
auditor se hace referencia al conocimiento y
habilidades para lo que se debe de tener en
cuenta el maño, naturaleza y complejidad de la
organización, los objetivos y alcances del programa
de auditoría, el rol del proceso de auditoría y la
complejidad del sistema de gestión de auditoria.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
24
25. Comportamiento personal:
Mostrar comportamiento profesional
ético, mentalidad
abierta, observador, perceptiva, versátil,
didáctica, segura de sí mismo, abierto a
la mejora, sensible culturalmente y
colaborador durante el desarrollo de las
actividades de auditoría.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
25
26. Conocimiento y habilidades
Los auditores deberían poseer el conocimiento y habilidades necesarias para alcanzar
los resultados esperados de las auditorías como lo son:
Conocimientos genéricos y habilidades de los auditores del sistema de gestión
Conocimiento y habilidades específicas de la disciplina o sector de los auditores de sistemas
de gestión
Conocimiento genérico y habilidades del líder del equipo auditor
Conocimiento y habilidades para auditor sistemas de gestión que tratan múltiples disciplina
Logro de competencias de auditor
Líderes de equipo auditor
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
26
27. Conocimientos genéricos y habilidades de
los auditores del sistema de gestión
Principios, procedimientos y métodos de auditoría.
Documentos del sistema de gestión y de referencia.
Contexto organizacional.
Requisitos legales y contractuales aplicables y otros
requisitos que apliquen al auditado.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
27
28. Conocimiento y habilidades específicas de
la disciplina o sector de los auditores de
sistemas de gestión
Son los conocimientos específicos para la
disciplina y sector que sean apropiados
para auditor.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
28
29. Conocimiento genérico y habilidades
del líder del equipo auditor
Tiene conocimientos y habilidades adicionales
para manejar y proveer liderazgo en el equipo
de auditoria como por ejemplo hacer balance
entre las fortalezas y habilidades de los miembros
del equipo, desarrollar relaciones de trabajo,
gestionar, el proceso de auditoría, dirigir y
organizar los miembros prevenir y resolver
conflictos, representar al equipo auditor, conducir
al equipo auditor a alcanzar las conclusiones de
auditoria prepara y completar, el reporte de
auditoria.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
29
30. Conocimiento y habilidades para auditor
sistemas de gestión que tratan múltiples disciplina
Los líderes de equipo auditor deben
entender los requisitos de cada una de las
normas y reconocer los límites de su
conocimiento y habilidades en cada una
de las disciplinas.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
30
31. Logro de competencias de auditor
Son los conocimientos que se van adquiriendo
usando una combinación de educación formal e
informal, experiencia, programas de
entrenamiento, experiencia en una posición
gerencial o profesional relevante o experiencia
de auditoría adquirida bajo la supervisión de un
auditor.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
31
32. Líderes de equipo auditor
Esta experiencia adicional debería haber sido ganada al trabajar bajo la
dirección y guía de un líder de equipo auditor diferente.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
32
33. Establecimiento de criterios de
evaluación de auditores
Para evaluar a los auditores se toman en
cuenta criterios cualitativos.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
33
34. SELECCIÓN DEL MÉTODO APROPIADO
DE EVALUACIÓN DEL AUDITOR
Estos son los posibles métodos de evaluación:
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
34
35. Al usar los posibles métodos de evaluación se debe tener en cuenta lo
siguiente:
Los métodos presentados representan un rango de opciones y
pueden no aplicar en todas las situaciones
Los varios métodos presentados pueden diferir en su confiabilidad
Se debería usar una combinación de métodos para asegurar un
resultado que sea objetivo, consistente, justo y confiable.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
35
36. Realización de la evaluación del
auditor
La información recopilada de la persona debería compararse contra los
criterios establecidos en 7.2.3.
Cuando una persona que se espera que participe en el programa de
auditoría no cumple con los criterios, se debería tomar entrenamiento, trabajo
o experiencia de auditoría adicional y se debería llevar a cabo una re-
evaluación posterior.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
36
37. Mantenimiento y mejora de la
competencia del auditor
Los auditores y los líderes de equipo auditor deberían mejorar continuamente
su competencia.
Esto se puede lograr a través de medios tales como experiencia laboral
adicional o entrenamiento, estudio, preparación, asistencia a reuniones,
seminarios y conferencias u otras actividades relevantes.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
37
38. La persona que gestiona el programa de auditoría debería establecer
mecanismos apropiados para la evaluación continua del desempeño
de los auditores y líderes de equipo auditor.
Las actividades de continuo desarrollo profesional deberían tener en
cuenta lo siguiente:
Cambios en las necesidades del individuo y la organización
responsable de realizar la auditoría;
La práctica de auditoría;
Normas y otros requisitos relevantes.
11/03/2014AUDITORÍA DE SISTEMAS DE T.I.
38