El documento describe la metodología para realizar auditorías en sistemas que siguen el marco ITIL. Explica que se debe establecer una metodología que evalúe las áreas del sistema con estándares específicos y determine los pasos a seguir. Luego detalla algunas de las fases del proceso de auditoría como la investigación preliminar, el diagnóstico de la situación actual y la planeación de la auditoría, la cual incluye definir el universo a auditar y realizar análisis de riesgos.

1. Metodología para la
auditoría en sistema tipo
ITIL
ARQUÍMEDES VANEGA
OSVALDO GONZÁLEZ
PROFESORA: SAILY GONZÁLEZ

2. Introducción.
 ITIL: Information Technology Infrastructure Library (‘Biblioteca de
Infraestructura de Tecnologías de Información’), frecuentemente
abreviada ITIL, es un marco de trabajo de las mejores prácticas
destinadas a facilitar la entrega de servicios de tecnologías de la
información (TI) de alta calidad. ITIL resume un extenso conjunto de
procedimientos de gestión ideados para ayudar a las organizaciones a
lograr calidad y eficiencia en las operaciones de TI.

3. Metodología
El establecimiento de
auditorías a través del
correcto diseño de
metodología resulta en la
evaluación de las áreas de
sistemas con ciertos
estándares que determinan
los pasos a seguir para su
cumplimiento.

4. Metodologías cuantitativas
 Diseñada para generar una lista de
riesgos que pueden compararse entre
sí con facilidad por tener valores
numéricos asignados. Estos datos
producen la probabilidad de
ocurrencia de un evento.
Metodologías cualitativa
 Son basadas en métodos estadísticos
y lógica humana. Requieren que un
profesional experimentado este
involucrado.

5. Tipos de auditoría
ITIL
• Biblioteca de
infraestructura de TI.
•ITIL es actualmente el
marco de referencia
más aceptado y
utilizado en el mundo
de la gestión de
servicios de TI.

6. Fases del proceso
Estrategia
Promueve la visión
de la gestión de
servicios como un
activo estratégico.
Entre otras
funciones, define
las políticas a seguir
e identifica,
selecciona y
prioriza los servicios
que se ofrecerán a
los clientes.
Diseño
Su principal objetivo
es diseñar los
servicios, de forma
alineada con los
objetivos de
negocio y las
políticas
establecidas en la
Estrategia.
Transición
Es la responsable
de construir, probar
y desplegar en el
entorno productivo
los servicios
diseñados.
Operación
Realiza todas las
actividades
necesarias para
mantener los
servicios
ejecutándose
dentro de los
parámetros de
calidad acordados
con el cliente. Es la
fase del ciclo de
vida donde se
realiza el valor de
los Servicios.
Mejoracontinua
Trabaja con el resto
de fases del ciclo
de vida, y es la
responsable de
garantizar que
estamos
continuamente
mejorando.

7. ITIL V4
TRABAJA CON EL RESTO DE
FASES DEL CICLO DE VIDA, Y
ES LA RESPONSABLE DE
GARANTIZAR QUE ESTAMOS
CONTINUAMENTE
MEJORANDO.

8. ITIL incluye:
• Principios básicos: recomendaciones que pueden guiar a una organización en
todas las circunstancias, independientemente de los cambios en sus objetivos,
estrategias, tipo de trabajo o estructura de gestión.
• Gobernanza: los medios por los cuales una organización es dirigida y controlada.
• Cadena de valor del servicio: un conjunto de actividades interconectadas que
realiza una organización para entregar un producto o servicio valioso a sus
consumidores y facilitar la realización del valor.
• Prácticas: conjuntos de recursos organizacionales diseñados para realizar tareas o
lograr un objetivo.
• Mejora continua: una actividad organizativa recurrente que se realiza en todos los
niveles para garantizar que el desempeño de una organización cumpla con las
expectativas de los interesados.

9. Cadena de valor del servicio
El elemento central del SVS es la cadena de
valor de servicio, un modelo operativo que
describe las actividades requeridas para
responder a la demanda y facilitar la
creación de valor a través de la creación y
gestión de productos y servicios.

10. Las seis actividades de la cadena
de valor son:
Planea rAsegurar una comprensión compartida de la visión, el estado actual, y la dirección de mejora para las cuatro
dimensiones y todos los productos y servicios en toda la organización
Mejorar Asegurar la mejora continua de los servicios, prácticas y productos en todas las actividades de la cadena de
valor y las cuatro dimensiones de la gestión del servicio.
InvolucrarProporcionar una buena comprensión de las necesidades de los interesados, la transparencia, el acuerdo
continuo y las buenas relaciones con todos los interesados.
Diseño y transiciónAsegurar que los servicios y productos cumplan continuamente con las expectativas de calidad,
costes y tiempos del contrato.
Obtener/construirAsegurar que los componentes del servicio estén disponibles cuando y donde se necesiten y cumplan
con las especificaciones del contrato.
Entrega y soporteAsegurar que los servicios se entreguen y mantengan de acuerdo a las especificaciones acordadas y a las
expectativas de los interesados.

11. Normas ITIL
Conecta las TI con el
negocio con seguridad,
precisión, velocidad y
disponibilidad de la entrega
de servicios.
Enfocado en los procesos de
negocio.
Incrementa la confiabilidad
de la entrega de servicios de
TI.
Mejora la comunicación
entre usuarios finales, clientes
y empleados.
Demanda de tiempo y
esfuerzo para lograr su
completa absorción a la
cultura organizacional.
Puede fomentar la
burocracia y entorpecer la
adopción si no se tienen
bien claros los objetivos.
Requiere compromiso real
de parte de todos los
empleados y niveles de la
organización.
POSITIVO
NEGATIVO

12. ITIL
 1. Estrategia del Servicio
 2. Diseño del Servicio
 3. Transición del Servicio
 4. Operación del Servicio
 5. Mejora Continua del Servicio

13. ¿POR QUÉ IMPLANTAR ITIL?
Enfoque Integrado
El primer aspecto a tomar en cuenta es el de
proporcionar una única solución que permita
una visión global de los puntos clave de la
Gestión de TI y que disponga de una amplia
cobertura funcional en una plataforma
homogénea
Escalabilidad
Además de disponer de una plataforma
homogénea para la Gestión TI, es necesario
asegurar que la solución que implanta
gradualmente es escalable.
El modelo en la práctica
Esta propuesta de implantación progresiva no
parte de una base teórica no probada, sino
que se apoya en la experiencia en el desarrollo
e implantación de una solución para Gestión
de TI en diversas organizaciones tanto públicos
como privados, a nivel mundial.

14. Problemas de ITIL
El equipo de TI
se encuentra
sobrecargado
de trabajo, de
esta forma los
tiempos de
inactividad se
incrementa, el
número de
retrasos sube y
los
especialistas
no puedan
dedicar su
tiempo a
responder
otras fallas
que surgen
dentro de la
organización.
Imposible
monitorear el
desempeño
del personal
de TI los
avances de TI
se muestran
con retraso
del mes
pasado y sin
apreciaciones
individuales.
Los cambios
en la industria
de TI son
caóticos Sin
una base de
cambios en TI
los nuevos
elementos de
infraestructura
y software
generan
desconcierto

15. Como los corrige ITIL
Procesos específicos de ITIL
para organizar y dividir el trabajo del sector TI, organizar el trabajo del
departamento de TI, de esta forma los especialistas no se sobrecargan y
los periodos de inactividad son menores.
Un sistema de responsabilidad
basado en KPIs, ITIL nos permite contar no solo con indicadores del
desempeño, sino también con la plataforma ITSM para almacenar datos
individuales.
Gestión de cambios
ITIL establece un procedimiento de los cambios de TI a nivel empresarial,
se hacen solicitudes de cambios, anuncios y evaluaciones para analizar
si el cambios es positivo o amerita un retroceso.

16. ITIL
Marco común
•Brindan una
estructura sólida y
lógica que ayuda
a cada empresa a
explotar mejor sus
propios procesos,
dinámicas y
talentos.
Flexibilidad
•Puedes adaptar y
adoptar varias de
ellas en paralelo.
Base de
conocimiento
•Permite el
aprovechamiento
de la base de
conocimiento con
las expectativas de
los clientes.
Niveles de
servicio
• Definen los
parámetros de
penetración y
cumplimiento de
cada proceso de
cara a tus clientes.
Adaptabilidad
•Evolucionan y se
adaptan al ritmo
de las tendencias,

17. Procesos en la auditoria de sistema
Investigación
preliminar
Diagnóstico de la
situación actual
Planeación de la
auditoria de sistemas
Definir el universo de
TI.
Análisis de riesgos.
Planeación a largo
plazo
Planificación a corto
plazo.

18. Investigación
preliminar
Este paso debe incorporar
fases de evaluación del
control gerencia y del
control de aplicaciones.
Durante la revisión de los
controles gerenciales el
auditor debe entender a la
organización y las políticas
y prácticas gerenciales
usadas en cada uno de los
niveles, dentro de la
jerarquía de la instalación
en que se encuentran las
computadoras.

19. Diagnóstico de la situación actual
 Se realiza con el propósito
de identificar las
oportunidades de
mejoramiento y las
necesidades de
fortalecimiento para
facilitar el desarrollo de la
estrategia general de la
empresa.
 Alcaide, González & Flores,
2000

20. Planeación de la auditoría de
sistemas
Definir el universo de TI: Establecer lo que se debe auditar.
Análisis de riesgo: Definir la medida de importancia de cada
ítems de dicho universo, con sus medidas de riesgos.
Planeación a largo plazo: Evaluación de los sistemas
establecidos de la organización son adecuados y
suficientes para mitigar los riesgos identificados.
Planificación a corto plazo: Es un ciclo entre un año a un
trimestre. Se debe trasladar los trabajos pendientes a largo
plazo y que tengan prioridad critica.

21. Alcance y objetivos de la auditoria
informática
• Controlar que todas las actividades se realizan
cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de
las normas legales.
• Asesorar sobre el conocimiento de las normas.
• Colaborar y apoyar el trabajo de Auditoría informática,
así como de las auditorias externas al grupo.

22. Estudio inicial del entorno
Estudio
Organización
Número de
puestos de
trabajo
Números de
personas por
puesto de
trabajo
Eterno
Operacional

23. Determinación de los recursos
necesarios para realizar auditoría
• El plan debe precisar los pasos a seguir para cada tarea y
estimar de manera realista, el tiempo teniendo en cuenta el
personal habilitado.
Desarrollar un plan detallado
• Debe existir algún mecanismo que permita comprar el proceso
real con lo planificado.
Contrastar la actividad actual
• Si al comprar el avance con lo proyectado se determina
avances o retrasos, se debe reasignar tareas.
Ajustar el plan y tomar las acciones correctivas

24. Confección y redacción del informe
Identificación del informe
Titulo del informe.
Identificación del cliente
Destinatarios y personas que
efectúen el encargo
Identificación de la entidad
auditada
Entidad objeto de la auditoría
informática.

25. Confección y redacción del informe
Objetivo de la auditoría: Declaración de objetivos, propósito.
Normativa aplicada y excepciones: Identificaciones de
normas legales y profesionales utilizadas.
Alcance de la auditoría: Naturaleza y extensión del trabajo
realizado: área organizativa, período de auditoría, sistemas
de información.
Conclusiones: Informe corto de opinión. Se ha llegado al
resultado y a la esencia del dictamen, la opinión y los párrafos
de salvedades y énfasis.

26. Resultados
• Informe largo.
Información
previa
• Actuación
inmediata en la
detección de
irregularidades.
• Seguimiento de
normativas
legal.
Fecha del
informe
• De esta forma
se da a
conocer la
magnitud del
trabajo y sus
implicaciones.
Identificación
y firma del
auditor
• Se presenta de
forma individual
o a través de
una sociedad.
Distribución
del informe
• Se refiere al
punto de a
quien a esta
destinada la
auditoría.
Quienes
tendrán acceso
al informe y sus
usos concretos.

27. Conclusiones
 Terminado este trabajo podemos reconocer que una
auditoría presenta una oportunidad de crecer en
diversas formas, esto es debido que se localiza los
riesgos y vulnerabilidades del sistema. Con esto se
puede mejorar la empresa y determinar como debe
ser afrontados todos los puntos encontrados en la
auditoría. Tener un sistema eficiente es de gran
ventaja para que las empresas se posicione entre las
mejores.