1. Auditoría de Sistemas de
Información
Maestro en Seg. Inf.
Pablo Ramón Mercado Hernández
2. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Objetivo del Posgrado
• Formar Maestros en Sistemas de Información
competentes con conocimientos, habilidades y
actitudes para su aplicación en la administración de
proyectos de informática, de centros de información y
bases de datos, así como en la toma de decisiones que
promuevan la calidad en el servicio y la innovación de
procesos en las organizaciones modernas,
considerando la administración del capital humano, los
ambientes relacionados con las redes empresariales y
la alta dirección, dentro de un entorno tecnológico
relacionado con los negocios electrónicos, el diseño de
sitios web y la auditoría de sistemas de información.
3. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Objetivo General de la Asignatura
Al finalizar el curso el estudiante:
• Comprenderá los elementos más importantes
de una auditoría de sistemas de información,
y podrá aplicar la metodología para la
elaboración de una auditoría y los informes
correspondientes.
4. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
1. Conceptos Generales.
1.1 Antecedentes
1.2Conceptos
1.3 Clasificación
5. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
2. Elementos fundamentales en el estudio de la
Auditoría
2.1 Objetivos particulares
2.2 Principales áreas, actividades y resultados que
se auditan.
2.3 Normas generales de auditoría
2.4 Métodos, técnicas, herramientas y
procedimientos.
6. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
3. Normas ético-morales que regulan la actuación del
auditor
3.1 Marco conceptual de la ética
3.2 Principios de axiología y valores éticos
3.3 Criterios y responsabilidades del auditor
3.4 Normas profesionales del auditor
7. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
4. Control Interno Informático
4.1 Controles internos para la organización del área
de informática
4.2 Controles internos para el análisis, desarrollo e
implementación de sistemas
4.3 Controles internos para la operación del sistema
4.4 Controles internos para los procedimientos de
entrada de datos, procesamiento de
información y emisión de resultados
4.5 Controles internos para la seguridad del área de
sistemas
8. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
5. Metodología para la elaboración de auditoría de
sistemas
5.1 Marco conceptual
5.2 Metodología
5.3 Planeación
5.4 Ejecución
5.5 Dictamen
9. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
6. Informe de auditoría de sistemas
6.1 Elaboración del informe
6.2 Características del informe
6.3 Estructura del informe
6.4 Formatos del informe
10. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
7. Instrumentos de recopilación de información
7.1 Entrevistas
7.2 Cuestionarios
7.3 Encuestas
7.4 Observación
7.5 Inventarios
7.6 Muestreo
7.7 Experimentación
11. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Actividades de Aprendizaje
Con docente:
• Exposición de temas, individual y por equipos
• Discusión y análisis de distintos autores
• Resolución de ejercicios en clase por los alumnos
• Presentación de informe final de auditoría
12. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Actividades de Aprendizaje
Independientes:
• Investigación bibliográfica y documental
• Elaboración de informe final
• Análisis de documentos relacionados con la temática
del curso
13. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Criterios y Procedimientos de
Evaluación y Acreditación
Primera evaluación: 40%
Examen parcial (T1-T3): 50%
Exposición de tema: 50%
Segunda evaluación: 60%
Examen final (T1-T7): 40%
Reporte de prácticas: 10%
Informe final auditoría: 50%
Cubrir 80% asistencia.
14. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Criterios y Procedimientos de
Evaluación y Acreditación
Fechas importantes
Clases: Lunes 25 Mayo al 24 de Agosto
Examen parcial: 06 de Julio
Examen final: 17 de Agosto
Presentación Informe
final de auditoría: 24 de Agosto
15. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Criterios y Procedimientos de
Evaluación y Acreditación
Exposición:
• Diapositivas Power Point y plantillas de
reportes en Word.
• No resumen, sino análisis por medio de un
cuadro sinóptico, tabla comparativa, mapa
mental.
• Presentación de ejemplos (demostración de
plantillas, software, casos prácticos)
• Conclusiones y recomendaciones.
16. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Criterios y Procedimientos de
Evaluación y Acreditación
Temas de Exposición:
1. Organización de la Función de auditoría.
2. Normas Generales de Auditoría en México.
3. Normas Internacionales para el ejercicio profesional
de la auditoría.
4. Códigos de ética de ISACA, IMCP (Instituto Mexicano
de Contadores Públicos, IIA (Inst. Aud. Internos),
Decálogo del Auditor Público (SECODAM)
5. Actividades de Monitoreo y evaluación en Cobit
6. Auditoría a ITIL, ISO 17799 ó 27000.
7. Auditoría de cumplimiento con Sarbanes Oxley y
HIPPA en temas de Tecnología de la Información
17. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
1. Conceptos Generales.
1.1 Antecedentes
1.2Conceptos
1.3 Clasificación
18. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1. Conceptos Generales
Auditoría
Actividad independiente y objetiva de
aseguramiento y consulta, concebida para
agregar valor y mejorar las operaciones de una
organización.
Ayuda a una organización a cumplir con sus
objetivos aportando un enfoque sistemático y
disciplinario para evaluar y mejorar la eficacia de
los procesos de gestión de riesgos, control y
gobierno.
The Institute of Internal Auditors
19. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1. Conceptos Generales
Auditoría
Es la actividad consistente en la emisión de
una opinión profesional sobre si el objeto
sometido a análisis presente adecuadamente
la realidad que pretende reflejar y/o cumple
las condiciones que le han sido prescrita.
Auditoría Informática. Un enfoque Práctico.
Piattini, Alfa Omega RA-MA
20. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1. Conceptos Generales
Auditoría
La auditoría no es una actividad meramente
mecánica que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez
llevados a cabo, son de carácter indudable. La
auditoría requiere el ejercicio de un juicio
profesional, sólido y maduro, para juzgar los
procedimientos que deben de seguirse y estimar
los resultados obtenidos.
Boletín C de normas de Auditoría del Instituto Mexicano de Contadores Públicos.
21. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1. Conceptos Generales
Auditoría
a) Contenido: Opinión
b) Condición: Profesional, ética, racional.
c) Justificación: Leyes, Reglamentaciones,
Estándares, Políticas, Guías y
Procedimientos.
d) Objeto: Obtener información con soporte,
indudable.
e) Finalidad: Determinación del grado de
fiabilidad respecto a la justificación
que le da sentido (para prevenir,
detectar y corregir).
22. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1. Conceptos Generales
Auditoría Informática
Un conjunto de procedimientos y técnicas para
evaluar y controlar total o parcialmente un
Sistema Informático, con el fin de proteger sus
activos y recursos, verificar si sus actividades se
desarrollan eficientemente y de acuerdo con la
normativa informática y general existente en
cada empresa y para conseguir la eficacia exigida
en el marco de la organización correspondiente.
J.J. Acha en Auditoría Informática. Un enfoque Práctico.
Piattini, Alfa Omega RA-MA
23. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1. Conceptos Generales
Auditoría Informática
Es la revisión y evaluación de los controles,
sistemas y procedimientos de la informática, de
los equipos de cómputo, su utilización, eficiencia
y seguridad, de la organización que participa en
el procesamiento de la información, a fin de que
por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente,
confiable y segura de la información que servirá
para una adecuada toma de decisiones.
Jose A. Echanique en Auditoría Informática, Mc Graw Hill.
24. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
1. Conceptos Generales.
1.1 Antecedentes
1.2Conceptos
1.3 Clasificación
25. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1.2 Antecedentes
• Desde los tiempos medievales hasta la Revolución
Industrial, el auditor se limitaba a hacer simples revisiones
de cuentas por compra y venta, cobros y pagos con el
objetivo de descubrir operaciones fraudulentas.
• A partir del siglo XVI se concentran en el análisis riguroso
de los registros escritos y la prueba de la evidencia de
apoyo.
• En la primera mitad del siglo XX, con la consolidación de la
Contabilidad, se pasa a un objeto de estudio
cualitativamente superior, el interés de los inversionistas.
• Surge el concepto de Estados Financieros, es decir, conocer
si la empresa está dando una imagen recta de la situación
financiera, de los resultados de las operaciones y de los
cambios en la situación financiera ante sus accionistas.
26. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1.2 Antecedentes
• El año de 1935, James O. McKinsey, en el seno de la American
Economic Association sentó las bases de la "auditoría
administrativa", consistente en "una evaluación de una
empresa en todos sus aspectos, a la luz de su ambiente
presente y futuro probable."
• En 1945, el Instituto de Auditores Internos Norteamericanos
menciona que la revisión de una empresa puede realizarse
analizando sus funciones.
• En 1955, Harold Koontz y Ciryl O´Donnell, también en sus
Principios de Administración, proponen a la auto-auditoría,
como una técnica de control del desempeño total, la cual
estaría destinada a "evaluar la posición de la empresa para
determinar dónde se encuentra, hacia dónde va con los
programas presentes, cuáles deberían ser sus objetivos y si se
necesitan planes revisados para alcanzar estos objetivos.“
27. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1.2 Antecedentes
• A finales de 1965, Edward F. Norbeck da a conocer su libro
Auditoria Administrativa, en donde define el concepto,
contenido e instrumentos para aplicar la auditoría
• En 1975, Roy A. Lindberg y Theodore Cohn desarrollan el marco
metodológico para instrumentar una auditoría de las
operaciones que realiza una empresa.
• En 1989, Joaquín Rodríguez Valencia analiza los aspectos
teóricos y prácticos de la auditoría administrativa, las diferencias
con otra clase de auditorías, los enfoques más representativos,
incluyendo su propuesta y el procedimiento para llevarla a cabo.
• En 1994, Jack Fleitman S. incorpora conceptos de evaluación,
muestra las fases y metodología para su aplicación, la forma de
diseñar y emplear cuestionarios y cédulas, y el uso de casos
prácticos para ejemplificar una aplicación específica.
28. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
1. Conceptos Generales.
1.1 Antecedentes
1.2Conceptos
1.3 Clasificación
29. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1.2 Conceptos
Función de Control Interno
• Vigila que las actividades de TI se realicen
conforme procedimientos, estándares,
normas y requerimientos legales
• Asesora sobre el conocimiento de normas
• Colabora y apoya el trabajo de auditoría
informática
• Define, implanta y ejecuta mecanismos y
controles para el logro adecuado del servicio
de informática.
30. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1.2 Conceptos
Función de Auditoría Informática
• Recopila, agrupa y evalúa evidencias para
demostrar si las TI:
• Salvaguardan los activos, mantienen la
confidencialidad, disponibilidad e integridad
de los datos.
• Son útiles, fiables y llevan a cabo eficaz y
eficientemente los objetivos de la
organización.
31. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1.2 Conceptos
Control Interno Informático Auditor Informático
Similitudes Personal Interno
Conocimientos especializados en TI. Verificación del cumplimiento de
controles internos, normatividad y procedimientos establecidos.
Diferencias Análisis de los controles día a día
Informa a la Dirección de
Sistemas
Sólo personal interno
El alcance de sus funciones es
sólo a nivel del Depto. de
Informática
Análisis de los controles en un
momento determinado
Informa a la Alta Dirección
Personal interno y/o externo
Tiene cobertura sobre todos los
componentes de Ti en la
Organización
32. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1.2 Conceptos
Pasos básicos para llevar a cabo auditorías
• Obtener y comprender el objetivo del área
• Desarrollar un análisis de riesgo, un plan general y
agenda para auditar
• Detallar el plan de auditoría
• Revisar de manera preliminar
• Evaluar el área-objeto
• Efectuar prueba de cumplimiento de controles, leyes,
reglamentos…..
• Probar de manera sustantiva las evidencias
• Reportar y comunicar resultados
• Dar seguimiento
33. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
Temas y Subtemas
1. Conceptos Generales.
1.1 Antecedentes
1.2Conceptos
1.3 Clasificación
34. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1.3 Clasificación
Clase Objeto de Estudio Finalidad
Financiera Estados Financieros Evaluar que sean correctos, así como su
confiabilidad e integridad
Operacional Estructura operacional
en un proceso o área
Evaluar controles internos
Administrativa Productividad
operacional
Evaluar la eficiencia y eficacia
Integral Estructura operacional
y estados financieros
Evaluar todos los controles desde el punto de
vista de seguridad, eficacia, eficiencia y
cumplimiento
Sistemas de
Información
Sistemas de
Información
Recopilar y evaluar evidencia del grado en que
los sistemas apoyan al desarrollo de
operaciones
Especializadas Estados Financieros,
estructura operacional
y financiera
Evaluar todos los aspectos de cumplimiento de
leyes, reglamentos, estándares,
procedimientos, guías y normas desde un
punto de vista externo.
Forenses Estados Financieros Recolección de evidencias con fines de fincar
responsabilidad y dar seguimiento legal
35. MSI Pablo Ramón Mercado Hernández Auditoría de Sistemas de Información 2009
1.3 Clasificación
• Los programas de auditoría están basados en el alcance
y objetivos de una firma en particular.
• Un auditor a menudo evalúa las funciones y sistemas
de TI desde distintas perspectiva por ejemplo:
– Seguridad (confidencialidad, integridad y
disponibilidad)
– Calidad (Efectividad y eficiencia)
– Fiduciaria (cumplimiento y confiabilidad)
– Servicio y capacidad.
• La auditoría proporciona a la alta dirección capacidad
par tomar decisiones (prevenir, detectar y corregir)
Editor's Notes
Welcome to the Microsoft theatre. I am Leighton Searle and I am joined today by Alex Pearce from Hillcrest school. In this short presentation today we are going to outline the Microsoft Learning Gateway and show you how Alex has deployed it in his school.
To start with it is worth putting some context around the Learning Gateway. In 1543 our view of the universe changed as Copernicus theorised that the Sun and all the stars did not rotate around the Earth but realised that the Earth in fact rotates around the sun. The same can be said of education and particularly technology in education where we have historically focused our attention on the school.
The copernican shift in Education today is the installation of the learner at the centre of our universe as we seek to personalise our education systems and focus services, resources and energy around the individual learner. The Microsoft Learning Gateway is designed to enable this. To allow the effective deployment of technology which supports teaching and learning focused around the learner – rather than the school.
So, What is the MLG
The Microsoft learning Gateway does not come in a cellophane wrapped box – it is NOT a product. The Learning Gateway is the Microsoft Technology framework with which partners and customers can build their Learning Platforms.
The technology at the heart of the MS Learning Gateway is SharePoint which provides a rich collaborative environment into which a range of tools and resources can be integrated to provide a seamless Learning environment of multiple products and systems.
The development work which goes into the Learning Gateway framework provides some of the key components that are required to deploy a Learning Platform such as the freely available workflow tool – the SharePoint Learning Kit. The Learning Gateway platform also provides a framework to integrate key Microsoft and 3rd party products into a single environment for a seamless learning experience and to make deployment of a Learning Platform faster, easier and more cost effective.
Learning Gateway deployments range from the single school level through to country wide systems and integrate key technologies from Mail and instant messaging to MIS systems and VLEs
Building Blocks for Learning Platform
The LG is also about connecting systems and making the key tools used in education available for everyone in a single location – when they need them.
It is about making the information and resources associated with the school available to learners on their own terms
And it is about connecting people.
Teachers with their peers and pupils
Learners with their peers and their teachers
Schools and their communities
We know that the government has set a target to furnish all parents with information about their children by 2010. The MLG again can play a key role in integrating the systems to achieve this.
And because it is a technology framework – you really can take one step at a time
This is a visual representation of the framework. You can see here some of the building blocks of the Learning Gateway Framework and how the tools and systems that you have in school are integrated together around the needs of the learner.
The beauty of a the Learning Gateway framework is that it lets you move at you own pace – each from your own starting point. Many of you will already have an Active Directory for example, an exchange e-mail system – many of you will be moving from shared drives to SharePoint MySites – all of which are components in a Learning Gateway.
I will return to this later to look at some specific examples. I am going to handover now to Alex who has done exactly this at Hillcrest School in Birmingham - Alex
Alex personal intro
Hillcrest School is a Maths and Computing Specialist College with 800 girls. It is also a Sixth Form Centre with around 120 pupils.
When a user logs in – whether its a member of staff, pupil, parent or governor they see this front page. Its designed to give the user information straight away including information such as, if the school is shut due to snow if not its this. The most important message that need to go straight to all stakeholders appears here.
The staff page.
Only staff can access this. If a user doesn’t have permission to an area, they don’t see it in the navigation bar. I’ve now logged into as a member of staff and you may have noticed that Governors and a few others have disappeared from the top.
Staff are expected to look at this page once a day to see to get the lastest information such as staff news
Announcements are added for all staff to see. Information such as detention, staff training days and other general information.
When a annoucement is add you can add attachments as well as put an expiry date so it disappears on that day, keeping your site up to date.
The calendar view on the front page shows the next coming date and by selecting the event gives you more information.
When clicking on staff calendar it gives you a calendar view of all the event for that month.
Staff members can view the different months and see the latest calendar for the school. Several filtered views are available so staff can see when trips are on, exams.
Going back to the staff area. Staff can access their my documents as you can see in the top right hand corner and the old shared area.
There is also a few document storage areas.
A general one called staff documents which includes school policies, rotas and templates.
There is also the minutes from staff briefings and staff information sheets for that week.Staff are emailed automatically when a new item is added to these area so they are made aware of new documents.
When a document has been uploaded, members of staff who have permission can edit the documents. They click on the document, it then opens, the user edits the document and then when they click save – the document is saved straight back to the site.
There are also few web links as well - that staff find useful.
There are few of sub areas in the staff area I wanted to show you quickly – this is the maths area. Documents have been updated and then uploaded to the site. This included worksheets, answer sheets and tracking sheets. Documents are checked out by the member of staff before being updated. This saves documents from being updated at the same time and having issues with readonly and data being lost.
Another is the professional development site which includes sub areas such as NQT and PCGE. Videos have been uploaded for staff to watch about review meetings. There are also documents to help staff with professional development and templates for requested training.
Moving on to the pupils site.
Again we see the news area, calendar, documents and weblinks.
The site is set as the pupils home page when they log in so they also get information such as, which week we are in for the 2 week timetable, lost property and learning resources that are assigned to them.
Thank You Alex
If we return briefly to our framework diagram we can see how MOSS SharePoint Server facilitates the Learning Gateway at Hillcrest. SharePoint provides the portal layer and the additional services highlighted in blue. (Library, Search and collaboration)
But don’t forget that the learning Gateway is not a product, it’s a framework. Accordingly you are free to select best of breed components to evolve the Learning Platform you wish to offer to your school community. This framework has been widely embraced by the technology industry. Reflected by the products and services offered by our partners here at BETT and how they are either built upon or integrate with the MLG
There are may VLEs that have been built to integrate with the MLG.
Assimilate and kaleidos for example. It is worth noting the free to acquire options here being the SLK (which enables you to turn a resource into an electronic assessment) and Moodle a teaching and learning workflow tool.
Here is an example of a VLE integrated in the MLG framework – in this case with Talmos VLE (Core Education)
All of the leading MIS providers products can work in the MLG – SIMS, Cmis and Integris amongst others
And it is nice to see what this could mean – here for example a parent could be given access to their child’s information to track their attendence or attainment.
A range of the e-portfolio products on display here at BETT
And many library and search applications. I think this is really powerful because:
This marries the traditional learning resources – books – with the new world of the Learning gateway – where the libraries resources, even book reviews can be promoted through the single integrated environemnt.
I wanted to cram as many partner products as I could in today so you may want to scan this list for products that you may use in your school today.
Things on here include the fully hosted MLG service from LP+ to the Zone Integration Server interface from Visual software.
And here with a completely different UI from the Nisai academy
Kaleidos
Or here from Amber Online.
So it is that easy right? Well we all know probably not on your own. That is why we have so many schools and partners on our stand today to talk to you.
So please, come and talk to our customers and representatives from some of our partner companies on the stand today.
Visit our partner stands and ask about the MLG and SharePoint and how their product or service makes use of this innovative framework.
And finally
Subscribe to our Blog where we will keep you informed with the latest from Microsoft in Education.
Thank You