Tema 1 - 1 - Introducción A La Auditoría Informática

Auditoría de proyectos
Dra. Noelia Calvar Simón
Tema 1/1: Introducción a la

auditoría informática
Universidad Internacional de La Rioja

Tema 1: Introducción a la auditoría informática
Hoja de ruta
2
Temario de la asignatura
Tema 1. Tema 2.
Introducción a la auditoría Auditoría informática:
informática Metodologías y ejecución
 La auditoría informática  Metodología
 Auditoría informática y
gestión de riesgos  Fases de auditoría
 Auditoría, Control Interno y

Gobierno de SI
3
¿Qué debemos aprender esta semana?
• Diferenciar entre Auditar, Gestionar, Gobernar, Controlar una

empresa
• Diferencias entre Auditoría y Auditoría Informática
• La Gestión de Riesgos (Risk Management) en particular, la gestión
de riesgos operativos y de TI, continúa madurando como una
disciplina y se está convirtiendo en un enfoque más práctico para
mejorar el Gobierno Corporativo y el Control Interno
• Crecientes riesgos asociados con la Transformación Digital de las
empresas
• Diferencias entre KPI y KRI
• Uso de una cadena causal
4
Índice / 1
► Conceptos básicos
► Auditoría
► Auditoría informática
► Riesgo
► KPI / KRI
► Ejemplo
► Gestión de riesgos
Conceptos Auditoría Auditoría Riesgo KPI/KRI Gestión de riesgos

informática 5
Actividad 1.- Práctica individual

Auditoría informática
Enunciado: Analizar 3 conceptos:
Control interno
Gobierno corporativo
Resultado: Infografía original

Redacción de conclusión
6
Mejía, J.C. (2018) Cómo hacer una infografía: qué es, herramientas gratis para diseñar un infograma y guía paso a paso. Blog de Juan Carlos
Mejía Llano https://www.juancmejia.com/marketing-en-redes-sociales/como-hacer-una-infografia-guia-y-herramientas-para-disenarla/
[pngtree] https://es.pngtree.com/freepng/pencil-icon_2803957.html
7

Infografía
Contenido visual
que sea fácil de
entender
• Información fácil y entretenida
• Imagen visual para representar los

datos y la información.
• Elementos visuales para conectar

las cadenas de texto y los datos de
una manera autoexplicativa
Fuente: Notimex
8

Enunciado: Analizar 3 conceptos:
Control interno
Gobierno corporativo
Resultado: Infografía original Fichero entregable:

Redacción de conclusión «nombrealumno_p1.doc»
Portada
Entrega: Índice
Infografía
Conclusión personal de la relación entre los 3 conceptos (máx. 15 líneas)
Bibliografía
Texto Bibliografía
Formato APA
9

Punt. máx.
Definiciones Descripción (puntos) Peso %
La infografía original de una página entregada 1
Criterio 1 10%
es una infografía.
En la infografía se definen los tres conceptos:
0,75
Criterio 2 auditoría informática, control interno y 7,5%
gobierno corporativo.
En la infografía se muestra la relación entre
Criterio 3 1,25 12,5%
los tres conceptos.
10

Punt. máx.
En la infografía se explicar la aplicación de
Criterio 4 1 10%
los tres conceptos en una empresa concreta.
Criterio 5 Creatividad de la infografía. 1 10%
La valoración de la infografía se hará

teniendo en cuenta si se ha explicado
sintéticamente la relación de los tres
Criterio 6 conceptos y la importancia de su aplicación 5 50%
en una empresa. Además, se finalizará
proporcionando una conclusión personal,
que puede ser en formato moraleja.
11

Punt. máx.
La infografía y la conclusión personal tienen
que ser originales, con las citas
correspondientes de las imágenes o textos
Criterio 7 -1 -
utilizados de otro autor. Si no se cita
correctamente siguiendo el formato APA se
penalizará.
Criterio 8 No se incluye ninguna cita. -2 -

Si hay faltas de ortografía se restará 1
Criterio 9 -3 -
punto por cada 3 encontradas.
Si se cita pero no se incluye bibliografía se
Criterio 10 -2 -
quitarán 2 puntos del total de la actividad.
12
¿Qué entendemos por
► Auditar
► Gestionar
► Controlar
► Gobernar
Conceptos
Auditoría Auditoría Riesgo KPI/KRI Gestión de riesgos
informática 13
Conceptos básicos
► Auditar Examinar la gestión económica de una entidad a fin de
comprobar si se ajusta a lo establecido por ley o costumbre
En el ámbito económico, evaluar y medir en profundidad las
características de una organización con el objetivo de mostrar
sus debilidades y fortalezas teniendo en cuenta una serie de
factores, como son la eficiencia y la rentabilidad.
► Gestionar Ocuparse de la administración, organización y funcionamiento

de una empresa, actividad económica u organismo
► Controlar Ejercer el control sobre alguien o algo
► Gobernar Guiar y dirigir
Conceptos
Auditoría Auditoría Riesgo KPI/KRI Gestión de riesgos
informática 14
Auditoría
► Auditar En el ámbito económico, evaluar y medir en profundidad
las características de una organización con el objetivo de
mostrar sus debilidades y fortalezas teniendo en cuenta
una serie de factores, como son la eficiencia y la
rentabilidad.
► Auditoría Es un método sistemático, a través del cual un sujeto

independiente (auditor) lleva a cabo la revisión objetiva
de un proceso (situación auditada), con el fin de emitir
una opinión imparcial acerca de su razonabilidad (o
fidelidad) sobre la base de un patrón o estándar
previamente establecido.
Auditoría
Conceptos Auditoría Riesgo KPI/KRI Gestión de riesgos
informática 15
Desde dentro de la empresa

Auditoría Por la propia organización (o en
Interna su nombre)
de 1ª parte
revisión por la dirección
Para
otros propósitos internos
Auditoría
Auditoría externa del proveedor u
Auditoría otra auditoria externa de la parte
de 2ª parte interesada (partes que tienen un
interés en la organización)
Externa
Auditoría externa por organizaciones
Auditoría auditoras independientes, tales como
de 3ª parte las autoridades reglamentarias/legales
o aquellas que proporcionan la
certificación/acreditación
Auditoría
informática 16
Auditoría: Tipos
valora la empresa y su gestión para aumentar la eficacia y la
Auditoría operacional
eficiencia, hacia una mejora importante en la productividad
evalúa por completo toda la información financiera,

Auditoría integral estructura de la organización, sistemas de control interno,
cumplimiento de leyes y objetivos empresariales para dar una
visión global del cumplimiento de la empresa
Auditoría forense en las investigaciones criminales con el objetivo de esclarecer

los hechos ocurridos
Auditoría fiscal vela por el cumplimiento de las leyes tributarias
Auditoría financiera examina y revisa los estados financieros
Auditoría
informática 17
La auditoría busca la perfección en las organizaciones
Auditoría
informática 18
Auditoría
Conceptos Auditoría informática Riesgo KPI/KRI Gestión de riesgos
19
Auditoría informática: Funciones
Auditoría
informática
Auditoría
20
Auditoría informática: Objetivos
Integridad de datos
Efectividad de sistemas
Eficiencia de sistemas
Seguridad y confidencialidad
Cumplimiento normativo
Auditoría
21
Riesgo
Fuente: www.sibr.mx
Riesgo
Conceptos Auditoría Auditoría KPI/KRI Gestión de riesgos
informática 22
Riesgo
Posibilidad de que se produzca un contratiempo o una
Definición RAE
desgracia, de que alguien o algo sufra perjuicio o daño
Efecto que genera la incertidumbre en los objetivos. Los

Definición ISO 31000* objetos pueden tener un efecto si no los desviamos de lo
esperado. Puede ser positivo, negativo o ambos y puede
abordar, crear o dar lugar a oportunidades y amenazas
*Norma internacional que ofrece las

directrices y principios para gestionar
el riesgo de las organizaciones
Fuente: www.sibr.mx
Riesgo
informática 23
Riesgo
Ejemplo
Fuente: www.elpais.com
Riesgo
informática 24
Riesgo
Ejemplo
Fuente: www.reuters.com
Fuente: www.nytimes.com
Verizon recibió un descuento de $ 350 millones en la adquisición de Yahoo!
Riesgo
informática 25
Riesgo
Ejemplo
Riesgo
informática 26
Vinculación del riesgo con objetivos y estrategia
Indicadores
Iniciativa Riesgos
claves de
estratégica 1 potenciales
riesgos (KRIs)
Valor para
Crecimiento
los
de ingreso Indicadores
accionistas Iniciativa Riesgos
claves de
estratégica 2 potenciales
riesgos (KRIs)
Estrategia de administración de riesgo
Riesgo
informática 27
¿Es lo mismo una métrica que un

Indicador Clave de Rendimiento (KPI)?
KPI/KRI
Conceptos Auditoría Auditoría Riesgo Gestión de riesgos
informática 28
Medidas, métricas y KPI
Medida Término fundamental con unidades específicas:

Número de ventas, distancia, duración, temperatura, peso
Métrica Cantidad medible usada

para monitorear un proceso
KPI Valor medible que Se basan en medidas

demuestra cómo de efectiva y se derivan de ellas
es una organización al
alcanzar sus objetivos clave
KPI/KRI
informática 29
KPI / KRI
KPI Key Performance Indicators (Indicador Clave de Rendimiento)
Expresa el logro de un nivel deseado de resultados en un área

relevante para la actividad de la organización
KRI Key Risk Indicators (Indicador Clave de Riesgo)
Cuando las métricas proporcionan una advertencia temprana

con respecto a una mayor exposición al riesgo en ciertas áreas
KPI/KRI
informática 30
Medidas, métricas y KPI Nº de clientes

Ejemplo Nº de servilletas gastadas
Nº de vasos rotos
Medida Temperatura del local
Litros de cerveza vendidos
...
Fuente: www.freepik.es
KPI/KRI
informática 31

Nº de vasos rotos
...
Nº de servilletas gastadas/cliente
Nº de vasos rotos/cliente
Métrica L. cerveza vendidos/cliente
Nº consumiciones cliente/visita
...
KPI/KRI
informática 32

Nº de vasos rotos
...
Nº de servilletas gastadas/cliente
Nº de vasos rotos/cliente
Métrica L. cerveza vendidos/cliente
Nº consumiciones cliente/visita
...
L. cerveza vendidos/cliente/visita
KPI* Temperatura vs. Consumiciones
*Objetivo: venta x L cerveza/semana
...
KPI/KRI
informática 33
De una observación a un KPI

Resultado de la
Observación Cuantificación
cuantificación es
Proceso Mkt mapear las
una medida
y Ventas observaciones
en números
17
$1500
KPI: Evidencia del grado

La derivada de la
en que un objetivo se
medida es una Métrica
está alcanzando durante
un tiempo específico
KPI/KRI
informática 34
LEAD KPI y LAG KPI
Lead KPI Lag KPI

Miden la influencia en el Miden resultados pero NO pueden
futuro, son predictivos responder a preguntas predictivas. Se
miden después de que un evento ha
ocurrido
Miden el desempeño antes de que el
resultado del proceso o del negocio comience
a seguir un patrón o tendencia particular. Los
Se utilizan para confirmar tendencias a
KPI líderes se utilizan para predecir cambios o
largo plazo. Se utilizan para determinar
tendencias y ayudar a administrar el qué tan bien se gestionó un proceso o
rendimiento de un sistema o proceso sistema
KPI/KRI
informática 35
LEAD KPI y LAG KPI

Ejemplos Objetivo
Lead KPI Lag KPI
estratégico
Incrementar la
Nº de artículos Llamadas de
notoriedad de la
en prensa posibles clientes
marca
Mejora de servicio
Disminuir caída
de atención al Nº de clientes
de clientes
cliente
KPI/KRI
informática 36
KRI (Key Risk Indicator)
Indicador para determinar la posibilidad existente de que ocurra un evento

probable en una empresa, en conjunto con las consecuencias que acarrea
dicho evento (ya sean favorables o desfavorables), que pueda provocar un
RIESGO que lleve a la empresa a situaciones críticas.
Mide el impacto negativo en un KPI
KPI/KRI
informática 37
Para desarrollar un KRI:
 Analizar un evento que haya afectado a la organización (en el pasado o

incluso en el presente)
 De adelante hacia atrás, identificar los eventos intermedios hasta llegar a
la causa raíz
Cuanto más cerca esté el KRI de la causa final de un evento de

riesgo, más fácil tomar decisiones oportunas
KPI/KRI
informática 38

Ejemplos
 Tiempo medio entre fallos (Mean Time Between Failure, MTBF)

Medido desde el momento en que el sistema falla inicialmente hasta que ocurre el
siguiente fallo.
 Servicios informáticos – Tiempo medio de resolución de servicios requeridos
Medido desde el momento en que se envía la petición hasta que el problema ha sido
resuelto
 Cambio en el porcentaje en el número de visitas a la web
Diferencia de porcentaje en el número total de visitas a través de todos los canales
(búsqueda orgánica, búsqueda pagada, por referencia, etc.)
 Tiempo medio de carga de la página
Tiempo medio requerido por el navegador para cargar totalmente la página, desde que
tiene lugar el click hasta la carga completa
KPI/KRI
informática 39
En resumen:
KPI
Refleja desempeño
(datos históricos)
Todo lo que medimos
es una métrica
KRI
Refleja un riesgo
(pronóstico)
KPI/KRI
informática 40
CASO: Compañía de mensajería
Beneficios
KPI/KRI
informática 41
Entregas a
Beneficios
tiempo
KPI/KRI
informática 42
Rendimiento Entregas a
Beneficios
de la flota tiempo
KPI/KRI
informática 43
Frecuencia
Rendimiento Entregas a
del cambio Beneficios
de la flota tiempo
de aceite
KPI/KRI
informática 44
Frecuencia
Empleados Rendimiento Entregas a
del taller de la flota tiempo
de aceite
KPI/KRI
informática 45
KPI KPI KPI KPI

RRHH Supervisor COO Directivos
del taller
Frecuencia
de aceite
KPI/KRI
informática 46
KPI
RRHH
Frecuencia
de aceite
KPI/KRI
informática 47
KPI
RRHH
Frecuencia
de aceite
KRI KPI
Supervisor Supervisor
del taller del taller
KPI/KRI
informática 48
KPI KRI KPI

RRHH COO COO
Frecuencia
de aceite
KRI KPI
Supervisor Supervisor
KPI/KRI
informática 49
KPI KRI KPI

RRHH COO COO
Frecuencia
de aceite
KRI KPI KPI

KRI
Supervisor Supervisor Directivos
Directivos
KPI/KRI
informática 50
Gestión de riesgos
La identificación, evaluación
y priorización de riesgos
seguida de una aplicación
coordinada y económica de
recursos para minimizar y
controlar la probabilidad o el
Fuente: www.avepoint.com impacto de eventos
desafortunados o para
maximizar la realización de
oportunidades.
Gestión de riesgos
Conceptos Auditoría Auditoría Riesgo KPI/KRI
informática 51
Gestión de riesgos
Identificación Análisis de Evaluación de
del riesgo riesgo riesgos
• proceso que se • proceso que se utiliza • proceso que se utiliza
utiliza para para comprender la para comparar los
encontrar, naturaleza, fuentes y resultados del análisis
causas de los riesgos de riesgos con criterios
reconocer y
que ha identificado y de riesgo para
describir los riesgos estimar el nivel de determinar si un el
que podrían afectar riesgo nivel de riesgo
el logro de los • También se usa para especificado es
objetivos estudiar impactos y aceptable o tolerable
consecuencias y para
examinar los controles
que existen
Gestión de riesgos
Conceptos Auditoría Auditoría Riesgo KPI/KRI
informática 52
www.unir.net

Tema 1 - 1 - Introducción A La Auditoría Informática

Cargado por

Copyright:

Formatos disponibles

Tema 1 - 1 - Introducción A La Auditoría Informática

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 1 - 1 - Introducción A La Auditoría Informática

Cargado por

Copyright:

Formatos disponibles

Auditoría de proyectos

Dra. Noelia Calvar Simón

Tema 1/1: Introducción a la

Universidad Internacional de La Rioja

 La auditoría informática  Metodología

 Auditoría, Control Interno y

¿Qué debemos aprender esta semana?

• Diferenciar entre Auditar, Gestionar, Gobernar, Controlar una

Conceptos Auditoría Auditoría Riesgo KPI/KRI Gestión de riesgos

Actividad 1.- Práctica individual

Resultado: Infografía original

Actividad 1.- Práctica individual

Actividad 1.- Práctica individual

• Información fácil y entretenida

• Imagen visual para representar los

• Elementos visuales para conectar

Actividad 1.- Práctica individual

Resultado: Infografía original Fichero entregable:

Actividad 1.- Práctica individual

Actividad 1.- Práctica individual

Criterio 5 Creatividad de la infografía. 1 10%

La valoración de la infografía se hará

Actividad 1.- Práctica individual

Criterio 8 No se incluye ninguna cita. -2 -

¿Qué entendemos por

► Gestionar Ocuparse de la administración, organización y funcionamiento

► Controlar Ejercer el control sobre alguien o algo

► Gobernar Guiar y dirigir

► Auditoría Es un método sistemático, a través del cual un sujeto

Desde dentro de la empresa

evalúa por completo toda la información financiera,

Auditoría forense en las investigaciones criminales con el objetivo de esclarecer

Auditoría fiscal vela por el cumplimiento de las leyes tributarias

Auditoría financiera examina y revisa los estados financieros

La auditoría busca la perfección en las organizaciones

¿Qué entendemos por

Auditoría informática: Funciones

Auditoría informática: Objetivos

¿Qué entendemos por

Efecto que genera la incertidumbre en los objetivos. Los

*Norma internacional que ofrece las

Verizon recibió un descuento de $ 350 millones en la adquisición de Yahoo!

Vinculación del riesgo con objetivos y estrategia

Estrategia de administración de riesgo

¿Es lo mismo una métrica que un

Medidas, métricas y KPI

Medida Término fundamental con unidades específicas:

Métrica Cantidad medible usada

KPI Valor medible que Se basan en medidas

KPI Key Performance Indicators (Indicador Clave de Rendimiento)

Expresa el logro de un nivel deseado de resultados en un área

KRI Key Risk Indicators (Indicador Clave de Riesgo)

Cuando las métricas proporcionan una advertencia temprana

Medidas, métricas y KPI Nº de clientes

Medidas, métricas y KPI Nº de clientes

Medidas, métricas y KPI Nº de clientes

De una observación a un KPI

KPI: Evidencia del grado

LEAD KPI y LAG KPI