Qué es una plataforma de educación virtual

1
¿QUÉ ES UNA PLATAFORMA DE EDUCACIÓN VIRTUAL?
Una plataforma virtual, es un conjunto de aplicaciones informáticas de tipo
síncronas o asíncronas, que facilitan la gestión, desarrollo y distribución de cursos a
través de Internet. Este software se instala en el servidor de la Institución que
proveerá este servicio a la comunidad.
Santoveña (2002) plantea lo siguiente:
“Una plataforma virtual flexible será aquella que permita adaptarse a las
necesidades de los alumnos y profesores (borrar, ocultar, adaptar las distintas
herramientas que ofrece); intuitivo, si su interfaz es familiar y presenta una
funcionalidad fácilmente reconocible y, por último, amigable, si es fácil de utilizar y
ofrece una navegabilidad clara y homogénea en todas sus páginas”.
Otro concepto sería: entorno de hardware y software que permite gestionar el
desarrollo de actividades formativas de un curso virtual, denominado también
“Sistemas de Gestión de Aprendizajes LMS”.
Existen diversas denominaciones al Término plataforma virtual, como son:
Entorno de Aprendizaje Virtual – Virtual learning environment (VLE)
Sistema de Gestión de Aprendizajes – Learning Management System (LMS)
Sistema de Gestión de Cursos – Course Management System (CMS)
Entorno de Gestión de Aprendizajes – Managed Learning Environment (MLE)
Sistema Integrado de Aprendizajes – Integrated learning system (ILS)
Plataforma de Aprendizajes – Learning Plataform (LP)
Campus Virtual (CV)
Aula Virtual (AV)

2
OBJETIVO DE ESTA TECNOLOGÍA
La finalidad del uso de una plataforma educativa dependerá de las necesidades que
tengan los usuarios, y por la organización o institución que la requiere.
Si bien es cierto, el objetivo universal del e-learning es facilitar procesos de enseñanza
aprendizaje en los estudiantes, hay casos en los que se restringe su utilidad al hecho
de sólo facilitar contenidos y materiales de aprendizaje , en este caso se les identifica
como Gestores o Plataformas para Difundir Recursos De Aprendizaje (CMS). En otros
casos están las denominadas Aulas Virtuales, cuyo eje es la comunicación y brindar las
facilidades para el desarrollo del trabajo colaborativo entre los estudiantes.
Por otro lado están las plataformas de mayor complejidad que pretenden cubrir

3
ESTRUCTURA GENERAL
La estructura que presenta una plataforma virtual desde el punto de vista general
tomando en cuenta las áreas observables que posee son las siguientes:
todas las necesidades de los usuarios, llamados Entornos Virtuales o Sistemas para la
Gestión de Aprendizaje (LMS) o Campus Virtual, muchas instituciones de educación
superior ya cuentan con este tipo de e-learning.
En todos los casos existe el peligro de que se altere el objetivo de origen de la
plataforma, el usuario que no encuentra las características exigidas: facilidad, rapidez y
eficiencia, migrará hacia otros horizontes que sí se las ofrezca, es por esta razón que la
plataforma elegida o diseñada debe contemplar cuidadosamente las demandas de los
estudiantes.

4
USUARIOS DE UNA PLATAFORMA VIRTUAL
ALUMNOS Tienen acceso a todos los contenidos y secciones del
aula virtual.
Pueden realizar entradas en los foros, subir archivos,
entre otros.
DOCENTES Tienen control total del aula.
Suben archivos, cursos, entre otros.
Registran calificaciones.
VISITANTES Pueden ser personas externas y no necesitan clave de
acceso.
Se mantienen invisibles al entrar al aula y no tienen
acceso a realizar ninguna actividad, sólo pueden
observar el contenido de la misma.
ADMINISTRADOR Gestiona altas y bajas de alumnos y consultas de los
mismos.
Tienen acceso a la administración total de la
plataforma.
WEBMASTER Es el responsable de la plataforma y realiza funciones
que no realiza el administrador.
SOPORTE TÉCNICO Encargado de resolver problemas a nivel de software y
base de datos.

5
CARACTERÍSTICAS
Entre las características más destacables de una plataforma virtual se consideran
las siguientes:
- Brindar seguridad en el acceso: el acceso debe estar restringido a cada usuario,
según su perfil y sin la posibilidad de entrar si no está registrado.
- Interacción: entre los alumnos y entre éstos y el docente.
- Entorno intuitivo: la navegación dentro del portal debe ser lo más sencilla posible
y siguiendo siempre las mismas pautas.
- Diversidad de recursos para la formación y la comunicación: debe contar con
diferentes tipos de herramientas posibles, tanto para la formación del alumno como
para la comunicación entre los usuarios.
- Acceso a la información: debe proporcionar diversidad de recursos que posibiliten
el acceso a la información y su estructuración como base de datos, bibliotecas
virtuales, tutoriales, etc.
- Portal de administración sencilla:debe permitir realizar todas las actividades
relacionadas con la gestión académica, como matrícula, consulta de expedientes,
etc, de una manera más directa y sencilla.
- Favorecedora del aprendizaje colaborativo: debe posibilitar el trabajo colaborativo
entre usuarios a través de aplicaciones que permitan compartir información, trabajar
con documentos conjuntos, etc.
- Seguimiento del progreso del alumno:debe proporcionar herramientas que
informen al docente sobre la participación del alumno y sobre los resultados de
evaluación.

6
HERRAMIENTAS QUE OFRECE
VENTAJAS Y DESVENTAJAS DE LAS PLATAFORMAS VIRTUALES
El uso de la plataforma virtual ofrece una serie de ventajas en el apoyo de la
enseñanza presencial que mejoran los resultados que se pueden obtener a
través de los métodos educativos tradicionales. Sin embargo, en ocasiones
también conllevan ciertas desventajas o inconvenientes. A continuación se
enumeran las más significativas.
VENTAJAS
1. Fomento de la comunicación profesor/alumno:
La relación profesor/alumno, al transcurso de la clase o a la eventualidad del
uso de las tutorías, se amplía considerablemente con el empleo de las
herramientas de la plataforma virtual. El profesor tiene un canal de
comunicación con el alumno permanentemente abierto.
2. Facilidades para el acceso a la información:
Es una potentísima herramienta que permite crear y gestionar asignaturas de
forma sencilla, incluir gran variedad de actividades y hacer un seguimiento
exhaustivo del trabajo del alumnado. Cualquier información relacionada con la
asignatura está disponible de forma permanente permitiéndole al alumno
acceder a la misma en cualquier momento y desde cualquier lugar. También
representa una ventaja el hecho de que el alumno pueda remitir sus actividades
o trabajos en línea y que éstos queden almacenados en la base de datos.
3. Fomento del debate y la discusión:
El hecho de extender la docencia más allá del aula utilizando las aplicaciones
que la plataforma proporciona permite fomentar la participación de los alumnos.
Permite la comunicación a distancia mediante foros, correo y Chat, favoreciendo
así el aprendizaje cooperativo.
El uso de los foros propicia que el alumno pueda examinar una materia, conocer
la opinión al respecto de otros compañeros y exponer su propia opinión al
tiempo que el profesor puede moderar dichos debates y orientarlos.
4. Desarrollo de habilidades y competencias:
El modelo educativo que promueve el espacio europeo tiene entre sus objetivos
no sólo la transmisión de conocimientos sino el desarrollo en los alumnos de
habilidades y competencias que los capaciten como buenos profesionales. Al
mismo tiempo se consigue también que el alumno se familiarice con el uso de
los medios informáticos, aspecto de gran importancia en la actual sociedad de la
información.
5. El componente lúdico:
El uso de tecnologías como la mensajería instantánea, los foros, videos,
Chats… en muchos casos, actúa como un aliciente para que los alumnos
consideren la asignatura interesante. En definitiva, dota a la docencia de un
formato más cercano al lenguaje de las nuevas generaciones.
6. Fomento de la comunidad educativa:
El uso de plataformas virtuales está ampliando las posibilidades de conexión
entre los docentes. Su extensión en el uso puede impulsar en el futuro a la
creación de comunidades educativas en las cuales los docentes compartan
materiales o colaboren en proyectos educativos conjuntos.
DESVENTAJAS
1. Mayor esfuerzo y dedicación por parte del profesor:

7
El uso de plataformas virtuales para la enseñanza supone un incremento en el
esfuerzo y el tiempo que el profesor ha de dedicar a la asignatura ya que la
plataforma precisa ser actualizada constantemente.
2. Necesidad de contar con alumnos motivados y participativos:
El empleo de las herramientas virtuales requiere de alumnos participativos que
se involucren en la asignatura.
3. El acceso a los medios informáticos y la brecha informática:
La utilización de plataformas virtuales como un recurso de apoyo a la docencia
exige que el alumno disponga de un acceso permanente a los medios
informáticos. Sin embargo, este aspecto en la sociedad de la información resulta
absolutamente esencial.

8
TIPOS DE PLATAFORMAS VIRTUALES
Plataformas Comerciales
Son aquellas que para su adquisición hay que realizar un pago para su compra de
licencia. No se puede realizar modificación alguna del programa.
Plataformas de Software libre (o de investigación y colaboración)
Son aquellas que se pueden adquirir sin costo alguno, de licencia libre y se
pueden realizar modificaciones y/o mejoras del programa, la cual debe estar a
disposición de cualquier usuario.
Plataformas de Software propio (o a medida)
Son aquellas que desarrollan e implementan dentro de la misma Institución
Académica. Su finalidad no está dirigida a su comercialización. Se diferencian de
las de software libre en que no están pensadas para su distribución masiva a un
conjunto de usuarios. Las plataformas de desarrollo propio no persigue objetivos
económicos, sino responden más a factores educativos y pedagógicos. No se
suelen dar a conocer al público en general. Por tanto, de este último tipo de
plataformas se desconoce su número y los estudios sobre ellas prácticamente no
existen.
Ejemplo:
Plataforma Virtual: Unidad de Educación Virtual USAT
http://www.usat.edu.pe/usatvirtual/login/index.php

9
CARACTERÍSTICAS, TIPOS Y PLATAFORMAS MÁS UTILIZADAS PARA
ESTUDIAR A DISTANCIA
Las plataformas a distancia son espacios virtuales de aprendizaje orientados a
facilitar la experiencia de capacitación a distancia, tanto para instituciones educativas
como empresas. También se las conoce como plataformas LMS es el acrónimo en
inglés de Learning Management System, que podría traducirse como sistemas para
la gestión de aprendizaje.
Este sistema permite la creación de «aulas virtuales» donde se produce la interacción
entre tutores y alumnos. También se pueden hacer evaluaciones, intercambiar archivos
y participar en foros y chats, además de otras muchas herramientas adicionales.
Beneficios de las plataformas LMS
De entre sus múltiples ventajas destacaríamos las siguientes:
Permiten estudiar en cualquier momento el lugar, anulando el problema de las
distancias geográficas o temporales y ofreciendo una gran libertad en cuanto a tiempo y
ritmo de aprendizaje.
Posibilitan la capacitación de las personas con máxima flexibilidad y costos
reducidos.
Para su uso no se precisan grandes conocimientos (únicamente un nivel básico del
funcionamiento de Internet y de las herramientas informáticas).
Posibilita un aprendizaje constante y actualizado a través de la interacción entre
tutores y alumnos.

10
¿CARACTERÍSTICAS DE LAS PLATAFORMAS LMS?
Los componentes o características básicas de todo entorno virtual de aprendizaje,
que además deben estar fuertemente ligados e interconectados, de forma que se
influyan mutuamente y se retroalimenten pueden sintetizarse en los siguientes:
Centralización y automatización de la gestión del aprendizaje.
Flexibilidad. La plataforma puede ser adaptada tanto a los planes de estudio de la
institución, como a los contenidos y estilo pedagógico de la organización. También
permite organizar cursos con gran facilidad y rapidez.
Interactividad. La persona se convierte en el protagonista de su propio aprendizaje a
través del autoservicio y los servicios autoguiados.
Estandarización. Esta característica permite utilizar cursos realizados por terceros,
personalizando el contenido y reutilizando el conocimiento.
Escalabilidad. Estos recursos pueden funcionar con una cantidad variable de usuarios
según las necesidades de la organización.
Funcionalidad. Prestaciones y características que hacen que cada plataforma sea
adecuada (funcional) según los requerimientos y necesidades de los usuarios.
Usabilidad. Facilidad con que las personas pueden utilizar la plataforma con el fin de
alcanzar un objetivo concreto.
Ubicuidad. Capacidad de una plataforma para generar tranquilidad al usuario y
provocarle la certeza de que todo lo que necesita lo va a encontrar en dicho entorno
virtual.
Integración. Las plataformas LMS deben poder integrarse con otras aplicaciones
empresariales utilizadas por recursos humanos y contabilidad, lo que permite medir el
impacto, eficacia, y sobre todo, el coste de las actividades de formación.
Además de las características generales, hay que tener muy en cuenta que
la intención con la que ha sido diseñada la plataforma contribuye muy activamente
en su caracterización, en cuestiones como: las bases pedagógicas, los modelos de
negocio, los modelos de gestión, las posibilidades tecnológicas de las propuestas o los
perfiles de los usuarios finales.

11
PRINCIPALES TIPOS DE PLATAFORMAS A DISTANCIAS
En función de su coste de adquisición, las plataformas LMS se dividen en dos
grandes tipos:
Las plataformas LMS bajo licencia.
Las plataformas LMS como recurso educativo abierto.
Factores a tener en cuenta en la decisión de compra de una plataforma LMS
Esta tipología suele ser el primer argumento a tener en cuenta en la decisión de compra
de una plataforma LMS, aunque existen otras muchos factores implicados, por lo que
seleccionar la plataforma más adecuada a las necesidades del usuario no es un tarea
fácil.
Esta situación se agrava teniendo en cuenta que es muy difícil comparar
proveedores. Por ejemplo, las opciones de gama alta no garantizan la calidad, y
algunas soluciones ofrecen versiones rápidas y fáciles de instalar que tienen una
funcionalidad básica, puede que válida para el presente, pero que no ofrecen todo lo
que la organización puede necesitar en el futuro. También hay que tener presente la
alta tasa de modificaciones, fusiones y consolidaciones en el mercado de LMS.
En resumen, aunque cada aplicación es diferente, tanto en la instalación de servicios de
fondo y en el nivel de la lógica y los requisitos, existen una serie de factores
comunes:
Evaluación de la funcionalidad y la intención.
Infraestructura.
Contenidos: actividades, configuración de los ejercicios, interfaz, interacción,
compatibilidad y mantenimiento.
Alternativa con coste en la compra o una alternativa sin coste de compra.
Plataformas más utilizadas
Plataformas bajo licencia
Blackboard
Entre los sistemas propietarios, es decir plataformas LMS que están bajo licencia,
destaca Blackboard. Entre sus principales ventajas se encuentran la posibilidad de que
los estudiantes aprendan en función de su propio estilo y ritmo y su gran flexibilidad.
La filosofía de trabajo de Blackboard es muy ambiciosa y su equipo de desarrolladores
se ha planteado como objetivo trabajar conjuntamente con estudiantes y formadores
para convertir el aprendizaje en atractivo, accesible y valioso, replanteándose los
actuales sistemas de enseñanza-aprendizaje y avanzando hacia un cuestionamiento y
evolución de los métodos actuales.
Recursos en abierto
Algunas de las plataformas LMS son recursos educativos en abierto, entre éstas
destacan:
Dokeos
Dokeos, es un creador de soluciones de e-learning y una empresa de servicios con
un enfoque de ayuda a las empresas, proveedores de formación y las multinacionales
con sus proyectos de formación en línea.

12
Con 15 años en el mercado, es un software pionero en técnicas y metodologías en
línea en el sector de la educación universitaria en lengua francesa. Dokeos ha
incorporado los avances tecnológicos y las oportunidades estratégicas en sus
soluciones que permiten la virtualización de servicios y prácticas profesionales.
En la oferta de servicios, se adapta a las nuevas necesidades y cambios en las
prácticas de negocios: el aprendizaje informal, las redes sociales de negocios, el
aumento de la movilidad y la reubicación del personal.
Sakai
Se trata de una comunidad internacional que colabora para crear tecnología que
mejora la enseñanza, el aprendizaje y la investigación. Sakai está constituido a
partir de varias organizaciones que incluyen tanto grandes universidades como colegios
pequeños, centros de enseñanza primaria y secundaria, hospitales, organizaciones
gubernamentales, sociedades de investigación y partidos políticos.
El Comité de Gestión del Proyecto Sakai está formado por un grupo de individuos
pertenecientes a diversas instituciones que proporcionan la dirección y el liderazgo
necesario para la buena dirección del proyecto.
Moodle
Moodle es una plataforma de aprendizaje diseñada para proporcionar a educadores,
administradores y estudiantes un sistema integrado único, robusto y seguro para
crear ambientes de aprendizaje personalizados. Es un proyecto dirigido y
coordinado por una organización australiana de 30 desarrolladores, que está soportada
financieramente por una red mundial de cerca de 60 compañías.
Moodle ha impulsado un gran número de ambientes de aprendizaje y tiene la confianza
de instituciones y organizaciones grandes y pequeñas, incluyendo a Shell, la Escuela
Londinense de Economía (London School of Economics), la Universidad Estatal de
Nueva York, Microsoft y la Universidad Abierta del Reino Unido (Open University).
El número de actual de usuarios de Moodle a nivel mundial, de más de 65 millones de
usuarios lo que la convierte en la plataforma de aprendizaje más utilizada del mundo.
Plataformas educativas
La aplicación de las TIC’s a los procesos de enseñanza y aprendizaje, así como los
cambios en los modelos pedagógicos, se han visto plasmados en los entornos virtuales
de enseñanza y aprendizaje (EVEA). Los EVEA se apoyan en sistemas informáticos
que suelen basarse en el protocolo WWW, que incluyen herramientas adaptadas a las
necesidades de la institución para la que se desarrollan o adaptan. Estos sistemas
reciben el nombre de plataformas educativasy actualmente algunas de ellas están
estandarizadas (aunque permiten la adaptación a situaciones concretas), mientras que
otras son completamente personalizadas.
Las plataformas educativas estandarizadas ofrecen herramientas genéricas que
permiten la adaptación a la situación del cliente, respondiendo a las necesidades de su
espacio formativo particular mediante ciertas posibilidades de personalización.
Actualmente las más conocidas y usadas por las instituciones educativas que han
decidido integrar las TIC’s en su modelo pedagógico,
CARACTERÍSTICAS DE LAS PLATAFORMAS EDUCATIVAS
Ø Son medios que presentan y modifican la información de manera dinámica.
Ø Tienen la capacidad de integrar diferentes medios simbólicos (imágenes, símbolos,
signos lingüísticos, matemáticos, sonidos).
Ø facilidad, rapidez y eficiencia; en el manejo de información.

13
VENTAJAS DE LAS PLATAFORMAS EDUCATIVAS
Ø Tener acceso a uno o varios cursos con cuentas únicas.
Ø Desde la misma plataforma se puede consultar información y avisos de diferentes
cursos.
Ø Comunicación entre profesores y alumnos por medio de herramientas de
colaboración en línea.
Ø Encuestas y exámenes en línea.
Ø Seguimiento del desempeño de los alumnos.
DESVENTAJAS DE LAS PLATAFORMAS EDUCATIVAS
La plataforma existe para marcar distancias, la misma distancia que existe entre la el
profesor universitario y su alumnado. También es cierto que en algunos casos estas
plataformas son buenos espacios para homogeneizar la comunicación. Está claro es
que la plataforma se diseña para conseguir resultados objetivables. La plataforma
educativa basa su modelo comunicativo en las teorías conductistas y aleja los avances
de la pedagogía crítica en materia de comunicación. Las plataformas no permiten el
diálogo, están enfocadas a la resolución de un problema concreto, nunca plantearán
preguntas abstractas y auto evaluadoras, sino que se acercarán mucho más a la lógica
del examen tipo test.
ALGUNAS PLATAFORMAS EXISTENTES
PLATAFORMAS SITIO DE ENLACE EN INTERNET
CLAROLINE http://www.claroline.net/
MOODLE http://moodle.org/
TELEDUC http://teleduc.nied.unicamp.br/pagina/index.php
PAPELES DE TRABAJO - DISEÑO DE FORMATOS PARA AUDITORÍA
DISEÑO DE FORMATOS PARA AUDITORÍA DE SISTEMAS
Para la planeación del proceso de auditoría es necesario el diseño de los formatos para el
proceso de recolección de información y la presentación de los resultados de la auditoría, estos
documentos denominados papeles de trabajo finalmente son organizados por cada proceso
evaluado y al final se presenta el dictamen y el informe final de resultados.
A continuación se presentará algunos de los formatos que se usan en el proceso de auditoría
FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO
Los formatos de fuentes de conocimiento son usados para especificar quienes tiene la información o
que documentos la poseen y las pruebas de análisis o ejecución que deberán practicarse en cada
proceso que sea evaluado.
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO
REF
ENTIDAD AUDITADA
PAGINA
1 DE 1
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE
SOPORTE
COBIT
DOMINIO
PROCESO

14
FUENTES DE CONOCIMIENTO
REPOSITORIO DE PRUEBAS APLICABLES
DE ANALISIS DE EJECUCION
AUDITOR RESPONSABLE:
En este formato se observa los siguientes campos que deben ser diligenciados por el auditor
para cada uno de los procesos evaluados.
REF: Se refiere al ID del elemento.
ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está
realizando el proceso de auditoría.
PROCESO AUDITADO: En este espacio se indicara el nombre del proceso objeto de la
auditoria, para el caso será Contratación TI.
RESPONSABLE: En este espacio se indicaran los nombres del equipo auditor que está
llevando a cabo el proceso de auditoría.
MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material que soporta el
proceso, para el caso será COBIT.
DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está
evaluando.
PROCESO: Espacio reservado para el nombre del proceso en especifico que se está auditando
dentro de los dominios del COBIT.
FUENTES DE CONOCIMIENTO: Espacio donde se indicara la fuente de donde proviene la
información (documento, plano, manual, entrevista con la persona, otra fuente).
REPOSITORIO DE PRUEBAS APLICABLES: Pruebas que serán aplicadas en cada uno de los
procesos de acuerdo a los objetivos de control que pretendan evaluarse.
PRUEBAS DE ANÁLISIS: Las pruebas de análisis hacen referencia a las pruebas que pueden
aplicarse en el proceso mediante comparación (benchmarking) o por revisión y análisis
documental.
PRUEBAS DE EJECUCIÓN: Las pruebas de ejecución hacen referencia a las pruebas que se
pueden hacer en caliente sobre los sistemas o software que se pretende auditar. Estas pruebas
generalmente se hacen sobre los sistemas en producción en las auditorías de seguridad (redes,
base de datos, seguridad lógica, sistemas operativos), auditorias a la funcionalidad del software
y las entradas y salidas del sistema.
FORMATO DE ENTREVISTA
Las entrevistas son una fuente de información importante dentro de la auditoría, en ellas se
refleja la opinión de los auditados acerca del tema tratado y en muchas ocasiones las
grabaciones son la fuente de evidencia que soporta la auditoría. la entrevista puede aplicarse al
inicio de la auditoría para conocer los aspectos generales y durante el proceso de auditoría con
la intención de conocer en profundidad el tema evaluado. La entrevista generalmente se aplica
solo al personal clave (administrador del sistema, usuarios de mayor experiencia, administrador
del área informática, otros).

15
ÁREA O SISTEMA AUDITADO: En este espacio se indicara el área o sistema auditado.
RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor que está
OBJETIVO DE LA ENTREVISTA: En este espacio se hace una breve referencia al objetivo que
se pretende con la aplicación de la entrevista y el proceso COBIT que se está revisando.
ENTREVISTADO: Espacio destinado al nombre de la persona entrevistada.
CARGO: Espacio destinado para el nombre del cargo de la persona que será entrevistada.
TEMA: Los temas que serán tratados en la entrevista por parte del auditor
PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara.
AUDITORES: Información de quien será el auditor que aplica la entrevista.
FECHA DE APLICACIÓN: Fecha en que se aplica la entrevista
ENTREVISTA I
REF
ENTIDAD AUDITADA
PAGINA
DE
AREA AUDITADA
SISTEMA
OBJETIVO ENTREVISTA
ENTREVISTADO
CARGO
TEMA1:
1. ¿PREGUNTA?
_________________________________________________________________
_________________________________________________________________
TEMA 2:
2. ¿ ?
_________________________________________________________________
_________________________________________________________________
TEMA 3:
3. ¿ ?
_________________________________________________________________
_________________________________________________________________
AUDITORES
FECHA
APLICACIÓN
dd/mm/aaaa

16
FORMATO DE CUESTIONARIO
El formato del cuestionario tiene dos objetivos, en primer lugar la confirmación de los riesgos ya
detectados anteriormente y en segundo lugar descubrir nuevos riesgos que aún no se haya
detectado. El cuestionario se aplica solamente al personal clave que posee la información para
responderlo, por eso es necesario identificar las personas que puedan dar respuesta a los
interrogantes planteados en el cuestionario. Las preguntas en el cuestionario son de dos
tipos, el primer tipo son las preguntas sobre la existencia de controles o riesgos, y el segundo
tipo son las de completitud que tienen por objetivo saber si se esta aplicando completamente
los controles o de manera parcial.
Al responder cada una de las preguntas no solamente se debe marcar la respuesta de SI o NO
con una XX sino que se debe dar un valor cuantitativo en una escala de 1 a 5, donde el valor
más bajo 1,2,3 son valores de la poca importancia de la existencia de controles y 4, 5 que son
los valores más altos en la escala significan que tienen mayor importancia para el auditor.
Mediante estas calificaciones se trata de medir el grado del riesgo a que se ve expuesto el
proceso que está siendo evaluado.
A continuación se muestra el diseño de formatos para los cuestionarios:
ENTIDAD AUDITADA PAGINA
1 DE 1
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO PROCESO
PREGUNTA SI NO NA REF FUENTE
1. ¿ ?
2. ¿ ?
TOTALES
TOTAL CUESTIONARIO
PORCENTAJE DE RIESGO
AUDITOR RESPONSABLE
Este cuestionario cuantitativo está conformado por los siguientes ítems:
DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al
objetivo del proceso seleccionado dentro de los dominios del COBIT que se está revisando.
evaluando.

17
SI – NO: Posibilidades de respuesta cuantitativa (1,2,3,4,5) para medición del nivel de riesgo.
REF: referencia a la evidencia o el hallazgo que se obtuvo después de indagar.
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea
afectado por las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor
probabilidad de riesgo tiene el proceso de salir perjudicado.
El cálculo de este porcentaje se hace de la siguiente forma:
Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor
mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia.
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

18
CUESTIONARIO PARA HARDWARE
Aulas De Informática Facultad De Ingeniería
Cuestionario de Control: C1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Pregunta Si No OBSERVACIONES
¿Se cuenta con un inventario de equipos de cómputo? 4
¿Si existe inventario contiene los siguientes ítems?
Número del computador
Fecha
Ubicación
Responsable
Características(memoria, procesador, monitor, disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene los datos?
Numero de hoja de vida
Número del computador correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
5
¿Se posee un registro de fallas detectadas en los equipos? 4
¿En el registro de fallas se tiene en cuenta con los
siguientes datos?
Fecha
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una falla en el equipo, la
atención que se presta es?
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
De 1 a 5 días
¿Se cuenta con servicio de mantenimiento para todos los
equipos?
4 Semestral
¿Qué tipo de mantenimiento se lleva a cabo?
Mantenimiento preventivo
Mantenimiento correctivo
Correctivo
¿Profesores y/o estudiantes pueden instalar y desinstalar
programas en el computador?
4
¿Al finalizar el horario de clase en dichas aulas, se hace una
revisión de los equipos?
3
¿El personal que se encarga del mantenimiento es personal
capacitado?
4
¿Se lleva un procedimiento para la adquisición de nuevos
equipos?
3
¿La infraestructura tecnológica de los equipos soporta la
instalación de diferentes sistemas operativos?
3
¿Son compatibles software y hardware? 5
TOTALES 19 20
La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación
puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control para
el auditor y 5 significa que es importante que se tenga el control, el auditor debe tratar
de dar estas calificaciones lo más objetivamente posible para aplicar la fórmula y
calcular el porcentaje de riesgo.

19
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor
mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia.
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea
afectado por las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor
probabilidad de riesgo tiene el proceso de salir perjudicado.
SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.
El cálculo de este porcentaje se hace de la siguiente forma:
Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71
Porcentaje de riesgo = 100 – 48.71 = 51.28
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: 48.71
Porcentaje de riesgo = 51.28
Impacto según relevancia del proceso: Riesgo Medio

20
FORMATO DE HALLAZGOS
Una vez los riesgos han sido conformados mediante pruebas y evidaneias, estos riesgos parasn a
denominarse hallazgos. Los formatos de los hallazgos son de suma importancia en la auditoría ya
que llevan la información de todo el proceso realizado y una descripción de como se esta
presentando el riesgo y sus consecuencias para la medición o valoración de los riesgos en el
proceso de evaluación de riesgos que se lleva a cabo posteriormente. Además en el formato de
hallazgos se puede encontrar la información de las recomendaciones para determinar los posibles
controles para mitigarlos.
HALLAZGO
REF
PROCESO AUDITADO Funcionamiento de la red de datos
PÁGINA
1 DE 1
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO PROCESO
DESCRIPCIÓN:

21
CONSECUENCIAS:
RECOMENDACIONES:
Esta información será desglosada de la siguiente manera:
evaluando.
REF_PT:

22
HALLAZGO: Aquí se encontrara la descripción de cada hallazgo, así como la referencia al
cuestionario cuantitativo que lo soporta.
CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la descripción de las
consecuencias del hallazgo así como la cuantificación del riesgo encontrado.
EVIDENCIAS: Aquí encontramos en nombre de la evidencia y el numero del anexo donde ésta
se encuentra.
RECOMENDACIONES: En este último apartado se hace una descripción de las
recomendaciones que el equipo auditor ha presentado a las entidades auditadas.

23
EJEMPLO HALLAZGOS
Tabla Hallazgo 1
HALLAZGO 1
REF
HHDN_O1
PROCESO AUDITADO
Funcionamiento del aspecto físico de la red
de datos
PÁGINA
1 DE 1
RESPONSABLE Francisco Solarte
MATERIAL DE
SOPORTE
COBIT
DOMINIO
Planear y Organizar
(PO)
PROCESO
Definir un plan
estratégico de TI
(PO1)
DESCRIPCIÓN:
 No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos
en su aspecto físico.
 No existen políticas ni procedimientos relacionados con la conformación adecuada
de la arquitectura y del aspecto físico de la red de datos.
Esto es debido a la falta del manual de funciones donde se especifique el personal a
cargo de la red de datos ni los procedimientos que se realizaran por parte de los
funcionarios.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico
de la red de datos se pierde la claridad para tomar decisiones pertinentes en caso de un
desempeño no aceptado de la red de datos.
Al no existir políticas ni procedimientos relacionados con la conformación de la
arquitectura y del aspecto físico de la red de datos se pierde la opción de ajustar a las
condiciones adecuadas que necesita la entidad los servicios de red de datos.
RIESGO:
 Probabilidad de ocurrencia: Media
 Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
 Conformar un grupo determinado de funcionarios que evalúen y estudien el
desempeño de la red física de datos para con ello tomen decisiones oportunas y
adecuadas en la eventualidad de no cumplir objetivos planteados.
 Elaborar e implementar políticas y procedimientos relacionados con la conformación
de la arquitectura y del aspecto físico de la red de datos para ajustar los servicios de red
a las necesidades propias que necesite la entidad.

24
El programa de auditoría hace referencia a la programación de las actividades y
asignación de los procesos a auditar a cada uno de los miembros del equipo auditor,
por lo tanto inicialmente se debe determinar el estándar que se va a aplicar, quienes
serán los miembros del equipo auditor y la especialidad de cada uno de ellos, y
posteriormente se hace la asiganación de las tareas para cada uno de ellos.
Para este caso se usará el estándar CobIT 4.1 de donde se tomará los procesos y
objetivos de control relacionados directamente con el objetivo general y alcances que
fueron determinados en el plan de auditoría.
Cabe mencionar que dentro de cada proceso existen varios objetivos de control y que
no se debe seleccionar solo un objetivo de control sino que pueden ser todos o aquellos
que más estén relacionados con los alcances de la auditoría.
Ejemplo de programa de auditoría para un sistema de información.
Inicialmente hay que tener en cuenta el plan de auditoría porque allí se tiene el objetivo
que se pretende en la auditoría y los alcances de cada uno de los ítem evaluados.
Plan de auditoría
Objetivo general: Evaluar el sistema de información de usado para el sistema de
matrícula para garantizar la seguridad en cuanto a confidencialidad, integridad y
disponibilidad que permitan el mejoramiento del sistema de control existente.
Alcances: En cuanto a los alcances de la auditoría se trabajará el módulo de matrícula
académica en línea, incluyendo los procesos de registro y control, y el sistema de
control interno que maneja la dependencia para la protección de los datos e
información.
Del módulo de matrícula académica se evaluará: Asignaturas a matricular del Pensum,
Asignaturas a matricular de formación humanística, Matricular idiomas extranjeros,
Cancelación de asignaturas del Pensum, Cancelación de formación humanísticas,
Cancelación idiomas extranjeros, Autorizaciones, Reporte de Matrícula, Actualización
de información, Calificaciones, Calendario Horarios, Horarios Humanística.
En cuanto al hardware: En cuanto al hardware se evaluará el inventario de hardware de
servidores, equipos y redes, incluyendo los procesos mantenimiento, adquisición y
actualización de los mismos.
En cuanto al sistema: En cuanto al sistema se evaluará la funcionalidad,
procesamiento, seguridad perimetral del sistema, seguridad interna del sistema,
entradas y salidas generadas por el sistema, calidad de los datos de entrada, la
configuración del sistema, la administración del sistema, planes de contingencias.
En cuanto a la operatividad del sistema: En cuanto a la operatividad del sistema se
evaluará los usuarios que manejan la información, la administración del sistema y el
monitoreo del sistema.
Teniendo en cuenta el objetivo y los alcances especificados anteriormente, y una vez
seleccionado el estándar a trabajar (CobIT 4.1), se selecciona los dominios y procesos
del estándar que tengan relación directa con el objetivo y los alcances.
PROGRAMA DE AUDITORÍA
Para realizar el proceso de auditoría al Sistema de información de Registro y control
académico, se utilizará el estándar de mejores práctica en el uso de Tecnología de
información (TI) COBIT (Objetivos de Control para la Información y Tecnologías
Relacionadas), donde se especifica el dominio, el proceso y los objetivos de control que

25
se debe trabajar en relación directa con el objetivo y alcances, dentro de ellos se
elegiría los siguientes:
Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y las
tácticas, tiene que ver con identificar la manera en que las tecnologías de información
pueden contribuir de la mejor manera al logro de los objetivos de una entidad.
Los procesos seleccionados que se revisará y los objetivos de control a verificar son
los siguientes:
Proceso: PO1 Definir un Plan Estratégico de TI: La definición de un plan estratégico de
tecnología de información, permite la gestión y dirección de los recursos de TI de
acuerdo a las estrategias y requerimientos de la dependencia.
Los objetivos de control relacionados con los alcances de la auditoría son los
siguientes:
PO1.3 Evaluación del desempeño y la capacidad actual: La dependencia de registro y
control académico mantiene una evaluación periódica del desempeño de los planes
institucionales y de los sistemas de información encaminados a la contribución del
cumplimiento de los objetivos de la dependencia.
PO2 Definir la Arquitectura de la Información: Permite definir un modelo de información,
con el fin de integrar de forma transparente las aplicaciones dentro de los procesos de
la dependencia.
Los objetivos de control que se evaluaran son los siguientes:
PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es necesario la existencia de
un diccionario de datos del sistema en la dependencia y las actualizaciones que se
hayan realizado al mismo en las actualizaciones del sistema de acuerdo a los nuevos
requerimientos.
PO2.3 Esquema de clasificación de los datos: Se debe establecer un marco de
referencia de los datos, clasificándolos por categorías, y con la definición de normas y
políticas de acceso a dichos datos.
PO2.4 Administración de la integridad de datos: Los desarrolladores de la aplicación
deben garantizar la integridad y consistencia de los datos almacenados mediante la
creación de procesos y procedimientos.
PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de
sistemas debe estar claro y definido el personal de la tecnología de la información, los
roles, las funciones y responsabilidades, permitiendo el buen funcionamiento de
servicios que satisfagan los objetivos de la Institución.
Los objetivos de control que se evaluarán son los siguientes:
PO4.6 Establecer roles y responsabilidades: Evaluar el comportameinto de los roles y
las responsabilidades definidas para el personal de TI, el el área informática
(administradores de la red. administrador de sistema, supervisor de los indicadores de
cumplimiento, otros)
PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se debe asignar la
responsabilidad para el desempñeo de la función de aseguramiento de la calidad (QA)
proporcionando el grupo QA del área informática los controles y la experiencia para
comunicarlos. Ademas se debe asegurar que la ubicación organizacional, la
responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos de la
dependencia.
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento: Se debe
establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un
nivel superior apropiado. Definir y asignar roles críticos para administrar los riesgos de
TI, incluyendo la responsabilidad específica de la seguridad de la información, la

26
seguridad física y el cumplimiento. Establecer responsabilidad sobre la adminsitración
del riesgo y la seguridad a nivel de toda la dependencia para manejar los problemas a
nivel institucional. Es necesario asignar responsabilidades adicionales de
administración de la seguridad a nivel del sistema específico para manejar problemas
relacionados con la seguridad.
PO4.9 Propiedad de datos y del sistema: Proporcionar a la dependencia de registro y
control los procedimientos y herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos y los sistemas de información.
PO4.13 Personal clave de TI: Definir e identificar el personal clave de TI y minimizar la
dependencia de una sola persona desempeñando la función de trabajo crítico.
PO8 Administrar la Calidad: Se debe elaborar y mantener un sistema de administración
de calidad, el cual incluya procesos y estándares probados de desarrollo y de
adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento
del sistema de administración de calidad, proporcionando requerimientos,
procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben
manifestar y documentar con indicadores cuantificables y alcanzables. La mejora
continua se logra por medio del constante monitoreo, corrección de desviaciones y la
comunicación de los resultados a los interesados. La administración de calidad es
esencial para garantizar que TI está dando valor a la información de la dependencia,
mejora continua y transparencia para los interesados.
Los objetivos de control que serán evaluados son los siguientes:
PO8.3 Estándares de desarrollo y de adquisición: Adoptar y mantener estándares para
desarrollo y adquisición que siga el ciclo de vida, hasta los entregables finales
incluyendo la aprobación o no en puntos clave con base en los criterios de aceptación
acordados. Los temas a considerar incluyen los estándares de codificación del
software, normas de nomenclatura, los formatos de archivos, estándares de diseño
para los esquemas y diccionarios de datos, estándares para interfaz de usuario, inter
operatividad, eficiencia en el desempaño del sistema, escalabilidad, estándares para el
desarrollo y pruebas, validación de los requerimientos, planes de pruebas, pruebas
unitarias, y de integración.
PO8.5 Mejora continua: Mantener y comunicar regularmente un plan global de calidad
que promueva la mejora continua.
PO9 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar y
comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de la
dependencia, con el objetivo de asegurar el logro de los objetivos de TI.
PO9.1 Marco de trabajo de administración de riesgos: Se debe establecer un marco de
referencia de evaluación sistemática de riesgos que contenga una evaluación regular
de los riesgos de la parte física de las comunicaciones, servidores y equipos con
indicadores de cumplimiento.
PO9.3 Identificación de eventos: Identificar los riesgos (una amenaza explota las
vulnerabilidades existentes), clasificándolas si son relevantes y en qué medida afectan
al área informática y la dependencia de registro y control donde se maneja el sistema
de información.
PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través de la evaluación
periódica de la probabilidad e impacto de los riesgos identificados, usando métodos
cuantitativos y cualitativos, que permitan la medición del riesgo encontrado.
PO9.5 Respuesta a los riesgos: Definir un plan de acción contra riesgos, el proceso de
respuesta a riesgos debe identificar las estrategias tales como evitar, reducir, compartir
o aceptar los riesgos determinando los niveles de tolerancia a los riesgos y los controles
para mitigarlos.
PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos: Priorizar y planear
las actividades de control y respuesta a la solución de riesgos encontrados, teniendo en

27
cuenta también la parte económica de la solución de esta prioridad. Monitorear la
ejecución de los planes y reportar cualquier desviciación a la alta dirección.
Dominio: Adquirir e implementar (AI) Para llevar a cabo la estrategia TI, se debe
identificar las soluciones, desarrollarlas y adquirirlas, así como implementarlas e
integrarlas en la empresa, esto para garantizar que las soluciones satisfaga los
objetivos de la empresa.
De este dominio se ha seleccionado los siguientes procesos y objetivos de control:
AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones deben estar disponibles
de acuerdo con los requerimientos de la dependencia. Este proceso cubre el diseño de
las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de
seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto
permite apoyar la operatividad de la dependencia de forma apropiada con las
aplicaciones automatizadas correctas.
 AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una especificación de
diseño de alto nivel para la adquisición de software, teniendo en cuenta las directivas
tecnológicas y la arquitectura de información dentro de la dependencia. Tener
aprobadas las especificaciones de diseño por la dependencia para garantizar que el
diseño de alto nivel responde a los requerimientos. Reevaluar cuando sucedan
discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.
 AI2.2 Diseño Detallado: Preparar el diseño detallado y los requerimientos técnicos
del software de aplicación. Definir el criterio de aceptación de los requerimientos.
Aprobar los requerimientos para garantizar que corresponden al diseño de alto nivel.
Realizar reevaluaciones cuando sucedan discrepancias significativas técnicas o lógicas
durante el desarrollo o mantenimiento.
 AI2.3 Control y Posibilidad de Auditar las Aplicaciones: Implementar controles de
aplicación automatizados tal que el procesamiento sea exacto, completo, oportuno,
autorizado y auditable.
 AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la seguridad de las
aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos
identificados y en línea con la clasificación de datos, la arquitectura de la información, la
arquitectura de seguridad de la información y la tolerancia a riesgos de la organización.
 AI2.5 Configuración e Implantación de Software Aplicativo Adquirido: Configurar e
implementar software de aplicaciones adquiridas para conseguir los objetivos de
negocio.
 AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso de cambios
importantes a los sistemas existentes que resulten en cambios significativos al diseño
actual y/o funcionalidad, seguir un proceso de desarrollo similar al empleado para el
desarrollo de sistemas nuevos.
 AI2.7 Desarrollo de Software Aplicativo: Garantizar que la funcionalidad de
automatización se desarrolla de acuerdo con las especificaciones de diseño, los
estándares de desarrollo y documentación, los requerimientos de calidad y estándares
de aprobación. Asegurar que todos los aspectos legales y contractuales se identifican y
direccionan para el software aplicativo desarrollado por terceros.
 AI2.9 Administración de los Requerimientos de Aplicaciones: Seguir el estado de
los requerimientos individuales durante el diseño, desarrollo e implementación, y
aprobar los cambios a los requerimientos a través de un proceso de gestión de cambios
establecido.
 AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una estrategia y un plan
para el mantenimiento de aplicaciones de software.

28
AI3 Adquirir y Mantener Infraestructura Tecnológica: Las Dependencias deben contar
con procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto
requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura
de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente
de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico en la
organización.
 AI3.1 Plan de Adquisición de Infraestructura Tecnológica: Generar un plan para
adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los
requerimientos establecidos funcionales y técnicos que esté de acuerdo con la dirección
tecnológica de la dependencia. El plan debe considerar extensiones futuras para
adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la
inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la
viabilidad del software al añadir nueva capacidad técnica.
 AI3.2 Protección y Disponibilidad del Recurso de Infraestructura: Implementar
medidas de control interno, seguridad y auditabilidad durante la configuración,
integración y mantenimiento del hardware y del software de la infraestructura para
proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y
comprender claramente las responsabilidades al utilizar componentes de infraestructura
sensitivos por todos aquellos que desarrollan e integran los componentes de
infraestructura. Se debe monitorear y evaluar su uso.
 AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia y un plan de
mantenimiento de la infraestructura y garantizar que se controlan los cambios, de
acuerdo con el procedimiento de administración de cambios de la dependencia. Incluir
una revisión periódica contra las necesidades, administración de parches y estrategias
de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de
seguridad.
 AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente de desarrollo y
pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e
integración de aplicaciones e infraestructura, en las primeras fases del proceso de
adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de
hardware y software, pruebas de integración y desempeño, migración entre ambientes,
control de la versiones, datos y herramientas de prueba y seguridad.
AI6 Administrar cambios: Para realizar algún cambio bien sea de software, de hardware
de comunicaciones o de servidores, debe existir un proceso que administre
formalmente y controladamente dichos cambios, cada cambio debe seguir un proceso
de recepción, evaluación, prioridad y autorización previo a la implantación, sin obviar la
constatación o revisión después del cambio, esto con el fin de reducir riesgos que
impacten negativamente la estabilidad o integridad del ambiente del buen
funcionamiento de las comunicaciones y servidores.
 AI6.3 Cambios de emergencia: La Dependencia debe tener establecido un proceso
para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el
proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente,
después de la implantación del cambio de emergencia.
 AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer un
seguimiento a través de un reporte de las solicitudes de cambio, de solución y
autorización.
 AI6.5 Cierre y documentación del cambio: Establecer un proceso de revisión para
garantizar la implantación completa de los cambios.
Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar la entrega de los
servicios requeridos por la empresa, dentro de este dominio se evaluará los siguientes
procesos y objetivos de control:
DS4 Garantizar la Continuidad del Servicio: Es importante que dentro de la
dependencia se garantice la continuidad de los servicios de TI, para ello es importante

29
desarrollar, mantener y probar planes de continuidad y así asegurar el mínimo impacto
en caso de una interrupción de servicios TI, esto se logra con el desarrollo y
mantenimiento (mejorado) de los planes de contingencia de TI, con entrenamiento y
pruebas de los planes de contingencia de TI y guardando copias de los planes de
contingencia.
DS4.2 Planes de continuidad de TI: La metodología de continuidad debe ser
diseñado para reducir el impacto de un desastre, debe presentar diferentes alternativas
de recuperación inmediata de los servicios, también debe cubrir los lineamientos de
uso, los roles y responsabilidades, los procedimientos, los procesos de comunicación y
el enfoque de pruebas.
DS4.3 Recursos críticos de TI: Revisar si se lleva un control de los planes de
continuidad, de acuerdo al nivel de prioridad, asegurarse de que la respuesta y la
recuperación están alineadas con las necesidades prioritarias de la dependencia y
considerar los requerimientos de resistencia, respuesta y recuperación para diferentes
niveles de prioridad.
DS4.4 Mantenimiento del plan de continuidad de TI: Se debe mantener el plan de
continuidad activo, vigente y actualizado y que refleje de manera continua los
requerimientos actuales del Área Informática y de la dependencia de registro y control.
 DS4.5 Pruebas del plan de continuidad de TI: Es importante que dentro de la
dependencia el plan de continuidad sea conocido por todas las partes interesadas, es
esencial que los cambios en los procedimientos y las responsabilidades sean
comunicados de forma clara y oportuna. Hacer pruebas de continuidad de forma regular
para asegurar que los procesos de TI pueden ser recuperados de forma efectiva y así
probar que el plan es efectivo o sino corregir deficiencias en el plan, y así ejecutar un
plan de acción para permitir que el plan permanezca aplicable.
DS4.6 Entrenamiento del plan de continuidad de TI: La organización debe
asegurarse que todos las partes involucradas reciban capacitaciones de forma regular
respecto a los procesos y sus roles y responsabilidades en caso de incidente o
desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de las
pruebas de contingencia.
 DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones: Almacenar fuera
de las instalaciones todos los medios de respaldo, documentación y otros recursos de
TI críticos, necesarios para la recuperación de TI y para los planes de continuidad de la
dependencia. El contenido de los respaldos a almacenar debe determinarse en
conjunto entre los responsables de los procesos de la dependencia y el personal de TI.
La administración del sitio de almacenamiento externo a las instalaciones, debe
apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de
datos de la organización. Las directivas de TI debe asegurar que los acuerdos con sitios
externos sean evaluados periódicamente, al menos una vez por año, respecto al
contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad
del hardware y del software para poder recuperar los datos archivados y
periódicamente probar y renovar los datos archivados.
 DS4.10 Revisión Post Reanudación: Una vez lograda una exitosa reanudación de las
funciones de TI después de un desastre, determinar si las directivas de TI ha
establecido procedimientos para valorar lo adecuado del plan y actualizar el plan en
consecuencia.
DS5 Garantizar la seguridad de los sistemas: Garantizar la protección de la información
e infraestructura de TI con el fin de minimizar el impacto causado por violaciones o
debilidades de seguridad de la TI.
Los objetivos de control que se evaluarán son los siguientes:
 DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la dependencia,
riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en
consideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan
esta implementado en las políticas y procedimientos de seguridad junto con las

30
inversiones apropiadas en los servicios, personal, software y hardware. Comunicar las
políticas y procedimientos de seguridad a los interesados y a los usuarios.
 DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos,
externos y temporales) y su actividad en sistemas de TI (Entorno de TI, operación de
sistemas, desarrollo y mantenimiento) deben ser identificables de manera única.
Permitir que el usuario se identifique a través de mecanismos de autenticación.
Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea
con las necesidades del módulo definidas y documentadas y que los requerimientos de
trabajo están adjuntos a las identidades del usuario. Asegurar que los derechos de
acceso del usuario se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona responsable de la seguridad.
Las identidades del usuario y los derechos de acceso se mantienen en un repositorio
central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se
mantienen actualizados para establecer la identificación del usuario, realizar la
autenticación y habilitar los derechos de acceso.
 DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud,
establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de
los privilegios relacionados, sean tomados en cuenta por un conjunto de
procedimientos. Debe incluirse un procedimiento de aprobación que describa al
responsable de los datos o del sistema otorgando los privilegios de acceso. Estos
procedimientos deben aplicarse a todos los usuarios, incluyendo administradores,
usuarios externos e internos, para casos normales y de emergencia. Los derechos y
obligaciones relativos al acceso a los sistemas e información del módulo deben
acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones
regulares de la gestión de todas las cuentas y los privilegios asociados.
 DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que la
implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa.
La seguridad en TI debe ser re-acreditada periódicamente para garantizar que se
mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (loggin) y de
monitoreo permite la detección oportuna de actividades inusuales o anormales que
pueden requerir atención.
DS5.6 Definición de Incidente de Seguridad: Implementar procedimientos para
atender casos de incidentes, mediante el uso de una plataforma centralizada con
suficiente experiencia y equipada con instalaciones de comunicación rápidas y seguras.
Igualmente establecer las responsabilidades y procedimientos para el manejo de
incidentes.
 DS5.7 Protección de la Tecnología de Seguridad: Garantizar que la tecnología
relacionada con la seguridad sea resistente al sabotaje y no revele documentación de
seguridad innecesaria.
DS5.8 Administración de Llaves Criptográficas: Asegurar que la información de
transacciones (datos, password, llaves criptográficas) es enviada y recibida por canales
confiables (trustedpaths), mediante encriptamiento de sistemas y usuarios.
DS5.9 Prevención, Detección y Corrección de Software Malicioso: Garantizar
procedimientos para el manejo y corrección de problemas ocasionados por software
malicioso generalmente en el caso de virus.
 DS5.10 Seguridad de la Red: En la organización al existir conexión a la red de
internet se debe implementar el uso de técnicas de seguridad y procedimientos de
administración asociados como firewalls, para proteger los recursos informáticos y
dispositivos de seguridad.
DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los
usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar
las necesidades de entrenamiento de cada grupo de usuarios. Además de identificar las
necesidades, este proceso incluye la definición y ejecución de una estrategia para llevar
a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo de

31
entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores,
incrementando la productividad y el cumplimiento de los controles clave tales como las
medidas de seguridad de los usuarios.
Para ello se tomaran en cuenta los siguientes objetivos de control:
 DS7.1 Identificación de Necesidades de Entrenamiento y Educación: Establecer y
actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de
empleados, que incluya: Implementar procedimientos junto con el plan de largo plazo,
valores sistémicos (valores éticos, cultura de control y seguridad, otros),
implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones),
perfiles de competencias y certificaciones actuales y/o credenciales necesarias,
metodos de impartir la capacitación, tamaño del grupo, accesibilidad y tiempo.
 DS7.3 Evaluación del Entrenamiento Recibido: Al finalizar el entrenamiento, evaluar
el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción
y retención del conocimiento, costo y valor. Los resultados de esta evaluación deben
contribuir en la definición futura de los planes de estudio y de las sesiones de
entrenamiento.
DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar que cualquier problema
experimentado por los usuarios o estudiantes sea atendido apropiadamente realizando
una mesa de ayuda que proporcione soporte y asesoría de primera línea.
DS8.1 Mesa de Servicios: Establecer la función de mesa de servicio, la cual es la
conexión del usuario con TI, para registrar, comunicar, atender y analizar todas las
llamadas, incidentes reportados, requerimientos de servicio y solicitudes de
información. Deben existir procedimientos de monitoreo y escalamiento basados en los
niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier
problema reportado como incidente, solicitud de servicio o solicitud de información.
Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de
los servicios de TI.
 DS8.3 Escalamiento de Incidentes: Establecer procedimientos de mesa de
servicios de manera que los incidentes que no puedan resolverse de forma inmediata
sean escalados apropiadamente de acuerdo con los límites acordados en el SLA y, si
es adecuado, brindar soluciones alternas. Garantizar que la asignación de incidentes y
el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente
de qué grupo de TI esté trabajando en las actividades de resolución.
 DS8.4 Cierre de Incidentes: Establecer procedimientos para el monitoreo puntual
de la resolución de consultas de los usuarios. Cuando se resuelve el incidente la mesa
de servicios debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada
fue acordada con el usuario.
 DS8.5 Análisis de Tendencias: Emitir reportes de la actividad de la mesa de
servicios para permitir a la dependencia medir el desempeño del servicio y los tiempos
de respuesta, así como para identificar tendencias de problemas recurrentes de forma
que el servicio pueda mejorarse de forma continua.
DS9 Administración de la Configuración: Mantener un depósito centralizado donde se
almacene la información de configuración de software y hardware, ofreciendo así mayor
disponibilidad a los usuarios y administradores del sistema, además de mantener un
inventario actualizado de la existencia física de TI.
El objetivo de control que se evalúa es el siguiente:
 DS9.3 Revisión de Integridad de la Configuración: El Área Informática debe revisar
periódicamente los datos de configuración para verificar y confirmar la integridad de la
configuración actual y ejecuta rutinas de revisión de software instalado para establecer
inconsistencias o desviaciones que perjudiquen los intereses de la organización o que
violen políticas de uso.

32
DS12 Administración del Ambiente Físico: La protección del equipo de cómputo y del
personal, requiere de instalaciones bien diseñadas y bien administradas. El proceso de
administrar el ambiente físico incluye la definición de los requerimientos físicos del
centro de datos (site), la selección de instalaciones apropiadas y el diseño de procesos
efectivos para monitorear factores ambientales y administrar el acceso físico. La
administración efectiva del ambiente físico reduce las interrupciones del módulo
ocasionadas por daños al equipo de cómputo y al personal.
 DS12.1 Selección y Diseño del Centro de Datos: Registro y control y el Área
Informática deben definir y seleccionar los centros de datos físicos para el equipo de TI
para soportar la estrategia de tecnología ligada a la estrategia del negocio. Esta
selección y diseño del esquema de un centro de datos debe tomar en cuenta el riesgo
asociado con desastres naturales y causados por el hombre. También debe considerar
las leyes y regulaciones correspondientes, tales como regulaciones de seguridad y de
salud en el trabajo.
 DS12.2 Medidas de Seguridad Física: Evaluar las medidas de seguridad físicas
alineadas con los requerimientos de la organización. Las medidas deben incluir, zonas
de seguridad, la ubicación de equipo crítico y de las áreas de envío y recepción. En
particular mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI.
Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de
reporte y de resolución de incidentes de seguridad física.
 DS12.3 Acceso Físico: Evaluar e implementar procedimientos para otorgar,
limitar y revocar el acceso a locales, edificios y áreas de emergencias. El acceso a
locales, edificios y áreas debe justificarse, autorizarse, registrarse y monitorearse. Esto
aplica para todas las personas que accedan a las instalaciones, incluyendo personal,
estudiantes, visitantes o cualquier tercera persona.
 DS12.4 Protección Contra Factores Ambientales: Diseñar e implementar medidas de
protección contra factores ambientales. Deben instalarse dispositivos y equipo
especializado para monitorear y controlar el ambiente.
 DS12.5 Administración de Instalaciones Físicas: Se debe administrar las
instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de
acuerdo con las leyes y los reglamentos, los requerimientos técnicos y de la institución,
las especificaciones del proveedor y los lineamientos de seguridad y salud.
DS13 Administración de Operaciones: Se requiere de una efectiva administración
protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento
preventivo de hardware en la organización.
Para ello se evalua el siguiente objetivo de control:
 DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los procedimientos para
garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el
impacto de las fallas o de la disminución del desempeño.
Dominio Monitorear Y Evaluar (ME). Todos los procesos del módulo de matrícula
necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y
suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad, por
tal se evaluara el sigueinte proceso:
ME2 Monitorear y Evaluar el Control Interno: Se debe proporcionar e incrementar los
niveles de confianza entre la organización, empleados y clientes con respecto a las
operaciones eficientes y efectivas dentro del módulo.
 ME2.3 Excepciones de Control: Identificar los incidentes, analizar e identificar sus
causas raíz subyacentes para establecer acciones correctivas necesarias y verificar si
los resultados de los controles, son reportados y analizados rápidamente, para evitar
errores e inconsistencias y que sean corregidos a tiempo.

33
Finalmente se establecerá las responsabilidades de cada integrante del grupo
auditor respecto a los procesos que serán evaluados y se crea un cronograma de las
actividades de evaluación que se realizarán en el proceso de auditoría.
RECOLECCIÓN DE INFORMACIÓN PARA AUDITORÍA
INFORMÁTICA Y DE SISTEMAS
OBSERVACIÓN
Es una de las técnicas más utilizadas para examinar los diferentes aspectos que
intervienen en el funcionamiento del área informática y los sistemas software, permite
recolectar la información directamente sobre el comportamiento de los sistemas, del
área de informática, de las funciones y actividades, los procedimientos y operación de
los sistemas, y de cualquier hecho que ocurra en el área. En el caso específico de la
auditoria se aplica para observar todo lo relacionado con el área informática y los
sistemas de una organización con el propósito de percibir, examinar, o analizar los
eventos que se presentan en el desarrollo de las actividades del área o de un sistema
que permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.
ENTREVISTAS
Esta técnica es la más utilizada por los auditores ya que a través de esta se obtiene
información sobre lo que está auditando, además de tips que permitirán conocer más
sobre los puntos a evaluar o analizar. La entrevista en general es un medio directo
para la recolección de información para la captura de los datos informados por medio
de grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga,
investiga y conforma directamente sobre los aspectos que se está auditando. En su
aplicación se utiliza una guía general de la entrevista, que contiene una serie de
preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse
adaptando para profundizar y preguntar sobre el tema.
CUESTIONARIOS
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado
responde de acuerdo a su criterio, de esta manera el auditor obtiene información que
posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para
evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.
ENCUESTAS
Las encuestas son utilizadas frecuentemente para recolectar información sobre
aspectos como el servicio, el comportamiento y utilidad del equipo, la actuación del
personal y los usuarios, entre otros juicios de la función informática. No existen reglas
para el uso de las encuestas, solo los que regulan los aspectos técnicos y estadísticos
tales como la elección del universo y la muestra, que se contemplan dentro de la
aplicación de métodos probabilísticas y estadísticos para hacer la mejor elección de las
muestras y recolección de opiniones.
INVENTARIOS
Consiste en hacer el recuento físico de lo que se está auditando, con el fin de
compararla con la que existe en los documentos en la misma fecha. Consiste en
comparar las cantidades reales existentes con las que debería haber para comprobar
que sean iguales, de lo contrario iniciar la investigación de la diferencia para establecer
las causas. Con la aplicación de esta herramienta de la auditoria tradicional, el auditor
de sistemas también puede examinar las existencias de los elementos disponibles para
el funcionamiento del área informática o del sistema, contabilizando los equipos de
cómputo, la información y los datos de la empresa, los programas, periféricos,
consumibles, documentos, recursos informáticos, y demás aspectos que se desee

34
conocer, con el fin de comparar la cantidad real con las existencias que se registra en
los documentos.
TÉCNICAS E INSTRUMENTOS PARA REALIZAR AUDITORIA INFORMÁTICA Y DE
SISTEMAS A LAS PLATAFORMAS EDUCATIVAS
EVALUACIÓN
Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones,
actividades y procedimientos que se realizan en una organización o área.
Las evaluaciones se utilizan para valorar registros, planes, presupuestos, programas,
controles y otros aspectos que afectan la administración y control de una organización o
las áreas que la integran. La evaluación se aplica para investigar algún hecho,
comprobar alguna cosa, verificar la forma de realizar un proceso, evaluar la aplicación
de técnicas, métodos o procedimientos de trabajo, verificar el resultado de una
transacción, comprobar la operación correcta de un sistema software entre otros
muchos aspectos.
INSPECCIÓN
La inspección permite evaluar la eficiencia y eficacia del sistema, en cuanto a operación
y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta
finalizarlo. La inspección se realiza a cualquiera de las actividades, operaciones y
componentes que rodean los sistemas.
CONFIRMACIÓN
El aspecto más importante en la auditoria es la confirmación de los hechos y la
certificación de los datos que se obtienen en la revisión, ya que el resultado final de la
auditoria es la emisión de un dictamen donde el auditor expone sus opiniones, este
informe es aceptado siempre y cuando los datos sean veraces y confiables. No se
puede dar un dictamen en base a suposiciones o emitir juicios que no sean
comprobables.
COMPARACIÓN
Otra de las técnicas utilizadas en la auditoria es la comparación de los datos obtenidos
en un área o en toda la organización y cotejando esa información con los datos
similares o iguales de otra organización con características semejantes. En auditoria a
los sistemas software se realiza la comparación de los resultados obtenidos con el
sistema y los resultados con el procesamiento manual, el objetivo de dicha comparación
es comprobar si los resultados son iguales, o determinar las posibles desviaciones, y
errores entre ellos.
REVISIÓN DOCUMENTAL
Otra de las herramientas utilizadas en la auditoria es la revisión de documentos que
soportan los registros de operaciones y actividades de una organización. Aquí se
analiza el registro de actividades y operaciones plasmadas en documentos y archivos
formales, con el fin de que el auditor sepa cómo fueron registrados las operaciones,
resultados y otros aspectos inherentes al desarrollo de las funciones y actividades
normales de la organización. En esta evaluación se revisan manuales, instructivos,
procedimientos, funciones y actividades. El registro de resultados, estadísticas, la
interpretación de acuerdos, memorandos, normas, políticas y todos los aspectos
formales que se asientan por escrito para el cumplimiento de las funciones y
actividades en la administración de las organizaciones.

35
MATRIZ DE EVALUACIÓN
Es uno de los documentos de mayor utilidad para recopilar información relacionada con
la actividad, operación o función que se realiza en el área informática, así como también
se puede observar anticipadamente su cumplimiento. La escala de valoración puede ir
desde la mínima con puntaje 1 (baja, deficiente) hasta la valoración máxima de
5(superior, muy bueno, excelente). Cada una de estas valoraciones deberá tener
asociado la descripción del criterio por el cual se da ese valor. Esta matriz permite
realizar la valoración del cumplimiento de una función específica de la administración
del centro de cómputo, en la verificación de actividades de cualquier función del área de
informática, del sistema software, del desarrollo de proyectos software, del servicio a los
usuarios del sistema o cualquier otra actividad del área de informática en la
organización.
MATRIZ DOFA
Este es un método de análisis y diagnóstico usado para la evaluación de un centro de
cómputo, que permite la evaluación del desempeño de los sistemas software, aquí se
evalúan los factores internos y externos, para que el auditor puede evaluar el
cumplimiento de la misión y objetivo general del área de informática de la organización.
CONCEPTOS APLICABLES A LA AUDITORÍA
CONTROL
“Es el conjunto de normas, técnicas, acciones y procedimientos que interrelacionados e
interactuando entre sí con los sistemas y subsistemas organizacionales y
administrativos, permite evaluar, comparar y corregir aquellas actividades que se
desarrollan en las organizaciones, garantizando la ejecución de los objetivos y el logro
de las metas institucionales”[1].
CONTROL INTERNO
Se ejerce con el fin de lograr el cumplimiento de los objetivos de la empresa, y es el
proceso que se realiza al interior de ellas y es impulsado por las directivas y
administradores quien designa para que lo ejerza a una persona que posee la suficiente
ética, moral y formación académica que le amerita credibilidad.
CONTROL EXTERNO
Es aquel ejercido por personal externo a la empresa y su propósito es evaluar en qué
proporción las metas y objetivos trazados en las políticas, planes, programas por la
administración de la misma se están cumpliendo.
CONTROL INTERNO INFORMÁTICO
El establecimiento de controles internos en el área informática y los sistemas de
información es muy importante y ayuda a la evaluación de la eficiencia y eficacia de la
gestión administrativa, dependiendo de los objetivos que se pretenda con dichos
controles. Además el control interno es indispensable en la protección de los bienes y el
buen desarrollo de las actividades y operación de los sistemas.
A través del control interno se pretende la aplicación de los siguientes objetivos
específicos:
Establecer como prioridad la seguridad y protección de los bienes informáticos, la
información y los sistemas de información.

36
Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su
procesamiento y la emisión de reportes en la empresa.
Implementar los métodos, técnicas y procedimientos necesarios para contribuir al
desarrollo eficiente de las funciones, actividades, y tareas de los servicios que presta el
área informática para satisfacer las necesidades de la empresa.
Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las
actividades de sistematización de la empresa.
Establecer acciones necesarias para el buen desarrollo del software, a fin de que
presten un buen servicio en la empresa.
PAPELES DE TRABAJO
Son la herramienta y soporte en la planeación, organización y coordinación del examen
de auditoría, y a su vez brindan respaldo a la opinión del auditor. Estos se preparan de
acuerdo al criterio, experiencia y preferencia del auditor y se organizan teniendo en
cuenta su uso y contenido. Según José Dagoberto Pinilla[1] Define los papeles de
trabajo así: “comprende el conjunto de cédulas preparadas por el auditor y/o personal
colaborador, con motivo del desarrollo del programa de auditoría para obtener evidencia
comprobatoria suficiente y competente, que sirva como base objetiva para emitir una
opinión independiente sobre el objeto auditado”.
Los papeles de trabajo son registros que mantiene el auditor de los procedimientos
aplicados, pruebas desarrolladas, información obtenida y conclusiones pertinentes a
que se llegó en el trabajo. Algunos ejemplos de papeles de trabajo son los programas
de auditoría, los análisis, los memorandos, las cartas de confirmación y declaración,
resúmenes de documentos de la compañía y cédulas o comentarios preparados u
obtenidos por el auditor. Los papeles de trabajo también pueden obtener la forma de
información almacenada en cintas, películas u otros medios.
OBJETIVOS DE LOS PAPELES DE TRABAJO
Proporcionar la información básica y fundamental necesaria para facilitar la planeación,
organización y desarrollo de todas las etapas del proceso de auditoría.
Respaldar la opinión del auditor permitiendo realizar un examen de supervisión y
proporcionando los informes suficientes y necesarios que serán incluidos en el informe
de auditoría, además, sirve como evidencia en caso de presentarse alguna demanda.
Permiten demostrar si el trabajo del auditor fue debidamente planeado, determinando
su eficiencia y eficacia.
Permiten establecer un registro histórico disponible permanentemente en caso que se
presente algún requerimiento.
Servir como punto de referencia para posteriores auditorías.
Servir de puente entre el informe de auditoría y las áreas auditadas.
TIPOS DE PAPELES DE TRABAJO
Archivo permanente: La información que aquí se almacena cubre varios períodos de
la auditoria y son de utilidad en exámenes posteriores, representando interés para el
administrador de la aplicación y fuente de consulta de aspectos como la naturaleza y
justificación de la aplicación, reseña de la aplicación, estructura organizacional respecto

37
al manejo de la aplicación, interacción con otras aplicaciones, documentación de
entrada y salidas, diccionario de datos, programas, menús, diagramas del sistema,
naturaleza y definición de cada proceso.
Archivo corriente: Se almacena la información correspondiente al periodo auditado,
constituyéndose en evidencia del trabajo desarrollado por el auditor, mostrando todas
sus fases y sirviendo como respaldo para presentar los informes respectivos., Como
ejemplo se tiene: el programa de trabajo, utilización de datos de prueba, verificación al
contenido de archivos, utilización de programas de auditoría, revisión lógica a los
programas del área auditada.
CONCEPTOS DE AUDITORÍA
AUDITORÍA INFORMÁTICA
Es la evaluación y verificación de las políticas, controles, procedimientos y la seguridad
en general, correspondiente al uso de los recursos de informática por el personal de la
empresa (usuarios, informática, alta dirección), a fin de que se logre una utilización más
eficiente y segura de la información que servirá para una adecuada toma de decisiones.
Según José A. Echenique, la auditoría en informática “es la revisión y evaluación de
los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participa en el procesamiento
de la información, a fin de que por medio del señalamiento de cursos alternativos se
logre una utilización más eficiente y segura de la información que servirá para una
adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de
cómputo o de un sistemas o procedimiento específico, sino que además habrá de
evaluar los sistemas de información en general desde sus entradas, procedimientos,
controles archivos, seguridad y obtención de información. Ello debe incluir los equipos
de cómputo como la herramienta que permite obtener la información adecuada y la
organización especifica que hará posible el uso de los equipos de cómputo”[1].
Según Mario Piattini Velthuis, la auditoría informática es “el proceso de recoger, agrupar
y evaluar evidencias para determinar si un sistema informatizado salvaguarda los
activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos”[2].
AUDITORÍA DE SISTEMAS
Desde el punto de vista administrativo, cuando se habla de auditoría sistemas se refiere
a los SISTEMAS DE INFORMACIÓN utilizados en las empresas públicas o privadas,
mas no al computador como tal, que en sí es una herramienta de los sistemas de
información. Se debe tener presente que la administración es un sistema abierto y por
tanto cambiante en sus conceptos, técnicas y que está influenciada por lo que acontece
en su alrededor.
La auditoría de los sistemas de información se define como cualquier auditoría que
abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos)
de los sistemas automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las interfaces

38
correspondientes; también se puede decir que es el examen y evaluación de los
procesos del área de Procesamiento Electrónico de Datos (PED) y de la utilización de
los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economía de los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y
mejorarlas”[3].

39
REFERENCIAS BIBLIOGRAFICAS
Díaz, S. (2009). Plataformas Educativas, un Entorno para Profesores y Alumnos.
Temas para la educación. Revista digital para profesionales de la enseñanza.
Hamidian, B. y otros (2006). Plataformas Virtuales de Aprendizaje: Una Estrategia
Innovadora en Procesos Educativos de Recursos Humanos. Universidad de
Carabobo.
Pardo, S. (2009). Plataformas virtuales para la educación. Taller Digital de la
Universidad de Alicante. Blog:www.eltallerdigital.com
Santoveña, S. (2002). Metodología didáctica en plataformas virtuales de aprendizaje.
http://mcorrearodriguez.blogspot.com/2011/03/ventajas-y-desventajas-de-las.html
www.wikipedia.com
[1] http://jorgearestrepog.comunidadcoomeva.com/blog/index.php
[3] Echenique, José Antonio. Auditoría en informática. Pág. 16
[2] Piattini, Mario. Auditoria de tecnologías y sistemas de información. Pág. 7
[1] Pinills Forero, José Dagoberto. Auditoría Informática. Un enfoque operacional Pag.
50.
[1] Auditoría de Sistemas – Una visión práctica, pag.14.

Qué es una plataforma de educación virtual

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (13)

Destaque

Destaque (7)

Semelhante a Qué es una plataforma de educación virtual

Semelhante a Qué es una plataforma de educación virtual (20)

Mais de Miguel Acuña

Mais de Miguel Acuña (20)

Último

Último (20)

Qué es una plataforma de educación virtual