Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Administración de Informática U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento
Difundir la misión, objetivos y planes de
O I
informática en el negocio
Debe existir un organigrama y una descripción de
O I
puestos
Debe haber un manual de políticas de la función
O I
de informática
Capacitación permanente del personal de la
R I
función de informática
Programa de calidad y productividad por puesto,
R I
función y servicio
Uso de metodologías, técnicas y herramientas
R I
estándares a nivel de función
Elaborar un documento que posea los parámetros
O I
de medición por función
Evaluar permanentemente cada puesto de
O I
acuerdo con los parámetros de medición
Informática debe participar en el proceso de
O AD/U
planeación del negocio
Involucrar activamente a la dirección en la
O I
planeación de informática
Elaborar un análisis costo/beneficio por cada
O I
proyecto de informática
Informática debe elaborar un informe de avance a
O I
la alta dirección
Tiene que existir un comité formal de informática,
O AD/I/U
alta dirección y usuarios

Página 1 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Dirección y nivel ejecutivos U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento

Misión, objetivos y planes formales del negocio O AD

Difusión y entendimiento de los organigramas y

O AD/U
funciones del negocio
Ubicaciones de la función de informática a un nivel
R AD
estratégico
Involucramiento de la dirección en el proceso de
O AD/I/U
planeación de informática
Políticas y procedimientos de alta dirección para la
R AD/I
función de informática

Comité formal de informática y alta dirección R AD/I

Calendario formal de reuniones del comité y

O AD/I
resultados esperados
Parámetros de medición de la función de
O AD/E
informática
Posición formal de la función de informática en la
O AD/E
organización
Funciones y alcances formales de las áreas de
O I/E
informática

Metas, objetivos y planes formales de informática O I/AD

Divulgación y aprobación de los planes de

R AD/I/U
informática por la alta dirección
Evaluación periódica del trabajo hecho por la
R AD/U
función de informática

Página 2 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Control Interno U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento
Procedimientos formales para el procesamiento de
O I/E
información
Funciones definidas formalmente para el área de
O I/U/E
informática y los usuarios
Procedimientos formales de supervisión
O I/U/E
permanente de la ejecución de funciones
Procedimientos formales que aseguren la totalidad
O I/E
de la información
Procedimientos formales que aseguren la
O I/E
exactitud de la información
Procedimientos formales que aseguren la
O I/E
autorización de la información
Procedimientos formales que aseguren el
O I/E
mantenimiento de la información
Procedimientos formales que aseguren la
O I/E
actualización de la información

Procedimientos formales para el uso adecuado de

O AD/E
hardware, software y aplicaciones

Políticas y procedimientos que regulen el uso de

O I/U/AD
recursos externos
Políticas y procedimientos formales para la
O I/E
operación de la información
Procedimientos formales de evaluación y
O I/U
seguimiento de las funciones definidas
Procedimientos formales de evaluación del
O I/E
hardware, software y aplicaciones

Página 3 de 13
 Area de revisión: Nomenclatura (función responsable):

Ciclo de desarrollo e implantación de sistemas de I=informática AD=alta

U=usuarios E=externo
información dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento
Metodología formal para el desarrollo de sistemas
O I/E
de información
Técnicas formales para el desarrollo de sistemas
O I/E
de información
Herramientas formales para el desarrollo de
O I/E
sistemas de información
Definición formal de las etapas del desarrollo
O I/E
emanadas de la metodología
Tareas y actividades formales emanadas de la
O I/E
metodología
Funciones y responsabilidades formales
O I/E
emanadas de la metodología
Productos formales terminados y emanados de la
O I/E
metodología
Puntos de revisión y aceptación de los productos
O I/E
terminados por etapas
Procedimientos formales para la capacitación en el
R I
uso de la metodología
Capacitar formalmente al personal involucrado en
R I
el desarrollo de sistemas
Procedimientos que aseguren la liga entre
O I/E
planeación y desarrollo
Evaluaciones periódicas de la metodología de
R I/E
desarrollo
Actualización formal y oportuna de la metodología
R I/E
de desarrollo

Página 4 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Sistemas de información U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento
Uso formal del desarrollo de sistemas de
O I/E
metodología estándar
uso formal del desarrollo de sistemas de técnicas
O I/E
estándares
Uso formal del desarrollo de sistemas de
O I/E
herramientas estándares
Procedimiento formal para autorizar el desarrollo
O I/U
de cada sistema
Procedimiento que asegure que cada desarrollo
emana de la planeación

Técnicas de análisis y diseño estructurado R I/E

Técnicas de programación estructurada para la

R I/E
construcción de sistemas u otras similares
Técnicas y herramientas para la prueba de
R I/E
sistemas
Procedimiento formal de aceptación de usuarios
O I/U
del sistema desarrollado
Procedimiento formal para la
R I/E
revisión/posinstalación del sistema
Formalizar en la utilización de manuales técnico,
O U
de operación y del usuario
Procedimiento de captura, validación,
R I/E
actualización y mantenimiento de datos
Procedimientos de evaluación y compra de
R I/E
sistemas construidos externamente

Página 5 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Mantenimiento U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento
Registro del software, hardware, etc.… en el
O I
negocio
Función responsable del control del inventario de
O I
informática
Programa de mantenimiento preventivo para los
O I
recursos de informática
Bitácora de mantenimiento correctivo para
O I
hardware, software, sistemas, etc.
Políticas y procedimientos relativos al
O I
mantenimiento de la red de comunicaciones
Procedimiento que indique a los usuarios cómo
O I
dar mantenimiento preventivo formal
Evaluación del costo preventivo para su
R I
justificación ante los usuarios
Estadísticas de los costos o perdidas por falta de
R I
mantenimiento preventivo
Estadísticas que muestren los elementos que
R I
requieren más mantenimiento correctivo
Deslindar responsables directos para el
O I
seguimiento oportuno del mantenimiento
Aprobación formal del mantenimiento a sistemas
O I
de información
Lograr negociaciones con proveedores para que
R I
apoyen en el mantenimiento
Tratar que los costos de mantenimiento correctivo
R I
sean bajos y esporádicos

Página 6 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Redes locales U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento
Justificación formal de la instalación de un red
O I
local
Planeación formal de las etapas de implantación
O I
de la red
Documento que indique cómo administrar y operar
O I
la red local
Presencia de un responsable directo de la
O I
administración de la red local

Existencia de elementos que justifiquen el software

O I
y sistemas que se implantarán en la red local

Instalación exclusiva de software original

O I
(legalizado) en la red local
Existirá una definición formal de usuarios que
O I
tendrán acceso a la red local
Procedimientos que no permitan accesos no
O I
autorizados a la red local
Procedimientos de respaldo de la información
O I
manejada en la red local
Procedimiento de respaldo de datos y equipo de
O I
computo de la red local
Políticas que limiten el uso de la red local por perfil
O I
de usuarios
Procedimientos de uso de la red local (entrada,
O I/U
operación, salida)
Procedimientos de seguridad al conectarse con
O I
otras redes locales

Página 7 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Telecomunicaciones U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento
Justificación formal del uso de una red de
O I/E
comunicaciones
Planeación formal de las etapas de implantación
O I/E
de la red

Existencia de un documento que indique cómo

administrar y operar la red (ruteadores, módems, O I/E
medios de transmisión, accesos, etc.)

Responsable directo de la administración de la red O I

Debe haber datos que justifiquen la integración de

O I
un equipo a la red
Se integrarán a la red sólo equipos autorizados por
O I
el administrador
Definición formal de los usuarios con acceso a la
O I
red
Políticas de seguridad para los datos manejados
O I/E
en la red
Procedimientos de respaldo de la tecnología de la
O I/E
red
Políticas que apoyen el mantenimiento y
O I/E
reemplazo de la red
Procedimientos de uso de la red (acceso,
O I/U
transmisión, salida)
Procedimientos de seguridad al conectarse con
O I/E
otras redes

Página 8 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Hardware U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento
Plan de evaluación, compra e instalación de
O I
hardware
Análisis costo/beneficio del hardware antes de su
O I/U
compra

Aprobación formal de la adquisición del hardware O AD/U

Contrato legal de la compra de hardware que

O I
proteja al negocio

Inventario formal del hardware existente R I

Mantenimiento preventivo y un registro del

R I
correctivo
Orientación de hardware comprado para
R I
integración con otra tecnología
Políticas y procedimientos de reemplazo de equipo
O I/U
(justificación)
Políticas y procedimientos de seguridad
O I
relacionados con el hardware
Capacitación y actualización del personal en el uso
O I/U
del hardware
Función responsable de la administración del
O I
hardware

Registro de usuarios responsables del hardware O I/U

Registro de ubicación del hardware y los cambios

R I
del mismo

Página 9 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Software U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento
Plan de evacuación, compra e instalación del
O I
software
Análisis costo/beneficio del software antes de su
O I/U
compra

Aprobación formal de la adquisición del software O AD/U

Contrato legal de la compra del software que

O I
proteja al negocio

Inventario formal del software existente R I

Procedimiento de actualización del software y su

R I
registro
Orientación del software comprado para
R I
integración con otra tecnología
Políticas y procedimientos de reemplazo de
O I/U
software (justificación)
Políticas y procedimientos de seguridad
O I
relacionados con el software
Capacitación y actualización del personal en el uso
O I/U
del software
Políticas que verifiquen la originalidad del software
O I
instalado
Función responsable de la administración del
O I/U
software

Clasificación del software y su uso en el negocio R I

Página 10 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Seguridad U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento

Plan de seguridad total relativo a informática O I

El plan ha de ser aprobado por la alta dirección,

O I/AD/U
usuarios e informática
Debe contemplar un plan de contingencias y un
O I
plan de reinicio de operaciones
El plan de contingencia se difundirá y presentara
O I/U
formalmente
Los aspectos de seguridad se deben orientar a
O I
todos los recursos
Políticas de la alta dirección que impulsen la
O AD
seguridad
Debe involucrarse a todo el negocio en la
O I/AD/U
implantación de la seguridad
Se ha de proteger la seguridad de datos, equipo,
O I
tecnología y usuarios
Las políticas y procedimientos se actualizarán de
O I
manera oportuna
Concientización permanente de la necesidad de
R I/AD/U
aplicar la seguridad
Evaluación periódica del nivel de cumplimiento de
O I/E
seguridad
El costo de la seguridad no superará al de los
R I
recursos protegidos
Apoyarse en los estándares de seguridad
R I/E
nacionales e internacionales

Página 11 de 13
 Area de revisión: Nomenclatura (función responsable):

I=informática AD=alta
Planeación de informática U=usuarios E=externo
dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento

Comité formal de usuarios e informática R I/U

Proceso formal de planeación del negocio (por

O U/E
áreas básicas)

Metodología formal de planeación de informática O I/E

Proceso formal de desarrollo de la planeación de

O I/U/E
informática
Análisis costo/beneficio de cada proyecto
O I/E
emanado de la planeación
Aceptación formal de cada proyecto por área del
O U
negocio involucrada
Aceptación de los proyectos de la planeación por
O U
alta dirección
Técnicas y herramientas formales para el proceso
O I/E
de planeación

Documentación formal del plan de información O I/E

difusión formal del plan de informática dentro del

R I
negocio
Administración formal de los proyectos del plan de
O I
informática
Procedimientos que aseguren la actualización
R I
formal de los proyectos
Involucramiento permanente y formal del comité
O I/U
en el proceso de planeación

Página 12 de 13
 Area de revisión: Nomenclatura (función responsable):

Otras requeridas por el auditor en informática de I=informática AD=alta

U=usuarios E=externo
acuerdo por su negocio (*) dirección
Recomendada (R) Función responsable
Concepto
Obligatoria (O) del seguimiento

Página 13 de 13