UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA
ADMINISTRACIÓN DE SISTEMAS – PERIODO ACADÉMICO 2019-03

Auditoria de TI
La Auditoría de las Tecnologías de Información, mejor conocida como “Auditoría de TI”
o “Auditoría Informática”, es una actividad de control que comprende la evaluación de las
Tecnologías de Información (TI), así como de la Seguridad de la Información (SI), dentro
de una organización.
Está basada en buenas prácticas y normas nacionales e internacionales, que son
utilizadas para revisar y calificar el diseño, desempeño y cumplimiento de los controles
implementados en el ambiente de TI.
Permite contar con una evaluación objetiva e independiente respecto a los procesos,
servicios, aplicaciones, infraestructura e información, identificando los principales riesgos
de negocio relacionados con TI, resultado de posibles debilidades de control.
Principales Beneficios de la Auditoría de TI
• Verificar que los servicios de TI se encuentran al nivel que la organización necesita
para habilitar, potenciar y soportar de manera efectiva y eficiente sus funciones
sustantivas.
• Determinar si el ambiente de control en TI, cumple con las regulaciones y
requerimientos normativos.
• Contar con las recomendaciones necesarias para mitigar posibles riesgos que
pongan en peligro a los activos de información y a la continuidad del negocio.
Importancia de la auditoria de TI
Actualmente muchas organizaciones invierten recursos significativos en tecnología para
desarrollar sus capacidades de negocio, todas ellas están expuestas a riesgos e
impactos potenciales debido a vulnerabilidades en sus controles, procesos y proyectos
de negocio habilitados por TI.
Por ello la relevancia de hacer una adecuada planeación y verificar que se preserve el
valor generado por negocio y sus inversiones.
Los procesos de auditoría de TI deben realizarse por una persona, departamento u
organización, que mantenga una posición independiente de los auditados, es por ello
que las empresas han optado por contratar los servicios de consultoras especializadas
en Auditoría de TI y, en algunos casos; han optado por tercerizar de manera completa o
parcial las funciones.

Juan David Lasso

Bryan Anaya
 UNIVERSIDAD AUTÓNOMA DE OCCIDENTE
FACULTAD DE INGENIERÍA
ADMINISTRACIÓN DE SISTEMAS – PERIODO ACADÉMICO 2019-03

Fases de la auditoria de TI

Imagen 1. Fases auditoria de TI.

COBIT
(Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas)
El COBIT es un modelo para auditar la gestión y control de los sistemas de información
y tecnología, orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El
COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y
la seguridad IT y que abarca controles específicos de IT desde una perspectiva de
negocios.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los
computadores personales y las redes. Está basado en la filosofía de que los recursos TI
necesitan ser administrados por un conjunto de procesos naturalmente agrupados para
proveer la información pertinente y confiable que requiere una organización para lograr
sus objetivos.

Juan David Lasso

Bryan Anaya
 UNIVERSIDAD AUTÓNOMA DE OCCIDENTE
FACULTAD DE INGENIERÍA
ADMINISTRACIÓN DE SISTEMAS – PERIODO ACADÉMICO 2019-03

Imagen 2. COBIT.

Beneficios de COBIT
• Mejor alineación basado en la focalización sobre el negocio.
• Visión comprensible de TI para su administración.
• Clara definición de propiedad y responsabilidades.
• Aceptabilidad general con terceros y entes reguladores.
• Entendimiento compartido entre todos los interesados basados en un lenguaje
común.
• Cumplimiento global de los requerimientos de TI planteados en el Marco de
Control Interno de Negocio COSO.
Marco de referencia para clasificar los procesos de las unidades de tecnología de
información
• Planificación y organización: Este dominio cubre la estrategia y las tácticas, se
refiere a la identificación de la forma en que las Tecnologías de la Información
pueden contribuir al logro de los objetivos del negocio.
• Adquisición e implantación: Para llevar a cabo la estrategia de TI, las soluciones
de TI deben ser identificadas; desarrolladas o adquiridas, así como
implementadas e integradas dentro del proceso del negocio. Además, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Juan David Lasso

Bryan Anaya
 UNIVERSIDAD AUTÓNOMA DE OCCIDENTE
FACULTAD DE INGENIERÍA
ADMINISTRACIÓN DE SISTEMAS – PERIODO ACADÉMICO 2019-03

• Soporte y servicios: En este dominio se hace referencia a la entrega de los

servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento; pasando por seguridad, y aspectos de continuidad. Con el fin de
proveer servicios, deberán establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.
• Monitoreo: Todos los procesos necesitan ser evaluados regularmente para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Principios:
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para
dar soporte a los procesos de negocio y considerando a la información como el resultado
de la aplicación combinada de recursos relacionados con las TI que deben ser
administrados.
Requerimientos de Calidad: calidad; costo, y entrega.
Requerimientos Fiduciarios: efectividad y eficiencia operacional; confiabilidad de los
reportes financieros, y cumplimiento de leyes y regulaciones.
Requerimientos de Seguridad: confidencialidad; integridad, y disponibilidad.
Auditoría informática vs Auditoría de sistemas
La auditoría informática es la encargada de verificar que el activo empresarial más
importante (información) mantenga la integridad de los datos, determina que información
es crítica para el cumplimiento de la misión y los objetivos de la empresa y que la
empresa cumple con las leyes y regulaciones establecidas para el manejo de la
información, en otras palabras, la auditoria informática evalúa el QUE (información) de la
empresa.
La auditoría de sistemas es la encargada de verificar los sistemas de procesamiento de
la información, evalúa la eficiencia y seguridad en el manejo de la información, brinda un
control, seguimiento, revisión y consejos sobre los procesos informáticos que maneja la
empresa y las tecnologías que utiliza para que sean más eficientes y seguras y también
evalúa la cantidad de recursos invertidos, en otras palabras, la auditoria de sistemas
evalúa el COMO se maneja la información en las empresas.

Juan David Lasso

Bryan Anaya
 UNIVERSIDAD AUTÓNOMA DE OCCIDENTE
FACULTAD DE INGENIERÍA
ADMINISTRACIÓN DE SISTEMAS – PERIODO ACADÉMICO 2019-03

Referencias
Grupo Cynthus. (2019). ¿Qué es la auditoría de Tecnologías de la Información?. [online]
Available at: https://www.cynthus.com.mx/blog/auditoria-y-consultoria/auditoria-en-ti/
[Accessed 24 Oct. 2019].

Obs-edu.com. (2019). ¿Qué es una auditoría informática y qué debes saber sobre ella?
| OBS Business School. [online] Available at: https://www.obs-edu.com/int/blog-
investigacion/sistemas/que-es-una-auditoria-informatica-y-que-debes-saber-sobre-ella
[Accessed 24 Oct. 2019].

Eclipsemex.com. (2019). Cobit. [online] Available at:

https://www.eclipsemex.com/Certificaciones/Cobit [Accessed 24 Oct. 2019].

Ccti.com.co. (2019). ¿Sabías qué?(COBIT) - CCTI - Consultoría en Tecnología. [online]

Available at: https://www.ccti.com.co/index.php/es/blog/191-sabias-que-cobit [Accessed
24 Oct. 2019].

Juan David Lasso

Bryan Anaya