ACA 1 Auditoria de sistemas

Duban Alexander Reina Marroquin

Octubre 2023.

Corporación Unificada Nacional de Educación Superior

Escuela de Ingeniería
AUDITORIA DE SISTEMAS

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Introducción

En el acelerado y dinámico paisaje empresarial de hoy, la tecnología de la información

se ha convertido en la columna vertebral de prácticamente todas las operaciones
organizativas. La adopción masiva de sistemas informáticos ha impulsado la eficiencia,
la innovación y la conectividad global, pero a su vez ha introducido desafíos
significativos en términos de seguridad, confidencialidad y riesgos asociados.

La auditoría de sistemas emerge como una herramienta esencial para abordar estos
desafíos y garantizar que las organizaciones aprovechen al máximo sus sistemas de
información sin comprometer la integridad ni exponerse a vulnerabilidades. Este
proceso de evaluación sistemática no solo busca asegurar la confiabilidad de la
información financiera, sino que también se centra en la protección de datos sensibles,
la eficacia operativa y la alineación estratégica de la tecnología con los objetivos
empresariales.

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Objetivos

➢ En este trabajo, exploraremos a fondo el mundo de la auditoría de sistemas,

analizando su importancia en el entorno empresarial actual. Abordaremos los
diversos aspectos de la auditoría de sistemas, desde la evaluación de controles
de seguridad hasta la revisión de políticas de acceso, y destacaremos la función
crítica de los auditores de sistemas en la salvaguarda de la información y el
mantenimiento de la continuidad operativa.

➢ A través de ejemplos prácticos y casos de estudio, examinaremos los desafíos

específicos que enfrentan las organizaciones en materia de tecnologías de la
información y cómo la auditoría de sistemas se erige como un mecanismo
proactivo para identificar y mitigar riesgos. Además, analizaremos la evolución
de las mejores prácticas en auditoría de sistemas en el contexto de un entorno
empresarial en constante cambio y digitalización.

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

La auditoría de sistemas es un proceso de evaluación de los sistemas de información
de una organización para garantizar su integridad, confidencialidad, disponibilidad y
eficiencia. El objetivo de la auditoría de sistemas es identificar y corregir posibles
riesgos y problemas en la infraestructura tecnológica de una entidad.

En las auditoria de sistemas se deben tener varios aspectos en cuenta:

➢ Seguridad de la información: se debe evaluar todas las políticas y controles
que se tienen para proteger la información.
➢ Integridad de datos: Evaluar la integridad y aseguramiento de los datos.
➢ Disponibilidad: validar que los sistemas tengan una disponibilidad alta y se
tengan planes de respaldo ante cualquier eventualidad
➢ Cumplimiento: Validar que la organización cumpla con Leyes y Normativas así
mismo se tengan en cuenta buenas practicas para el manejo de la información
y la seguridad informática
➢ Eficiencia Operativa: se evalúa la eficiencia de cada uno de los procesos que se
involucran en los sistemas de información
➢ Gestión del Riesgo: Se evalúa el manejo que se tiene con posibles
vulnerabilidades y amenazas y que se medidas se tiene para mitigar estos
mismos.
Tipos de auditoria

➢ Auditoria Financiera: Evaluar la integridad de la información financiera, con un

enfoque de estados financieros y prácticas contables
➢ Auditoria Operativa: Evaluar la eficacia de los procesos operativos con un
enfoque de procedimientos y practicas operativas
➢ Auditoria de Cumplimiento: Evaluar que la organización cumpla con leyes,
regulaciones y políticas. Con un enfoque normativo
➢ Auditoria de Sistemas: Evaluar la integridad de los sistemas de información con
enfoque en controles, políticas y procedimientos en los sistemas
➢ Auditoria de Recursos Humanos: Evaluar las practicas del área con un enfoque
de políticas de personal y cumplimiento laboral.
➢ Auditoria Ambiental: Evaluar el impacto ambiental con enfoque en la
sostenibilidad de la organización
➢ Auditoria de calidad: Evaluar la calidad de los procesos con enfoque en la
mejora continua

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 ➢ Auditoria de TI: Evaluar la seguridad de los recursos informáticos con enfoque
en políticas de seguridad y gestión de proyectos
➢ Auditoría Interna: Evaluar los controles internos.
¿Como se realiza un control interno de una empresa con Ejemplo?
El control interno en una empresa es un conjunto de procesos, políticas,
procedimientos y estructuras organizativas diseñadas para proporcionar una seguridad
razonable en cuanto a la consecución de objetivos empresariales, la eficacia y
eficiencia de las operaciones, la confiabilidad de la información financiera y el
cumplimiento de leyes y regulaciones aplicables. A continuación, te proporcionaré un
ejemplo básico de cómo se podría realizar el control interno en el área de cuentas por
pagar de una empresa:

Ejemplo de Control Interno: Cuentas por Pagar

1. Políticas y Procedimientos:
Política: Establecer una política clara sobre la aprobación de facturas y pagos.
Procedimientos: Definir pasos detallados para recibir, aprobar y procesar facturas, así
como para autorizar y realizar pagos.
2. Separación de Funciones:
Separación de Tareas: Asignar funciones de manera que una persona no tenga control
sobre todas las fases del proceso de cuentas por pagar.
Ejemplo: La persona que aprueba las facturas no debería ser la misma que procesa los
pagos.
3. Autorizaciones:
Autorización de Facturas: Establecer límites y niveles de autorización para la
aprobación de facturas antes de su procesamiento.
Ejemplo: Facturas por debajo de un cierto monto pueden ser aprobadas por un
supervisor, mientras que montos mayores requieren la aprobación del gerente
financiero.

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 4. Seguimiento y Conciliación:
Seguimiento Continuo: Realizar conciliaciones regulares entre las órdenes de compra,
las facturas recibidas y los pagos realizados.
Ejemplo: Reconciliar mensualmente los saldos de cuentas por pagar con las
transacciones registradas en el sistema contable.
5. Respaldo Documental:
Almacenamiento de Documentos: Establecer un sistema organizado para archivar y
almacenar todas las facturas, documentos de respaldo y registros de pagos.
Ejemplo: Crear carpetas electrónicas con nombres de proveedores para almacenar
facturas y recibos digitalizados.
6. Auditorías Internas:
Revisiones Periódicas: Realizar auditorías internas periódicas para evaluar la
efectividad de los controles y procedimientos establecidos.
Ejemplo: Un auditor interno revisa aleatoriamente las transacciones de cuentas por
pagar para identificar posibles irregularidades.
7. Seguridad Informática:
Acceso Restringido: Limitar el acceso a sistemas y registros de cuentas por pagar a
personal autorizado.
Ejemplo: Asignar permisos de acceso según las responsabilidades laborales y limitar el
acceso a información financiera sensible.
8. Entrenamiento y Concientización:
Programas de Formación: Proporcionar capacitación continua al personal sobre
políticas y procedimientos de cuentas por pagar.
Ejemplo: Sesiones de entrenamiento anuales sobre la importancia de la precisión en la
entrada de datos y la detección de posibles fraudes.

¿El papel del profesional auditor en el campo de la informática? Se debe explicar los
roles que realiza un auditor de T.I.
El papel del auditor de Tecnologías de la Información (T.I.) es crucial para garantizar
que los sistemas de información de una organización sean seguros, eficientes y estén
alineados con los objetivos empresariales. A continuación, se describen algunos de los
roles y responsabilidades típicos de un auditor de T.I.:
Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 ➢ Evaluación de Controles de Seguridad:
Función: Revisar y evaluar la efectividad de los controles de seguridad de la
información implementados en la infraestructura tecnológica.
Actividades: Revisión de políticas de seguridad, análisis de acceso a sistemas,
evaluación de firewalls, entre otros.
➢ Auditoría de Sistemas:
Función: Realizar auditorías exhaustivas de los sistemas de información para garantizar
su integridad, confidencialidad y disponibilidad.
Actividades: Revisar la configuración de servidores, analizar registros de auditoría,
evaluar políticas de respaldo y recuperación, entre otros.
➢ Gestión de Riesgos de T.I.:
Función: Identificar y evaluar riesgos relacionados con la tecnología de la información
y proponer estrategias para mitigarlos.
Actividades: Análisis de riesgos de seguridad, evaluación de la gestión de parches,
revisión de políticas de gestión de riesgos.
➢ Cumplimiento Normativo:
Función: Asegurarse de que la organización cumpla con las leyes y regulaciones
relacionadas con la seguridad de la información y la privacidad de los datos.
Actividades: Revisión de políticas de privacidad, evaluación de prácticas de
cumplimiento normativo, preparación para auditorías externas.
➢ Auditoría de Procesos de Desarrollo de Software:
Función: Evaluar la seguridad y calidad de los procesos de desarrollo de software.
Actividades: Revisar la gestión de cambios, evaluar la seguridad en el ciclo de vida
del desarrollo de software, auditar el control de versiones.
➢ Seguridad de Redes y Comunicaciones:
Función: Evaluar la seguridad de las redes y las comunicaciones de la organización.
Actividades: Análisis de configuraciones de red, evaluación de firewalls y sistemas de
detección de intrusiones, revisión de políticas de seguridad de la red.
➢ Auditoría de Continuidad del Negocio y Recuperación ante Desastres:
Función: Evaluar la capacidad de la organización para mantener operaciones críticas en
caso de interrupciones.
Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Actividades: Revisar planes de continuidad del negocio, realizar pruebas de
recuperación ante desastres, evaluar la redundancia de sistemas.
➢ Entrevistas y Comunicación:
Función: Interactuar con el personal de la organización para comprender los procesos
y obtener información relevante.
Actividades: Entrevistas con personal de T.I. y no técnicos, comunicación de hallazgos
y recomendaciones.
➢ Informe y Presentación:
Función: Documentar y comunicar los resultados de las auditorías de T.I. a la alta
dirección.
Actividades: Preparación de informes detallados, presentación de hallazgos y
recomendaciones a la dirección.
El auditor de T.I. desempeña un papel esencial en la garantía de que los sistemas y
datos de una organización estén protegidos y que las operaciones se lleven a cabo de
manera eficiente y segura. Su trabajo contribuye a la mejora continua de la seguridad y
la eficacia de la infraestructura tecnológica de la empresa.

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Conclusiones

En última instancia, este trabajo tiene como objetivo proporcionar una visión integral
de la auditoría de sistemas, resaltando su importancia crítica en la era digital. A medida
que avanzamos hacia un futuro cada vez más interconectado, comprender y aplicar
principios sólidos de auditoría de sistemas se convierte en un factor determinante para
el éxito y la seguridad de las organizaciones modernas.

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Bibliografía

Bibliografía
https://emprendepyme.net/auditoria-de-sistemas.html

https://www.gapauditores.com/blog/auditoria-sistemas-informacion/

https://www.mintic.gov.co/gestionti/615/articles-5482_G15_Auditoria.pdf

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación