Aca #3 Auditoria Sistemas

Auditoria Sistemas
DIRECCIÓN DE EDUCACIÓN
VIRTUALCORPORACIÓN UNIFICACA
1
NACIONAL DEEDUCACIÓNSUPERIOR
Metodologías de una Auditoría y Técnicas e Instrumentos para
realizar una Auditoría – (Acá # 3)
Jose L. Rodriguez Prieto - Ficha: 56660/ Primer Bloque /22v06
Juan D. González Rojas - Ficha: 56660/ Primer Bloque /22v06
CUN CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN

SUPERIOR
AUDITORIA SISTEMAS
Katherine Astrid Romero Ussa
12 de enero de 2023
1
Auditoria Sistemas
2
RESUMEN
La presente guía tiene como finalidad, indicar los procedimientos de
Auditoria en el proceso de verificación de la implementación del modelo
de seguridad y privacidad de la información. A partir del entorno y el
contexto determinado por la entidad, la auditoria es una fuente de
mejora, permitiendo conocer las debilidades para generar fortalezas, a
través de la comprobación, seguimiento y evaluación de la mejora
continua. Por lo tanto, se convierte en una herramienta sistemática,
independiente, objetiva, documentada, práctica y medible sobre el
cumplimiento de los objetivos de la entidad y es allí donde la mejora
continua tiene un papel fundamental. Las auditorias apoyan la toma de
decisiones frente al nivel de implementación y complementa el ciclo de
mejora continua en relación con el ciclo PHVA. Se procura que las
entidades tengan un enfoque de seguridad en el cual se incluya el
desarrollo y mantenimiento de la misma, realizando mejoras en las
áreas que se requiera. Dependiendo de la entidad, dichos
procedimientos pueden variar o si la entidad desea puede generar más
procedimientos si lo considera conveniente.
2
Auditoria Sistemas
3
INTRODUCCIÓN
El presente desarrollo sobre la identificación de hallazgos en
casos de usos expuestos y los respectivos planes de trabajo que se
aplicar frente a estos, forman parte de los estudios de la asignatura de
auditoría de sistemas, cuyo enfoque se interesa por el aprendizaje
para el manejo de auditorías que le permitan al auditor de una manera
rápida identificar hallazgos. La auditoria, una de las actividades más
importantes y necesarias de las organizaciones, tiene una presencia
importante en el que hacer de nuestra labor, repetida a lo largo y
ancho de los procesos de las organizaciones, en búsqueda de conocer
el funcionamiento, documentación, políticas y cumplimiento de los
procesos establecidos
3
Auditoria Sistemas
4
DESARROLLO
OBJETIVO Este procedimiento tiene como objetivo definir las
directrices y responsabilidades para la preparación, ejecución y
seguimiento de auditorías internas del Sistema Integrado de Gestión
para garantizar la objetividad, imparcialidad y efectividad del proceso
TERMINOLOGÍA ACCIÓN CORRECTIVA: Acción tomada para eliminar la
causa de una no conformidad detectada u otra situación indeseable.
AUDITADO: Organización que es auditada.
AUDITOR: Persona que lleva a cabo una auditoría.
AUDITORIA: Proceso sistemático, independiente y documentado para
obtener evidencias de la auditoría y evaluarlas de manera objetiva con
el fin de determinar el grado en que se cumplen los criterios de
auditoría.
CONFIDENCIALIDAD: Propiedad que determina que la información no
esté disponible ni sea revelada a individuos, entidades o procesos no
autorizados.
CONFORMIDAD: Cumplimiento de un requisito.
CORRECCIÓN: Acción tomada para eliminar una No Conformidad.
CRITERIOS LA AUDITORÍA: Conjunto de políticas, procedimientos o
requisitos usados como referencia frente a la cual se compara la
evidencia de la auditoría.
EQUIPO AUDITOR: Uno o más auditores que llevan a cabo la auditoria,
4 con el apoyo si es necesario de expertos técnicos
NO CONFORMIDAD: Incumplimiento de un requisito.
OBSERVADOR: Persona que acompaña al equipo auditor pero que no
audita.
Auditoria Sistemas
5
RIESGO: Efecto de la incertidumbre sobre los objetivos.
SEGURIDAD DE LA INFORMACIÓN: Preservación de la
confidencialidad, la integridad y la disponibilidad de la información;
además puede involucrar otras propiedades tales como: autenticidad,
trazabilidad, no repudio y fiabilidad.
SISTEMA DE GESTIÓN: Sistema para establecer la política y los
objetivos para lograr dichos objetivos
ROGRAMACIÓN DE AUDITORÍAS INTERNAS
La programación de Auditorías internas debe ser aprobada por el
Gerente General, donde se determinan los ciclos de auditoría interna,
cada año.
ELABORACIÓN Y/O ACTUALIZACIÓN DEL PROGRAMA DE AUDITORÍA
El programa de Auditoría será definido de acuerdo con el estado,
importancia o criticidad de los procesos, como resultados de auditorías
previas, las acciones correctivas (AC), el desempeño de los procesos y/o
las solicitudes del cliente interno o externo.
SELECCIÓN DEL EQUIPO AUDITOR
El Gerente de Mejora continua, Gerente de Seguridad la información,
Gerente de Gestión Humana, según corresponda, designarán al equipo
auditor y gestionará su disponibilidad para atender las auditorías para
los procesos asignados, teniendo en cuenta que el auditor no podrá
auditar su propio trabajo.
5 Las funciones del equipo auditor son:
AUDITOR LIDER
 Establecer las responsabilidades de la auditoría
 Determinar los recursos necesarios

Auditoria Sistemas
6
 Elaborar y asegurar el cumplimiento e implementación del plan de
auditoría.
 Asegurar que se gestionan y se mantienen los registros apropiados
para la planificación y ejecución de auditorías.
 Informar el contenido del plan de auditoría y solicitar su aprobación al
Gerente de Mejora continua, Gerente de Seguridad la información,
Gerente de Gestión Humana, según corresponda.
 Identificar y evaluar los riesgos de la auditoría
AUDITOR
 Revisar y analizar la documentación del proceso a auditar
 Identificar y evaluar los riesgos de la auditoría
 Realizar la auditoría
 Generar el informe de auditoría.
La competencia del auditor interno se ha determinado de la siguiente
manera:
EDUCACIÓN Mínimo técnico en cualquier disciplina
FORMACIÓN Auditor del Sistema de gestión de la calidad Curso
aprobado de Auditor Interno NTC 9001: 2015
Auditor del Sistema de Seguridad de la Información
Curso aprobado de Auditor Interno NTC 27001:2013 o
diplomado seguridad informática
6 EXPERIENCIA Mínimo 6 meses coordinando sistemas de gestión o 15
horas en participación en auditoría interna del Sistema
de Gestión
Auditoria Sistemas
7
HABILIDADES Atención al detalle Seguimiento de procesos Mente
analítica Claridad de expresión verbal y escrita
PLAN DE AUDITORIA INTERNA
El plan de Auditoría Interna debe ser revisado y aprobado por El
Gerente de Mejora continua, Gerente de Seguridad la información,
Gerente de Gestión Humana, según corresponda.
ACUERDO DE CONFIDENCIALIDAD Y SEGURIDAD DE LA INFORMACIÓN
El responsable de la gestión del programa de auditoría, equipo auditor y
auditado debe velar y actuar en concordancia con el fin de mantener y
orientar la debida diligencia y el debido cuidado de la información de la
organización.
El responsable de la gestión del programa de auditoría, el equipo
auditor y auditado se obliga a no revelar, divulgar exhibir, mostrar,
comunicar, retener, utilizar y/o emplear la información de la
organización, con cualquier persona natural o jurídica, en su favor o en
el de terceros. La información a la cual tenga acceso autorizado sólo
podrá ser utilizada para desarrollar las actividades propias del cargo o
rol a desempeñar
REUNIÓN DE APERTURA
Actividad donde intervienen los responsables de los procesos a auditar y
se tratan los siguientes puntos:
7 1) Presentación del equipo auditor y sus funciones
2) Alcance y objetivo
3) Confirmación del plan de auditoría,
4) Se describe la metodología a seguir para la auditoría y para la toma

Auditoria Sistemas
8
de acciones de mejoramiento.
Se registra la asistencia
DESARROLLO DE LA AUDITORÍA
Se realiza la auditoría, las evidencias e auditoría se reúnen a través de
entrevistas, revisión de documentos, registros, resultados de
indicadores, observación física, y otros que el equipo auditor considere
convenientes.
REUNIÓN DE CIERRE
Actividad donde participan los involucrados en el proceso de auditoría y
se tratan los siguientes puntos:
1) Revisión del cumplimiento del plan de auditoría
2) Se informa a los auditados las Fortalezas, Oportunidades de
Mejoramiento y los hallazgos que originan No Conformidades para el
establecimiento de acciones correspondientes.
Se registra la asistencia
INFORME DE AUDITORÍA
El equipo auditor elabora el informe de auditoría y lo presenta al
responsable del proceso y/o área en un tiempo no superior a los cinco
(5) días hábiles. Junto con el informe de la auditoría, se remite encuesta
de satisfacción auditores internos al auditado, quien debe remitirlo
diligenciado junto con las acciones correctivas para el cierre de las No
Conformidades encontradas.
8
Desarrollo de Auditoria al Proceso de Tecnología
PROGRAMA DE AUDITORIA
DOCUMENTO
N° ACTIVIDAD RESPONSABLE
Y/OREGISTRO
Auditoria Sistemas
9
0. Inicio
Elaborar programación
Gerente de Mejora
de auditoría interna.
continua, Gerente de
La programación de Seguridad la Programación
1. auditorías internas información, Gerente Auditorías
debe ser realizada con de Gestión Humana, internas.
base en el estado y la según
importancia de los
Corresponda.
procesos
Aprobar programa de
auditoría. Realizar
aprobación del
2. programa de Gerente General N/A.
Auditoría interna para
los sistemas de
gestión.
Seleccionar al auditor
y/o equipo auditor. Gerente de Mejora
Definir los auditores continua, Gerente de
para los procesos, Seguridad la
3. N/A
garantizando la información, Gerente
objetividad e de Gestión Humana,
imparcialidad de según corresponda.
proceso.
El equipo auditor Plan de
4. realiza el plan de Equipo Auditor auditoría
auditoría. interna.
Identificar y evaluar Programación
5. los riesgos del Equipo auditor Auditorías
programa de auditoría. internas.
Plan de
Enviar plan de
6. Equipo auditor auditoría
auditoría al auditado
interna
Lista de
asistencia a
Realizar reunión de
7. Equipo auditor reunión de
apertura
apertura y
cierre.
Realizar auditoría y
recolectar evidencias.
8. Desarrollar la auditoría Equipo auditor N/A
9
para recolectar as
evidencias y hallazgos.
Realizar reunión de Lista de

cierre. asistencia a
9. Equipo auditor reunión de
Comunica al auditado apertura y
la identificación de cierre
Auditoria Sistemas
10
Fortalezas, Aspectos
por mejorar y en caso
de que aplique los
Hallazgos por No
conformidades.
10 Elaborar informe de Informe de
Equipo auditor
. Auditoría auditoría
Aprobar y remitir
Gerente de Mejora
informe de auditoría
continua, Gerente de
Verificar la
11 Seguridad la Informe de
consistencia del
. información, Gerente auditoría.
informe y remitirlo al
de Gestión Humana,
responsable del
según Corresponda.
proceso y/o área.
Encuesta de
12 satisfacción
Evaluar la auditoría Auditado
. auditores
internos
Documentar acciones.
De acuerdo a los
hallazgos de auditoría, Solicitud de
13 el responsable del Auditado acción
. proceso debe correctiva
documentar las
acciones que
correspondan.
Responsable del
Realizar seguimiento a
proceso, Gerente de
las acciones Realizar
Mejora continua,
seguimiento a la Solicitud de
14 Gerente de Seguridad
gestión, actualización acción
. la información,
y/o cierre de las correctiva.
Gerente de Gestión
acciones evidenciadas
Humana, según
en la auditoría.
Corresponda.
15
Fin
.
1. Que va auditar? Proceso Datos No Estructurados (Desarrollo –
Transformación Digital)
1 2. Alcance auditoria? Realizar una auditoría al sistema de

0 gestión de seguridad información en el proceso de
desarrollo de software según los requisitos contemplados en la
norma ISO/IEC 27001:2013 y los objetivos de control
contemplados en la norma ISO/IEC 27002:2013, con la finalidad
de entregar un informe de auditoría a la alta dirección en el cual
se refleje el estado actual de la seguridad de la información en el
Auditoria Sistemas
11
proceso y permita contemplar la implementación y certificación

del estándar en el plan estratégico de la organización
3. Programa Auditoria
Objetivo Verificar el cumplimiento de los requisitos de la norma ISO 20071:2013
Alcance Horizontal transversal a toda la organización para ISO 9001:2008, Vertical
fabrica de software para ISO 27001:2013
Equipo Auditor Jose Luis Rodriguez Prieto – Juan David González
Tipo Criterios de Fecha Fecha

Proceso
Auditor Auditado
Auditoria Auditoria Programada Ejecutada
Desarrollo Interna Cumplimiento Jose Juan Aros 01/02/2023
políticas de Rodriguez
seguridad y
confidencialidad
Tecnología Interna Cumplimiento Juan Pedro 01/02/2023
políticas de González Monsalve
seguridad y
confidencialidad
Seguridad de la Interna Cumplimiento Jose Viviana 02/02/2023
Información políticas de Rodriguez Martínez
seguridad y
confidencialidad
Continuidad del Interna Cumplimiento Juan Andres 02/02/2023
Negocio políticas de González Zuluaga

1
seguridad y
1
confidencialidad
Auditoria Sistemas
12
CONCLUSIONES
A través de la ejecución de la actividad se logra fortalecer y aplicar los
conceptos aprendidos en la asignatura, como también construir un plan
de auditoría y ejecutarlo en su 100%, permitiendo definir un
cronograma de auditoría, ejecutar el paso a paso para cada uno de ellos
e identificar hallazgos y respectivos planes de trabajo para mitigar el
riego.
BIBLIOGRAFÍA
1
2

Aca #3 Auditoria Sistemas

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Aca #3 Auditoria Sistemas

Cargado por

Copyright:

Formatos disponibles

Auditoria Sistemas

Metodologías de una Auditoría y Técnicas e Instrumentos para

realizar una Auditoría – (Acá # 3)

Jose L. Rodriguez Prieto - Ficha: 56660/ Primer Bloque /22v06

Juan D. González Rojas - Ficha: 56660/ Primer Bloque /22v06

CUN CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN

Katherine Astrid Romero Ussa

La presente guía tiene como finalidad, indicar los procedimientos de

Auditoria en el proceso de verificación de la implementación del modelo

de seguridad y privacidad de la información. A partir del entorno y el

contexto determinado por la entidad, la auditoria es una fuente de

mejora, permitiendo conocer las debilidades para generar fortalezas, a

través de la comprobación, seguimiento y evaluación de la mejora

continua. Por lo tanto, se convierte en una herramienta sistemática,

independiente, objetiva, documentada, práctica y medible sobre el

cumplimiento de los objetivos de la entidad y es allí donde la mejora

continua tiene un papel fundamental. Las auditorias apoyan la toma de

decisiones frente al nivel de implementación y complementa el ciclo de

mejora continua en relación con el ciclo PHVA. Se procura que las

entidades tengan un enfoque de seguridad en el cual se incluya el

desarrollo y mantenimiento de la misma, realizando mejoras en las

áreas que se requiera. Dependiendo de la entidad, dichos

procedimientos pueden variar o si la entidad desea puede generar más

procedimientos si lo considera conveniente.

El presente desarrollo sobre la identificación de hallazgos en

casos de usos expuestos y los respectivos planes de trabajo que se

aplicar frente a estos, forman parte de los estudios de la asignatura de

auditoría de sistemas, cuyo enfoque se interesa por el aprendizaje

para el manejo de auditorías que le permitan al auditor de una manera

rápida identificar hallazgos. La auditoria, una de las actividades más

importantes y necesarias de las organizaciones, tiene una presencia

importante en el que hacer de nuestra labor, repetida a lo largo y

ancho de los procesos de las organizaciones, en búsqueda de conocer

el funcionamiento, documentación, políticas y cumplimiento de los

OBJETIVO Este procedimiento tiene como objetivo definir las

directrices y responsabilidades para la preparación, ejecución y

seguimiento de auditorías internas del Sistema Integrado de Gestión

para garantizar la objetividad, imparcialidad y efectividad del proceso

TERMINOLOGÍA ACCIÓN CORRECTIVA: Acción tomada para eliminar la

causa de una no conformidad detectada u otra situación indeseable.

AUDITADO: Organización que es auditada.

AUDITOR: Persona que lleva a cabo una auditoría.

AUDITORIA: Proceso sistemático, independiente y documentado para

obtener evidencias de la auditoría y evaluarlas de manera objetiva con

el fin de determinar el grado en que se cumplen los criterios de

CONFIDENCIALIDAD: Propiedad que determina que la información no

esté disponible ni sea revelada a individuos, entidades o procesos no

CONFORMIDAD: Cumplimiento de un requisito.

CORRECCIÓN: Acción tomada para eliminar una No Conformidad.

CRITERIOS LA AUDITORÍA: Conjunto de políticas, procedimientos o

requisitos usados como referencia frente a la cual se compara la

EQUIPO AUDITOR: Uno o más auditores que llevan a cabo la auditoria,

4 con el apoyo si es necesario de expertos técnicos

NO CONFORMIDAD: Incumplimiento de un requisito.

OBSERVADOR: Persona que acompaña al equipo auditor pero que no

RIESGO: Efecto de la incertidumbre sobre los objetivos.

SEGURIDAD DE LA INFORMACIÓN: Preservación de la

confidencialidad, la integridad y la disponibilidad de la información;

además puede involucrar otras propiedades tales como: autenticidad,

trazabilidad, no repudio y fiabilidad.

SISTEMA DE GESTIÓN: Sistema para establecer la política y los

objetivos para lograr dichos objetivos

ROGRAMACIÓN DE AUDITORÍAS INTERNAS