AUDITORIA DE ORGANIZACIÓN Y ADMINISTRACIÓN DEL AMBIENTE

INFORMÁTICO

KEVIN JAIR CABANILLA RAMIREZ ID: 553432

BRAYAN ALEXIS RUBIO DELGADO ID: 543492
EDWAR DAVID GRASS CASTELLANOS ID: 553424
MONICA ESTEFANIA MURILLO ESPITIA ID: 551198
YEIMY ALEJANDRA RODRIGUEZ GARAVITO ID: 498460
DANIELA FERNANDA CASTAÑEDA BELTRAN ID: 353385

DOCENTE
LUIS ALFONSO CANCINO ZAPATA

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

AUDITORIA DE SISTEMAS
VILLAVICENCIO META
2019
 INDICE

1- Introducción

2- Auditoria de organización y administración del ambiente informático

2.1 Plan de organización.

2.2 Administración del procesamiento de información.
2.3 Auditoria del ambiente del procesamiento de información.
2.4 Segregación de funciones.
2.5 Funciones de proyectos.
2.6 Funciones de procesamiento de información.
2.7 Funciones de apoyo técnico.
2.8 Funciones de control.
2.9 Elementos y técnicas que ayudan a delimitar funciones.
2.10 Análisis, costo beneficio de la segregación de funciones.
 INTRODUCCIÓN

La auditoría de sistemas es la revisión y evaluación de los controles, sistemas y

procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad,
de la organización que participan en el procesamiento de la información, a fin de que por medio
del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones.
La auditoría de sistemas deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
Por tal motivo estudiaremos distintas funciones y fases de la auditoria como mecanismo de
control y seguridad informática.
 AUDITORIA DE ORGANIZACIÓN Y ADMINISTRACIÓN DEL AMBIENTE
INFORMÁTICO

2.1 Plan de organización.

El Plan Organizacional intenta crear la estructura organizacional interna necesaria para responder
a las necesidades de organización del negocio de acuerdo con su actividad principal. En este Plan
se destacan 4 temas importantes a tratar, y son:
Descripción de la Empresa
Marco Legal
Estructura Organizacional
Talento Humano
Este documento hace parte del primer nivel, el denominado Plan Operativo y suministra una
base sólida para la organización sobre la estructura necesaria para el normal desarrollo del
Proyecto Empresarial emprendido.
El objetivo del Plan de Organización es doble. Externamente, se trata de demostrar que el equipo
promotor del proyecto está capacitado para afrontar y sacar adelante la nueva empresa.
Internamente, se trata de asignar las distintas responsabilidades a las distintas personas que van a
trabajar en la empresa.
Muchos proyectos han fracasado por el hecho de no haber establecido claramente las
responsabilidades de cada miembro y por no haber adoptado una organización profesional desde
el primer momento. Este aspecto de la empresa puede generar muchas tensiones entre el equipo
emprendedor. Sin embargo, es bueno discutirlo antes sobre el papel pues siempre será mejor que
discutirlo con la empresa en marcha y con problemas apremiantes que hagan aumentar la tensión.
 Socios y forma legal
Aquí es donde se describe con detalle quiénes serán los socios de la empresa y que aportaciones
van a realizar. También es momento de dejar claro qué socios van a trabajar en la empresa y
cuáles serán meros capitalistas. Cualquier otro pacto o acuerdo entre los socios -sobre todo si no
va a constar en los estatutos de la sociedad- debe procurar discutirse en este momento.
También hay que decidir qué forma legal se va a dar a la sociedad. Esto puede variar según la
legislación del país donde se ubique la empresa. Además, la correcta elección de la forma de la
sociedad puede tener importantes repercusiones a nivel de responsabilidad de los socios y de
cargas fiscales. Conviene pues consultar con un experto que aconseje la mejor forma social de
acuerdo con los objetivos globales de la empresa y los objetivos personales de los socios. Incluso
en el caso de un único socio, pueden existir distintas modalidades de constituir la empresa que
deben estudiarse.
Finalmente, es importante pensar que es preferible que una empresa no llegue a nacer por
discrepancias de los futuros socios antes de crearla, a que deje de funcionar por discrepancias de
los socios después de crearla.
 Delimitación de las responsabilidades
Debe quedar bien claro al poner en marcha una empresa sobre quien recaen las distintas
responsabilidades que requiere una empresa. Esto es independiente del número de socios pues
incluso en el caso de un único emprendedor, siguen existiendo distintas áreas que atender con
distintos objetivos que alcanzar.
Hay que detallar quién se va a hacer responsable del marketing, de la producción, de las finanzas
etc. Hay que identificar qué áreas de la empresa no tienen una persona con las habilidades
necesarias para hacer que se desarrolle convenientemente. Se deberá tratar de encontrar un
experto externo que asesore al equipo en esa área o incluso buscar un nuevo socio o emplear a
alguien con habilidades en ese campo.
Para realizar esta tarea es muy útil dibujar un organigrama para poner de manifiesto las distintas
responsabilidades existentes en la empresa. Aquí habrá que asignar un responsable a cada función
(si bien se pueden asignar varios responsables, esta parece la mejor manera de, en el fondo, no
asignar ninguno).
 Personal
Hay que indicar qué personal va a ser necesario para operar la empresa y cómo se va a conseguir.
Hay que decidir que políticas de reclutamiento se van a seguir, de formación, de promoción, de
incentivos, etc.
Es importante conocer los aspectos legales de la contratación de trabajadores y las cargas sociales
que esto implica. En todo momento debe procurarse la máxima flexibilidad para ir adaptando la
empresa a su propio ritmo de crecimiento.
 Asesores externos
Si se detecta la necesidad de contar con el consejo de expertos externos, debe quedar esto
reflejado en el plan indicando la relación que estos expertos van a tener respecto a la empresa:
consultores, miembros del consejo, etc.
2.2 Administración del procesamiento de información.
Por procesamiento de datos se entienden habitualmente las técnicas eléctricas, electrónicas o
mecánicas usadas para manipular datos para el empleo humano o de máquinas.
Abordar el procesamiento de la información corporativa de forma eficaz requiere del
planteamiento de tres objetivos desde la función de gobierno:
1. Reconocer y minimizar el sesgo de información y la presencia de silos: conseguir
información pura en una empresa es un reto, dado que siempre puede existir un incentivo
que influya a la hora de poner el énfasis en unos contenidos u otros. La información suele
 aparecer sesgada de alguna manera, dependiendo de las motivaciones de la persona que la
entrega, que dificultan mantener la neutralidad. Para evitarlo es recomendable plantear el
procesamiento de la información en base a tres acciones complementarias:

 Agregar la información.
 Apoyarse en herramientas predictivas.
 Fomentar el autoservicio usuario.
También hay que trabajar por evitar los silos informacionales fomentando la integración de datos,
la conexión interdepartamental y, sobre todo, actuando desde la gestión de datos y datos
maestros.
2. Usar la información para justificar cualquier acción y promover la transparencia de los
procesos: la información es crítica con el fin de evaluar adecuadamente cómo las
organizaciones están operando y para proporcionar las métricas que revelan su verdadero
progreso. A la vista de los datos y tras el adecuado procesamiento de la información ha de
ser posible:

 Conocer las necesidades en materia de datos.

 Identificar las áreas en que es necesario hacer ajustes.
 Exportar mejores prácticas a otros procesos o departamentos.

3. Entender el procesamiento de la información como un medio y no como un fin: los datos

pueden ayudar al negocio a innovar, pero, para ello deben entender mejor al cliente,
conocer mejor el mercado y ser conscientes de sus propias posibilidades como negocio.
En este sentido, el procesamiento de la información ha de hacer posible orientar una toma
de decisiones basada en datos objetivos, contrastables y actuales. Cada decisión ha de
impulsar una acción digna de invertir esfuerzo y recursos de forma justificada y para eso
hace falta:

 Entender la diferencia entre negocio e IT para abrazarla y trabajar de forma colaborativa.

 Apoyar los objetivos generales de la empresa en base a los requisitos de procesamiento de
la información orientados al sistema y orientados al usuario.
 Buscar la productividad en el procesamiento de la información.

2.3 Auditoria del ambiente del procesamiento de información.

R/ Mónica
2.4 Segregación de funciones.
La segregación de funciones es una característica de control interno que busca no permitir que un
usuario pueda iniciar, procesar, finalizar y hasta eliminar sus acciones, sin la necesidad de que un
segundo o tercero intervengan a manera de control. Por ejemplo, el proceso de adquisición de
bienes debería de segregar las funciones siguientes: la requisición o solicitud, la recepción de
bienes y la autorización del pago del bien. Si permitimos que estas actividades sean desarrolladas
por una misma persona, esta podría autorizar pagos, para bienes que no se han recibido o ni
siquiera solicitado, montando un esquema de fraude para la empresa. Este tipo de casos, por la
misma naturaleza humana, pasan en todas las organizaciones, grandes o pequeñas, llevando a
vacíos de control. Por supuesto, el problema se aborda de manera diferente de acuerdo al tamaño
de la organización. Estas funciones podrían no estar separadas en una empresa pequeña, pero
precisamente por la característica de ser pequeña, es fácil para los propietarios, realizar una
revisión total de todas las operaciones e identificar si se ha cometido algún tipo de error. En
organizaciones grandes, la segregación de funciones es un poco más difícil de implementar, pero
más necesaria. No solo problemas de fraude se pueden dar por falta de una adecuada segregación
de funciones. Por ejemplo, producto de la gran cantidad de transacciones realizadas por la misma
persona se puede dar el cruce de pagos, procesando el pago de una factura similar, tal vez del
mismo proveedor y con productos similares, en lugar de otra. Con esto concluimos, que también
hay situaciones de control interno que requieren de la Segregación de Funciones como
mecanismo de control.
Aspectos que afectan la segregación de funciones Los aspectos sobre segregación de funciones
que enfrentan las organizaciones de hoy en día generalmente son resultado de cuatro diferentes
tipos de deficiencias. Estas incluyen:
 Recursos insuficientes de personal para distribuir las responsabilidades
apropiadamente.
 Bajo entendimiento sobre qué funciones y actividades deben ser segregadas.
 Políticas y procedimientos definidos de manera insuficiente.
 Administración ineficaz de la seguridad.

2.5 Funciones de proyectos.

Las funciones de proyectos comprenden las siguientes responsabilidades: (son poco
repetitivas)
Desarrollo de sistemas
Es la más importante en cuanto a incidencia presupuestaria y atención de la Gerencia.
Incluye el análisis de los sistemas existentes, la atención de los requerimientos de los
usuarios y el diseño de nuevos o mejores métodos.
- Documentación
Abarca la responsabilidad de crear y mantener manuales de procedimientos y ayudas a
través de instrucciones incorporadas internamente en los programas de aplicación (que
deben ser consultados a través de mensajes desplegados en pantalla).
Análisis cuantitativos
Consiste en aplicar técnicas de lógica y modelos matemáticos a las tareas apropiadas de
las operaciones y planeamiento de la organización.
 2.6 Funciones de procesamiento de información.
R/ Mónica
2.7 Funciones de apoyo técnico.

2.8 FUNCIONES DE CONTROL.

 controla diariamente que todas las actividades de sistemas de información sean realizadas

cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la

Organización y/o la Dirección de Informática, así como los requerimientos legales.

 Las funciones de control Informático es asegurarse de que las medidas que se obtienen de los

mecanismos implantados por cada responsable sean correctas y válidas.

 Control Interno Informático suele ser un órgano staff de la Dirección del Departamento de

Informática y está dotado de las personas y medios materiales proporcionados a los

cometidos que se le encomienden.

 Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas

fijadas, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

 Asesorar sobre el conocimiento de las normas.

 Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorías externas al

Grupo.

 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados

adecuados del servicio informático, lo cual no debe considerarse como que la implantación de

los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique

exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y

recursos es responsable de esos niveles, así como de la implantación de los medios de medida

adecuados.
FUNCIONES DE SERVICIO DE APOYO TECNICO

 Ofrecer asesoramiento sobre todo lo relacionado con la configuración y uso de

ordenadores. Pueden hacerlo por teléfono si son preguntas sencillas o de forma presencial

si se necesita un análisis más exhaustivo.

 Instalar software: Cuando se necesite una actualización o nuevas herramientas, pueden

ayudarte a poner todo en marcha para que puedas usarlo cuanto antes y medir su

efectividad.

 Mantener y revisar periódicamente tus equipos para poder prever cualquier fallo que

presenten y subsanarlo antes de que afecte al funcionamiento de tu empresa. Para ello,

hacen pruebas rutinarias, identifican averías o sustituyen piezas defectuosas que pueden

dar algún problema.

 Si surge algún problema no contemplado en la prevención, acuden inmediatamente y lo

reparan in situ para que el daño sea menor. Si es necesario, se ponen en contacto con el

fabricante para conocer las especificaciones de los equipos y poder encontrar la solución

más efectivamente.

 Pueden crear manuales de uso para empresas como la tuya en la que recomiendan algunas

prácticas de uso que pueden favorecer el mantenimiento de los equipos y su correcto

funcionamiento.

2.9 Elementos y técnicas que ayudan a delimitar funciones.

Cuestionarios:
Las auditorías informáticas se materializan recabando información y documentación de todo tipo.
Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones
de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en
lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios pre
impresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea
obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.
Entrevistas:
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres
formas:
1. Mediante la petición de documentación concreta sobre alguna materia de su
responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto
de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano
y busca unas finalidades concretas.

Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en
función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus
cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no
quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a
nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad
servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.
Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en
productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos
que siguen los datos a través del programa.
Log:
El log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando
(información). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las
transacciones. Las transacciones son unidades atómicas de cambios dentro de una base de datos;
toda esa serie de cambios se encuadra dentro de una transacción, y todo lo que va haciendo la
Aplicación (grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. El log
te permite analizar cronológicamente que es lo que sucedió con la información que está en el
Sistema o que existe dentro de la base de datos.
Software de Interrogación:
Hasta hace ya algunos años se han utilizado productos software llamados genéricamente
(paquetes de auditoría), capaces de generar programas para auditores escasamente cualificados
desde el punto de vista informático.
En la actualidad, los productos Software especiales para la auditoría informática se orientan
principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la
empresa auditada. Estos productos son utilizados solamente por los auditores externos, por
cuanto los internos disponen del software nativo propio de la instalación.

2.10 Análisis, costo beneficio de la segregación de funciones.

Uno de los principios del Control Interno es la segregación de funciones, es para prevenir el
fraude interno en la organización. Con esto un individuo no llevará a cabo todas las actividades
de operación, no todo estará bajo su responsabilidad; ninguna persona debe manejar todas las
fases de una transacción, “ninguna persona debe ser capaz de registrar, autorizar y conciliar una
transacción”. Ello como mecanismo de protección para esas mismas personas y de la misma
organización.
Segregar funciones, no solo disminuye de manera considerable los trámites y
procedimientos engorrosos en la compañía, sino que, a la vez, posibilita blindar un modelo que se
enfatiza en el autocontrol.
La segregación de funciones implica:

 Que la empresa disponga de un manual de procesos y procedimientos, así como un

manual de funciones, donde todos y cada uno de los que hacen parte de la organización,
se le asignen y se le reconozcan los diferentes roles que juegan dentro de la misma.
 Que el recurso humano incorporado en la organización, cuente con el perfil necesario para
acometer con responsabilidad y calidad las labores que le son encomendadas.
 Que todos y cada uno de los empleados de la organización distingan, dónde parten sus
funciones y responsabilidades, y dónde comienzan las funciones de sus compañeros de
grupo, área o proceso.
 Todos los integrantes de la organización deben conocer el árbol y nivel jerárquico de
decisión de su empresa.
 Ninguna persona está facultada para registrar, autorizar y conciliar una transacción.
Además, debe pasar por cuatro etapas clave como aprobación, ejecución, registro y
custodia, a través de departamentos o unidades independientes.
 Para poder identificar la distribución de funciones dentro de los procesos y
procedimientos, se requiere diagramar las actividades del proceso e identificar los tipos y
calidades de los controles, para así, reducir aquellos que son inoperantes, puesto que
generan mayores trámites y no aportan valor en términos de calidad y oportunidad.
 Una vez se tengan identificadas las funciones de todos y cada uno de quienes intervienen
en los procesos, será más fácil endilgar responsabilidades por la comisión de errores o
pérdida del control.

Donde más debe existir segregación de funciones es en:

1. Tesorería: por ser el área más sensible, en razón del manejo de recursos monetarios y de
valores, relacionado con los recaudos y desembolsos de la compañía.
2. Cartera: dada su implicación de aprobación, gestión y cobro de cuentas a terceros.
3. Inventarios para la venta: especialmente en las empresas de producción y distribución, ya
que, de su control y custodia, depende uno de los activos más valiosos de la empresa.
 4. Activos fijos: de su adecuado manejo dependerá el buen respaldo y patrimonio de la
compañía.
5. Nómina: la selección, la incorporación y el pago de personal, garantiza contar con talento
humano adecuado, además identifica plenamente responsabilidades de incorporación de
novedades.
6. Contabilidad: posibilita mantener información fiable y actualizada, y preservar la
memoria institucional para la toma de decisiones acertadas.
7. Los sistemas de información automatizados: hace que la información fluya con más
rapidez, evita la comisión de errores y proporciona mayor control, en la medida que estén
segregadas las funciones entre los operadores, los validadores, los consultores, y
quienes tengan la autorización de modificar dicha información.

Conclusión.

Principalmente, con la realización de este trabajo práctico, la principal conclusión a la que

hemos podido llegar, es que toda empresa, pública o privada, que posean Sistemas de
Información medianamente complejos, deben de someterse a un control estricto de evaluación de
eficacia y eficiencia. Hoy en día, el 90 por ciento de las empresas tienen toda su información
estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de
información funcionen correctamente. La empresa hoy, debe/precisa informatizarse. El éxito de
una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede tener
un staff de gente de primera, pero tiene un sistema informático propenso a errores, lento,
vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldrá a
adelante. En cuanto al trabajo de la auditoría en sí, podemos remarcar que se precisa de gran
conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoría
de Sistemas debe hacerse por gente altamente capacitada, una auditoría mal hecha puede acarrear
consecuencias drásticas para la empresa auditada, principalmente económicas.
 Web grafía.

 https://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
 https://www.obs-edu.com/int/blog-investigacion/recursos-humanos/la-segregacion-de-
funciones-previene-el-fraude-de-los-empleados
 http://www.mega-consulting.com/herramientas/planempresa/7_organizacion.htm
 http://miproyectoeni.blogspot.com/p/plan-organizacional.html
 https://blog.powerdata.es/el-valor-de-la-gestion-de-datos/como-enfocan-el-
procesamiento-de-la-informacion-las-empresas-lideres
 https://blog.apser.es/2017/04/03/tecnico-soporte-informatico-perfil-y-funciones
 https://www.webscolar.com/funciones-de-control-interno-y-auditoria-informatica
 https://assets.kpmg/content/dam/kpmg/pe/pdf/Publicaciones/Factsheets/FS-
Advisory/SegregaciondeFunciones.pdf
 https://www.obs-edu.com/int/blog-investigacion/recursos-humanos/la-segregacion-de-
funciones-previene-el-fraude-de-los-empleados
 https://www.auditool.org/matrices-segregacion-de-funciones
 https://www.obs-edu.com/int/blog-project-management/administracion-de-proyectos/que-es-
la-direccion-de-proyectos-y-cuales-sus-principales-funciones