ACTIVIDAD N.

º 2

CONTROL INTERNO DE AUDITORIA DE SISTEMAS

“ANÁLISIS DEL CASO”

Elaborado por:

Wiljaner Guzmán Gallego

Yady Liliana Murcia Pérez

Jehimy Lorena Vargas Gil

Mónica Paola Velásquez Salinas

Presentado a:

Tutora. Lida Astrid Mejía

Corporación Universitaria Minuto de Dios

Auditoria de sistemas

Contaduría Pública VIII

Bogotá, marzo 15 de 2020

 CONTROL INTERNO EN AUDITORIA DE SISTEMAS

1. Haga un listado en el que identifiquen los riesgos a los que se encuentra expuesta la
empresa en sus sistemas informáticos así:

a. Los riesgos del control interno específicamente.

Es importante asignar una persona que supervise el proceso interno de la empresa, por
motivo que se evidencia que se ha presentado irregularidades en los procedimientos en
cada área y no existe ajustes, verificaciones y control para el desarrollo de cada proceso
de la organización, en el cual se presenta un riesgo en la información importante de la
empresa.

b. Los riesgos de ingreso a los sistemas informáticos y su autenticación.

Todo sistema de seguridad informática contiene un conjunto de partes que deben funcionar
de manera correcta, para así evitar contratiempos y amenazas que podrían poner en riesgo el
funcionamiento y patrimonio de una empresa.

Por lo general, existen dos tipos de control de acceso de seguridad informática, que son el
control de acceso autónomo y el control de acceso en red:

- Los sistemas de control de acceso de seguridad informática resultan muy útiles para
autorizar o denegar el ingreso de un usuario, así como también para prevenir fraudes
al momento de identificar o autenticar a una persona que intenta ingresar al sistema.
- Los controles de acceso autónomo son mecanismos que permiten restringir o
administrar de manera segura el acceso físico a un espacio o instalación, como, por
ejemplo, una oficina, un ascensor, una caseta de vigilancia o un salón.

Para ello, debe contarse con un software de control, especialmente desarrollado para llevar
un registro efectivo y fidedigno de todas las incidencias que pueden suscitarse, incluyendo
fecha y horario de las mismas, además de la identificación de cada usuario.
 c. Los riesgos a los que la información se expone por la manipulación de un
usuario.

La empresa se expone a que se pierda información importante para el funcionamiento

de la empresa, por no tener un control en la asignación del personal autorizado para
ingresar la información al sistema, es de gran importancia que cada trabajador con
experiencia y autorizado tenga establecido un usuario y contraseña, para así llevar un
control y seguimiento de la información ingresada.

d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de

bases de datos de un sistema informático.

Los riesgos más importantes en la impresión son los documentos que se quedan a la
salida de la impresora:

Cuando imprimimos un documento, debemos ser conscientes de que algunos de estos

documentos pueden llegar a ser confidenciales o contener información privada de la
empresa o de los clientes. Pueden llegar a ‘malas manos’ con lo que ello supone. Este es
un grave riesgo para la compañía, que posteriormente debe depurar responsabilidades.
Al controlar los costes de impresión, también se pueden controlar las personas que
imprimen los documentos, por lo que los empleados tendrán sumo cuidado para realizar
bien su trabajo de impresión.

El riesgo que se puede presentar en la extracción de la base de datos es la pérdida de la

información o que esté incompleta.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas informáticos,
procesos a los sistemas informáticos y salidas de información de los sistemas
informáticos.

a. Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la
autorización, completitud y exactitud de la entrada, procesamiento y reportes de
las aplicaciones utilizadas en una organización; ; no obstante estos riesgos se
manifiestan en los siguientes componentes de un sistema:
- Interface del usuario: Los riesgos en esta área generalmente se relacionan con las
restricciones, sobre las individualidades de una organización y su autorización
 de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de
trabajo y una razonable segregación de obligaciones.
- Procesamiento: Los riesgos en esta área generalmente se relacionan con el
adecuado balance de los controles efectivos y preventivos que aseguran que el
procesamiento de la información ha sido completado.
- Procesamiento de errores: Los riesgos en esta área generalmente se relacionan
con los métodos que aseguren que cualquier entrada/proceso de información de
errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados
con exactitud completamente.
b. Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la
información creada por una aplicación. Estos riesgos se relacionan directamente
a la información de toma de decisiones (Información y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones
correctas).
c. Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas,
datos e información.
- Procesos de negocio: Las decisiones organizacionales deben separar trabajo
incompatible de la organización y proveer el nivel correcto de ejecución de
funciones.
- Aplicación: La aplicación interna de mecanismos de seguridad que provee a los
usuarios las funciones necesarias para ejecutar su trabajo.
- Administración de la información: El mecanismo provee a los usuarios acceso a
la información específica del entorno.
- Entorno de procesamiento: Estos riesgos en esta área están manejados por el
acceso inapropiado al entorno de programas e información.
- Redes: En esta área se refiere al acceso inapropiado al entorno de red y su
procesamiento.
- Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.
d. Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de
riesgo:
- Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de
que los problemas ocurran.
- Técnicas de recuperación/restauración usadas para minimizar la ruptura de los
sistemas.
- Backups y planes de contingencia controlan desastres en el procesamiento de la
información.
e. Riesgos en la infraestructura: Estos riesgos se refieren a que en las
organizaciones no existe una estructura información tecnológica efectiva
(hardware, software, redes, personas y procesos) para soportar adecuadamente
las necesidades futuras y presentes de los negocios con un costo eficiente.
- Planeación organizacional: Los proceso en esta área aseguran la definición del
impacto, definición y verificación de la tecnología informática en el negocio.
- Definición de las aplicaciones: Los procesos en esta área aseguran que las
aplicaciones satisfagan las necesidades del usuario y soporten el contexto de los
procesos de negocio.
- Operaciones de red y computacionales: Los procesos en esta área aseguran que
los sistemas de información y entornos de red están operados en un esquema
seguro y protegido, y que las responsabilidades de procesamiento de
información son ejecutadas por personal operativo definido, medido y
monitoreado.
- Administración de sistemas de bases de datos: Los procesos en esta área están
diseñados para asegurar que las bases de datos usadas para soportar aplicaciones
críticas y reportes tengan consistencia de definición, correspondan con los
requerimientos y reduzcan el potencial de redundancia.
f. Riesgos de seguridad general: Los estándar IEC 950 proporcionan los
requisitos de diseño para lograr una seguridad general y que disminuyen el
riesgo:
- Riesgos de choque de eléctrico: Niveles altos de voltaje.
- Riesgos de incendio: Inflamabilidad de materiales.
- Riesgos de niveles inadecuados de energía eléctrica.
- Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
- Riesgos mecánicos: Inestabilidad de las piezas eléctricas.
3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos
de control interno que implementaría para mejorar la situación de seguridad en la
empresa en cada uno de los riesgos identificado. además, descargue de la plataforma el
anexo “cuestionario de auditoria”

Propuesta:

- El tener un internet veloz no es la solución, se debe adquirir un programa

informático que posea un buen almacenamiento de la información y que sea de
fácil entendimiento para las diferentes áreas de la compañía.
- Asignar usuarios y contraseñas diferentes a cada uno de los empleados del
equipo administrativo, de esta manera se puede evidenciar quien hace cambios
en el sistema, que pueden afectar a otras áreas para el manejo de la información.
- Asignar un usuario y contraseña diferentes a los del equipo administrativo, para
el área logística, donde los permisos que ellos tengan sean sólo para consultas y
no tengan la posibilidad de realizar ningún tipo de cambio o modificación en el
sistema.
- Prohibir rotundamente a los empleados el consumo de alimentos en las horas
que se encuentre laborando y mucho menos en sus sitios de trabajo, para esto
contará con break en la mañana y una hora de almuerzo.
- Ubicar los lugares de trabajo cerca de ventanas donde obtenga luz solar y no
tenga que hacer uso de la luz artificial, para así hacer un lugar de trabajo
ergonómico y agradable, teniendo en cuenta que el total de las instalaciones se
deben encontrar en óptimas condiciones, evitar el daño y mal funcionamiento de
los equipos.
- El almacén de insumos deberá realizar un seguimiento rigurosos a los materiales
de trabajo que entrega a cada uno de los empleados, y si el trabajador muestra un
consumo alto y constante, se hará una investigación para conocer de qué manera
gasta sus elementos de trabajo que la entidad proporciona, además las hojas de
impresión se reciclaran siempre y cuando tengan un lado en buenas condiciones
para imprimir, y las hojas que tengan impresión por ambos lados se reciclarán,
para venderlas y obtener otro tipo de ingresos para la compañía.
- En los equipos de cómputo se tendrá acceso al programa contable y a Microsoft
Office, los accesos a páginas de internet serán controlados y sólo se tendrá
 acceso a estas para consultas de temas y asuntos que estén directamente
relacionadas con el área en la cual se encuentre laborando.

ALUMINIOS Y ACCESORIOS DEL PAIS U.J.M S.A.S

LISTA DE CHEQUEO
AUDITORIA COMPUTACIONAL

AUDITORIA
FECHA: 7 DE MARO DE 2020 NUMERO: 1
RESPONSABLE: WILJNER GALLEGO CARGO: SUPERVISOR
AREA: INVENTARIOS
CUMPLE
ITEM ACTIVIDAD OBSERVACIONES
SI NO N/A

1.0 HARDWARE
Los equipos se encuentran
1.1 en funcionamiento X
Los accesorios se
encuentran en buen estado y
1.2 en funcionamiento X
Se realiza mantenimiento
1.3 periódicamente a los equipos X MENSUALMENTE
Se encuentran los equipos
1.4 limpios y libres de polvo X
El espacio donde se
encuentra el equipo es el
1.5 adecuado X
Cada equipo ha sido
1.6 asignado a cada empleado X
Las instalaciones eléctricas
están en adecuado
1.7 funcionamiento X

2.0 SOFTWARE
Los programas utilizados
cuentan con las licencias
2.1 correspondientes X
Existe una persona
encargada de resguardar el
software adquirido por la
2.2 empresa X
El software utilizado es el
adecuado para la
2.3 organización X
 Se cuenta con software
2.4 antivirus en cada equipo X

Se realiza mantenimiento
2.5 preventivo al software X

Se tiene permitido instalar

2.6 software a los funcionarios X
Existe algún control para
evitar la instalación de
2.7 software no autorizados X

3.0 GESTION INFORMATICA

En el presupuesto anual se
incluye los costos y gastos
3.1 del área computacional X
Existen un procedimiento
3.2 para notificar las fallas X
Se capacita al personal en
3.3 manejo de software X
Se planean actividades de
actualización fuera de la
3.4 jornada laboral X
Se realiza inducción al
ingreso sobre el manejo del
3.5 software X

4.0 INFORMACIÓN
Se pide clave de acceso al
4.1 iniciar los equipos X
Todo el personal puede
cambiar las contraseñas de PERSONA
4.2 inicio X AUTORIZADA
Periódicamente se realiza
4.3 cambio a las contraseñas X
Cada funcionario tiene
4.4 contraseña para su equipo X
Se cuenta con administrador
4.5 de contraseñas X
Luego de varios intentos
fallidos se bloquea
4.6 automáticamente el equipo X
Para desbloquear el equipo
se cuenta con personal
4.7 calificado X

5.0 DISEÑO DE SISTEMAS

La implementación del
programa es realizada por un
5.1 profesional X
 Se realizan programaciones
dependiendo de solicitudes
5.2 de los funcionarios X
Se solicita autorización de
gerencia para compra e
implementación de dichos
5.3 programas X
Periódicamente se revisa la
5.4 eficacia de los programas X
la documentación que
acompaña el programa se
5.5 guarda en un lugar especifico X

6.0 BASES DE DATOS

Se realizan copias de
seguridad (diariamente,
semanalmente,
6.1 mensualmente) X MENSUALMENTE
Todos los funcionarios tienen
acceso a las copias de
6.2 seguridad X
Existe un control estricto de
6.3 las copias de los archivos X
Hay una persona
responsable de la base de
6.4 datos de la organización X
Existen backups y se
guardan en lugares seguros y
6.5 adecuados X
Existen procedimientos para
la realización de copias de
seguridad y de recuperación
6.6 de datos X
Existen controles para el
acceso a las copias de
6.7 seguridad X

7.0 SEGURIDAD
La organización cuenta con
medidas de seguridad para el
7.1 ingreso al área de sistemas X
Existe personal de vigilancia
7.2 en la organización X
Se encuentra vigilada
7.3 satelitalmente la organización X
Se registra el ingreso de
personal ajeno al área de
7.4 sistemas X
Se revisa que no quede
abierta o este descompuesta
la puerta y las ventanas de la
7.5 oficina X
 Se tiene prohibido el ingreso
de alimentos y bebidas al
área de sistemas para evitar
7.6 daños en los equipos X

8.0 REDES DE COMPUTO

El acceso a la red cuenta con
8.1 contraseña X
Existen protocolos de
comunicación establecida
con la compañía prestadora
8.2 del servicio X
Todos los funcionarios tienen
8.3 acceso a la red X
La transmisión de la
información en las redes es
8.4 segura X
existen controles para
mantener la disponibilidad de
los servicios de red y
8.5 dispositivos conectados X

OBSERVACIONES: SE RECOMIENDA CONTROL SOBRE EL INGRESO AL PERSONAL

AJENO A LA EMPRESA Y TENER INDICACIONES ESPECIFICAS DE SEGURIDAD.

FIRMA
 BIBLIOGRAFÍA

Fabricom. (marzo de 2020). Obtenido de https://fabricom.es/todos-los-peligros-

al-usar-las-impresoras-tenlos-bajo-control/

Gestiopolis. (27 de noviembre de 2003). Obtenido de

https://www.gestiopolis.com/administracion-de-riesgos-en-tecnologia-
informatica/

Uss. (23 de Julio de 2018). Obtenido de https://uss.com.ar/corporativo/tipos-de-

control-de-acceso-de-seguridad-informatica/