Controles informáticos.

Auditoria Informática
Instituto IACC
24 de agosto de 2018
Actividad

1. Considere la siguiente definición de alcance y objetivos de una auditoría:

El alcance de la auditoría consistirá en la revisión de controles y procesos relacionados con los
proveedores de servicios de TI. Los controles, actividades y documentos para nuestra revisión se
detallan a continuación:
 Políticas y procedimientos de proveedores de servicios de TI.
 Levantamiento de todos los proveedores de servicios de TI.
 Revisión de contratos de proveedores de servicios de TI.
 Revisión de los procedimientos de evaluación de los proveedores de servicios de TI.
 Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de la
información y continuidad de operaciones).
 Revisión de reportes enviados por los proveedores de servicios de TI a la Administración
respecto al cumplimiento de sus SLA (Service Level Agreements*).

De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática se está

aplicando. Justifique su respuesta.

Desarrollo

Según lo indicado anteriormente, el tipo de auditoria informática que se está aplicando es del
tipo de auditoria de gestión, la está relacionada con la contratación de bienes y servicios,
documentación de los programas o sistemas manejados por la empresa. Se realiza con el propósito de
evaluar el grado de eficiencia y eficacia con el que se manejan los recursos disponibles y se logran
objetivos previstos por la organización.
Dentro de los objetivos principales de la auditoria de gestión están:

 Determinar lo adecuado de la organización de la entidad.

 Verificar la existencia de objetivos y planes coherentes y realistas.
 Vigilar la existencia de políticas adecuadas y el cumplimiento de las mismas.
 Comprobar la confiabilidad de la información y de los controles establecidos.
  Verificar la existencia de métodos o procedimientos adecuados de operación y la eficiencia de
los mismos.
 Comprobar la utilización adecuada de los recursos.

Actividad

2. A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la auditoría

informática y la auditoría general (financiera, operativa).

Desarrollo

Auditoria Informática
Auditoría General (financiera y
operativa)
Diferencias Semejanzas
 Control de la función  La Auditoria informática
informática y la General, realizan un
 Análisis de la eficiencia uso eficiente de recursos
de los Sistemas que soportan los
Informáticos objetivos y metas de la
 Verificación del organización, para así
cumplimiento de la proteger
Normativa general de la adecuadamente los
empresa en este ámbito activos de la empresa.
 Revisión de la eficaz
gestión de los recursos
materiales y humanos
informáticos.
 El propósito de este tipo  Tanto la Auditoria
de auditoría es General como la
determinar la exactitud Auditoria Informática
de los estados requieren que los
 financieros de una sistemas informáticos
organización. aplicados estén de
 enfoque basado en acorde a las necesidades
riesgo y control de la organización lo
 se relaciona con la cual permitirá mantener
integridad y un control adecuado de
confiabilidad de la la información
información financiera económica-financiera de
 evalúa la efectividad de la empresa.
uno o más procesos de
negocio o áreas
funcionales
 evalúa el uso eficiente
de recursos que
soportan los objetivos y
metas de la organización

Actividad

3. Considere los siguientes enunciados:

 “La política definida por la dirección de informática establece que todo usuario de la
empresa, que tenga acceso a los sistemas informáticos que son explotados por la misma,
deberán realizar cambios periódicos de sus claves de acceso”.
 “La política de seguridad de la compañía establece la utilización de software de control
de acceso que permita que solo el personal autorizado tenga acceso a archivos con
información crítica”.
 “El instructivo de funcionamiento de la empresa Compus Limitada determina que el
administrador de base de datos es el encargado de realizar los respaldos de todas las
bases en el ambiente productivo, del tipo incremental una vez por día, y del tipo full una
vez a la semana”.
 De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo, detectivo,
correctivo) los procesos descritos en los puntos a, b y c. Reconozca las características presentes
en cada párrafo que justifiquen su elección.

Desarrollo

El punto a, corresponde al tipo de control correctivo, ya que, como política de la empresa para
prevenir el acceso a personal no autorizado a la red y a los datos de la misma, se define que los usuarios
cambien su clave de acceso de forma periódica.
El punto b, corresponde al tipo de control detectivo, ya que con este tipo de políticas se puede
realizar un seguimiento al personal autorizado y de cómo está manejando la información de la empresa,
registrando la hora y fecha de ingreso, modificación, eliminación o movimiento de datos, detectando
cualquier acto fraudulento.
El punto c, corresponde al tipo de control preventivo, ya que con este tipo de control minimiza
el impacto de una falla o amenaza, facilitando el levantamiento de los sistemas en el caso de que ocurra
alguna incidencia.

Actividad

4. Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios en el

sistema SAP pertenecientes a personal desvinculado de la compañía”.

¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada?
Fundamente su respuesta.

Desarrollo

Primero que nada debemos indicar que un hallazgo de auditoria puede ser positivo como
también negativo. Una auditoria no solo busca errores, sino que también busca evaluar la eficiencia y
eficacia de una sección, y producto de los resultados de esta evaluación buscar los caminos y acciones
para mejorar la gestión de la empresa y alcanzar los objetivos que se ha propuesto la organización.
 El control interno, como sistema integrado a los procesos administrativos, de planeación,
organización, dirección y control de operaciones, busca asegurar la protección de todos los recursos
informáticos y asegurar los índices de economía, eficiencia y efectividad de los procesos operativos que
han sido automatizados. Están normalmente constituidos por políticas, procedimientos, prácticas y
estructuras organizacionales implementadas para reducir los riesgos para la organización y están
desarrollados para proveer una certeza razonable a la gerencia de que se alcanzarán los objetivos de
negocio de la organización y que se prevendrán o detectarán y corregirán los eventos de riesgo.

Para el caso planteado las medidas de control interno que deberían aplicarse para corregir la
situación deberían ser:

 RR-HH. Debe seguir un procedimiento para informar de las nuevas entradas, cambios de
área y salidas de personal.
 El departamento de informática debe asegurar que solo el personal autorizado tenga
acceso a la herramienta.
 Cada vez que ingresa un nuevo miembro a la empresa o a un área de esta, se debe
seguir un procedimiento que otorgue los privilegios o los caduque a quien está saliendo
del área involucrada, así como también en el caso de desvinculación de personal
 Control interno que se lleve a cabo cada treinta días, para asegurar que se han realizado
los procedimientos de ingreso cambio o desvinculación de personal
Bibliografía

(2018). Fundamentos generales de la auditoria informática (Semana 1). Santiago, IACC

Cuellar, G. (Sin Fecha). Auditoría de Gestión. Tripod. Obtenido 08, 2018, de

http://members.tripod.com/~Guillermo_Cuellar_M/gestion.html

Canaves. (Sin Fecha). Auditoría Informática. Monografias.com. Obtenido 08, 2018, de

https://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml