Control Semana 1

Jose Luis Gonzalez Alfaro

Auditoria Informática

Instituto IACC

30 de noviembre de 2019
 Desarrollo

1.- Considerando la definición entregada en evaluación se puede decir que el tipo de auditoria

informática que se esta aplicando es del tipo Auditoria de la Gestión., puesto que esta enfocada en

la prestación y contratación de bienes y servicios necesarios para la operación del departamento

de TI de la empresa.

En estos podemos ver claramente como se realiza inicialmente la revisión de políticas y

procedimientos de proveedores, continuando con un levantamiento de todos los proveedores

asociados, y terminando con la revisión de controles y reportes de gestión del área indicada.

2.- CUADRO EXPLICATIVO

CONTROL INTERNO CONTROL INFORMATICO

DIFERENCIAS  ANALISIS Y CONTROLES  ANALISIS DE UN

DIARIOS PROCESO INFORMATICO

 SOLO INVOLUCRA DETERMINADO

PERSONAL INTERNO  INVOLUCRA PERSONAL

INTERNO Y EXTERNO, Y

TODOS TIENEN

COBERTURA SOBRE LOS

DISTINTOS

COMPONENTES DEL

SISTEMA

SEMEJANZAS  CONOCIMIENTOS  CONOCIMIENTOS

ESPECIALIZADOS EN ESPECIALIZADOS EN

TECNOLOGIAS DE LA TECNOLOGIAS DE LA

INFORMACION INFORMACION
  VERIFICACION DE LOS  VERIFICACION DE LOS

PROCESOS DE CONTROL PROCESOS DE CONTROL

INTERNO INTERNO

3.- EN CONSIDERACION DE LOS ENUNCIADOS SEGÚN CONTROL

a. Controles preventivos: el instructivo de funcionamiento de la empresa Campus limitada

determina que el administrador de base de datos es el encargado de realizar los respaldos de todas

las base en el ambiente productivo, el tipo de incremental una vez por día, y del tipo full una vez

a la semana. Detectan los problemas antes que aparezcan, por ende realizan respaldo de la

información diariamente y semanalmente, para así no perder información por cualquier problema

a nivel software y /o Hardware, esto intentan predecir problemas potenciales antes que ocurran.

b. Controles detectivos: la política de seguridad de la compañía establece la utilización de software

de control de acceso que permita que solo el personal autorizado tenga acceso a archivos con

información crítica. Con esto se pueden realizar un seguimiento completo al personal autorizado

para manejar información confidencial de la empresa ya que pueden ver a qué hora ingresa y

cuantas veces realiza movimientos de documentación, con esto detectan además o informan de un

error, omisión o también un acto fraudulento.

c. Controles correctivo: la política definida por la dirección de informática establece que todos los

usuarios de la empresa, te tengan acceso a los sistemas informáticos que son explotados por la

misma, deberán realizar cambios periódicos de sus claves de acceso. Con esta acción minimiza el

impacto de una amenaza. Facilita la vuelta a la normalidad cuando ha producido una incidencia,

además podemos evitar que otros usuarios externos ingresen a nuestra información por medio de

clave acceso de un trabajador. Acciones y procedimiento ratificatorio en recurrencia, comprende

documentación y reportes, sobre supervisión a los asuntos, hasta su reformulación o solución

4.- Considere el hallazgo de auditoria: “Se observan cuentas activas de usuarios en el sistema

SAP pertenecientes a personal desvinculado de la compañía”. ¿Qué medida de control

interno deberían aplicarse para corregir la situación planteada?

Debemos tener en claro que es un hallazgo de auditoria, son hechos o situaciones que denotan

importancia por la forma como se repercuten en la administración, estos hallazgos pueden ser tanto

positivo como también negativo. Los hallazgos positivos, son hechos, aspectos buenos, útiles,

convenientes o destacables de la organización, en cambio los hallazgos negativos, son errores,

deficiencias o hechos irregulares, inconvenientes, perjudiciales, nocivos en el funcionamiento de

la organización, contrarios a los principios de la empresa. Partes del hallazgo son evidencia que

encuentra el auditor sobre un hallazgo el cual debe ser organizada de manera que contenga los

cuatros atributos del hallazgo de auditoria, los cuales son: condición criterio, causa y efecto. 

Condición: es lo que es, lo que sucedió, esto quiere decir que comunica los hechos que el auditor

encontró e indica que se cumplió con las normas requeridas. El objeto es determinar el tipo de

evidencia que se recogerá de manera que esta pueda servir de base para afirmar cualquier hecho.

 Criterio: Se refiere a las normas estandarizadas con la cual se evalúa la situación, tales como los

reglamentos, procedimientos, contratos, convenios, instructivo, normas de control, etc.  Causa:

Se describe la razón fundamental por la cual ocurrió la situación, como porque sucedió, como

sucedió, es lo que motiva el cumplimiento del criterio. La determinación de la causa ayuda al

auditor a desarrollar las recomendaciones de manera que sean efectivas para las faltas y no se

vuelvan a repetir.  Efecto: Se refiere al resultado observable o la consecuencia de no haber

cumplido con uno o más criterio y lo que a ello ha significado para la institución. Si la situación

examinada no tiene efecto negativo reales o potenciales sobre los objetivos programados, no hay
hallazgos. En ocasiones no se puede corroborar os efectos pasados, pero se puede identificar

futuros efectos potenciales. Si se identifica algún efecto potencial, el auditor realizara los

procedimientos necesarios para determinar s se incurrió en errores, irregularidades o actos ilegales.

Los efectos sirven también para convencer a la entidad auditada de la necesidad de tomar medidas

para implantar las recomendaciones formuladas al respecto. Lo Primero que se debería realizar es,

bloquear al usuario andes de desvincular a la persona de la empresa, después de realizar la

desvinculación se deberá eliminar la cuenta, si ninguna de estas etapas fueron realizadas por las

personas pertinentes, se deberá realizar una revisión tanto a la proceso de desvinculación de las

personas, como el proceso de informar oportunamente a las personas encargadas de estas cuentas,

además se deberá realizar una inspección de los procedimientos aplicados a este tema, de encontrar

desviaciones en la auditoria a realizar se deberá realizar modificaciones, capacitaciones e

implementar una política para las desvinculaciones futuras en la empresa.

Bibliografía
IACC(2015).Fundamentos generales de la auditoria informática. Auditoria informática. Semana 1