Evidencia Inicial:

Darwing José Rodríguez Osorio Auditoría de Sistemas G1: 2018-2

AUDITORÍA, RIESGOS Y CONTROLES EN LOS SISTEMAS DE INFORMACIÓN

Conforme a los cuatro artículos descritos anteriormente, se plantea unos

argumentos y puntos de vistas relevantes sobre los sistemas de información, las
nuevas TI, los riesgos, controles y auditorias de dichos sistemas, para el eficiente
aseguramiento de la información.

La aparición de las tecnologías de información está revolucionando al

mundo contable y financiero por todos los beneficios que esta aporta ya que pone
en disposición grandes cantidades de información pero uno de los aspectos más
importantes que nos ofrece es el de la seguridad, por una parte seguridad para
evitar accesos indeseados a los centros de datos y por otro lado, y dada la
presencia de ordenadores en todo tipo de negocios, empresas o instituciones, es
necesario un tipo de seguridad que garantice la continuidad de las actividades y
de los negocios. A pesar de la eficacia que esta representa muchos sistemas de
información aún son vulnerables a ataques.

Sin embargo el alto nivel de uso de la tecnología de la información en los

procesos financieros y contables también da a lugar a un aumento de las
preocupaciones profesionales sobre los riesgos, el control y la auditoría de los
sistemas de información contable.

Estudios recientes en la literatura sobre los conceptos de riesgo, control y

auditoría de AIS resumen dos enfoques: (1) un enfoque profesional en el que
podemos encajar ISA, COBIT, IT Risk, COSO y SOX; y (2) un enfoque orientado a
la investigación en el que se hace más hincapié en la investigación sobre auditoría
continua y fraude utilizando tecnología de la información. De acuerdo con IFAC-
ISA 315, los auditores financieros deben comprender y analizar los AIS, que
pueden afectar la información financiera, particularmente en: sistemas de
transacciones importantes para los estados financieros; procedimientos de control
automático o manual a través de los cuales las transacciones se registran,
almacenan y procesan en el libro mayor general y se informan en los estados
financieros; el proceso de obtención y presentación de los informes financieros del
AIS.

Darwing José Rodríguez Osorio Auditoría de Sistemas G1: 2018-2

 Actualmente existen dos tipos de riegos de seguridad que pueden atentar
contra los sistemas de información: Los Riesgos físicos y Los riesgos lógicos. Los
riesgos físicos se relacionan más con la estructura de los equipos que pueden ser
afectadas por desastres naturales como terremotos, huracanes, tornados e
inundaciones, así como otros peligros como bombardeos, incendios, subidas de
energía, robos, vandalismo y actividades no autorizadas. Algunas formas de
contrarrestar estos fenómenos son: tener controles de bloqueos, tener coberturas
de seguro sobre el hardware, realizar copias de seguridad diarias de la
información etc.

Los riesgos lógicos se refieren al acceso no autorizado y la destrucción o

alteración accidental o intencional del sistema de información y los datos,
modificación o divulgación de información, o pérdida de acceso a la información.
Por otra parte esto es solo una pequeña parte de los daños y pérdidas
ocasionadas, también tiene otros impactos negativos como la pérdida de ingresos
o clientes, pérdida de diferenciación de mercado, los costos de respuesta y
recuperación por el incidente, y el costo de pagar multas y sanciones regulatorias
que generalmente le ocasiona una gran pérdida de dinero a la empresa
estadísticamente vista entre 17 y 28 millones de dólares por cada incidente.

Los riesgos de seguridad incluyen también amenazas como virus, así como
ataques más específicos a aplicaciones específicas, usuarios específicos e
Información específica. Estas amenazas se pueden mitigar mediante controles de
seguridad lógicos que restringen las capacidades de acceso de los usuarios del
sistema y evitan que usuarios no autorizados accedan al sistema.

Por consiguiente las empresas han empezado a proponer un modelo

enfocado en la integración de los riesgos, controles y auditoría de los Sistemas de
información contable (AIS). Esta organizada de forma cuantitativa y el desarrollo
de este modelo fue probado en tres ciclos: ciclo de compras, ciclo de ventas y
ciclo de efectivo. En cada ciclo se establecían evaluaciones de riesgos y de
acuerdo a eso se decidían si los controles de riesgos eran efectivos o por el
contrario el auditor decidía si los mecanismos de control si eran funcionales. Los

Darwing José Rodríguez Osorio Auditoría de Sistemas G1: 2018-2

ciclos son interdependientes, por lo que si se producen cambios importantes en
los controles de los primeros dos ciclos, estos cambios se reflejarán en el ciclo de
efectivo. La interdependencia entre la auditoría de control de riesgos en los
sistemas de información de gestión utilizados en los ciclos, ofrece la imagen de un
entorno de tecnología de información estable para la entidad.

Así mismo para la seguridad completa del sistema de información de cada

organización es necesario monitorear tres áreas de la actividad de la computadora
de manera regular: control de acceso de usuarios, monitoreo de la actividad del
sistema y seguimiento de auditoría. Esto puede reducir las consecuencias
negativas al aumentarse la prevención de ataques externos.

La realidad es que gran parte de la literatura sobre el desarrollo de sistemas

se centra en el método; ignorando la realidad de que muchos desarrolladores
simplemente no los usan (Ciborra, 2002). En consecuencia, aquí no se
recomienda la incorporación de métodos de riesgo y desarrollo de sistemas. En su
lugar, debe desarrollarse una nueva meta-teoría sobre el riesgo de los sistemas y
para garantizar que, como tal, la teoría vaya más allá de las consideraciones
técnicas, se debe configurar a través de los paradigmas de Burrell y Morgan
(1979) de la teoría social y organizativa, el funcionalismo, el interpretivismo y el
humanismo radical. Y estructuralismo radical.

Existen muchas y variadas técnicas de seguridad que pueden ser

aplicadas. La selección de un conjunto de técnicas de seguridad debe realizarse
de acuerdo con los riesgos potenciales. Pero para proporcionar una protección
adecuada y efectiva a los activos de la organización, el sistema de seguridad
(medidas) debe ser evaluado. Interna o externa, una auditoría de seguridad es una
de las mejores maneras de determinar la eficiencia de la seguridad. Hay una serie
de normas de auditoría de seguridad que especifican los procedimientos que
deben seguirse para garantizar que los recursos de TI se salvaguarden
adecuadamente. Con pérdidas aún altas debido a la seguridad inadecuada de IS,
cualquier organización debe considerar una auditoría de seguridad.

Darwing José Rodríguez Osorio Auditoría de Sistemas G1: 2018-2

RESUMEN URL ARTICULOS

Scientific Article URL on GOOGLE BROWSER:

Name of Article: Audit for Information Systems Security

http://revistaie.ase.ro/content/53/04%20Suduc,%20Bizoi,%20Filip.pdf

Scientific Article DATE:

2010

Name of Article: Integrated Approach Model of Risk, Control and Auditing of

Accounting Information Systems

(File PDF): http://www.revistaie.ase.ro/content/68/08%20-

%20Brandas,%20Stirbu,%20Didraga.pdf

Scientific Article DATE: 2013

on SCIENCEDIRECT of UNIATLANTICO DIGITAL LIBRARY

Name of Article: Information Systems Risk Paradigms: Towards a New Theory on Systems Risk
(https://dbvirtual.uniatlantico.edu.co:2111/science/article/pii/S1474667016342240)
(File PDF): https://ac.els-cdn.com/S1474667016342240/1-s2.0-S1474667016342240-
main.pdf?_tid=aec15ce7-18fa-49a9-a43f-
6b4542fd84c2&acdnat=1548875392_947c5436dfd1d09de803e3a06de8e142
Scientific Article DATE: 2013

Name of Article: Accounting Information Systems: Evolving towards a Business Process Oriented
Accounting (https://dbvirtual.uniatlantico.edu.co:2111/science/article/pii/S1877050916324334)
(File PDF): https://ac.els-cdn.com/S1877050916324334/1-s2.0-S1877050916324334-
main.pdf?_tid=bdccdabe-955b-475f-a746-
c1c67f262769&acdnat=1548872744_7c86775a2c7c4876a3177340daf54eef
Scientific Article DATE: 2016

Darwing José Rodríguez Osorio Auditoría de Sistemas G1: 2018-2