AUDITORIA DE SISTEMAS A LA EMPRESA DULCERIA LA ECONOMIA

“DULCERIA OPITA”

PRESENTADO POR:

LIDA FERNANDA ESPEJO AVILA

YESICA PAOLA GOMEZ ESPAÑA

PAOLA ANDREA PORTILLA ROSERO

PRESENTADO A

HECTOR RODRIGUEZ

UNIVERSIDAD SURCOLOMBIANA FACULTAD DE ECONOMIA Y

ADMINISTRACION

CONTADURIA PÚBLICA

AUDITORIA DE SISTEMAS

SEDE PITALITO

2019

fAUDITORES Y CONTADORES DIRECCION CALLLE 5° N° 6-29 BARRIO CENTRO PITALITO HUILA- TELEFONO
8369852- 3193915313 CORREO ELECTRONICO: auditoresycontadores@hotmail.com
 INFORME

Con la realización de la auditoria informática correspondiente a los sistemas de

información y evaluado el nivel de riesgo informático, los diferentes controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad en el procesamiento de la información, a fin de que por medio de las distintas
recomendaciones se logre una utilización más eficiente y segura de la información de la
empresa la economía dulcería opita, por el periodo comprendido entre el 26/09/2019 y
12/11/2019.

Esto nos permitió en la práctica de acuerdo con los lineamientos de las normas
internacionales de auditoria (NIA), normas de auditorías generalmente aceptadas
(NAGAS) y a las normas de auditoría aplicables a la auditoría informática.

Mediante la solicitud aceptada a la empresa para tener acceso a el historial de cada

equipo, donde se detalló las intervenciones realizadas al equipo, el tipo de
mantenimientos que se haya realizado, las partes de este que hayan sido modificadas,
la fecha y quienes realizaron este mantenimiento, la fecha y finalmente realizar la
revisión física, para corroborar la información.

Se pudo evidenciar que la empresa no cuenta con la documentación necesaria y por

tanto no se lleva un control de los equipos, características y el historial de
mantenimientos tanto preventivos como correctivos; además no existe personal de
mantenimiento dedicado a este procedimiento, el mantenimiento está sujeto a las
directrices de la gerencia de acuerdo al presupuesto o la presencia de un daño en un
equipo, al no tener este plan de mantenimiento preventivo y correctivo podrían acarrear
gastos a futuro por daños en sus equipos, daños que serán adicionales. Lo anterior
ocurre debido a que en la empresa no se ha implementado una política o plan de
mantenimiento preventivo y correctivo de equipos e impresoras, no se han establecido
responsabilidades a empleados a fines con los procesos informáticos o la necesidad de
contratar un tercero que lleve a cabo estas actividades, además no se ha creado un
cronograma donde se especifiquen las fechas de realización de estas actividades.

Por ello la ausencia de control sobre los equipos de cómputo e impresoras de la

empresa puede llegar a generar retraso en el desarrollo de las actividades de la
empresa, pérdida de información de carácter importante, daños parciales o totales al
hardware o software de los equipos, que finalmente se pueden representar en un
aumento de gastos para la empresa puesto que se incurriría en la compra de nuevos
equipos o gastos amplios de reparación. Con respecto a el manejo o manipulación de
los equipos de cómputo de la entidad depende del administrador y los dos empleados
que se encuentran laborando en las instalaciones de la empresa, pero se cuenta con
personal no autorizado quien tiene acceso a estos sistemas, par tanto hace falta un
control por parte de la administración.

Como se pudo observar este manejo lo reglamenta de forma verbal el administrador de

la empresa debido a que no cuenta con un manual de procedimientos o manual de
responsabilidades. Estas situaciones se presentan debido al personal que no debe
manejar ni tener acceso a los equipos de cómputo lo hacen sin ninguna restricción,
debido a la falta de un manual de procedimientos o responsabilidades la empresa
presenta de forma constante daño de los equipos, perdida y robo de información, a
causa de un manejo inadecuado en los sistemas de cómputo por parte de los
empleados y de terceros. Ante la ausencia de documentos físicos que respalden la
adquisición de las licencias de antivirus instaladas en cada uno de los computadores,
se solicitó el ingreso a 2 de los computadores que se encuentran disponibles en el área
de administración y se pudo observar que cada uno de ellos tiene instalada una licencia
de antivirus, de los proveedores ESET NOD32 ANTIVIRUS 9, y AVAST FREE
ANTIVIRUS los cuales no se encuentran debidamente actualizados.

Se solicitó el contrato de adquisición de licencia del Software contable SIIGO, instalado

en el computador LENOVO, donde se desarrollan las actividades propias del área
contable como es la elaboración de facturas de compra y venta, elaboración de
comprobantes de ingreso y egreso, notas contables u otro tipo de actividades afines a
este.

Se pudo evidenciar que este Software fue adquirido el 23 de mayo del año 2018 y
cuenta con la debida licencia expedida por la empresa SIIGO identificada con NNIT
900.535.376-3 y debidamente autorizada para la comercialización de este software Y
esto conlleva a que en la empresa no se lleva a cabo mantenimiento preventivo y
correctivo de carácter físico y lógico lo que consta de eliminación de 5 malintencionado
(virus, troyanos, spybots, etc.) archivos temporales y/o obsoleto que puedan ocupar
espacio ocioso, corrección o eliminación de registros dañados o desvinculados,
además no existe personal que se encargue de realizar seguimiento a los vencimientos
de las licencias y la solicitud de actualización inmediata, y por dar un mal uso de los
equipos de hardware ya existio una entrada de este virus que capturo la información
contenida en él, y que las ausencias de estas licencias antivirus actualizadas generen
daños en los sistemas operativos, retraso de las actividades de la empresa, pérdidas
de información significativa, acceso a terceros malintencionados y uso de información
con fines delictivos y la ausencia de un software contable no debidamente licenciado
hace que la empresa incurra en un delito que puede acarrear pena de prisión de 2 a 5
años por atentar contra los derechos de autor, además es posible la aplicación de
sanciones por parte de la dirección de impuestos y aduanas nacionales ya que de
acuerdo a la ley 603 del 2000, se obliga a las empresas a presentar un informe
detallado del Software contable que usa la compañía.

Además, se puede llegar a perder la información almacenada en este, puesto que es

posible que en un momento no se permita el ingreso y no existe un documento formal
que permita realizar reclamación alguna.

Se realizó inventario físico de los elementos informáticos poseídos por la empresa la

salsamentaría regusto y se evidenció que los 2 computadores cuentan con las
características, funciones y configuraciones aceptables y suficientes para los
requerimientos actuales de la empresa.

Es importante hacerles saber a ustedes señores empresa que las instalaciones físicas
y el cableado eléctrico de la empresa no se encuentran en buen y tampoco cuentan
con polo a tierra lo que expone a la empresa a daños en los sistemas operativos y
equipos de cómputo, así como pérdida de información. Se recomienda a la empresa
realizar la actualización de las licencias de software, formateo de equipos para mejorar
el rendimiento operativo, así como la adquisición de un sistema de polo a tierra para las
conexiones en general, se recomienda cambiar la conexión eléctrica que alimenta a los
equipos de cómputo, ya que se tiene una conexión insegura que puede generar
incendios que podrían afectar la totalidad de las áreas de cómputo.

En la empresa tampoco no se tienen establecidas políticas, normas y procedimientos

para la función informática, por lo tanto, no es posible determinar las funciones,
responsabilidades y metodologías a seguir por parte de los empleados y vinculados a
la empresa. Por tal motivo la falta de política, normas y procedimientos en la empresa
se debe a la falta de compromiso de la administración con la función informática,
puesto que en ella recae la labor de crear un manual de políticas y procedimientos a
seguir, que luego deben ser socializados a los empleados a quienes se les asignarán
roles y funciones que deben llevar a cabo coordinadamente. Es responsabilidad de la
administración luego de crear los manuales y políticas realizar el monitoreo y
seguimiento de estas mediante la aplicación de auditorías de sistemas debidamente
planeadas. La ausencia de políticas y procedimientos informáticos trae para la empresa
una ausencia de control tanto del hardware y software; además la escasez de personal
debidamente capacitado, aumenta el nivel de riesgo de errores al disminuir la
posibilidad de los controles internos en el procesamiento de la información; y limita la
cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los
efectos de satisfacer los requerimientos de las áreas funcionales, por consiguiente la
empresa debe crear un comité informático donde se tenga la participación de los
empleados, con el fin de asignar labores y evaluar cada una de las actividades y
procesos que se desarrollan, de tal forma que la administración pueda crear las
políticas y manuales informáticos, asignar los responsables de funciones específicas y
fortalecer el área tecnológica de la empresa.

Esta auditoría de sistemas, fue elaborada por el grupo de contadores y auditores SAS,
ubicada en el municipio de Pitalito Huila; integrada por el auditor líder: Yeimi Andrea
Canacue auditores auxiliares Robinson Beltrán Núñez y Laura López Cabiedes.