CONTROL INTERNO EN AUDITORIA DE SISTEMAS

Jerlly Vanessa Herrera Rojas ID: 569607

Auditoría de sistemas

Tutora

Martha Lucia Angulo

UNIVERSIDAD MINUTO DE DIOS

FACULTAD DE CIENCIAS EMPRESARIALES Y CONTABLES

PROGRAMA

ACADÉMICO DE CONTADURÍA PÚBLICA

SANTIAGO DE CALI

2020
 INTRODUCCIÓN

El control interno es especialmente importante en las empresas, debido a que evalúa el desarrollo
correcto de las actividades de la misma, así como la aceptación y cumplimiento adecuados de las
normas y políticas que regulan sus actividades, de la misma manera proporciona el grado de
confiabilidad que se requiere para proteger los activos, asegurar la validez de la información,
promover la eficiencia en las operaciones, estimular y asegurar el cumplimiento de las políticas y
directrices emanadas de la dirección. En el siguiente trabajo encontrarán la evaluación de un caso
interno de auditoria de sistemas de una empresa que se dedica a la comercialización de productos
de Aseo, los riesgos encontrados en la misma, su clasificación en los diferentes procesos y la
presentación de la propuesta para mejorar la situación de seguridad en la empresa con base a
cada uno de los riesgos identificados.
 CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se dedica
a la comercialización de productos de aseo; para entender el alcance de la auditoría, usted se
entrevista con el representante legal de la empresa, quien le manifiesta sus preocupaciones de la
siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado comercial
y financiero, iniciamos comercializando productos en una oficina en la que laborábamos cinco
personas, un asistente contable y financiero, dos ejecutivos comerciales, un almacenista y yo,
como gerente. Hoy en día somos un equipo de 18 personas, dos en contabilidad, una dedicada a
las actividades administrativas, un almacenista, cinco ejecutivos comerciales y nueve personas
en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los
procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo. En la
actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista tienen
asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos

con errores. La respuesta de los trabajadores es que alguien debe cambiarles su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en el
equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se le perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a la
red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19 dispositivos
móviles, pero parecen insuficiente; todos nos conectamos por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar
riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el día están
expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
 2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de administrador para
acceder, cada usuario es administrador de su equipo y puede realizar las acciones que
desee en él, cualquier usuario puede prender un computador o tener acceso a la
información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa nunca
se ha realizado una copia de seguridad de los archivos ofimáticos, para el caso del
programa de contabilidad, este realiza de manera automática la copia de seguridad y la
almacena en el mismo servidor, pero ninguna de estas copias reposa fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas
páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la mayoría
de quienes manejan los equipos se encontraban navegando en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y contraseña;
sin embargo, se evidencia que existen cuatro usuarios en el sistema y solo dos
trabajadores habilitados para trabajar, no se logra establecer quién hace uso de los dos
usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario
contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y
contraseñas.
8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar
archivos sin restricción alguna, pero el computador identifica el tipo de modificación, la
hora y el responsable.
1. haga un listado en el que se identifiquen los riesgos a los que se encuentra expuesta la
empresa en sus sistemas informáticos, así

a. Los riesgos del control interno específicamente

 Daños en equipo de cómputo y servidores, por fallos del suministro eléctricos y las
radiaciones electromagnéticas.
 Riesgo a que un ciberdelincuente pueda obtener datos privados de nuestra empresa que se
puede lograr por el libre acceso a diversas páginas y a las redes sociales en el horario laboral.
 Inadecuada planeación de las actividades.
 Daños en el sistema operativo, ya que no se evidencia soporte técnico para el software de los
equipos.
 La seguridad informática nunca está a salvo de un daño o de recuperarla, en caso de pérdida
no hay copias de seguridad.

b. Los riesgos de ingreso a los sistemas informáticos y su autenticación

 Suplantación de personal idóneo para el usuario asignado para acceder.
 Riesgo de sustracción, alteración o perdida de información ya que no se logra establecer
quién hace uso de los dos usuarios desconocidos para acceder al software contable.
 Divulgación de información confidencial.
 Riesgos de acceso a la información porque no existen requisitos y restricciones de cada
usuario con su propia contraseña.

c. Los riesgos a los que la información se expone por la manipulación de un usuario

 pueden ocasionar el riesgo de que le roben sus credenciales de acceso y todo tipo de
información privada, por medio de códigos maliciosos que tienen las aplicaciones o servicios
que descargan los usuarios para instalar en los equipos.
 Perdida de información.
 Corrupción o modificación de información.
 El robo de información de bases de datos.
d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de
datos de un sistema informático.
 Sobre costos para el área financiera, ya que no existe horario ni supervisión alguna.
 Ineficiencia en la utilidad del material.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas informáticos,
procesos a los sistemas informáticos y salidas de información de los sistemas informáticos
  Daños en equipo de cómputo y servidores, por fallos del suministro
eléctricos y las radiaciones electromagnéticas y ocasionados por el
hombre
Entradas  Ineficiencia en la utilidad del material.
 Suplantación de personal idóneo para el usuario asignado para acceder al
sistema.
 Inadecuada planeación de las actividades.
 Daños en el sistema operativo, ya que no se evidencia soporte técnico
para el software de los equipos.
 La seguridad informática nunca está a salvo de un daño o de recuperarla
Procesos en caso de pérdida, no hay copias de seguridad.
 Riesgo de sustracción, alteración o perdida de información ya que no se
logra establecer quién hace uso de los dos usuarios desconocidos para
acceder al software contable.
 Divulgación de información confidencial.
 Riesgo a que un ciberdelincuente pueda obtener datos privados de
nuestra empresa que se puede lograr por el libre acceso a diversas
Salidas páginas y a las redes sociales en el horario laboral.
 Riesgo de que le roben las credenciales de acceso y todo tipo de
información privada, por medio de códigos maliciosos que tienen las
aplicaciones o servicios que descargan los usuarios para instalar en los
equipos.
 Perdida de información.
 El robo de información de bases de datos.

3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos de
control interno que implementaría para mejorar la situación de seguridad en la empresa en
cada uno de los riesgos identificados.

Para mejorar la situación de seguridad en la empresa se plantea una propuesta en base a los
procedimientos de control interno que ayudaran a la empresa a mejorar la situación de seguridad
en cada uno de los riesgos identificados. Los riesgos referentes al uso inadecuado de los equipos
donde evidenciamos que, los trabajadores consumen alimentos sobre sus equipos de cómputo,
los daños en los equipos de cómputo y servidores por la exposición al sol y al agua, se propone
implementar un control para la seguridad física del área de sistemas que busca salvaguardar los
activos tangibles de la empresa mediante actividades como; establecer políticas de seguridad con
el fin de reglamentar su uso con el objetivo de mitigar el riesgo de pérdida de información y
deterioro. Considero que educar a los empleados ayuda a prevenir brechas de seguridad, por lo
que es preciso incluir prácticas que todos los trabajadores deben seguir para minimizar el riesgo.
Esto implica la prohibición de acceder a páginas web sospechosas, optar siempre por conexiones
HTTPS, no insertar unidades de memoria externas USB sin autorización y no consumir
alimentos encima de los equipos. Para cumplir con lo antes mencionado se plantea realizar
mediante una asignación documental un resguardo del equipo de cómputo, de sus periféricos,
mobiliario y demás componentes al personal donde se les responsabiliza de la salvaguarda y
buen uso del equipo que tienen asignado. Otra actividad dentro de este control es respaldar la
información y saber cómo recuperarla frente al riesgo de que en la empresa no cuenta con copias
de seguridad durante hace 4 años, por lo que se propone hacer respaldos físicos en la nube y/o
realizar copias de seguridad periódicas. Por último, instalar un antivirus de acuerdo a las
necesidades de la empresa. Es importante resaltar y aplicar en la empresa el control del
mantenimiento a instalaciones y construcciones con el fin de mantener en buen estado las
instalaciones del sistema, ya sean eléctricas, las comunicaciones vía telefónica, satelital, modem
u otros medios similares también el mantenimiento de las construcciones del área de sistemas,
incluyendo la iluminación, el medio ambiente y el clima artificial.

Para prevenir la manipulación fraudulenta de la información seleccionados dentro de los riesgos

a los que la información se expone por la manipulación de un usuario, se propone la
implementación de las medidas de seguridad y de los controles necesarios para delimitar el nivel
de acceso de los usuarios y personal al área de sistemas. Vigilar la manipulación de la
información que será procesada en el sistema, así como establecer las medidas necesarias para
controlar su acceso y niveles de uso, actualmente además de la existencia de controles de la
información, de la administración de accesos al sistema, técnicas, programas y métodos de
prevención en la manipulación de la información; se establecen además contraseñas de acceso.
Se considera importante también generalizar la autenticación de doble factor; esta tecnología
permite verificar dos veces la identidad digital, para aumentar la seguridad informática se
recomienda su implantación para el acceso al software contable de la empresa con lo cual se
busca evitar los malos manejos en las bases de datos, en el software institucional, y un mal uso
de la información por parte del personal.

En cuanto a los errores de operación en lo referente a los procesos, en el que los usuarios pueden
modificar, borrar y eliminar archivos sin restricción alguna, para prevenir y corregir los posibles
errores que evidenciamos en la empresa, se propone implementar mecanismos de control que
permitan verificar la exactitud, suficiencia y calidad de los datos que serán procesados, vigilando
el adecuado cumplimiento de la captura y procesamiento centralizado; con estas actividades se
realiza una mejor planeación y un mejor control de la operación del propio centro de cómputo.
Establecer controles por medio de programación, ya sean derivados del sistema operativo, de
lenguajes y paqueterías o de programas de desarrollo y aplicación, ayudan a proteger la
información contenida en los archivos del sistema, ya que solo el usuario autorizado tiene acceso
a ella, también ayudan a proteger dicha información de posibles alteraciones, sean voluntarias o
dolosas.

Referente al riesgo encontrado donde se evidencia que no existen restricciones de horas para
trabajar y los usuarios pueden imprimir, reimprimir y extraer archivos planos sin restricción
alguna, se propone la implementación de los controles administrativos de personal en el que se
manejan de una manera organizada y planeada los aspectos normativos, administrativos y
disciplinarios de la empresa para el manejo del personal, así como de sus sueldos y prestaciones,
derechos y obligaciones, entrada, salida y cumplimiento de las jornadas de trabajo de dicho
personal; mediante registros de asistencia diario, asignación de deberes y responsabilidades,
delegación de funciones, asesorar los procedimientos y supervisar el cumplimiento de las
actividades.
CONCLUSIÓN

La Auditoría permitió la revisión y la evaluación de los controles y procedimientos de los

sistemas de información en general de la empresa en la que se identificaron los riesgos a los que
se encuentra expuesta. Se planteó la propuesta con el fin de que sea tenida en cuenta; su
utilización, eficiencia y seguridad, permitirán que por medio del control interno se logre una
utilización más eficiente y segura de la información que servirá para una adecuada toma de
decisiones ya que proporcionara los controles necesarios para que los sistemas sean confiables y
con un buen nivel de seguridad.
 ANEXO
CUESTIONARIO DE AUDITORÍA

NOMBRE DE LA EMPRESA: DIDÁCTICA SAS NIT 0

CICLO AUDITADO SISTEMAS SISTEMAS DV
PROCESO-CONTROL INTERNO EJECUCIÓN

PREGUNTAS, CONFIRMACIONES Y CUESTIONAMIENTOS CUMPLE NO CUMPLE OBSERVACIONES

SÍ NO
La compañía cuenta con procedimientos de seguridad en los sistemas
informáticos X
Existe un administrador de los sistemas informáticos X
ENTRADAS
El número de usuarios en el sistema coincide con el número de
trabajadores con acceso X
La totalidad de los usuarios del sistema se encuentra identificado X
Existe un protocolo de seguridad (usuario y contraseña) para acceder
al sistema operativo (Windows) X
Existe un protocolo de seguridad (usuario y contraseña) para acceder
al sistema transaccional (Contable) X
Los usuarios son creados de acuerdo con el Manual de funciones de
cargo X
PROCESOS
Existe una adecuada planeación de las actividades x
La empresa cuenta con software de asistencia técnica x
Dispone de un medio para la recuperación de datos originales en
caso de perdida x
La empresa cuenta con software contable x
Existe una correcta administración de cuentas de usuarios y acceso a
recursos x
SALIDAS
Existen políticas de seguridad y acuerdos de confidencialidad x
Las redes sociales son herramientas para la gestión del trabajo de
los empleados x
La pérdida de datos de la empresa se ha dado por:
Error humano x
Daño en el disco duro x
Desastres naturales x
La empresa dispone de software de detección de intrusión x
 BIBLIOGRAFIA

 Muñoz Razo, C. (2002). Auditoria en sistemas computacionales. Pearson Educación.

 Lázaro, J. (2005). Auditoria y sistemas informáticos. Editorial Félix Varela.