Actividad 7

Presentado por

Heyde Torres Cuellar ID: 657964

Brayan Arturo García Rivera ID 628062

NRC-698

Docente

Dorian Tito Olaya

Corporación Universitaria Minuto De Dios

Contaduría Pública
Mayo de 2020
 OBJETIVOS

OBJETIVO GENERAL

Realizar una evaluación completa de los controles del sistema, así mismos

procedimientos de los equipos de cómputo, su utilización, eficiencia y la seguridad del

mismo. de igual manera un análisis de la organización y las áreas que participan en el

proceso de la información, con el fin de establecer y asegurar una estructura operacional

óptima.

OBJETIVOS ESPECÍFICOS

• Analizar el diseño y prueba de los sistemas del área informática de la oficina

• verificar la veracidad de la información

• evaluar los procedimientos de control utilizados dentro de la organización.

• evaluar la forma en la que se administran los sistemas informáticos y la

información de la compañía.

• evaluar el control que se lleva a cabo en las fallas de los equipos informático y

su mantenimiento.

• Evaluar el sistema físico de los equipos informáticos.

PLANEACIÓN

PLANEACIÓN DE AUDITORÍA

EMPRESA: Comercialización de Productos de FECHA:30-05-2020 HOJA

Aseo N°

FASE ACTIVIDAD HORAS ENCARGADOS

ESTIMADAS

I VISITA PRELIMINAR 8 HS.

Solicitud de Manuales y

Documentaciones.

Recopilación de la información

organizacional: estructura orgánica,

recursos humanos, presupuestos.

II DESARROLLO DE LA AUDITORÍA 32

HS.
Entrevistas a líderes y usuarios más relevantes de

la dirección.

Análisis de las claves de acceso, control, seguridad,

confiabilidad y respaldos.

Evaluación de la estructura orgánica: departamentos, puestos,

funciones, autoridad y responsabilidades.

Evaluación de los Recursos Humanos y de la situación

Presupuestal y Financiera: desempeño, capacitación,

condiciones de trabajo, recursos en materiales y financieros

mobiliario y equipos.

Evaluación de los sistemas: relevamiento de Hardware y

Software, evaluación del diseño lógico y del desarrollo del

sistema.

Evaluación del Proceso de Datos y de los Equipos de

Cómputos: seguridad de los datos, control de operación,

seguridad física y procedimientos de respaldo.

III REVISIÓN Y PRE-INFORME 16

HS.
Revisión de los papeles de trabajo.

Determinación del Diagnóstico e Implicancias.

Elaboración de la Carta de Gerencia.

Elaboración del Borrador.

 IV INFORME 4

HS.
Elaboración y presentación del Informe.

PLAN DE AUDITORÍA

Antecedentes: Verificación y Estudio general a toda el área en lo que respecta a los

Sistemas de información.

En la empresa que se dedica a la comercialización de productos de aseo se realizará

anualmente un plan de seguimiento a todos los procesos técnicos y sistemáticos, esto

debido a que la empresa requiere la acreditación de calidad en el manejo de sus

procesos y para ello se hace necesario realizar auditorías internas permanentes y de tipo

externo periódicamente para lograrlo.

Uno de los recursos tecnológicos disponibles es el de la red de datos que opera en la

sede y que lo esperado es que certifique bajo las normas en seguridad de la información.

Alcance y delimitación: La presente auditoría pretende identificar las condiciones

actuales del hardware, la red de datos y eléctrica de la empresa de comercialización con

el fin de verificar el cumplimiento de normas y la prestación del servicio de internet para

optimizar el uso de los recursos existentes para mejorar el servicio a los usuarios internos

y externos.
Los puntos a evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

• Instalaciones eléctricas

• Instalación cableada de la red de datos

• Sistemas de protección eléctricos

• Seguridad de acceso físico a las instalaciones

De equipos o hardware se evaluará:

• Inventarios de hardware de redes y equipos

• Mantenimiento preventivo y correctivo de equipos y redes

• Los programas de mantenimiento de los equipos de cómputo y redes

• Personal encargado de mantenimiento

Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se

realizarán las siguientes actividades.

1. Investigación preliminar: visitas a la empresa para determinar el estado actual,

entrevistas con administradores y usuarios de las redes para determinar posibles fallas.
2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos para

listas de chequeo, diseño de formatos para cuestionarios, diseño del plan de pruebas.

3. Aplicación de instrumentos: Aplicar entrevistas al administrador y empleados,

usuarios internos y externos si lo hay, aplicar listas de chequeo para verificar controles.

4. Ejecución de las pruebas: ejecutar las pruebas para determinar equipos obsoletos en

cuanto al hardware, ejecutar pruebas sobre la red.

5. Realizar el proceso de análisis y evaluación de riesgos: elaborar el formato de

medición y amenazas que se le pueden presentar, determinando los riesgos en una matriz.

MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS

IMPACTO

NIVEL DESCRIPTOR DESCRIPCIÓN

1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias o

efectos mínimos sobre la entidad.

2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o

efecto sobre la entidad.

3 Moderado Si el hecho llegara a presentarse, tendría medianas

consecuencias o efectos sobre la entidad.

4 Mayor Si el hecho llegara a presentarse, tendría altas

consecuencias o efectos sobre la entidad.

5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas

consecuencias o efectos sobre la entidad.

PROBABILIDAD

DESCRIPTOR DESCRIPCIÓN FRECUENCIA

Raro El evento puede ocurrir sólo en No se ha presentado en los

circunstancias excepcionales últimos 6 meses.

Improbable El evento puede ocurrir en algún Se ha presentado al menos 1

momento vez en los últimos 6 meses.

Posible El evento puede ocurrir en algún Se ha presentado al menos de

momento. 1 vez 5 meses.

Probable El evento probablemente ocurrirá Se ha presentado al menos 1

en la mayoría de las vez en los últimos 3 meses.

circunstancias

Casi Seguro Se espera que el evento ocurra en Se ha presentado más de 3

la mayoría de las circunstancias veces al año

B Zona de riesgo Baja: Asumir el riesgo

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo

A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir

E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

EVALUACIÓN Y MEDIDAS DE RESPUESTA

PROBABILIDAD IMPACTO

Insignificante Menor Moderado Mayor Catastrófico

(1) (2) (3) (4) (5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

proceso de evaluación de los riesgos encontrados en cada uno de los procesos

evaluados.

N° Descripción Impacto Probabilidad

R1 Los computadores no están configurados con claves 5 3

de usuario ni de administrador para acceder, Ningún

computador tiene clave de ingreso

R2 Funcionamiento inadecuado de las aplicaciones de 4 3

software. Los usuarios tienen libre acceso a diversas

páginas y a las redes sociales, usuarios desconocidos.

Se evidencia préstamo de usuarios y claves

R3 Indisponibilidad del servidor o equipos de computo 4 4

R4 Funcionamiento inadecuado del almacenamiento, 3 2

pueden modificar borrar y eliminar archivos sin

restricción alguna.

R5 Fallas en las telecomunicaciones y/o fluido eléctrico 3 3

R6 Desactualización Software 2 2

R7 Pérdida de información por virus informáticos. 5 3

R8 Incumplimiento en el reporte de la información, 4 3

usuarios pueden imprimir, reimprimir y extraer

archivos planos sin restricción alguna.

 R9 Uso indebido de la información 3 2

R10 Inadecuada utilización del portal Web de la empresa 3 3

R11 Desconocimiento de los avances del Plan Estratégico 3 2

R12 Accesos no autorizados a las instalaciones del área 3 3

tecnológica

Hallazgos

Aunque no existe documentación sobre auditorías anteriores ni verificación o

evaluación de riesgos sobre el sistema y las actividades realizadas, si se habían

detectado falencias en las actividades, se había destinado personal para

realizar controles he impedir y prevenir posibles fraudes o pérdidas de información sin

embargo los riesgos tampoco se han clasificado por niveles de criticidad.

No se encontró una política claramente documentada para el manejo de riesgos que

presentan nivel de criticidad medio o moderada en el sistema

Mala ubicación de equipos de cómputo, se encuentran expuestos a la radiación solar y

agua, consumo de alimentos sobre los equipos, falta de seguridad en cuanto a usuarios y

contraseñas, falencias en las copias de seguridad, falta de restricciones de acceso a

internet. Software contable sin seguridad. Los usuarios y contraseñas usados en el

software contable son de personas que ya no laboran en la entidad. No se encontró

la adopción de las políticas de seguridad en el procesamiento de datos, revisión

metodológica del sistema para proponer mejoras al diseño inadecuado o cuestionable de

algunos módulos.

Recomendaciones:

1. Implementar el software de administración de riesgos y establecimiento de

controles al sistema en general

2. Capacitar al personal encargado de auditar el sistema, sobre la identificación de

riesgos, medición e implementación de controles

3. Reubicación de los equipos de cómputo, a un lugar alejado de ventanas y rayos

solares, así mismo en una adecuada elevación del suelo con el fin de evitar riesgos

de inundaciones.

4. Creación de usuarios y contraseñas tanto para acceso a equipos como al software

contable.

5. Estipular y realizar copias de seguridad.

6. Restringir acceso a internet y aplicaciones de acuerdo al perfil de cada empleado

con acceso a equipo de cómputo.

7. Se sugiere un cambio de proveedor de internet o estilo de red, una red cableada es

lo mejor, y limitar los usuarios Wifi.

8. Generar políticas de seguridad informática