Actividad 2 –Control interno en la auditoria de sistemas parte 1

Presentado por

Heyde Torres Cuellar ID: 657964

Brayan Arturo García Rivera ID 628062

NRC-698

Docente

Dorian Tito Olaya

Corporación Universitaria Minuto De Dios

Contaduría Pública
Mayo de 2020
Introducción

El control interno es el sistema por el cual se genera un efecto administrativo de una sociedad

económica. En esta definición, el termino administración se aplica para denominar el consolidado de

actividades idóneas para poder llegar al objetivo de la entidad económica.

También podemos decir que es un conjunto de políticas, principios, procedimientos y mecanismos de

verificación y evaluación que establece la junta directiva o la alta dirección de una organización con el

objetivo de proporcionar un grado de seguridad razonable.

El Control Interno Informático

Puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización,

dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos

informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos

automatizados.

En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos

tipos:

• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin

la utilización de herramientas computacionales.

• Controles Automáticos; son generalmente los incorporados en el software, llámense estos de

operación, de comunicación, de gestión de base de datos, programas de aplicación

Caso.1

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se dedica a la
comercialización de productos de aseo; para entender el alcance de la auditoría, usted se entrevista con el
representante legal de la empresa, quien le manifiesta sus preocupaciones de la siguiente forma:
Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado comercial y financiero,
iniciamos comercializando productos en una oficina en la que laborábamos cinco personas, un asistente
contable y financiero, dos ejecutivos comerciales, un almacenista y yo, como gerente. Hoy en día somos un
equipo de 18 personas, dos en contabilidad, una dedicada a las actividades administrativas, un almacenista,
cinco ejecutivos comerciales y nueve personas en logística.
Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los procesos y tengo la
dificultad que cuando requiero información, no logro tenerla a tiempo. En la actualidad, tenemos un sistema
contable y cada trabajador administrativo y el almacenista tienen asignado un equipo de cómputo, pero no se ha
estabilizado el tránsito de la información.
El computador del almacén se ha dañado tres veces en dos años.
Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos con errores. La
respuesta de los trabajadores es que alguien debe cambiarles su archivo.
Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en el equipo de la
asistente administrativa y la respuesta que me dio fue que el archivo se le perdió.
En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a la red que tiene 20
gigas de velocidad se conectan los 19 equipos de cómputo y 19 dispositivos móviles, pero parecen insuficiente;
todos nos conectamos por WIFI.
Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar riesgos; en su
visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el día están expuestos al sol
y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de administrador para acceder, cada
usuario es administrador de su equipo y puede realizar las acciones que desee en él, cualquier usuario
puede prender un computador o tener acceso a la información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa nunca se ha realizado
una copia de seguridad de los archivos ofimáticos, para el caso del programa de contabilidad, este
realiza de manera automática la copia de seguridad y la almacena en el mismo servidor, pero ninguna de
estas copias reposa fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas páginas y a las
redes sociales en el horario laboral; a la hora de la inspección, la mayoría de quienes manejan los
equipos se encontraban navegando en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y contraseña; sin embargo, se
evidencia que existen cuatro usuarios en el sistema y solo dos trabajadores habilitados para trabajar, no
se logra establecer quién hace uso de los dos usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario contador el cual le
fue prestado, los usuarios nunca han cambiado sus usuarios y contraseñas.
8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir, reimprimir y extraer
archivos planos sin restricción alguna.
9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar archivos sin
restricción alguna, pero el computador identifica el tipo de modificación, la hora y el responsable.
Objetivos

• Verificar el hardware y software a través de un inventario para determinar su estado, legalidad y

componentes.

• Conocer el funcionamiento de cada equipo según el área para determinar permisos y/o softwares no

pertinentes para cada caso, teniendo acceso a las restricciones de hardware y software que permitan la

seguridad integral del equipo.

• Verificar las Políticas, Procedimientos, Reglamentos y Normatividad en General, conociendo el proceso

interno o de ejecución de actividades para establecer los riesgos a los que se ven expuestos.

• Revisar las instalaciones físicas de cada uno de los centros de cómputo y su uso adecuado de

herramientas.

Análisis

Se plantea un estudio general a toda el área en lo que respecta a los Sistemas de información, de una

empresa comercializadora de productos de aseo, con el fin de brindar un acompañamiento y asesoría

para la optimización de buen uso de los recursos tanto físicos como humanos en cuanto al uso de las

herramientas como equipos de cómputo, y todo lo que concierne a su buen rendimiento.

La empresa se expone a diferentes riesgos en cuanto a sus sistemas informáticos, estos riesgos se pueden

presentar en las entradas y salidas de información por ello es importante mitigar cada uno de los riesgos

y mejorar la situación de seguridad.

Para ello es importante crear políticas y procedimientos necesarios que se deben seguir para lograr que

las instrucciones de la administración que se relacionan con los riesgos y sus controles se cumplan, es
importante crear un ambiente de control de cultura organizacional que lo deben fomentar todos los

integrantes de la entidad los principios, valores y conductas orientados hacia el mismos objetivo.

Inicialmente se debe tener en cuenta que los equipos de cómputo al estar en permanente exposición de

luz o agua, pueden ocasionar perdida de la efectividad y disponibilidad de la información. Se puede

generar pérdida total o parcial de la información en cualquier momento, lo recomendable es adecuar el

área de Sistema que permita tener protección, restringir de manera permanente el consumo de alimentos

cerca a los equipos de cómputo para evitar cualquier daño de las maquinas.

El método más común para asegurar el acceso a la información es la protección a través de contraseñas,

de las cuales se pueden imponer distintos niveles. Se pueden instalar las computadoras de tal forma que

se requiera una contraseña antes de que se puedan cargar y ofrecerle al usuario acceso a cualquier

información. Las redes se pueden configurar para que todos los usuarios tengan que ingresar su nombre

y contraseña para que se les permita el acceso, por lo que incluso si una persona no autorizada puede

manejar una computadora a nivel local, no puede ingresar a la red, se debe cifrar la red de la empresa, el

cifrado es una técnica con la cual se altera la información para que esta no sea legible para quienes

lleguen a tener acceso a los datos. En las empresas, la protección de todas las comunicaciones por las

cuales se transmiten datos sensibles debe ser una prioridad corporativa.

De ahí que cifrar contraseñas de usuario, datos personales y financieros, llamadas, lista de contactos, el

acceso a páginas web y al correo electrónico y conexiones a terminales remotos, entre otros, se ha

convertido en una necesidad de primer nivel. Existen sistemas que cifran los datos enviados desde una

página web y evitan el acceso de posibles atacantes y hoy hasta los mensajes que se envían por

WhatsApp son cifrados. Por ellos es importante establecer políticas de seguridad

Este debe ser el punto de arranque para proteger la compañía. Se trata de diseñar a partir del
funcionamiento y las necesidades del negocio, buscando proteger la información, garantizando su

confidencialidad y reglamentar el uso del sistema, con el objetivo de mitigar el riesgo de pérdida,

deterioro o acceso no autorizado. En las policitas seguridad informática se deben incluir elementos

como el hardware, el software y los empleados, para identificar posibles vulnerabilidades y amenazas

externas e internas y de allí establecer medidas de protección y planes de acción ante una falla o un

ataque, importante educar a los empleados pues ellos son claves en la prevención seguridad, por lo que

es preciso incluir las mejores prácticas que todos los trabajadores. Se debe tener total control con los

dispositivos móviles los ataques dirigidos a teléfonos inteligentes usados en las organizaciones ya son

un modelo de delito cotidiano que causa grandes pérdidas financieras y de datos generalmente a través

de aplicaciones de juegos o entretenimiento que parecen inofensivas, pero que recolectan información y

datos de los usuarios. Y, peor aún, ya están atacando los celulares por medio de ‘ransomware’, una

técnica con la que los atacantes secuestran la información del dispositivo a cambio de una recompensa

económica. Importante, está la protección de la red Wi-Fi, una de las ventanas preferidas por los

atacantes por la cual pueden acceder a la red de las empresas. Es importante proteger la de manos

criminales, y hay que empezar por cambiar la clave que viene por defecto en el router por una de alto

nivel de seguridad, así como el nombre de la red.

Utilizar el nivel de seguridad WPA2 (el más seguro), reducir los rangos de direcciones IP permitidas y

autenticar a todas las personas que se conectan a dicha red.

La empresa debe respaldar la información y debe saber cómo recuperarla y una compañía que

mantiene copias de seguridad periódicas de su información es capaz de recuperarse más rápido de

cualquier ciberataque. Se pueden hacer respaldos físicos, en la nube o una combinación de ambas. La

opción que se escoja depende en gran medida de las necesidades de la empresa, pero lo ideal es que se
 cuente con una alternativa que se haga de manera automática y periódica. También puede encriptar los

backups con una contraseña, en caso de que quiera cuidar información confidencial.

Alcance de la Auditoría.

• Sistema de seguridad de Hardware y Software

• Políticas de Seguridad Informática.

• Análisis de Riesgos.

Identificación de riesgos potenciales

• Mala ubicación de equipos de cómputo, se encuentran expuestos a la radiación solar y agua.

• Consumo de alimentos sobre los equipos.

• Falta de seguridad en cuanto a usuarios y contraseñas.

• Falta de copias de seguridad.

• Falta de restricciones de acceso a internet.

• Software contable sin seguridad.

• Los usuarios y contraseñas usados en el software contable son de personas que ya no laboran en la

entidad.

Conclusiones

Es importante que las medidas de seguridad sigan avanzando, puesto que las compañías necesitan contar con
sistemas altamente protegidos y con buena manipulación de las herramientas de trabajo por parte de sus
empleados, es por ello que es necesario establecer una policitas de seguridad efectivas que logren mitigar el
riesgo, los hackers suelen realizar sus acciones principales en la red, aunque también hay que tener especial
cuidado con el software y el hardware, por este motivo, debe existir seguridad informática para cada uno de
estos tres elementos *Seguridad online *Seguridad en software*Seguridad en hardware
Recomendaciones

• Reubicación de los equipos de cómputo, a un lugar alejado de ventanas y rayos solares, así mismo en

una adecuada elevación del suelo con el fin de evitar riesgos de inundaciones.

• Creación de usuarios y contraseñas tanto para acceso a equipos como al software contable.

• Estipular y realizar copias de seguridad.

• Restringir acceso a internet y aplicaciones de acuerdo al perfil de cada empleado con acceso a equipo de

cómputo.

• Se sugiere un cambio de proveedor de internet o estilo de red, una red cableada es lo mejor, y limitar los

usuarios Wifi.

• Generar políticas de seguridad informática

• Prohibir consumo de bebidas y alimentos en los puestos de trabajo con equipos de cómputo
Bibliografía

http://www.ebooks7-24.com.ezproxy.uniminuto.edu/stage.aspx?il=5032&pg=&ed=
https://ebookcentral.proquest.com/lib/bibliouniminutosp/reader.action?docID=3191643
https://sites.google.com/site/navaintegdesign/temario/1-4-control-interno
http://revistas.utp.edu.co/index.php/revistaciencia/article/view/2879/1621
https://www.portafolio.co/innovacion/siete-recomendaciones-para-proteger-los-sistemas-informaticos-
de-su-compania-506755