CONTROL INTERNO EN AUDITORÍA DE SISTEMAS.

ANDRÉS FERNANDO RAMÍREZ MENDOZA.

JESSICA ALEJANDRA GUTIERREZ ARCHILA.

AUDITORÍA DE SISTEMAS NRC 9806.

DOCENTE: HELBER MIGUEL JAIMES SANDOVAL.

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS UNIMINUTO.

PROGRAMA DE CONTADURÍA PÚBLICA.
BUCARAMANGA 2020.
 CASO DE APLICACIÓN:

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se
dedica a la comercialización de productos de aseo; para entender el alcance de la auditoría,
usted se entrevista con el representante legal de la empresa, quien le manifiesta sus
preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales, un
almacenista y yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en
contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco ejecutivos
comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los
procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo. En la
actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista
tienen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos

con errores. La respuesta de los trabajadores es que alguien debe cambiarles su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en
el equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se le
perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a
la red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19 dispositivos
móviles, pero parecen insuficientes; todos nos conectamos por WIFI.
Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar
riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están Cuando los equipos de tecnología y

ubicado frente a las ventanas por lo comunicación se encuentran expuestos a
que todo el día están expuestos al
sol y, en algunas ocasiones, a éstos
salpicaduras de agua.
factores ambientales como el sol y al agua,
se van deteriorando con mayor
facilidad, este riesgo tiene dos consecuencias
que se presente el daño total del equipo y que
toda la información contenida en éste, se
pierda debido a que la información no se
encuentra salvaguarda en un servidor de
almacenamiento.
Mitigación del riesgo: ubicar y localizar los
equipos donde no se encuentren expuestos a
los factores ambientales como el aguay el sol
para que así se pueda evitar el deterioro de
los activos fijos y de la información de la
organización.

2. Los trabajadores consumen El riesgo de que un equipo de cómputo se

alimentos sobre sus equipos de dañe por el consumo de alimentos es muy
cómputo. alto, sobre todo por el esparcimiento de
bebidas sobre el hardware de los equipos.
Mitigación del riesgo: Se realiza
recomendación para que se establezcan
lugares y horarios adecuados para el
consumo de alimentos dentro de la
organización.

3. Los computadores no están El riesgo que puede presentarse en esta

configurados con claves de usuario situación es muy alto porque cualquier
 ni de administrador para acceder,
cada usuario es administrador de
su equipo y puede realizar las
acciones que desee en él, cualquier
usuario puede prender un
computador o tener acceso a la
información que se almacena.
4. Ningún computador tiene clave de Los equipos cómputos no están protegidos,
ingreso, en los cuatro años que
lleva la empresa nunca se ha
realizado una copia de seguridad de
los archivos ofimáticos, para el de la información, la manipulación incorrecta
caso del programa de contabilidad,
este realiza de manera automática
la copia de seguridad y la almacena
en el mismo servidor, pero ninguna
de estas copias reposa fuera de la
máquina.
funcionario puede hacer mal uso de la
información de la organización, y esto
obedece a que la empresa didáctica no ha
implementado una asignación respectiva de
usuarios con permisos y controles para cada
funcionario pueda entrar al sistema a realizar
sus funciones que desempeña y así mismo
guardar información con sus respectivas
copias de seguridad, para que otros personas
no ingresen a sus equipos a diferencia de la
alta gerencia.
Mitigación del riesgo: se le recomienda a los
Administradores que implementen
herramientas y medidas de protección de
cada equipo y que dichas claves de acceso
sean conocidos por alta gerencia, por
cualquier eventualidad, de esta manera otros
usuarios no podrán robar o hacer uso
incorrecto de la información de la compañía.
es decir que cualquier persona puede tener
acceso a la información, esta situación
presenta un alto riesgo con el robo y pérdida
por funcionarios, la compañía debe tomar
medidas necesarias de protección en las
claves de acceso y esto es configurando los
equipos con usuario y contraseña para cada
funcionario ( el gerente conocerá los usuarios
y contraseñas y solo ingresara en momentos
que se requieran o para procedimientos de
auditoría), de esta manera, se detalla que
solo el encargado del equipo computo puede
ingresar y realizar sus funciones y los demás
trabajadores no tendrán acceso.
En el caso particular del software contable
que realiza una copia de seguridad en el
mismo equipo y no se salvaguarda esta
información en un disco duro adicional o un
servidor de alta capacidad, la compañía está
incurriendo en un alto riesgo que en el caso
particular que se dañe el equipo por factores
ambientales como se expuso en la primera
situación, la empresa didáctica sas no cuenta
con registro adicional de sus transacciones y
pierda toda su información de clientes,
proveedores, pagos y demás.
Los riesgos más relevantes que se pueden
presentar en este caso son los siguientes:
Acceso no autorizado a equipos e
información, uso no autorizado de equipos,
las sesiones de los computadores no son
bloqueadas por los usuarios al levantarse de
los equipos, interceptación de la información,
hurto de medios o documentos, divulgación
de información confidencial, entre otros.
Mitigación del riesgo: Para reducir el riesgo
planteado en este caso y prevenir todas las
amenazas mencionadas anteriormente es
necesario establecer políticas de privacidad y
control de acceso a la información y a los
equipos para cada funcionario pueda
responder de acuerdo a sus acciones en los
desempeños de sus tareas asignadas.
Consideramos que la empresa debe
asesorarse en procesos de calidad para

5. En cuanto al uso del Internet se
detecta que los usuarios tienen navegación de internet en los equipos de
libre acceso a diversas páginas y a
las redes sociales en el horario
laboral; a la hora de la inspección,
la mayoría de quienes manejan los
equipos se encontraban navegando
en YouTube.
diseñar un plan estratégico para mitigar todos
los riesgos mencionados en este numeral.
Se evidencia que no existe control para la
cómputo por parte de los trabajadores,
tampoco se encuentra establecido dentro del
reglamento interno de trabajo las sanciones
disciplinarias por el uso indebido de los
equipos de cómputo y sus páginas
consultadas.
La empresa debe necesariamente
implementar medidas de bloqueos de páginas
no autorizadas como YouTube y redes
sociales en los equipos de cómputo , con
esto, garantiza y evita que los usuarios no
puedan navegar través de los exploradores a
sitios no necesarios para desempeñar sus
funciones, adicionalmente bloquea categorías
específicas de navegación, como correo web,
evitando que los usuarios compartan
información a través de sitios web o a través
de sus correos personales, el ingreso a redes
sociales si así lo desee la empresa configura
estos equipos y bloquea los accesos a ciertas
páginas.
Mitigación del riesgo: Es necesario que la
empresa cuente con un Firewall donde
permite el Bloqueo de acceso a la información
no autorizado desde fuera de la Compañía
con estos estamos mitigando los riesgos
como: Pérdida de tiempo de los empleados y
menos productividad en sus procesos, y el
riesgo de descarga de virus que se roben o
 dañen la información.

6. Para acceder al software contable, Software contable que tiene la empresa no se

los usuarios se identifican con le están haciendo las actualizaciones,
usuario y contraseña; sin embargo, mantenimientos y capacitación por parte del
se evidencia que existen cuatro proveedor tecnológico donde se evidencia
usuarios en el sistema y solo dos que hay cuatro usuarios y no se tiene
trabajadores habilitados para establecido el nombre de las personas
trabajar, no se logra establecer responsable de su manipulación, a la hora de
quién hace uso de los dos usuarios hacer registros no se sabe quién los hizo por
desconocidos. eso es importante que la parametrización
inicial se establezcan los permisos por cada
usuario y a cuando se presenten auditorias y
revisorías futuras se encuentre esta
información los riesgos presentes: Pérdida de
información, divulgación de la información
financiera de la empresa, alto riesgo expuesto
para fraudes, alteración de documentos,
modificar, borrar y eliminar archivos sin
identificación del usuario.

7. A la hora de la auditoría, se detecta Se evidencia que existe un riesgo muy alto

que el asistente contable trabaja por mala manipulación de la información que
con el usuario contador el cual le tiene la empresa en su protección de la
fue prestado, los usuarios nunca información contable al no hacer el cambio de
han cambiado sus usuarios y usuarios y contraseñas la ignorancia y la
contraseñas. confiabilidad del representante legal de la
entidad deja mucho que pensar, porque es un
riesgo alto tanto como para el contador y el
representante legal que a cualquier delito
ellos son los primeros en estar implicados, por
eso es importante tener definidas las
funciones y políticas contable de una
 organización para estipular cada
procedimiento y las consecuencias graves
que se tienen a la hora de incumplirlas; se
evidencia que el asistente contable trabaja
con el usuario del contador porque los otros
usuarios no están establecidos todo esto se
expone a la fuga de información.

8. No existen restricciones de horas Esto se presenta debido a que no se cuenta

para trabajar y los usuarios pueden con ningún control que permita monitorear las
imprimir, reimprimir y extraer impresiones que realizan a los empleados, en
archivos planos sin restricción los cuales se pueden presentar impresiones
alguna. de documentos confidenciales y salir de la
empresa sin que presente ninguna
trazabilidad.
Mitigación del riesgo: identificar horas y
momentos laborales e indicar dentro del
reglamento interno de trabajo que no se
encuentra autorizado el desempeño de
funciones fuera del horario laboral a diferencia
que se requiera y sea estrictamente necesario
y que sea direccionado por parte de la alta
gerencia dentro de las instalaciones de la
compañía con la respectiva remuneración
salarial por horas extras.

9. En lo referente a los procesos, los Al presentarse este tipo de situaciones con la

dos usuarios pueden modificar documentación se deduce que la información
borrar y eliminar archivos sin no es confiable ya que tiene alteraciones por
restricción alguna, pero el parte de quienes la manipulan es importante
computador identifica el tipo de hacer las auditorías a cada proceso por parte
modificación, la hora y el del representante legal en compañía del
responsable. contador y los supervisores para evitar que
 los empleados alteren la información y se
tomen atribuciones que expongan en peligro a
la integridad de la empresa.
Mitigación del riesgo: La empresa cuenta con
un beneficio que es conocer que persona
realiza una modificación, pero no realiza
auditorías a sus sistemas regularmente,
entonces es necesario establecer dentro de
sus políticas contables indicar la periodicidad
de tiempo para realizar auditorías y controles,
así como salvaguardar la información
transaccional de la compañía en lugares
seguros y confiables.

PREGUNTAS DE ORIENTACIÓN:

1. ¿Encuentra útil o inútil restringir con contraseña el acceso a los computadores de la

compañía?
Es muy útil y estrictamente necesario proteger el acceso a los computadores de la
compañía, toda vez que es indispensable controlar las funciones que realiza cada
funcionario de la organización con esto, evitaremos suplantaciones de identidad y fallas
en los procesos estandarizados para cada empleado.

2. ¿Cuál es la importancia de mantener un procedimiento de claves confidenciales en el

acceso a los sistemas de cómputo?
La importancia de mantener un procedimiento de claves confidenciales en el acceso a
los sistemas de cómputo radica esencialmente para proteger la confidencialidad de la
información. Los trabajadores que tengan permisos para acceder y manejar información
confidencial, deben adquirir responsabilidades para que su labor en la compañía sea
eficaz. Además los usuarios tienen la responsabilidad de proteger sus equipos de
trabajo, gestionar su lugar de trabajo y las contraseñas de acceso. Para el tema de las
contraseñas, es imprescindible que la organización cuente con una política de gestión
de las mismas y establezca buenas prácticas en temas de seguridad.
 3. ¿Cuál es la importancia de reducir privilegios en su sistema de información?
La importancia de reducir privilegios radica esencialmente en la DELEGACIÓN DE
AUTORIDAD Y RESPONSABILIDAD, con este mecanismo se puede garantizar el buen
funcionamiento de los sistemas de información, y para ello es indispensable hacer una
distribución adecuada de los límites de autoridad y responsabilidad, su finalidad es
obligar a cada funcionario cumplir con las tareas, funciones y procedimientos
encomendados. Sin embargo, existen permisos y privilegios de acuerdo a su jerarquía
de acuerdo con Muñoz, C. (2002) en Auditoria en Sistemas Computacionales, “Un
principio fundamental de la organización en la ciencia de la administración, es que la
autoridad se delega a subordinados, pero la responsabilidad se comparte entre todos
los integrantes del área de sistemas”. Es por esta razón que, es indispensable contar
con privilegios asignados y optimizar las funciones de cada funcionario, para que no se
pueda modificar, eliminar o alterar información por parte de personal no autorizado, y
como se indica anteriormente la responsabilidad no es de una sola persona cuando se
encuentra afectada toda la organización.

LISTADO DE RIESGOS DE CONTROL INTERNO ESPECÍFICAMENTE:

- Robo de información por impresiones de documentos confidenciales de la organización

sin ningún control respectivo.
- Pérdida de información por la no trazabilidad de las operaciones transaccionales del
sistema contable por parte de los funcionarios de la organización.
- Pérdida, robo o uso indebido de la información de la compañía por el inadecuado uso y
protección de asignación de usuarios y contraseñas.
- Pérdida de información por daño de equipos de cómputo y comunicaciones por factores
ambientales y condiciones poco favorables de uso e instalación.
- Uso fraudulento de equipos e información que no se encuentra protegido por claves de
acceso para robo o suplantación de identidad de funcionarios.
- Fuga de información por no bloqueo automático de pantalla, por inactividad de labores
de los funcionarios.

LOS RIESGOS DE INGRESO A SISTEMAS INFORMÁTICOS Y SU AUTENTICACIÓN:

 - No ingresar a enlaces sospechosos.
- No acceder a sitios web de dudosa reputación.
- Actualizar el sistema operativo y de aplicaciones.
- Aceptar invitación de contactos conocidos.
- Recibir emails seguros.
- Descargar aplicaciones desde sitios web oficiales y confiables.
- Evitar la ejecución de archivos sospechosos.
- Utilizar tecnologías de seguridad y de protección de virus.
- Evitar el ingreso de información personal en formularios dudosos.
- Utilizar contraseñas poco seguras.

CUESTIONARIO DE AUDITORÍA

NOMBRE DE LA EMPRESA: DIDÁCTICA SAS NIT 804.004.765-6

CICLO AUDITADO SISTEMAS SISTEMAS DV   BUCARAMANGA
PROCESO-CONTROL INTERNO EJECUCIÓN    
       
PREGUNTAS, CONFIRMACIONES Y NO
CUMPLE CUMPLE OBSERVACIONES
CUESTIONAMIENTOS
SÍ NO
 La compañía no cuenta con la
orientación necesaria de
La compañía cuenta con procedimientos de seguridad en los protocolos y procedimientos de
sistemas informáticos.   X seguridad en los sistemas.
 Dentro de su planta de personal
no se cuenta con administrador
Existe un administrador de los sistemas informáticos   X de sistemas informáticos.
ACCESOS    
 Varios trabajadores utilizan
usuarios repetidos y no se tiene
El número de usuarios en el sistema coincide con el número control sobre el manejo directo
de trabajadores con acceso X del sistema.
Usuarios administrativos cuenta
con claves de acceso de
La totalidad de los usuarios del sistema se encuentran profesionales de auditoría y
identificados. X revisión como el del contador.
Existe un protocolo de seguridad (usuario y contraseña) para La empresa no cuenta con un
acceder al sistema operativo (Windows) X sistema de seguridad.
Existe un protocolo de seguridad (usuario y contraseña) para
acceder al sistema transaccional (Contable) X -
Los empleados no tienen
objetividad en la asignación de
sus funciones y no responden por
Los usuarios son creados de acuerdo con el Manual de las consecuencias y errores
funciones de cargo X cometidos.
Cada empleado cuenta con sus propios implementos de
trabajo. X -
No existe el control respectivo ya
que los auxiliares cuentan con
Existe control en los privilegios otorgados del acceso a los usuarios de personas de mayor
sistemas de la organización. X jerarquía.
 No existe un control respectivo
para que la empresa destine a
una sola persona encargada de
diligenciamiento de información
Existe un control sobre el diligenciamiento de información de la empresa para trámites
confidencial de la organización en formularios dudosos. X administrativos y financieros.
Existe un amplio riesgo, cualquier
funcionario puede acceder e
ingresar a enlaces sospechosos
que se pueden ser destinados
para robo de información.
Permisibilidad para ingresar a enlaces sospechosos. X (hacker)
No tienen control, se evidencia
Acceso e ingreso a aplicaciones desde sitios web no oficiales que no se tiene control de acceso
y poco confiables. X a sitios web no oficiales.
La empresa no controla la
ejecución de nuevos programas y
aplicaciones nuevas en los
computadores, se puede
presentar robo o fuga de
información por parte de los
empleados o usuarios externos a
Acceso a procedimientos para ejecutar programas y través de las nuevas aplicaciones
aplicaciones nuevas en los equipos de cómputo. X instaladas.
PROCESOS
No se evidencia, y todos los
usuarios tiene acceso a la
información contenida en los
Existe un servidor donde se almacene y se mantenga la equipos para extraerla con la
información confidencial de la organización. X facilidad.
No reciben inducción sobre el
desempeño de sus funciones,
tampoco identifican los posibles
Los funcionarios reciben capacitaciones para el buen uso de riesgos de la pérdida de
los sistemas informáticos y equipos de trabajo. X información de la compañía.
No se realiza ningún tipo de
Se efectúa mantenimiento y revisión al software contable, así mantenimiento ni a los equipos ni
como a los equipos de cómputo con cierta periodicidad. X al sistema contable
No realizan copias de seguridad
Existe un proceso adecuado para realizar copias de seguridad en archivos de información de la
de archivos de Microsoft office. X empresa.
Existe control sobre el acceso por parte de los empleados a la No existen restricciones de horas
información en periodos de tiempo fuera del horario laboral. X para trabajar.
No cuenta con la capacidad
suficiente de navegación para la
La conexión de internet WIFI únicamente se encuentra cantidad de equipos, tampoco se
establecida para equipos de la empresa X tiene control de la contraseña.
Se establecen medidas de protección para salvaguardar la Existen riesgos ambientales que
existencia de los activos fijo como equipos de computo de la ocasionan daños a los bienes
empresa X muebles de la organización.
Restricción del acceso a páginas de navegación diferentes a Se evidencia que los funcionarios
las establecidas por la organización para el desarrollo de sus navegan en páginas no
funciones asignadas. autorizadas como youtube dentro
X de horarios laborales.
Se tiene control sobre los privilegios de edición, modificación y No cumple ya que cualquier
eliminación de transacciones en el área operativa de la funcionario puede modificar y
empresa. X eliminar transacciones
No cualquier funcionario puede
acceder a documentos, archivos
y campos de otro funcionario sin
Los funcionarios tienen acceso exclusivamente a archivos que exista un control respectivo
necesarios para ejercer sus funciones asignadas. X de manipulación.
La empresa no asegura sus
archivos, se evidencia que el
Se establecen recursos o archivos seguros para el archivo importante de inventarios
almacenamiento de información sin que incurra en la pérdida se perdió de los archivos de
de archivos. X cómputo de la organización.
Pérdida de información por la no trazabilidad de las X No cuenta con vigilancia y control
 través de indicadores de gestión
operaciones transaccionales del sistema contable por parte de de las funciones de los
los funcionarios de la organización. trabajadores.
La empresa no cuenta con la
vigilancia de supervisores, se
Se tiene un control específico sobre el cumplimiento de puede presentar el desperdicio
actividades asignadas. X de horas de trabajo.
No tienen control sobre el tiempo
destinado para el trabajo diurno,
la empresa puede incurrir en un
Existe control sobre el cumplimiento del reglamento interno de pasivo contingente por demandas
trabajo en lo que concierne a horas legalmente constituidas de laborales por pago de horas
trabajo. X extras.
Se detecta que existen 2
usuarios de acceso al sistema
contable, pero se desconoce a
quien corresponden y a la fecha
no se realizado el respectivo
bloqueo de los mismos. Riesgo
muy alto de robo de información
Se tienen usuarios completos y asignados. X por parte de terceros.
En el momento en que incurra la
inactividad de un funcionario en
su equipo, otro funcionario puede
acceder al equipo y realizar
Fuga o robo de información por no bloqueo automático de modificaciones o robar cualquier
pantalla, por inactividad de labores de los funcionarios. X tipo de información.
SALIDAS
No hay control, los empleados
Pérdida de la información y/o datos X pueden usar todos los archivos.
La empresa puede detectar la
fecha y la hora en que se efectúa
alguna modificación en las
Corrupción o modificación de la información X transacciones del sistema.
 La empresa no cuenta con
Cuenta con un proceso de restricción para la salida de ningún protocolo para la salida de
información.  X información.
 Cumple con todas las opciones
para solicitar una ampliación de
Implementación de opciones para cambio de operador de cobertura de la conectividad de
Internet.  X    internet.
No cuenta con computadores
Inventario de sistemas de cómputo en caso de daño.    X   disponibles en caso de daños. 
Fuga de información por impresiones de documentos No existe control en la impresión
confidenciales de la organización sin ningún control y re impresión de documentos
respectivo. X   confidenciales de la compañía.
La empresa no cuenta con
seguridad para evitar el uso
fraudulento para extraer base de
datos, debido a que los mismos
Supervisión sobre el robo de base de datos de cliente para pueden ser compartidos por
negociar ventas de usuarios y clientes a otras empresas X correos electrónicos.
No tienen controles, puesto que
existen 2 usuarios de acceso al
portal contable que no han sido
Control sobre el robo de información por parte de de terceros. X identificados.
La empresa no cuenta con un
equipo especializado para
bloquear accesos y claves de
usuarios inactivos o egresados
Control sobre bloqueos de usuarios inactivos o egresados de de la empresa. Ellos pueden
la compañía. X robar información.
No cuentan con las medidas
preventivas para garantizar la
Adquisición de seguros y fianzas para equipos y sistemas de reposición de activos informáticos
información. X en caso de alguna contingencia.
Rutina de monitoreo y evaluación de operaciones X La empresa no realiza monitoreo
relacionadas con la base de datos y cuando desea realizarlo, no
 cuenta con una copia de respaldo
de la información, es decir se
pierda información valiosa de la
compañía.
No se encuentra establecidos
permisos de acceso denegados
para uso exclusivo de ingenieros
de sistemas para el
Controles y autorización para el mantenimiento de equipos de mantenimiento de equipos de
cómputo para el descifrado confidencia de archivos cómputo para evitar la fuga de
informáticos X información confidencial.
En el momento en que los
funcionarios acceden a páginas
no autorizadas por la compañía,
incurren en que se pueda
presentar un ataque de un virus
informático que pueda robar la
 Ataque de virus informáticos.     X   información. 

INVESTIGACIÓN MODELO COBIT

La Tecnología de Información y Tecnologías relacionadas. El modelo es el resultado de
una investigación con expertos de varios países, desarrollado por ISACA-Information Systems
Audit and Control Association «El sistema COBIT, es el producto de un proyecto de varias
personas de diferentes nacionalidades; con el interés de poder desarrollar un sistema que
permita a la empresa poder obtener resultados de los procesos que se realizan dentro de cada
empresa. Según Almanza Gómez, C OBIT es la para identificar Objetivos de Control para las
Tecnologías de Información y Relacionadas. Este sistema de control está constituido por un
conjunto de prácticas orientadas para el manejo de los procesos relativos a la información». 

El Sistema de Control para las tecnologías de información y Relacionadas, es

construido por un conjunto de prácticas dirigidas al desarrollo de los procesos de la
información, dentro de las que se destacan la distribución, almacenamiento y
administración, permiten asegurar que los resultados, estén enfocados hacia los requerimientos
del negocio empresa u organización. 

COBIT, es una herramienta de gobierno de las tecnología de la información que ha

cambiado la forma en que trabajan los profesionales de tecnología. Relacionando tecnología
informática y prácticas de control, este sistema o modelo refuerza los estándares globales que
sobresalen en un recurso crítico para la administración de gerencia, los profesionales de control
y los auditores. «El sistema COBIT es precisamente un modelo para auditar la gestión y control
de los sistemas de información y tecnología, orientado a todos los sectores de una
organización, es decir, administradores, usuarios y por supuesto, los auditores involucrados en
el proceso».

[ CITATION Jul17 \l 9226 ]

Este sistema se puede utilizar y aplicar en organizaciones de diferentes tipos y todos los
tamaños, Habilitadores de COBITsin importar el sector de desarrollo de la empresa puede ser
privado, público o entidades sin fines de lucro.

PRINCIPIOS DE COBIT HABILITADORES DE COBIT

1. Satisfacer las necesidades del accionista. 1. Principios, políticas y modelos de
2. Considerar la empresa de punta a punta. referencia.
3. Aplicar un único modelo de referencia 2. Procesos.
integrado. 3. Estructuras organizacionales.
4. Posibilitar un enfoque holístico. 4. Cultura, ética y comportamiento.
5. Separar gobierno de la gestión. 5. Información.
6. Servicios, infraestructura y aplicaciones.
7. Gente, habilidades y competencias.

MODELO DE CONTROL INTERNO COBIT

Las siglas COBIT significan Objetivos de Control para Información y Tecnologías relacionadas.

Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto
de procesos naturalmente agrupados para proveer la información pertinente y confiable que
requiere una organización para lograr sus objetivos:

-Planificación y organización
-Adquisición e implantación
-Soporte y servicio
-Monitoreo

Con la unión de las Directrices Gerenciales en la tercera edición de COBIT, su expansión y

mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquirió un la
participación de liderazgo en el desarrollo de la publicación. El sistema COBIT ha desarrollado
varias ediciones, la primera edición se publicó en el 1996, la ˜ segunda edición se publicó
después de dos a nos de haber ˜ publicado la primer edición eso se realizado en 1998, la
tercera edición en 2000, y la cuarta edición en Diciembre de 2005, la versión 4.1 se publicó o
en está disponible desde mayo de 2007, la versión online de COBIT 5 ya está disponible.

PROPUESTA PARA LA MITIGACIÓN DE LOS RIESGOS IDENTIFICADOS:

En la empresa auditada DIDACTICA SAS, se logró evidenciar diferentes tipos riesgos como:
Falta de control interno de los procesos, ausencia de control y vigilancia a sistemas
informáticos y riesgos por uso indebido o incorrecta manipulación de usuarios (trabajadores) y
por extracción o robo de base de datos.

Para el alcance de esta auditoría realizada a la empresa DIDACTICA SAS, empresa que se
dedica a la comercialización de productos de aseo; hemos establecido esta propuesta para la
mitigación de los riesgos y hallazgo encontrados, por consiguiente; se realizan las siguientes
recomendaciones:

- Principalmente la empresa debe establecer criterios y políticas de seguridad para

proteger la información confidencial de la organización. Es necesario y urgente la
implementación de un plan de trabajo para cada funcionario así como la asignación de
sus respectivos claves de acceso a los sistemas ( revisar la permisibilidad de acuerdo a
las funciones y cargo), de esta manera garantizar la fiabilidad y responsabilidad de los
trabajadores. El objetivo final es mitigar el riesgo de pérdida, deterioro o acceso no
 autorizado. Además de la información, en las políticas de seguridad informática se
incluyen elementos como el hardware, el software y los empleados; se identifican
posibles vulnerabilidades y amenazas externas e internas; y se establecen medidas de
protección y planes de acción ante una falla o un ataque.

- Capacitar o educar a los empleados para que ayuden a prevenir las inseguridades, por
lo que es preciso incluir las mejores prácticas que todos los trabajadores deben seguir
para minimizar los riesgos al exponer a la organización en el ingreso y ejecución de
páginas sospechas o demás vínculos no autorizados para el ejercicio de sus funciones,
de esta manera se les aclara la importancia de asegurar al máximo la seguridad
informática de la empresa. Por otro lado, es importante indicarle a los funcionarios la
importancia de no insertar unidades de memoria externas USB y teléfonos móviles sin
previa autorización, entre otros.

- Realizar copias de seguridad periódicas de las transacciones operacionales del sistema

contable y salvaguardar la información en otros equipos móviles seguros y custodiados
por la alta gerencia de la compañía. Realizar respaldos de documentos y archivos en la
nube. La opción que se escoja depende en gran medida de las necesidades de la
empresa, pero lo ideal es que se cuente con una alternativa que se haga de manera
automática y periódica. También puede encriptar los backups con una contraseña, en
caso de que quiera cuidar información confidencial.

- Facilitar documento digitales para posibles consultas futuras y que los mismos
documentos se han protegidos por claves de acceso.

- Cifrar contraseñas de usuario, datos personales y financieros, llamadas, lista de

contactos, el acceso a páginas web y al correo electrónico y conexiones a terminales
remotos, entre otros.

- Establecer políticas del uso correcto de la conectividad Wi-Fi. Así mismo, indicar al
ingeniero de sistema para que controle y bloquee las páginas no autorizadas en los
equipos como youtube, salvo alguna herramienta que sea indispensable para el
desarrollo de las actividades de algún funcionario.
Finalmente podemos concluir que de acuerdo con Muñoz, C. (2002) en Auditoria en Sistemas
Computacionales, el compromiso es de TODOS. Es decir, de los trabajadores, de los
supervisores de áreas e incluso de parte de gerencia el garantizar el correcto funcionamiento
de la organización y así el desarrollo económico del plantel, se debe realizar un seguimiento
continuo con planes de mejoramiento individual y colectivo, y la oficina de control interno de la
compañía DIDACTICA SAS estará a cargo de la supervisión y seguimiento conforme a
instructivos sobre las áreas evaluadas.

Gracias.

REFERENCIAS BIBLIGRÁFICAS.

Muñoz, C. (2002) en Auditoria en Sistemas Computacionales. Bogotá D.C.: Pearson educación.

Julio Jhovany Santacruz Espinoza1, *. C. (08 de NOVIEMBRE de 2017). Sistema cobit en los
procesos de auditor´ıas de los sistemas. Obtenido de file:///C:/Users/ALEJA/Downloads/342-
Texto%20del%20art%C3%ADculo-1602-3-10-20180104%20(1).pdf