PROGRAMA CONTADURIA PUBLICA

VIII SEMESTRE

PRESENTADO POR:
HONEYGHAN DIAZ PEREZ
ADRIANA RADA
JENEDITH HERNANDEZ
ERIC ROMERO

PRESENTADO A:
MAURO MAURY CAMPO

TEMA:
ACTIVIDAD 1. CONTROL INTERNO EN LA AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS
 CONTADURÍA PÚBLICA
Auditoría de sistemas
Unidad 6

Identificación y valoración de riesgos, elaboración de papeles de trabajo

Para la evaluación de riesgos de seguridad en el sistema informático de una
compañía, se realizó una inspección, en la cual se detectaron las siguientes
situaciones:
1. La compañía hace copias de seguridad a diario de su sistema contable;
sin embargo, estas copias reposan en el mismo servidor, nunca se ha
hecho una extracción de información.

2. Nunca se ha hecho una copia de seguridad de los archivos ofimáticos,

todos los usuarios de los equipos tienen privilegios de administrador en
sus computadores.

3. La navegación en internet es libre, no existe restricción alguna en páginas

o contenidos, igualmente pueden descargar archivos sin restricción
alguna.

4. En la inspección se detecta que el 80% de los equipos verificados tienen

archivos en el escritorio del computador.

5. Transportan los archivos en USB.

6. Una vez al año se les realizan a los computadores mantenimientos

preventivos y se tiene un contrato de prestación de servicios con un
profesional que también atiende los mantenimientos correctivos.

7. Se establece que los trabajadores tienen acceso a los correos

electrónicos de la empresa y a los archivos compartidos incluso fuera de
la organización.
 1. Con la información recolectada en sus papeles de trabajo se solicita
identificar los riesgos y valorarlos de acuerdo con el siguiente modelo.
NOMBRE DE LA EMPRESA
DIDÁCTICA SAS   NIT
CICLO SISTEMAS DV  
MATRIZ DE IMPACTOS EJECUCIÓN    
       
RIESGOS BAJO MODERADO ALTO

Evidentemente existe el riesgo de pérdida

de información financiera sistemática, es
común que las empresas realicen copias
de seguridad a diario y que reposen en un
solo servidor pero esta actividad no es
recomendable puesto que se puede
presentar perdida de información o
sustracción de información de parte de
algún tercero, lo recomendable es adquirir
una licencia o un software contable en el
cual reposen todas las informaciones
financieras y sean controladas por el
contador público y a su vez por un
ingeniero de sistemas. X
Existe el riesgo de vulnerabilidad de la
información o de divulgación, ya que no se
ejerce el control de los archivos y del
sistema ofimático porque todos los
usuarios tienen acceso y además tienen el
privilegio de administrar, por lo tanto, se
debe dar acceso solo a usuarios
autorizados y que efectúen una labor
propia ligados a dichos archivos. X
Por el acceso libre de todos los usuarios y
el privilegio de administrar archivos
también existe el riesgo de alteración de la
información ya sea financiera,
administrativa, operativa o de otras
características. X
Por la no restricción del usos del internet
libre la empresa está expuesta a algún
fraude, sabotaje, perdida de archivos,
daños en el sistema debido a que los
usuarios pueden realizar descarga de
archivos o contenidos que pueden contener
un virus informático. X  
Guardar archivos en el escritorio del
computador puede generar la perdida de
información, es recomendables guardar los
archivos en algún software o en alguna
nube de almacenamiento. X  
Existe el riesgo de pérdida de información,
divulgación de información o de copia de
información al transportar archivos en
memoria USB por lo tanto es
recomendable almacenar en una nube de
almacenamiento o direccionarla por correo
electrónico. X  
En las empresas es recomendable realizar
mantenimientos preventivos de los equipos
de cómputos de dos a tres veces por año
esto disminuye el riesgo de daños en
equipos y de pérdidas de información en
algunos casos. X  
La empresa está expuesta a toda clase
riesgos informáticos al permitir el
acceso de archivos informáticos a
trabajadores fuera de la empresa, es
recomendable restringir todo el acceso
al sistema fuera de la entidad. X

2. Con los riesgos identificados, diligencie el Cuestionario de auditoría que

encuentra a continuación, diseñe los cuestionamientos y marque la
respuesta afirmativa o negativa, según cada uno de los hallazgos; si es
necesario, registre también las observaciones.

NOMBRE DE LA EMPRESA DIDÁCTICA SAS   NIT 0

CICLO AUDITADO SISTEMAS SISTEMAS DV  
EJECUCIO
PROCESO-POLÍTICAS DE SEGURIDAD N  
       
PREGUNTAS, CONFIRMACIONES Y OBSERVACIONE
NO
CUESTIONAMIENTOS SI CUMPLE CUMPLE
S
No cuenta ya
que está
expuesta a
muchos
riesgos
sistemáticos y
La compañía cuenta con procedimientos de no existen
seguridad en los sistemas informáticos? x controles.
Existe un administrador de los sistemas x No existe
informáticos? porque no se
 genera control
del sistema.
 Los
trabajadores
pueden
acceder al
sistema desde
diferentes
partes incluso
Existe algún control de salidas de archivos de la fuera de la
empresa? x entidad.
 Todos los
usuarios tienen
acceso y
Existe un protocolo de seguridad (usuario y además el
contraseña) para acceder al sistema operativo privilegio de
(Windows)? x administrar.
No porque
todos tienen
acceso a
diferentes
Los usuarios son creados de acuerdo con el Manual archivos sin
de funciones de cargo? x importar su rol.
 Si existe, pero
debería ser
Existe algún control preventivo de los equipos que más de una
efectúan las labores informáticas? x vez por año.

La información
de la empresa
reposa en solo
servidor lo que
quiere decir
que no es
seguro, es
recomendable
usar varios
servidores y
nubes de
almacenamient
La información es almacenada satisfactoriamente? x o.
La información
se guarda en
un sistema
ordinario lo
cual no es
Existe algún Software financiero y contable? x recomendable.