CONTADURÍA PÚBLICA

Auditoría de sistemas
Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa
que se dedica a la comercialización de productos de aseo; para entender el alcance de
la auditoría, usted se entrevista con el representante legal de la empresa, quien le
manifiesta sus preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos
comerciales, un almacenista y yo, como gerente. Hoy en día somos un equipo de 18
personas, dos en contabilidad, una dedicada a las actividades administrativas, un
almacenista, cinco ejecutivos comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden
en los procesos y tengo la dificultad que cuando requiero información, no logro tenerla
a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador
administrativo y el almacenista tienen asignado un equipo de cómputo, pero no se ha
estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido

archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles
su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual
estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que el
archivo se le perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca
funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de
cómputo y 19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos
por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e
identificar riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el
día están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de
administrador para acceder, cada usuario es administrador de su equipo y puede
realizar las acciones que desee en él, cualquier usuario puede prender un
computador o tener acceso a la información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la
empresa nunca se ha realizado una copia de seguridad de los archivos
ofimáticos, para el caso del programa de contabilidad, este realiza de manera
automática la copia de seguridad y la almacena en el mismo servidor, pero
ninguna de estas copias reposa fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a
diversas páginas y a las redes sociales en el horario laboral; a la hora de la
inspección, la mayoría de quienes manejan los equipos se encontraban
navegando en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y
contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema
y solo dos trabajadores habilitados para trabajar, no se logra establecer quién
hace uso de los dos usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el
usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus
usuarios y contraseñas.
8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
 9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y
eliminar archivos sin restricción alguna, pero el computador identifica el tipo de
modificación, la hora y el responsable.

DESARROLLO

1. Listado de los riesgos

La estimación del riesgo sobre cada proceso se determina considerando:

a. Los riesgos del control interno específicamente

 Deficiencia en los controles dentro de la empresa, se evidencia fallas en la
administración.
 Formación del personal, la necesidad de potenciar y concientizar en materia de
seguridad de la información de la empresa, no consumir alimentos dentro de la
empresa.
 Daños en equipo de cómputo, servidores.
 Control de acceso a las redes, bloquear páginas que pueden descargar al
computador de la empresa generando en ellos virus y ocasionar daños, perdidas
de información contable etc.
 Inadecuada planeación de las actividades.
 Desarrollo de un software seguro, no se evidencia soporte técnico para el
software de los equipos.
 La seguridad informática nunca está a salvo de un daño o de recuperarla en
caso de pérdida, no hay copias de seguridad.

b. Los riesgos de ingreso a los sistemas informáticos y su autenticación

 Suplantación de personal idóneo para el usuario asignado

 Sustracción, alteración o pérdida de sus documentos
 Divulgación de información confidencial
 Interrupción de servicios
 Requisitos y restricciones de cada usuario con su propia contraseña
c. Los riesgos a los que la información se expone por la manipulación de un usuario

 Perdida de información.
 Corrupción o modificación de información.
 Vulnerabilidad del trabajo realizado por el usuario verdadero, esto estima tiempo
perdido para esa persona realizando sus funciones y para la empresa
desperdicio económico por el acceso indebido a información sensible de la
empresa.
 Fugas de información y/o datos.

d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de base de

datos de un sistema informático

 Sobre costos para el área financiera, ya que no existe horario ni supervisión

alguna.
 Ineficiencia en la Utilidad del material.

2 Clasificación de Riesgos de los sistemas informáticos

Entrada a los sistemas Procesos a los sistemas Salidas de Información

informáticos Informáticos de los sistemas
informáticos
1. Ineficiencia en la 1. Deficiencia en los 1. Fugas de información
Utilidad del material. controles dentro de la y/o datos.
empresa, se evidencia
fallas en la administración.
2. Sobre costos para el 2. Formación del personal, 2. Control de acceso a las
área financiera, ya que no la necesidad de potenciar redes, bloquear páginas
existe horario ni y concientizar en materia que pueden descargar al
supervisión alguna de seguridad de la computador de la empresa
3.Daños en equipo de información de la empresa, generando en ellos virus y
cómputo, servidores. no consumir alimentos ocasionar daños, perdidas
 dentro de la empresa. de información contable
etc.
3. Desarrollo de un 3. Inadecuada planeación 3. Corrupción o
software seguro, no se de las actividades. modificación de
evidencia soporte técnico información.
para el software de los
equipos.
4. Requisitos y 4. La seguridad informática 4. Divulgación de
restricciones de cada nunca está a salvo de un información confidencial.
usuario con su propia daño o de recuperarla en
contraseña. caso de pérdida, no hay
copias de seguridad.
5. Vulnerabilidad del 5. Corrupción o
trabajo realizado por el modificación de
usuario verdadero, esto información.
estima tiempo perdido
para esa persona
realizando sus funciones y
para la empresa
desperdicio económico por
el acceso indebido a
información sensible de la
empresa.

3. propuesta procedimientos de control a implementar

Inicialmente la organización debe diseñar el manual de control interno de

procedimientos donde se contemplen de forma detallada e integral, ordenada y
sistemática, instrucciones, responsabilidades e información sobre políticas, funciones,
sistemas y procedimientos de las distintas operaciones que desarrolla la empresa en
todas sus áreas.

Los procedimientos a implementar son:

 Contratar personal idóneo para ejecutar las funciones asignadas en cada una de
las áreas mediante un adecuado proceso de selección, brindándoles una buena
inducción y capacitándolos constantemente.
 Contratar personal externo calificado para que realice una revisión de equipos y
defina a cuales se le debe realizar mantenimiento y cuales se deben cambiar.
 Crear a cada empleado un usuario y contraseña que se maneje de manera
individual en cada uno de los equipos.
 Bloquear y restringir a los empleados el ingreso desde los equipos de la
empresa a redes sociales u otras páginas web que no correspondan con las
actividades propias de su cargo.
 Diseñar todos los manuales de funciones de cada empleado con sus respectivos
cronogramas de trabajo.
 Crear a cada empleado un usuario y contraseña que se maneje de manera
individual en cada uno de los equipos.
 Bloquear y restringir a los empleados el ingreso desde los equipos de la
empresa a redes sociales u otras páginas web que no correspondan con las
actividades propias de su cargo.
 Diseñar todos los manuales de funciones de cada empleado con sus respectivos
cronogramas de trabajo.