Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema:
Análisis de caso:
Integrantes:
Docente:
Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se
dedica a la comercialización de productos de aseo; para entender el alcance de la auditoría,
usted se entrevista con el representante legal de la empresa, quien le manifiesta sus
preocupaciones de la siguiente forma:
Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laboramos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales, un
almacenista y yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en
contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco ejecutivos
comerciales y nueve personas en logística.
Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los
procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo. En
la actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista
tienen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la
información.
Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en
el equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se perdió.
En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a
la red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19
dispositivos móviles, pero parecen insuficientes; todos nos conectamos por WIFI.
Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar
riesgos; en su visita comprueba las siguientes condiciones:
1. Los equipos de cómputo están ubicados frente a las ventanas por lo que todo el día
están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa
nunca se ha realizado una copia de seguridad de los archivos ofimáticos, para el caso del
programa de contabilidad, este realiza de manera automática la copia de seguridad y la
almacena en el mismo servidor, pero ninguna de estas copias reposa fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas
páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la mayoría
de quienes manejan los equipos se encontraban navegando en YouTube.
9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar
archivos sin restricción alguna, pero el computador identifica el tipo de modificación, la
hora y el responsable.
Con el propósito de identificar los riesgos y las actividades de control necesarios para el
uso seguro de los equipos de cómputo de la comercializadora se analizó el caso y a
continuación mencionamos los riesgos a los que se encuentra expuesta la empresa:
- Riesgos de Control Interno: Como se evidencia en el caso de la comercializadora no
existe un control a cada una de las actividades de la empresa, generando deficiencias
en la información dada y los procedimientos no se podrán verificar debido a que
existen riesgos presentes en cuanto al ingreso de los usuarios de cada equipo
informático, entre ellos podemos nombrar el robo de información , pérdida de
documentos o archivos ,sabotaje , virus entre otros.
Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el Sistema de Control Interno.
- Riesgo Inherente: Son aquellos que se presentan inherentes a las características del
Sistema de Control Interno como se puede evidenciar en la comercializadora está
expuesta a un incendio, una tormenta eléctrica, sismo, calor.
- Riesgos de ingreso a los sistemas informáticos y su autenticación: Riesgo de
integridad, riesgo de acceso tanto a la información como a las redes y a los procesos.
implementación de medidas de seguridad y controles para limitaciones del riesgo
como procedimientos de acceso, pasando por claves de acceso hasta limitar el uso de
programas e información.
- Riesgos a los que la información se expone por la manipulación de un usuario: Se
expone a un uso indebido de los recursos informáticos en la cual la entidad tiene
prohibida. puede incurrir en las siguientes conductas: suministro de información
confidencial o de carácter reservado a personal no autorizado, uso de información con
el fin de obtener beneficio propio, publicación de la información en medios no
autorizados, realizar copias no autorizadas de un software, utilizar la información de
acceso de otros usuarios o falsificar algún producto informático.
- Riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de
datos de un sistema informático:
- Este riesgo radica en que pueden acceder y sustraer documentos e información
importante, sensible y confidencial personas que no están autorizadas para conocer y
obtener información y bases de datos, con el fin de realizar hurto, fraudes y sabotaje
con dichos documentos hacia la empresa.
- Se evidencia que no existe unos parámetros de seguridad debido a que la
configuración y los ajustes de las impresoras no cuentan con la protección adecuada y
están expuestas a la manipulación de cualquier empleado o persona externa realizando
impresiones falsificadas de documentos y detrimento de la información que implicaría
un fraude.
- La falta de seguridad que se evidencia en la utilización de los equipos en este caso las
impresoras pueden ser sensibles a los ataques cibernéticos quienes pueden aprovechar
esta falencia para ingresar a la red corporativa.
a.- Clasificación de los riesgos en los procesos de entradas a los sistemas informáticos:
Podemos decir que la empresa tiene un riesgo alto en los procesos de información debido a
que no cuenta con una persona capacitada e idónea en el manejo de los equipos que
implemente el acceso restringido al sistema donde cada usuario tenga su respectiva clave o
permiso para acceder a la información.
Suplantación de identidad, se puede presentar este tipo de riesgo puesto que no existe una
responsabilidad con la clave y el usuario al ingresar al sistema, como vemos dos personas
ingresan con la misma clave en el mismo equipo teniendo facilidad de acceder a la
información sin tener seguridad de quien realmente realizó cambios.
Para empezar, se debe asignar a una persona encargada del área de sistemas esta persona debe
ser confiable y estar capacitada para manejar los sistemas informáticos con los que cuenta en
la empresa para así empezar a tener una dirección en el sistema de gestión de información
permitiendo asignar actividades de control como las siguientes: