Asignatura:

AUDITORIA DE SISTEMAS / 20809

Tema:

Análisis de caso:

Integrantes:

Angie Lizeth Ballesteros Bermúdez – 599063

Astrid Baudelina Díaz Bonilla ID: 602667
Olga Lucía Martínez Aguiar- 618916
Sirleny Vásquez Barreto - 607197

Docente:

Lina Yineth Yara Triana

Colombia- Ibagué 25 de Agosto del 2020

 CONTROL INTERNO EN AUDITORIA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se
dedica a la comercialización de productos de aseo; para entender el alcance de la auditoría,
usted se entrevista con el representante legal de la empresa, quien le manifiesta sus
preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laboramos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales, un
almacenista y yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en
contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco ejecutivos
comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los
procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo. En
la actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista
tienen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la
información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos

con errores. La respuesta de los trabajadores es que alguien debe cambiarles su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en
el equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a
la red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19
dispositivos móviles, pero parecen insuficientes; todos nos conectamos por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar
riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicados frente a las ventanas por lo que todo el día
están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.

3. Los computadores no están configurados con claves de usuario ni de administrador

para acceder, cada usuario es administrador de su equipo y puede realizar las acciones
que desee en él, cualquier usuario puede prender un computador o tener acceso a la
información que se almacena.

4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa
nunca se ha realizado una copia de seguridad de los archivos ofimáticos, para el caso del
programa de contabilidad, este realiza de manera automática la copia de seguridad y la
almacena en el mismo servidor, pero ninguna de estas copias reposa fuera de la máquina.

5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas
páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la mayoría
de quienes manejan los equipos se encontraban navegando en YouTube.

6. Para acceder al software contable, los usuarios se identifican con usuario y

contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema y solo dos
trabajadores habilitados para trabajar, no se logra establecer quién hace uso de los dos
usuarios desconocidos.

7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario

contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y
contraseñas.

8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,

reimprimir y extraer archivos planos sin restricción alguna.

9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar
archivos sin restricción alguna, pero el computador identifica el tipo de modificación, la
hora y el responsable.

ANÁLISIS DEL CASO

Con el propósito de identificar los riesgos y las actividades de control necesarios para el
uso seguro de los equipos de cómputo de la comercializadora se analizó el caso y a
continuación mencionamos los riesgos a los que se encuentra expuesta la empresa:
- Riesgos de Control Interno: Como se evidencia en el caso de la comercializadora no
existe un control a cada una de las actividades de la empresa, generando deficiencias
en la información dada y los procedimientos no se podrán verificar debido a que
existen riesgos presentes en cuanto al ingreso de los usuarios de cada equipo
informático, entre ellos podemos nombrar el robo de información , pérdida de
documentos o archivos ,sabotaje , virus entre otros.

Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el Sistema de Control Interno.

- Riesgo Inherente: Son aquellos que se presentan inherentes a las características del
Sistema de Control Interno como se puede evidenciar en la comercializadora está
expuesta a un incendio, una tormenta eléctrica, sismo, calor.
- Riesgos de ingreso a los sistemas informáticos y su autenticación: Riesgo de
integridad, riesgo de acceso tanto a la información como a las redes y a los procesos.
implementación de medidas de seguridad y controles para limitaciones del riesgo
como procedimientos de acceso, pasando por claves de acceso hasta limitar el uso de
programas e información.
- Riesgos a los que la información se expone por la manipulación de un usuario: Se
expone a un uso indebido de los recursos informáticos en la cual la entidad tiene
prohibida. puede incurrir en las siguientes conductas: suministro de información
confidencial o de carácter reservado a personal no autorizado, uso de información con
el fin de obtener beneficio propio, publicación de la información en medios no
autorizados, realizar copias no autorizadas de un software, utilizar la información de
acceso de otros usuarios o falsificar algún producto informático.
- Riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de
datos de un sistema informático:
- Este riesgo radica en que pueden acceder y sustraer documentos e información
importante, sensible y confidencial personas que no están autorizadas para conocer y
obtener información y bases de datos, con el fin de realizar hurto, fraudes y sabotaje
con dichos documentos hacia la empresa.
- Se evidencia que no existe unos parámetros de seguridad debido a que la
configuración y los ajustes de las impresoras no cuentan con la protección adecuada y
están expuestas a la manipulación de cualquier empleado o persona externa realizando
 impresiones falsificadas de documentos y detrimento de la información que implicaría
un fraude.
- La falta de seguridad que se evidencia en la utilización de los equipos en este caso las
impresoras pueden ser sensibles a los ataques cibernéticos quienes pueden aprovechar
esta falencia para ingresar a la red corporativa.

a.- Clasificación de los riesgos en los procesos de entradas a los sistemas informáticos:

Fraudes relacionados con el computador

Manipulación de los datos de entrada, donde se puede presentar sustracción de información

puesto que ningún computador tiene clave de ingreso, de igual manera se comparten los
usuarios para el acceso, a los procesos de información como también a la adquisición de los
mismos.

Manipulación de los programas, puede existir modificación insertando uno nuevo o

modificando el o los sistemas existentes con el fin de realizar funciones que no están
autorizadas perdiendo confiabilidad la información contemplada en cada equipo.

b. Clasificación de los riesgos en los procesos a los sistemas informáticos:

Podemos decir que la empresa tiene un riesgo alto en los procesos de información debido a
que no cuenta con una persona capacitada e idónea en el manejo de los equipos que
implemente el acceso restringido al sistema donde cada usuario tenga su respectiva clave o
permiso para acceder a la información.

No está definida la responsabilidad, actividades y restricciones de acceso de cada usuario por

lo tanto el riesgo es alto puesto que como sabemos en los procesos a los sistemas se debe
tener muy bien definido quienes intervienen en el ingreso de la información, almacenamiento
de la misma, su procesamiento o transformación de los datos, los cuales son utilizados por los
directivos para una buena toma de decisiones.

c. Clasificación de los riesgos en los procesos de salidas de información a los sistemas

informáticos:

Suplantación de identidad, se puede presentar este tipo de riesgo puesto que no existe una
responsabilidad con la clave y el usuario al ingresar al sistema, como vemos dos personas
ingresan con la misma clave en el mismo equipo teniendo facilidad de acceder a la
información sin tener seguridad de quien realmente realizó cambios.

3- Propuesta de control interno a implementar para mejorar la seguridad de la

empresa:

Se propone empezar a implementar el siguiente plan de acción para minimizar el riesgo al

que se encuentra el sistema de información.

Para empezar, se debe asignar a una persona encargada del área de sistemas esta persona debe
ser confiable y estar capacitada para manejar los sistemas informáticos con los que cuenta en
la empresa para así empezar a tener una dirección en el sistema de gestión de información
permitiendo asignar actividades de control como las siguientes:

● Control de accesos al sistema, a las bases de datos, a los programas y a la

información.
● Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios.
● Monitoreo de accesos de usuarios, información y programas de uso.
● Hacer inventario del hardware, mobiliario y equipo para verificar su estado
mensualmente.
● Realizar bitácoras de mantenimiento y correcciones mensualmente.
● Conseguir convenios o contratos para la actualización, asesoría y mantenimiento del
hardware y software de la compañía.
● Hacer respaldos periódicos de información.
● Implementar programas de protección a la información para impedir el uso
inadecuado y la alteración de datos de uso exclusivo
● Diseñar un manual de políticas para el debido uso de los periféricos.
● Restringir el uso de páginas que no son acorde con las actividades laborales.
● Tener un cronograma para realizar impresiones o descargar archivos planos.
● Implementar otra red inalámbrica