Está en la página 1de 19

1

ACTIVIDAD 2 AUDITORIA DE SISTEMAS

MAIRA ALEJANDRA RESTREPO MARTÍNEZ


ID 000549342

DIEGO ALEXIS DIAZ PENAGOS


ID 000611442

YUDI TATIANA ROSAS


ID 000610649

MARIA CAMILA OTALORA


ID 000613232

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

NEIVA
2020
2

ACTIVIDAD 2 AUDITORIA DE SISTEMAS

MAIRA ALEJANDRA RESTREPO MARTÍNEZ


ID 000549342

DIEGO ALEXIS DIAZ PENAGOS


ID 000611442

YUDI TATIANA ROSAS


ID 000610649

MARIA CAMILA OTALORA


ID 000613232

DOCENTE

LILIANA ARROYO MORALES

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

NEIVA
2020
3

Tabla de contenidos

Introducción……………………………………..………….………….…..….Pág.4

Objetivos………………………………………………………………………Pág. 5

Control interno en auditoria de sistemas ...…………….………………… …...Pág. 6

Análisis del caso de control interno……………………………………………pág. 8

Conclusiones…………………………………………………………………...pág.18

Bibliografía………………………………………..………………….………..Pág. 19
4

INTRODUCCIÓN

El Control Interno Informático puede definirse como el sistema integrado al proceso


administrativo, en la planeación, organización, dirección y control de las operaciones con el
objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de
economía, eficiencia y efectividad de los procesos operativos automatizados.

El control interno informático controla diariamente que todas las actividades de sistemas
de información sean realizadas cumpliendo los procedimientos; estándares y normas fijados
por la Dirección de la Organización y/o Dirección de Informática, así como los
requerimientos legales. La misión del control interno informático es asegurarse de que las
medidas que se obtienen de los mecanismos implantados por cada responsable sean
correctas y válidas.

El sistema de control interno es un proceso de control integrado a las actividades


operativas de los entes, diseñado para asegurar en forma razonable la fiabilidad de la
información contable; los estados contables constituyen el objeto del examen en la
auditoría externa de estados contables, esta relación entre ambos muestra la importancia
que tiene el sistema de control interno para la auditoría externa de estados contables.
5

OBJETIVO GENERAL

 El objetivo principal es analizar e identificar los riesgos y las actividades de control


requeridas para el uso seguro de los equipos tecnológicos en una empresa

OBJETIVOS ESPECIFICOS

 Identificar los riesgos de ingreso a los sistemas informáticos de una empresa

 Conocer los riegos que puede tener la información por la manipulación de algunos
usuarios

 Elaborar propuesta de procedimientos de control interno


6

CONTADURÍA PÚBLICA
Auditoría de sistemas
Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que
se dedica a la comercialización de productos de aseo; para entender el alcance de la
auditoría, usted se entrevista con el representante legal de la empresa, quien le manifiesta
sus preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales,
un almacenista y yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en
contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco
ejecutivos comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en
los procesos y tengo la dificultad que cuando requiero información, no logro tenerla a
tiempo. En la actualidad, tenemos un sistema contable y cada trabajador administrativo y el
almacenista tienen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de
la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido


archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles su
archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual
estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que el
archivo se le perdió.
7

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca
funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y
19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e
identificar riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el día
están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de administrador
para acceder, cada usuario es administrador de su equipo y puede realizar las
acciones que desee en él, cualquier usuario puede prender un computador o tener
acceso a la información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa
nunca se ha realizado una copia de seguridad de los archivos ofimáticos, para el
caso del programa de contabilidad, este realiza de manera automática la copia de
seguridad y la almacena en el mismo servidor, pero ninguna de estas copias reposa
fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a
diversas páginas y a las redes sociales en el horario laboral; a la hora de la
inspección, la mayoría de quienes manejan los equipos se encontraban navegando
en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y
contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema y
solo dos trabajadores habilitados para trabajar, no se logra establecer quién hace uso
de los dos usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario
contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y
contraseñas.
8

8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,


reimprimir y extraer archivos planos sin restricción alguna.
9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar
archivos sin restricción alguna, pero el computador identifica el tipo de
modificación, la hora y el responsable.

solución
ANÁLISIS DEL CASO CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Teniendo en cuenta la información suministrada por el representante legal la empresa


posee un alto riesgo de amenazas y vulnerabilidad frente al uso de los sistemas informáticos
pues si bien hoy en día la tecnología ha logrado grandes aportes a la empresa también es
cierto que es necesarios asumir varios tipos de seguridad y prevención frente al mal uso ya
sea por equivocación o mal intencionado de los mismos empelados. Ya que esto puede
ocasionar desde el error más insignificante como hasta la pérdida del patrimonio.

1. Identificando los riesgos a los que se encuentra expuesta la empresa en su


sistema informático, encontramos:

a) Los riesgos del control interno específicamente:


 Los equipos de cómputo están expuesto al sol y salpicaduras de lluvia
 Residuos de Alimentos en los teclados
 No están protegidos con un usuario ni clave
 No hay copia de seguridad desde hace 4 años
 Libre acceso a las diferentes redes sociales en horas laborales
 Varios usuarios y clave para acceder al software contable
 La contadora y asistente comparten la misma clave y usuario
 La red de internet implementada no es la más adecuada

b) Los riesgos de ingreso a los sistemas informáticos y autenticación


 Virus informáticos o código malicioso
 Uso no autorizado de Sistemas Informáticos
 Robo de Información
 Fraudes basados en el uso de computadores
 Suplantación de identidad
 Ataques de Fuerza Bruta
 Alteración de la Información
9

 Divulgación de Información
 Sabotaje, vandalismo
 Espionaje

c) Los riesgos a los que la información se expone por la manipulación de un


usuario.
 Divulgación indebida de información sensible o confidencial, de forma
accidental o bien, sin autorización.
 Modificación sin autorización o bien, de forma accidental, de
información crítica, sin conocimiento de los propietarios.
 Pérdida de información importante sin posibilidad de recuperarla.
 No tener acceso o disponibilidad de la información cuando sea necesaria

d) Los riesgos que puede surgir de la impresión, reimpresión y extracción de bases


de datos de un sistema informático.
 Gastos innecesarios en reimpresiones
 No contribuir a medio ambiente por el gasto inoficioso de papel
 Documentos que se quedan en la salida de la impresora hay que tener en
cuenta que estos documentos pueden ser confidenciales o tener
información privada de la empresa o los mismos clientes
 Ataque procedente del exterior de la empresa
 Usuarios y acceso no autorizado (sustracción de todo tipo de
documentos)
 Intercepción de datos que se envían (impresiones por wifi ataque y
robos de información)
 Modificar por parte de los usuarios los parámetros de seguridad de las
impresoras (impresiones falsificadas)

2. Clasifique los riesgos en los siguientes procesos:


 entrada a los sistemas informáticos,
 procesos a los sistemas informáticos
 salida de información de los sistemas informáticos.

3. Después del análisis hecho, elabore una propuesta que contenga los
procedimientos de control interno que implantaría para mejorar la situación de
seguridad en la empresa en cada uno de los riesgos identificado.
10

PLAN DE PROPUESTA PARA LOS RIESGOS INFORMÁTICOS


IDENTIFICADOS

Una vez conocido el área auditada o sistema de información en la fase de conocimiento,


se pueden evidenciar las vulnerabilidades y amenazas de manera preliminar que pueden ser
las fuentes de riesgos potenciales
Como primera medida se deben establecer políticas de seguridad dentro de la empresa
que permitan proteger la información, garantizar su confidencialidad y reglamentar su uso y
el del sistema por el cual se accede a la misma, Mitigar el riesgo de pérdida, deterioro o
acceso no autorizado. Además de la información, en las políticas de seguridad informática
se incluyen elementos como el hardware, el software y los empleados; se identifican
posibles vulnerabilidades y amenazas externas e internas; y se establecen medidas de
protección y planes de acción ante una falla o un ataque.
También Capacitar al personal para el cumplimiento de procesos y actividades de
seguridad de la información.

LOS RIESGOS DEL CONTROL INTERNO ESPECÍFICAMENTE


RIESGO EFECTOS PROPUESTA
Los equipos de cómputo Corrosión
están expuesto al sol y Resistencia eléctrica o la Reubicar los equipos de
salpicaduras de lluvia cómputo que no tenga
conductividad térmica
exposición directa a
Cortocircuitos
líquidos, salpicaduras, o
ambientes con excesiva
humedad. Asimismo, se
recomienda los cambios
bruscos de temperatura y
esperar a que los sistemas se
aclimaten antes de
encenderlos de nuevo
11

(portátiles)

Se recomienda hacer la
limpieza del equipo con
Los mandos no responden
pañuelos, cepillos y sobre
Las teclas se pegan
Residuos de Alimentos en todo prohibir el consumo de
Atraer plaga (hormigas,
los teclados alimentos y líquidos sobre
cucarachas que dañas las
los equipos, destinar un área
plaqueta y cableado)
de alimentación en horas
específicas.
Sustracción de información Se recomienda que en cada
confidencial puesto de trabajo del área
No están protegidos con un  Cualquier empelado administrativa tenga un
usuario ni clave puede usarlo y realiza usuario y clave de acceso
modificaciones para el uso de su
 Descargar virus computadora
 Se pueden hacer
respaldos físicos (que
deben ser cambiados
cada cierto tiempo), en
la nube o una
combinación de ambas.
 Perdida de archivos ya
Preferiblemente que se
sean eliminados por
No hay copia de seguridad cuente con una
error y provocado
desde hace 4 años alternativa que se haga
 Perdida de información
de manera automática y
por catástrofe
periódica.
 encriptar los Backus con
una contraseña, en caso
de que quiera cuidar
información
confidencial.

Libre acceso a las  Posible pérdida de  Sistema de cifrado para


diferentes redes sociales en información. envió y recepción de
horas laborales  Virus información
12

 cifrar contraseñas de
Varios usuarios y clave usuario, datos personales
para acceder al software y financieros, llamadas,
contable  Modificaciones a lista de contactos, el
archivos o al sistema acceso a páginas web y
al correo electrónico y
conexiones a terminales
La contadora y asistente
remotos, entre otros
comparten la misma clave
y usuario.
 Señal débil en las
diferentes áreas de la
La red de internet Implantar un modelo de red
empresa.
implementada no es la más basado en cableado
 Retraso en tiempos de
adecuada estructurado.
producción para los
funcionarios.

LOS RIESGOS DE INGRESO A LOS SISTEMAS INFORMÁTICOS Y


AUTENTICACIÓN
RIESGO EFECTOS PROPUESTA
 Usuario y contraseña
sabotaje informático (suprimir o
Uso no autorizado  Asignación de una dirección
modificar sin autorización IP privada.
de Sistemas
funciones o datos de
Informáticos  Utilización de un firewall
computadora con intención de para restringir la
obstaculizar el transmisión.
Robo de
funcionamiento normal del  Especificación de la
Información
sistema) comunicación cifrada TLS.
Fraude informático que supone  Configuración de un PIN
el cambio de datos o para gestionar información
informaciones contenidas en almacenada en la impresora.
la computadora en cualquier  actualizados los programas
fase de su procesamiento o antivirus y firewall
tratamiento informático, en el  personal capacitado en
que media ánimo de lucro y conocer e identificar
genera perjuicio a terceros. amenazas que hayan sido
enviadas por email
espionaje informático o fuga de
13

Fraudes basados en
el uso de
computadores
datos que consiste en obtener
no autorizadamente datos
almacenados en un fichero
automatizado, en virtud de lo
Suplantación de
cual se produce la violación
identidad
de la reserva o secreto de
 información
Instalación de
deunmalwares
sistema dea
 Se recomienda instalar
través de descarga de
un antivirus en los
aplicaciones
dispositivos móviles.
 Ataque a los celulares por
 evitar páginas y
Uso de dispositivos medio de ‘ransomware’, una
aplicaciones con
móviles técnica con la que los
contenido no seguro
atacantes secuestran la
 y hacer copias de
información del dispositivo
seguridad de forma
a cambio de una
periódica.
recompensa económica.
 Daño de imagen. Genera
un impacto negativo de la
Espionaje entidad y lleva implícita
 Ingreso de usuarios y
la pérdida de confianza.
claves
 Consecuencias
 cifrado de la
legales. Podrían conllevar
información confidencial
sanciones económicas o
corporativa
administrativas.
Alteración de la  instalación, configuración y
 Consecuencias
Información actualización
económicas. Estrechamente
de cortafuegos
relacionadas con las
mantener actualizadas todas
anteriores, se encuentran
las aplicaciones de nuestros
dentro de aquellas que
sistemas, etc.
suponen un impacto
 Sanciones jurídicas y
negativo a nivel
Divulgación de económicas
económico, con una
Información disminución de la
inversión, negocio, etc.
Virus informáticos Instalación de virus que nos  Instala un buen antivirus en
o código malicioso ralentiza el ordenador, hacernos los equipos y actualizarlo de
perder información (o,
14

forma permanente.

 No aceptar software de
ningún tipo cuyo origen se
desconozca, y que solicite la
desactivación del antivirus.  

 No hace clic en los pop-


ups (ventanas emergentes)
que aparecen en los
navegadores. Si el navegador
web le avisa de que una
página no es segura,
directamente, robárnosla para abandónela inmediatamente
usos ilícitos y peligrosos)
 No aceptar ni abrir fotos
o archivos recibidos de
desconocidos por ninguna
vía, ya sea email,
Messenger, etc.

 Utiliza el escáner de
antivirus siempre antes de
manipular cualquier archivo
recibido, incluso aunque
provenga de fuentes fiables
como contactos del trabajo o
amigos.

LOS RIESGOS A LOS QUE LA INFORMACIÓN SE EXPONE POR LA


MANIPULACIÓN DE UN USUARIO.
RIESGO EFECTOS PROPUESTA
Divulgación indebida de  incumplimiento de  establecer normas para
información sensible o
15

confidencial, de forma confidencialidad e la transición de IPv4 a


accidental o bien, sin integridad de la IPv6 debido a que todos
autorización. información los equipos informáticos
Modificación sin  Ausencia de de la entidad soportan la
autorización o bien, de transferencia de nueva versión de IP
forma accidental, de conocimiento y falta de  Invertir en un software o
información crítica, sin capacitación sistema de información
conocimiento de los  Acciones no adecuadas para el almacenamiento
propietarios. en el tratamiento de los y consulta de la
Pérdida de información activos de información e documentación física
importante sin posibilidad informáticos existente
de recuperarla.  Daño de documentos y  Adquisición de una nube
No tener acceso o
deterioro del papel. para almacenamiento de
disponibilidad de la
 No existen transición de información.
información cuando sea
protocolo de IP  Crear cuentas de usuario
necesaria
con claves

LOS RIESGOS QUE PUEDE SURGIR DE LA IMPRESIÓN, REIMPRESIÓN Y


EXTRACCIÓN DE BASES DE DATOS DE UN SISTEMA INFORMÁTICO.
RIESGO EFECTOS PROPUESTA

Gastos innecesarios en  Concientizar a los


reimpresiones empleados

 Alternativas de
almacenamiento
Genera gastos de papel y
tinta y energía
 Configurar la
No contribuir a medio impresora
ambiente

 Reutilizar el papel

Documentos que se quedan Perdida de documentos que  controlar las personas que
a la salida de la impresora: pueden ser confidenciales o imprimen los documentos
tener información privada  Estarán protegidos por el
de la empresa o los mismos cortafuegos de la
clientes, éstos pueden empresa;
acabar cayendo en malas  estarán incluidos en las
16

manos, con todo lo que ello políticas de seguridad que


supone. aplican al resto de
Modificar parámetros de la Dispositivo expuesto a sistemas informáticos y
seguridad de las manipulaciones, que equipos de red;
impresoras conllevarían impresiones  estarán conectados a un
servidor de colas de
falsificadas o en una impresión que las
reducción a propósito de gestione, configure y
medidas de seguridad que audite adecuadamente de
faciliten ataques concretos. forma centralizada;
 contarán con un servicio
de impresión segura,
protegiendo mediante
autenticación de usuario
o PIN la impresión de los
Usuarios y acceso no sustracción de todo tipo de documentos, esto
autorizado documentos impedirá la pérdida de
documentos impresos;
 no tendrán acceso directo
a internet sin pasar por el
cortafuegos de red
corporativo, ni siquiera
para tareas de
Impresiones por wifi ataque
mantenimiento por parte
y robos de información del servicio de soporte;
 el acceso a la interfaz de
configuración web de la
impresora se hará de
forma cifrada (https),
Intercepción de datos que únicamente por personal
se envían autorizado;
 se cambiarán los usuarios
y contraseñas por defecto
que puedan llevar
configuradas de fábrica
 se desactivarán los
puertos de
comunicaciones y
Ataque procedente del servicios web que no
exterior de la empresa sean necesarios o no se
estén utilizando, como el
puerto USB, servidor
FTP, correo electrónico,
fax, etc.;
 se mantendrá actualizado
el firmware para
17

solucionar las posibles


vulnerabilidades de
seguridad detectadas; si
la impresora es muy
antigua y no dispone de
soporte, se debe sustituir
por otra más segura o
desconectarla de la red;
 se cifrarán las
comunicaciones con los
equipos clientes para
proteger el envío de la
documentación
confidencial;
 si la impresora se conecta
a la wifi, se extremarán
las precauciones en la
18

CONCLUSIÓN

Teniendo en cuenta la información suministrada y analizada la empresa posee un alto


riesgo de amenazas y vulnerabilidad frente al uso de los sistemas informáticos es de gran
importancia que todas las empresas puedan aplicar un sistema de control interno
adecuado, con esto lograran aportar seguridad de manera razonable a su información y
mantener los riesgos a los que se pudieran enfrentar, Es importante que funcione
adecuadamente en las empresas puesto que permite el manejo adecuado de los bienes,
funciones e información, con el fin de generar una indicación confiable de su situación y
sus operaciones en el mercado.

Establecer y mantener un sistema efectivo de control interno lo debe respaldar la


empresa para así poder supervisar estos controles y revisar la efectividad del sistema en su
conjunto. Un sistema de control interno efectivo aporta seguridad razonable acerca de que
las políticas, procesos, tareas, comportamientos y demás aspectos de una organización
considerados en su conjunto, propician su funcionamiento efectivo y eficiente, contribuyen
a garantizar la calidad de la información presentada a nivel interno y externo, y ayudan a
garantizar el cumplimiento de la legislación aplicable, debido a esto es necesario que la
empresa analizada haga unos grandes cambios y mejoras en su sistema.
19

BIOGRAFÍAS

https://tecnologia-facil.com/como-hacer/prevenir-accesos-no-autorizados-pc/

http://lospatios-nortedesantander.gov.co/Conectividad/InformesGEL/GT-D-02%20PLAN%20DE
%20GESTION%20DEL%20RIESGO%20EN%20SPI.pdf

https://www.incibe.es/protege-tu-empresa/blog/como-puedo-prevenir-fuga-informacion-dentro-
empresa

https://www.incibe.es/protege-tu-empresa/blog/sabias-las-impresoras-necesitan-medidas-
ciberseguridad

https://login.ezproxy.uniminuto.edu/login

También podría gustarte