Está en la página 1de 8

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa

que se dedica a la comercialización de productos de aseo; para entender el alcance de


la auditoría, usted se entrevista con el representante legal de la empresa, quien le
manifiesta sus preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos
comerciales, un almacenista y yo, como gerente. Hoy en día somos un equipo de 18
personas, dos en contabilidad, una dedicada a las actividades administrativas, un
almacenista, cinco ejecutivos comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden
en los procesos y tengo la dificultad que cuando requiero información, no logro tenerla
a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador
administrativo y el almacenista tienen asignado un equipo de cómputo, pero no se ha
estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido


archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles
su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual
estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que el
archivo se le perdió.
En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca
funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de
cómputo y 19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos
por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e
identificar riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el
día están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de
administrador para acceder, cada usuario es administrador de su equipo y puede
realizar las acciones que desee en él, cualquier usuario puede prender un
computador o tener acceso a la información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la
empresa nunca se ha realizado una copia de seguridad de los archivos
ofimáticos, para el caso del programa de contabilidad, este realiza de manera
automática la copia de seguridad y la almacena en el mismo servidor, pero
ninguna de estas copias reposa fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a
diversas páginas y a las redes sociales en el horario laboral; a la hora de la
inspección, la mayoría de quienes manejan los equipos se encontraban
navegando en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y
contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema
y solo dos trabajadores habilitados para trabajar, no se logra establecer quién
hace uso de los dos usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el
usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus
usuarios y contraseñas.
8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y
eliminar archivos sin restricción alguna, pero el computador identifica el tipo de
modificación, la hora y el responsable.

SOLUCIÓN:

1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra


expuesta la empresa:
a) Los riesgos de control interno específicamente:
● Deficiencia en los controles dentro de la empresa. se evidencia
fallas en la administración.
● Formación del personal, la necesidad de potenciar y concienciar en
materia de seguridad de la información de la empresa, no consumir
alimentos en su puesto de trabajo.
● Daños en equipos de cómputo, servidores.
● Control de acceso a las redes, tener acceso libre a páginas que
puedan contener virus y ocasionar daños y pérdidas de la
información.
● Inadecuada planeación de las actividades.
● Desarrollo de un software seguro, no se evidencia soporte técnico
para los equipos.
● No se cuenta con un backup seguro para contar con la información
actualizada en caso de pérdida.
● No están protegidos con usuarios ni claves.
b) Los riesgos de ingreso a los sistemas informáticos y su autenticación.
● La información puede ser manipulada por cualquier usuario.
● sustracción, alteración o pérdida de sus documentos.
● Divulgación de información confidencial.
● Robo de Información.
● Uso de dispositivos móviles

c) Los riesgos a los que la información se expone por la manipulación de un


usuario.
● Pedida de información.
● corrupción o modificación de información.
● vulnerabilidad del trabajo realizado por el usuario verdadero, esto
estima tiempo perdido para el empleado realizando sus funciones
y para la empresa un gasto por el acceso indebido a la información
sensible de la empresa.
d) Los riesgos que pueden surgir de la impresión, reimpresión y extracción
de bases de datos de un sistema informático
● Sobre costos en el área financiera ya que no existe horario ni
supervisión ninguna.
● Ineficiencia en la utilidad del material.
● indebida manipulación de la información.
● Pérdida de información de los clientes por robo de bases de datos,
lo cual generaría con posterioridad que la competencia los atraiga
hacia ellos de forma desleal.

2) Clasifique los riesgos en los siguientes procesos, entradas a los sistemas


informáticos, procesos a los sistemas informáticos y salidas de información de los
sistemas informáticos.

1. Entrada a los sistemas informáticos


● Control de acceso a las redes, tener acceso libre a páginas que
puedan contener virus y ocasionar daños y pérdidas de la
información
● No se cuenta con un backup seguro para contar con la información
actualizada en caso de pérdida.
● No están protegidos con usuarios ni claves.

2. Procesos a los sistemas informáticos


● Daños en equipos de cómputo, servidores.
● Desarrollo de un software seguro, no se evidencia soporte técnico
para los equipos.
● Pedida de información.

3. Salidas de información
● La información puede ser manipulada por cualquier usuario
● sustracción, alteración o pérdida de sus documentos
● Divulgación de información confidencial
● Robo de información

3) Después del análisis hecho, elabore una propuesta que contenga los
procedimientos de control interno que implementaría para mejorar la situación de
seguridad en la empresa en cada uno de los riesgos identificados .

RIESGOS CONTROL INTERNO ESPECÍFICOS

RIESGO PROPUESTA

Deficiencia en los controles dentro de la Establecer un control interno, con el fin


empresa. se evidencia fallas en la de corregir las deficiencias del área
administrativa.
administración.

Formación del personal, la necesidad de Se recomienda realizar limpieza del


potenciar y concientizar en materia de equipo con cepillos y/o pañuelos
húmedos, prohibir el consumo de
seguridad de la información de la
alimentos y bebidas en los puestos de
empresa, no consumir alimentos en su trabajo.
puesto de trabajo.

Daños en equipos de cómputo, Definir estándares, procedimientos y


servidores. establecer restricciones.

Control de acceso a las redes, tener Sistema de cifrado para el envío y


acceso libre a páginas que puedan recepción de la información.
contener virus y ocasionar daños y
pérdidas de la información.

Inadecuada planeación de las


actividades.

Desarrollo de un software seguro, no se Se recomienda el mantenimiento


evidencia soporte técnico para los periódico del equipo por personal idóneo
equipos. ya sea interno o externo.

No se cuenta con un backup seguro Realizar copia de seguridad


para contar con la información periódicamente, preferiblemente contar
actualizada en caso de pérdida. con alternativas de manera que se
realice automáticamente, con el fin de
garantizar la oportuna recuperación de
datos.

No están protegidos con usuarios ni Se recomienda asignar un usuario y


claves. contraseña para cada puesto de trabajo.

LOS RIESGOS DE INGRESO A LOS SISTEMAS INFORMÁTICOS Y SU


AUTENTICACIÓN.

RIESGO PROPUESTA

La información puede ser manipulada


por cualquier usuario. Asignar usuario y contraseña

sustracción, alteración o pérdida de sus Permitir el acceso solo a personal


documentos autorizado.

Divulgación de información confidencial. Efectuar sanciones económicas y


jurídicas.

Actualizar antivirus y configuración de


un PIN para gestionar información
Robo de información almacenada en la impresora.

Capacitar al personal con el fin de


identificar amenazas a través de
correos.

Uso de dispositivos móviles Evitar páginas y aplicaciones de


contenido no seguro.

LOS RIESGOS A LOS QUE LA INFORMACIÓN SE EXPONE POR LA


MANIPULACIÓN DE UN USUARIO

RIESGO PROPUESTA

Pedida de información Adquisición de una nube para


almacenamiento de la información.

corrupción o modificación de Crear cuentas de usuario con claves


información.

vulnerabilidad del trabajo realizado por Administrar y presupuestar los costos y


el usuario verdadero, esto estima tiempo gastos de la empresa.
perdido para el empleado realizando sus
funciones y para la empresa un gasto
por el acceso indebido a la información
sensible de la empresa.

LOS RIESGOS QUE PUEDEN SURGIR DE LA IMPRESIÓN, REIMPRESIÓN Y


EXTRACCIÓN DE BASES DE DATOS DE UN SISTEMA INFORMÁTICO

RIESGO PROPUESTA

Sobre costos en el área financiera ya Concientizar a los empleados


que no existe horario ni supervisión
ninguna
Reutilizar el papel
Ineficiencia en la utilidad del material.

indebida manipulación de la información.


Configurar impresora.
Pérdida de información de los clientes
por robo de bases de datos, lo cual
generaría con posterioridad quela Proponer alternativas de
almacenamiento.
competencia los atraiga hacia ellos de
forma desleal.

Ejercer control de impresiones.