ACTIVIDAD 2 CONTROL INTERNO EN LA AUDITORIA DE SISTEMA

ANALISIS DE CASO

Estudiante

Ingrid Ariana Bonilla Rojas ID 399020

Docente

Dago Hernan Beltran Puentes

NRC 10804

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS ¨¨UNIMINUTO¨

FACULTAD DE CIENCIAS ECONÓMICA Y ADMINISTRATIVAS

CONTADURÍA PÚBLICA

PITALITO HUILA

2020
 ACTIVIDAD 2 CONTROL INTERNO EN LA AUDITORIA DE SISTEMA

ANALISIS DE CASO

ACTUAR: Tomando como base las lecturas, haga el análisis del caso "Control interno en
auditoría de sistemas", el cual se encuentra en la plataforma virtual e incluya los temas que se enuncian a
continuación.

1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra expuesta la empresa
en sus sistemas informáticos, así:

a. Los riesgos del control interno específicamente.

- No tener controles definidos, da pie al fraude financiero y fraude informático,

pues cada usuario al tener acceso libre a la información puede sabotear el trabajo de algún
compañero y dando soluciones para quedar bien al interior de la organización.
- Hacer uso indebido de los equipos de cómputo al tener acceso a instalación de
programas que puede dañar el equipo y la empresa tenga que hacerse cargo del gasto.
- No se discrimina las restricciones en la red, puede abrir algun link con virus

b. Los riesgos de ingreso a los sistemas informáticos y su autenticación.

 Procesos de negocio.
 Administración de la información.
 Entorno de procesamiento de información.
 Resguardo de información.
 Robo de información
 Uso indebido de la información para fines de lucro ilícito.
 Se pierde la confidencialidad de ciertos documentos.
 c. Los riesgos a los que la información se expone por la manipulación de un usuario.

 Todos los usuarios tienen acceso a los computadores sin utilizar contraseña,
posibilitando las opciones de extracción de información valiosa de la compañía sin ser detectado.
 No usar un firewall o antivirus que bloquee las páginas que quieran ingresar a los
equipos dejando las puertas abiertas a la información financiera.
 Puede llevarse la información por medio de correo o puerto USB.
 Manipulación indebida de información sensible.
 Hurto informático de información financiera.

d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de datos de
un sistema informático.

 El riesgo informático dentro de la compañía va atado al nivel tan bajo de

seguridad que manejan dando así la posibilidad de sufrir daños o pérdidas. Las amenazas puede
venir por parte de un agente ya sea humano o no humano,
Se debe tomar acción, identificar y explotar una vulnerabilidad ya que esta nos puede dar
un resultado inesperado y no deseado. Dichos resultados generan impactos negativos en la
compañía. dejando expuesta la información a pérdida de ingresos o clientes, pérdida de
diferenciación de mercado, costos y recuperación por el incidente y el costo de pagar multas o
sanciones a la DIAN o similar por no tener la información veraz y verídica al momento de
presentar algún reporte o impuesto.
 Hurto de la base de datos de clientes.
 Robo de información financiera y de uso privado.
 No se muestra una copia de seguridad recurrente por lo cual se puede perder la
información financiera de un mes o un año o más.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas informáticos, procesos
a los sistemas informáticos y salidas de información de los sistemas informáticos.

➢ Entradas a los sistemas informáticos,

○ Procesos de negocio.
 ○ Administración de la información.
○ Entorno de procesamiento de información.
○ Resguardo de información.
○ Robo de información
○ Uso indebido de la información para fines de lucro ilícito.
○ Se pierde la confidencialidad de ciertos documentos.

➢ Procesos a los sistemas informáticos y

○ Todos los usuarios tienen acceso a los computadores sin utilizar
contraseña, posibilitando las opciones de extracción de información valiosa de la
compañía sin ser detectado.
○ No usar un firewall o antivirus que bloquee las paginas que quieran
ingresar a los equipos dejando las puertas abiertas a la información financiera.
○ Puede llevarse la información por medio de correo o puerto usb.
○ Manipulación indebida de información sensible.
○ Hurto informático de información financiera.

➢ Salidas de información de los sistemas informáticos

○ Hurto de la base de datos de clientes.
○ Robo de información financiera y de uso privado.
○ No se muestra una copia de seguridad recurrente por lo cual se puede
perder la información financiera de un mes o un año o más.
○ Uso con finalidades distintas y en beneficio personal de quien hurta la
información.

3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos de control
interno que implementaría para mejorar la situación de seguridad en la empresa en cada uno de los riesgos
identificados. Además, descargue de la plataforma el anexo "Cuestionario de auditoría".
 Procedimiento de Control Interno.

Una vez determinados los riesgos informáticos que tiene la compañía se envía como sugerencia
los siguientes controles clasificados en, preventivos, correctivos y directivos:

Directivos, el gerente deberá contratar personal que se dedique exclusivamente al área de

sistematización y seguridad de la información para que se haga responsable de todos los temas a fines
informáticos de la organización.
Incorporar a la organización un sistema contable más fiable, donde se puedan implementar
controles financieros para calidad de información, dando roles y permisos específicos por usuario para
evitar el uso indebido de los mismos y se pueda prestar para fines no pertinentes.
Implementar los sistemas de gestión administrativa para controlar desde un principio los riesgos
detectados anteriormente.
Correctivos, cada computador deberá recibir mantenimiento cada 6 meses mínimo, mantenerse
actualizado y con licencias de firewall y antivirus vigente para prevenir ataque cibernéticos.
Se debe restringir el uso de la red de la oficina solamente para temas laborales, puesto que se
generarán gastos adicionales al incrementar considerablemente una red a más Megas.
La información se debe almacenar en la nube a través de servicios con proveedores que den
respaldo a la información almacenada, generando backups cada mes mínimo para asegurar que la
información perdure en el tiempo, y sea verificable cuando se necesite.
Se debe hacer una actualización de las bases de datos, dejando activos los usuarios que se usan de
acuerdo al personal que está activo en la organización.
El área encargada de sistemas, deberá abrir la base de datos con la información de cada empleado
para que se creen usuarios y contraseñas para el login en cada equipo y cada usuario sea responsable de su
información.
Preventivos, cada vez que una persona nueva ingrese se deberá acoplar a las normas y beneficios
que se le brindan para poder realizar su labor, respetando los controles informáticos.
 CONTADURÍA PÚBLICA

Auditoría de sistemas

Unidad 2

CUESTIONARIO DE AUDITORÍA

Gyd Consulting
NOMBRE DE LA EMPRESA: DIDÁCTICA SAS group NIT 900499737

CICLO AUDITADO SISTEMAS SISTEMAS DV 6

PROCESO-CONTROL INTERNO EJECUCIÓN

PREGUNTAS, CONFIRMACIONES Y NO OBSERVACIONES

CUESTIONAMIENTOS CUMPLE CUMPLE

SÍ NO

SE ESTÁ IMPLEMENTANDO LAS

La compañía cuenta con procedimientos de seguridad POLÍTICAS DE SEGURIDAD
en los sistemas informáticos X INFORMÁTICA

EL INGENIERO DE SISTEMAS Y LA
Existe un administrador de los sistemas informáticos X COORDINADORA TIENE EL REGISTRO

ACCESOS

SE LLEVA EL CONTROL Y CADA VEZ

QUE SE RETIRA ALGUIEN DE LA
El número de usuarios en el sistema coincide con el ORGANIZACIÓN, SE BLOQUEA EL
número de trabajadores con acceso X USUARIO Y EL PERFIL

SE PRESENTA UNA LISTA DE LOS

USUARIOS Y LAS PERSONAS A QUIEN SE
La totalidad de los usuarios del sistema se encuentra ENTREGÓ USUARIO DE SISTEMA
identificado X CONTABLE Y PERFIL DE COMPUTADOR

Existe un protocolo de seguridad (usuario y

contraseña) para acceder al sistema operativo ES MUY BÁSICO, ES ALFANUMÉRICO Y
(Windows) X TIENE CARACTERES ESPECIALES

Existe un protocolo de seguridad (usuario y
contraseña) para acceder al sistema transaccional
(Contable)
Los usuarios son creados de acuerdo con el Manual
de funciones de cargo
Verificar los usuarios y contraseñas(seguridad)
Cualquier persona puede acceder todos al sistema
contable
Restricciones en los perfiles
Uso de correo corporativo
Restricción en el uso de correos personales
LA COORDINADORA CONTABLE
REALIZA LA CREACIÓN DEL USUARIO
EN EL SOFTWARE CONTABLE Y EL
INGENIERO DE SISTEMAS REALIZA LA
CREACIÓN DEL PERFIL EN EL
X COMPUTADOR ASIGNADO.
EL ACCESO ES LIMITADO, TIENE
RESTRICCIONES SI ES CONTADOR O SI
ES ASISTENTE CONTABLE. DEPENDE DEL
x CARGO
PROCESOS
EL INGENIERO DE SISTEMAS ES EL
ENCARGADO DE ESTE CONTROL Y
REVISIÓN JUNTO CON LA
x COORDINADORA
NO YA QUE PRIMERO DEBE TENER
ACCESO A UN PERFIL DENTRO DE UN
COMPUTADOR Y DEPSUES DEBE TENER
UN USUARIO Y CONTRASEÑA PARA
x INGRESAR AL SISTEMA CONTABLE
HAY RESTRICCIONES EN LOS PERFILES
DEL SISTEMA CONTABLE, SI ES
CONTADORA PUEDE EDITAR UNOS
PROCESOS Y SI ES ASISTENTE NO TIENE
x ACCESO A OTROS PERMISOS
ÚNICAMENTE SE PUEDE ACCEDER A
ESTE CORREO PARA ENVIAR Y RECIBIR
INFORMACIÓN SOBRE LAS
OPERACIONES Y REQUERIMIENTOS DE
x LOS CLIENTES
NO ESTÁ PERMITIDO EL ACCESO A
ESTOS CORREOS, EL INGENIERO DE
SISTEMAS TIENE LIMITADO EL ACCESO
Y CONTROLADO EL TRÁFICO DE DATOS
X
 SALIDAS

SOLO PUEDEN PASAR INFORMACIÓN

POR CORREO O CARPETA COMPARTIDA
Están habilitados los puerto USB o entradas de disco x SI ES MUY PESADO.

EL INGENIERO RESTRINGE ACCESO A

CIERTAS PÁGINAS COMO REDES
SOCIALES, ÚNICAMENTE HABILITA
WHATSAPP WEB YA QUE LAS
ASISTENTES Y CONTADORAS UTILIZAN
ESTE MEDIO, PARA COMUNICACIÓN CON
Se tiene acceso a páginas en internet x LOS CLIENTES .

SE RESTRINGE EL ACCESO AL WIFI POR

TRÁFICO DE DATOS, PÁGINAS
INDEBIDAS O QUE CONSUMEN MUCHO
el WIFI está abierto a celulares x INTERNET

NO ESTÁ PERMITIDO EL ACCESO A

Uso de correos alternos al corporativo x CORREOS PERSONALES