Taller Inicial de Reconocimiento

Realice las siguientes actividades de manera individual:

1. Investigue acerca de cuáles son los tipos más comunes de auditoria y sus
principales características.

Los tipos de Auditoria más comunes son:

Auditoría Auditoria de Auditoria Auditoria de

Auditoría Ambiental
Financiera Gestión Operacional Sistemas o TI
Emite un informe, Evalúa la eficacia Examen posterior Análisis de Establece una forma
en el cual se da a de sus resultados objetivo y procedimientos sistemática de realizar
conocer la opinión con respecto a sistemático administrativos y de esta evaluación , ya que
sobre la situación metas previstas, (Secuencial) de la sistemas de control es una herramienta para
financiera de la recursos humanos, totalidad o parte de interno, al finalizar generar conclusiones de
empresa, hay que financieros y las operaciones o se expone en un las mismas que aporten
destacar que solo técnicas utilizadas, actividades de una informe aquellos mejoras al sistema de
es posible llevarlo a y coordinación de entidad, proyecto, puntos débiles que gestión.(sensibilización)
cabo a través de un dichos recursos y programa, se hayan podido
elemento llamado los controles inversión o detectar, como
evidencia (posterior establecidos sobre contrato particular. recomendaciones(TI
a operaciones). dicha gestión. Determinar grados )
(Herramienta de de efectividad,
apoyo gestión economía y
empresarial) eficiencia
alcanzadas de la
organización y
formula
recomendaciones.

2. ¿En qué consiste el control interno informático?

Es el plan de organización adoptado dentro de una empresa para salvaguardar

sus activos y asegurar el adecuado registro de las transacciones comerciales
(evaluando y verificando que los controles funcionen y cumplan con su objetivo).

¿Cuáles son los tipos de control interno más comunes? Describa las
principales características de los diferentes tipos de control.
Controles Preventivos: evita la producción de errores o hechos fraudulentos.
Controles Detectivos: trata de descubrir a posteriori errores o fraudes.
Controles Correctivos: trata de asegurar que se subsane todos los errores
identificados.
3. Enumere las fases que componen un proceso de auditoría.
Por lo general varían de 3 a 4 fases:
A. Planificación: se estudia que tipo de documentación se necesita, se recoge
documentos de auditorías anteriores y recoge las declaraciones
preliminares de las partes involucradas, el auditor también comienza a
planificar el alcance de la auditoria y a determinar cuál es el objetivo de la
misma.

B. Revisión preliminar: se evalúa la forma en que opera la organización y

procesos internos, se contrasta la forma en que opera la realidad vs
documentación y si no es así se reevalúa la forma en que se realizara la
auditoria.

C. Trabajo de Campo: Entrevista a los empleados de las diferentes áreas,

determina si todo funciona eficazmente como deberían y a su vez
identificar qué áreas no cumplen o que son menos eficaces de lo que
necesitan ser.

D. Informe de Auditoria: Todo el trabajo realizado durante las 3 primeras fases

culmina en la producción y entrega del informe de auditoría, donde se
identificó las áreas que necesitan mejora, recomendaciones de los
procesos que las áreas pueden seguir, etc.

4. Analice: Usted acaba de ser nombrado como coordinador del proceso de

auditoría de sistemas de una empresa dedicada a la prestación de servicios
de salud ocupacional a empresas temporales. La organización necesita
realizar una auditoría a todos los procesos relacionados con la plataforma
tecnológica, su recurso humano, y obtener un informe que permita mejorar
los procesos de manera que disminuya la probabilidad de tener algún
inconveniente.

a. ¿Cómo comenzaría su proceso de auditoria?

Realizar una planificación de lo que se realizara es decir confirmar si se

realizó una auditoria anteriormente(inventarios,etc), obtener toda la
documentación necesaria respecto al aplicativo, procedimientos directivas,
políticas(privilegios,etc), contrastar los roles de los empleados y funciones,
el poder verificar el estado del hardware.

b. ¿Qué componentes tendría usted para una mayor prioridad en el análisis

del problema?

- Políticas, directivas, plan de contingencias, organigrama de la

empresa, etc.
 - Inventariado de software y hardware.
- Roles y funciones estipulados.
- Procesos y actividades de la empresa
- Documentación del software.
- Diseño físico de red.

c. ¿Porque? Argumente su respuesta.

Primeramente si lo anteriormente mencionado no existiría (hallazgos) con
lo cual nos genera la conclusión de las deficiencias que existe en la
empresa y las amenazadas que podrían ocurrir e impacto.
A su vez si habría todo esto se llamaría evidencias las cuales nos ayudaría
a dar las recomendaciones necesarias para la mejora en todo sentido.
Taller Nº 2: Formular el hallazgo de la aplicación “core” con funciones no implementadas

Hallazgos: 01

Se encuentra 25 funciones no implementadas en los 5 módulos del

Título sistema

Módulos incompletos, 5 funcionalidades no implementadas de acuerdo a

las Requeridas

Condición

Criterio Contrato no cumplido, se estipulo según las 5 actas que el proyecto debía
implementarse en 9 meses bajo un presupuesto de 60 mil dólares
Generando malestar con las áreas, se extendió el proyecto por más de 3
Efecto meses y generando pérdidas de 5004 dólares (25 funciones no
implementadas)

Causa Sistema carece de funcionalidades no implementadas,

Inadecuada supervisión en el avance del proyecto mecanismo

Recomendaciones :
 Supervisión de los contratos y sus clausulas
 supervisión continua a futuros proyectos de implantación de sistemas
 cumplimientos de contratos con carta fianza.
 Tener en un futuro un filtro con antecedentes negativos de las empresas.
 Aplicarse penalidad.
Taller Nº 3: En base a la información recopilada y sustentada por el equipo de control, formular

Observaciones:
 11 sistemas implementados con lenguajes de programación desfasados o
antiguos( Cuenta de Ahorros, Cuenta Corriente, Tarjeta de Credito,Control
Almacen,Control de Asistencia de Personal, Facturación y Cobranza, Sistema de
Control de Visitas)
 08 Sistemas se clasifican como sistemas críticos
 12 Sistemas se clasifican como sistemas No críticos.
 09 sistema no cuentan con programa fuente de las aplicaciones
(cuenta de ahorro, cuenta corriente, tarjeta de crédito, control de Asistencia
de Personal, Sistema de CTS, Facturación y Cobranzas, Sistema de
Anexos, Sistema de Prestamos y Convenio, Sistema de Prestamos
Hipotecario)
 07 sistemas no cuenta con manuales de configuración y manual de usuario.
(cuenta de ahorro, cuenta corriente, tarjeta de crédito, Control de Asistencia
de Personal, Facturación y Cobranzas, Sistema de Planilla, ERP SAP R/·,)
 06 Base de datos inadecuados para los sistemas de gran impacto. (critico)
(Cuenta de ahorro, cuenta corriente, tarjeta de crédito, Control de
Asistencia de Personal, Sistema de Planilla, Sistema de Control de Visitas)

Oficina central
 03 sistemas instalados y configurados en terminales de usuario (host)
(Cuenta de ahorro, cuenta corriente, tarjeta de crédito)

Personal
 02 Base de datos inseguras fácil de manipulación (DBF)
(Control de Asistencia de Personal, Sistema de Control de Visitas)
 02 Sistema que falta documentación para el uso del usuario, elaborados por la
propia entidad.
(Sistema de Anexos, Sistema de Control de Visitas)

Conclusiones:
 Inseguridad de fallo físico del equipo, no preparado para una operatividad
constante de 7/24
  Adquisición del sistema por tercero mal adquirido, se debió considerar la fuente del
programa.
 No se realizó una planificación/proyección del crecimiento de la base de datos,
incremento de (registros, seguridad de acceso, etc.) clientes.
 Falta de preocupación y conocimiento del personal en la seguridad de acceso a
los sistemas.
 Carencia de documentación sobre la funcionalidad de los sistemas para los
usuarios finales.

Recomendaciones:
 Replantear las base de datos en los sistema (migración de base datos)
 Adquirir en futuras compras de sistemas de información, la fuente del programa y
manuales de configuración.
 Documentar los sistemas elaborados por la entidad.
 Instalar los sistemas en servidores no en terminales (host).
 homologar las base de datos en los distintos sistemas. (unificar)
 Actualizar los S.O. de los servidores
 Los sistemas sean integrales.