Asignatura:

Auditoría de Sistemas

Título del trabajo:

Actividad 2

NRC:
20812

Presenta:
Angie Alexandra Vergara Triana (611852)
Sandra Lorena Castro Camelo (379479)
Anggie Natalia Amortegui Cuevas (610714)

Docente:
Yaned Patricia Sánchez

Ibagué – Colombia Agosto, 23 del 2020

 CONTADURÍA PÚBLICA
Auditoría de sistemas
Unidad 2

CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa
que se dedica a la comercialización de productos de aseo; para entender el alcance de
la auditoría, usted se entrevista con el representante legal de la empresa, quien le
manifiesta sus preocupaciones de la siguiente forma:

Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado
comercial y financiero, iniciamos comercializando productos en una oficina en la que
laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos
comerciales, un almacenista y yo, como gerente. Hoy en día somos un equipo de 18
personas, dos en contabilidad, una dedicada a las actividades administrativas, un
almacenista, cinco ejecutivos comerciales y nueve personas en logística.

Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden
en los procesos y tengo la dificultad que cuando requiero información, no logro tenerla
a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador
administrativo y el almacenista tienen asignado un equipo de cómputo, pero no se ha
estabilizado el tránsito de la información.

El computador del almacén se ha dañado tres veces en dos años.

Manejamos la información de inventarios en Excel y en varias ocasiones he recibido

archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles
su archivo.

Hace unos días necesité una orden de compra de diciembre del año pasado, la cual
estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que el
archivo se le perdió.
En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca
funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de
cómputo y 19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos
por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e
identificar riesgos; en su visita comprueba las siguientes condiciones:

1. Los equipos de cómputo están ubicados frente a las ventanas por lo que todo el
día están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua.
2. Los trabajadores consumen alimentos sobre sus equipos de cómputo.
3. Los computadores no están configurados con claves de usuario ni de
administrador para acceder, cada usuario es administrador de su equipo y puede
realizar las acciones que desee en él, cualquier usuario puede prender un
computador o tener acceso a la información que se almacena.
4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la
empresa nunca se ha realizado una copia de seguridad de los archivos
ofimáticos, para el caso del programa de contabilidad, este realiza de manera
automática la copia de seguridad y la almacena en el mismo servidor, pero
ninguna de estas copias reposa fuera de la máquina.
5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a
diversas páginas y a las redes sociales en el horario laboral; a la hora de la
inspección, la mayoría de quienes manejan los equipos se encontraban
navegando en YouTube.
6. Para acceder al software contable, los usuarios se identifican con usuario y
contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema
y solo dos trabajadores habilitados para trabajar, no se logra establecer quién
hace uso de los dos usuarios desconocidos.
7. A la hora de la auditoría, se detecta que el asistente contable trabaja con el
usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus
usuarios y contraseñas.
8. No existen restricciones de horas para trabajar y los usuarios pueden imprimir,
reimprimir y extraer archivos planos sin restricción alguna.
9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y
eliminar archivos sin restricción alguna, pero el computador identifica el tipo de
modificación, la hora y el responsable.

SOLUCIÓN

1. Listado de riesgos en los sistemas informáticos de la empresa:

a) Riesgos de control interno.

● No hay un seguimiento y control en los procesos de la empresa, ya

que se evidencia deficiencias en la administración de la misma.
● Hay fallos en la asignación y planeación de responsabilidades del
personal, puesto que se encontraron errores en sus actividades.
● Hay probabilidad de daños en los equipos de cómputo, debido a la
mala organización física de los mismos. Además, el personal no es
consciente de la importancia de tener alejado de estos los
alimentos y líquidos para evitar daños.
● Hay un grave problema con la seguridad de la información, porque
no se realizan copias de seguridad, lo cual perjudica a la empresa
de forma directa en caso de daño de algún equipo.
● El software contable aunque realiza sus copias de seguridad
automáticamente, está sólo en el dispositivo de cómputo, lo cual
ocasiona un alto riesgo de pérdida si no tiene más respaldos.
● No hay restricción de acceso a diferentes páginas ajenas al
cumplimiento de las labores de la empresa, lo cual hace que el
internet esté más lento y que haya la posibilidad de que a los
 computadores les ingrese virus que consecuentemente terminan
perjudicando la información.

De manera específica:

Riesgos estratégicos: No poder lograr los objetivos propuestos, no ser competente

y no poder proteger el valor de la empresa.

Riesgos Operacionales: Procesos inadecuados, hacen que se presente los

siguientes eventos:

● Robo y sabotaje de información

● Pérdida de información suficiente y necesaria para el buen desarrollo de las
actividades de la empresa
● Encuentro de errores o hechos fraudulentos en la información
● Robo de acceso a la red de internet
● Pérdida del activo (Computadores)
● Daños físicos al equipo causados por el calor, lluvia y alimentos
● Información no confiable

Riesgos financieros: Consecuencias financieras negativas para la empresa. Entre

una de ellas está; Reporte de información errónea, por transacciones mal
registradas.

b) Riesgos de ingreso a los sistemas informáticos y su autenticación.

● Debido a que cada integrante del personal no cuenta con usuarios
y contraseñas, se puede sustraer, alterar y eliminar información de
los computadores de cada uno sin que el otro se entere.
● Divulgación de información confidencial de la empresa por faltas en
el control en la seguridad de los datos.
 ● Cada empleado debe tener acceso sólo a la información que le
corresponde, es decir, deben haber restricciones entre sí, para
evitar fugas y daños de la información.

c) Riesgos a los que se expone la información por manipulación de un

usuario.
● Suplantación de identidad, lo cual acarrea responsabilidades
directas al usuario original. El auxiliar contable debe trabajar con su
usuario y no con el del contador.
● No deben haber empleados ajenos al área con usuarios de ingreso
al software contable, ya que podrían sabotear la información
financiera de la empresa.

d) Riesgos que pueden surgir de la impresión, reimpresión y extracción de

bases de datos de un sistema informático.

 Ineficiencia en la utilidad del material.

2. Clasificación de los riesgos:

Entradas a los sistemas informáticos: El mal registro manual que hace el

usuario, provoca los siguientes riesgos:

● Confusión de datos generales de proveedores

● Cuentas contables mal ubicadas
● Equivocación en los datos que se registran para hacer pagos
● Malas modificaciones en los registros contables
 Procesos a los sistemas informáticos: En la realización de cálculos de las
operaciones preestablecidas, se puede presentar los siguientes riesgos:

● Mal cálculo de antigüedad de datos

● Mal cálculo de los saldos de proveedores
● Mal cálculo de los intereses moratorios
● Mal cálculo del inventario

Salidas de información de los sistemas informáticos: La mal información

procesada o entrada de datos, puede presentarse los siguientes riesgos:

● Facturas equivocadas
● Mal estado de cuentas
● Informes con algunos errores

3. Propuesta

La propuesta que se hace a la empresa es que se debe hacer un control interno del
sistema informático, ya que este es muy importante para evaluar los procedimientos
que realiza la empresa, siendo una actividad de ayuda para prevenir y corregir errores.
Se deben implementar controles que son preventivos, detectivos y correctivos. En este
caso, ya se identificó los riesgos, estos controles ayudarán a corregir errores e
irregularidades que afectan el funcionamiento del sistema informático para alcanzar los
objetivos de la empresa.

También, se deben implementar los controles internos para la operación del sistema,
controles internos para los procedimientos de entrada de datos, procesamiento de
información y emisión de resultados, y controles internos para el área de seguridad del
sistema, los cuales contienen las siguientes herramientas: sistemas de control de
acceso, copias de respaldo, restricción de páginas web, antivirus, formar a los
empleados en seguridad informática, corroborar las responsabilidades de cada quien,
licenciar el Office, modificar la ubicación de los equipos, cambiar al menos
trimestralmente las claves una vez se implementen los usuarios y tener una copia de la
información fuera del equipo.